Windows安全相关工具/资料收集


=Start=

缘由:

收集、整理一些常见和Windows安全相关的工具、资料,方便以后在需要用到的时候能够快速检索。

正文:

参考解答:

Windows 漏洞价值分类排名,来自 yuange
http://www.4byte.cn/learning/44312.html

简单方法避免被安装后门
http://www.weibo.com/ttarticle/p/show?id=2309404140771757432459

锁定注册表键有几种方法?防止其他用户或进程修改或者删除
https://tyranidslair.blogspot.com/2017/07/locking-your-registry-keys-for-fun-and.html

很多恶意软件都依赖注册表实现 fileless 攻击,这篇 Blog 介绍基于 PSReflect 的注册表隐藏技术
https://posts.specterops.io/hiding-registry-keys-with-psreflect-b18ec5ac8353

渗透技巧——Windows日志的删除与绕过
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-Windows%E6%97%A5%E5%BF%97%E7%9A%84%E5%88%A0%E9%99%A4%E4%B8%8E%E7%BB%95%E8%BF%87/

BeRoot – Windows 本地提权工具,寻找本地机器配置上的疏漏实现提权
https://github.com/AlessandroZ/BeRoot

来自 Project Zero 的 Windows 漏洞利用技巧系列文章,如何将任意目录创建漏洞转化成任意文件读
https://googleprojectzero.blogspot.com/2017/08/windows-exploitation-tricks-arbitrary.html

Windows环境下的信息收集
https://mp.weixin.qq.com/s/37xtTdjVetMg5P1WaJvYvA

通过向 Windows Scripting Host (WSH) 已签名脚本中注入代码,绕过 Windows 对 WSH 文件签名才能执行的保护
https://enigma0x3.net/2017/08/03/wsh-injection-a-case-study/

WMIMon – 用于监控 Windows WMI 行为的工具
https://github.com/luctalpe/WMIMon

Windows 内核漏洞利用:栈溢出
https://rootkits.xyz/blog/2017/08/kernel-stack-overflow/

绕过杀毒软件与主机入侵防御系统对流量的检测
https://pentestlab.blog/2017/07/26/bypassing-antivirus-host-intrusion-prevention-systems/

Awesome Vulnerability Research – 漏洞研究方面的资料整理
https://github.com/re-pronin/Awesome-Vulnerability-Research

powershell 通过IE下载文件,来自 Evi1cg’s blog
https://evi1cg.me/archives/Downloader_byIE.html

基于 Neo4j 的 Windows 日志可视化分析
https://haveyousecured.blogspot.ca/2017/07/visualize-windows-logs-with-neo4j.html

多种 DLL 注入技术原理介绍
http://blog.deniable.org/blog/2017/07/16/inject-all-the-things/

利用 JS 加载 .Net 程序
https://3gstudent.github.io/3gstudent.github.io/%E5%88%A9%E7%94%A8JS%E5%8A%A0%E8%BD%BD.Net%E7%A8%8B%E5%BA%8F/

利用MS17-010补丁对比发现的九个漏洞
http://www.freebuf.com/articles/system/139481.html

Windows 几个漏洞的 PoCs,大部分是内核漏洞,包括 CVE-2012-0217,CVE-2016-3309,CVE-2016-3371,CVE-2016-7255,CVE-2017-0213
https://github.com/WindowsExploits/Exploits

初学Windows内核漏洞利用(一):搭建实验环境
http://mp.weixin.qq.com/s/v6BsjpLU9dpYHEXsFkIUfg
初学Windows内核漏洞利用(二):熟悉HEVD
http://mp.weixin.qq.com/s/URed13WhcF0_GgtGxoBgBA

Windows Ring 0 代码执行的秘密,来自对 Shadow Brokers 泄漏样本的逆向
https://zerosum0x0.blogspot.com/2017/07/puppet-strings-dirty-secret-for-free.html

Windows Keylogger Part 2: Defense against user-land
https://eyeofrablog.wordpress.com/2017/06/27/windows-keylogger-part-2-defense-against-user-land/

从 Windows XP 到 Windows 10,各个版本的 Syscall Table 信息
https://github.com/tinysec/windows-syscall-table

NTFS 文件格式的取证、恶意滥用与漏洞分析
https://drive.google.com/file/d/0B3P18M-shbwrM1E2V24tTVFUU3M/view

以DoublePulsar Shellcode 为例讲解如何使用 Windbg 加载并调试 Windows 内核 Shellcodes
https://vallejo.cc/2017/06/23/loading-and-debugging-windows-kernel-shellcodes-with-windbg-debugging-doublepulsar-shellcode/

基于 James Forshaw 的 Blog,PowerShell-Suite 套件中的一个 UAC Bypass PoC
https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/UAC-TokenMagic.ps1

Revoke-Obfuscation – PowerShell 代码的混淆也开始出现了,来自 FireEye 在 BlackHat 会议的演讲
https://www.fireeye.com/blog/threat-research/2017/07/revoke-obfuscation-powershell.html https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/revoke-obfuscation-report.pdf

微软的 PowerShell 团队开发了一个 PowerShell Module Browser 工具,支持对安装的 PS 模块和工具进行搜索
https://docs.microsoft.com/en-us/teamblog/announcing-unified-powershell-experience

使用 Active Directory 的 Powershell 模块收集域信息
https://adsecurity.org/?p=3719

参考链接:

=END=

, ,

《“Windows安全相关工具/资料收集”》 有 46 条评论

  1. 【权威发布】Xshellghost技术分析——入侵感染供应链软件的大规模定向攻击
    http://bobao.360.cn/learning/detail/4280.html

    【权威发布】360天眼实验室:Xshell被植入后门代码事件分析报告(完整版)
    http://bobao.360.cn/learning/detail/4278.html

    Xshell高级后门完整分析报告
    https://security.tencent.com/index.php/blog/msg/120

    Xshell软件后门技术分析
    http://www.freebuf.com/articles/terminal/144367.html

    卡巴斯基对 XShell 后门事件的分析,该软件属于供应链攻击中的服务器管理软件
    https://securelist.com/shadowpad-in-corporate-networks/81432