xiaoeryu

Cobalt Strike会话管理测试环境 系统 服务 ip kali teamserver1 192.168.3.51 kali teamserver2 192.168.3.8 win7 target 192.168.3.49 winXP target 192.168.3.52 一. cs派生会话(会话备份)​ 可以增加自身会话，也可以将会话备份到其它teamserver，基本都是一样的操作 二. cobalt strike派生给metasploit会话 在msf中创建监听会话 msf5 > use exploit/multi/handler [*] Using configured payload windows/meterpreter/reverse_http msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf5...

Cobalt Strike用户驱动攻击使用cs生成木马让目标机上线后 有很多用户驱动攻击的模块可以使用 这里可以修改sleep的时间：获取信息的间隔时间/s

Cobalt Strike DNS Beacon的使用与原理这一节实验需要有一台公网vps和一个域名 简介 dns木马 dns木马因为隐蔽性较好，在受害者不会开放任何端口可以规避防火墙协议，走的是53端口 (服务器)，防火墙不会拦截，缺点响应较慢。 1. 部署域名解析 配置域名解析：需要添加一条A记录和一条NS记录 A：告诉域名服务器，test.xiao（域名）指向的IP地址是多少 CN：告诉域名服务器，想要知道c1.xiao（域名）的IP就去问test.xiao（域名） 设置完成后验证一下A记录是否解析成功 找一台可以联网的主机输入ping test.xiao（域名）：可以显示IP地址说明解析已经成功了 然后在vps开启53端口并监听试试测试CN记录是否解析成功 开启端口命令 iptables -I INPUT -p tcp --dport 53 -j ACCEPT 监听端口命令 tcpdump -n -i any udp dst port 53 然后在一台可以联网的主机上执行nslookup...

Cobalt Strike重定器域名：kali123.com dns服务器 ：192.168.3.40 csserver(kali)：192.168.3.8 k.kali.com Ubuntu：192.168.3.42 简介： 什么是“重定器”： “重定器”是一个在“CS”服务器和目标网络之间的服务器。作用是对你团队服务器下的连接，用做代理服务器或端口转发服务。 作用 1. 保护服务器地址 2. 增强适应能力，保持通信 使用的工具 socat TCP4-LISTEN:80，fork TCP4:[team server]:80 可以用这个工具来建立80端口的连接管理，并且继续在80端口运行那个连接团队服务器的连接。 linux系统的使用命令 socat TCP4-LISTEN:80,fork TCP4:team.cskali.com:80 重定向拓扑图 本地域名配置 ​ 先配置一下DNS信息 ​ 然后在我们用我们的windows虚拟机输入域名连接一下csserver ​ a. 修改本地的DNS ​ b....

基本使用简介：​ Cobalt Strike作为一款GUI的框架式渗透工具，集成了端口转发、服务扫描、自动化溢出、多模式端口监听、exe\dll\java木马生成、office宏病毒生成、木马捆绑；钓鱼攻击包括：站点克隆、目标信息获取、java执行、浏览器自动攻击等等。 运行环境：​ Cobalt Strike4.3 ​ 首先安装使用前需要安装java环境jre ​ 服务器：kali 或者 Debian会比较好，Ubuntu的话可能会有些端口占用的问题需要处理 ​ 客户端：安装jre即可使用（跨平台） 启动：1. 创建服务器​ ./teamserver <host> <password> [/path/to/c2.profile] [YYYY-MM-DD] ​ is the (default) IP address of this Cobalt Strike team server​ is the shared password to connect to this server​ [/path/to/c2.profile] is your...

ARM汇编的一些知识寄存器数量ARM处理器一共有37个32位寄存器。30个为“通用“寄存器： r0-r14未分组：r0-r7，即只有一个寄存器分 组：r8-r14，即有多个同名寄存器r8-r12 ：两个r13-r14：6个 r13(sp),R14(lr)1个固定的程序计数器 ： pc (又称r15)6个为状态寄存器 ： cpsr spsr不能被同时访问,一种模式下最多同时访问18个寄存器 不同模式下访问的寄存器 寄存器用途sp(r13) - 堆栈指针lr(r14) - 连接寄存器调用子程序时存放调用地址,存放返回地址pc(r15) - 程序计数器,相当于windows的EIP(1)跳转到指定地址mov pc,lr// 直接修改pc ，完成跳转bx lr // 跳转到 lr保存的地址 (2)在函数入口保存寄存器信息stmfd sp!, {r11,lr} // 保存大括号中的寄存器到栈中，从右往左 (3)使用ldm指令修改pc,完成函数返回ldmfd sp!, {r11,pc} // 将栈中数据依次加载到寄存器中，从左往右 cpsr –...

0x00样本简介​ 该样本是2018年5月份国内某安全厂商威胁情报系统捕获的一起针对中国及其他东亚地区国家政府、科研单位领域的攻击样本，该APT组织确认为APT-32（海莲花OceanLotus）。​ 此次攻击载体选用的是.doc后缀的rtf文件，该rtf文件通过利用漏洞CVE-2017-11882释放恶意文件到本地并加载执行。其释放文件利用了白加黑的组合加载手法逃避杀软的查杀，在运行过程中并无我们常见的多级注入行为，也并没有文件落地，具有较强的隐蔽性。原始样本信息如表１所示。 文件名称 Document_GPI Invitation-UNSOOC...

工具&环境: 工具 系统环境 PEID win7_x86 OD IDA imporREC 查壳先用PEID扫了一下发现什么都没有扫到 直接先用OD打开看一下发现有pushad/fd先用ESP定律下断试一下 嗯,直接就这样到了,F7几下就到了OEP 这里有个sub esp,0x58所以应该是Delphi写的,第一个call本来应该显示getversion的,但是并没有,发现它IAT加密了 OEP是47148B 那我们先跟进去看一下 这里有对ebx一个sub和add运算看了一下发现它获取到了GetVersion的地址 但是0x475080还是它WriteIAT的地址,所以在这里下硬件写入断点,然后重新运行寻找它GetAPI的地方 F9了两次发现这个地方像是写入IAT的地方 那这个1D0897应该是WriteIATAddr了 在0x2F0895这个地方下断用run跟踪F7跑一下 run跟踪的原理就是模拟操作然后全部记录在run跟踪窗口中 在写入iat的地方下断点,然后run跟踪,运行到下一次写入的时候就会断下来,...

0x00 样本信息​ HW期间拿到的一个样本，用了lnk的启动方式。运行后会启动隐藏属性的exe和dll文件，进行后续的内存解密操作后用域前置的方法执行外联操作。 0x01 行为分析 行为分析 样本解压后可以看到两个文件：一个excle表，一个pdf快捷方式。excle表查看后是一个正常的文件。 通过火绒剑行为监控可以看到快捷方式执行后会有一些启动bat脚本和外连等行为 根据bat文件可以看到lnk文件执行之后，运行的主体为sihost.exe & MpSvc.dll，接下来跟据前面监测到的的一些行为对这两个文件进行详细分析。 0x02...

Windows XP，32位 从https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip下载pykd.zip 解压后获得2个文件：pykd.pyd和vcredist_x86.exe 使用管理员权限运行vcredist_x86.exe并接受默认值。 将pykd.pyd复制到 C:\Program Files\Debugging Tools for Windows (x86)\winext 打开具有管理员权限的命令提示符，然后运行以下命令： c: cd "C:\Program Files\Common Files\Microsoft Shared\VC" regsvr32 msdia90.dll (You should get a messagebox indicating that the dll was registered...

question： linux下设置go环境变量之后，再次打开新的终端或者重启后环境变量会失效需要重新source /etc/profile 后才能生效 answer： 原来在 /etc/profile 中写入的环境变量输出的是普通用户的环境变量，设置root用户的环境变量需要在/root/.bashrc 里面写入环境变量（将刚才在 /etc/profile 中写入的环境变量拷贝过来重新 source /root/.bashrc 即可） 然后无论是重启还是打开新的终端无论是普通用户还是root用户输入 go env 就可以看到我们设置好的环境变量生效。

exploit编写系列2：栈溢出，跳转至shellcode这篇blog是为了学习如何用各种方式去构造栈溢出类型漏洞的exp 执行shellcode的多种方法： jump/call 寄存器 pop return push return jmp[reg + offset] blind return jmp code SHE call 1. jmp/call 寄存器在第一篇中已经详细分析过 2. pop pop ret这个exp我们依然还使用上一篇分析的Easy RM to MP3的漏洞来编写，在上一章使用jmp register 编写exp的时候，我们已经能够调整缓冲区，使ESP直接指向我们的shellcode。但是如果shellcode入口发生偏移比如：shellcode的入口位于ESP+8的时候，我们又该怎么去编写exp呢？理论上，当ESP+offset已经包含shellcode地址，那么只有pop ret这种方法使可行的….如果不是如此（事情往往并非如此），那么也许还有其他方法。 接下来我们尝试采用pop pop...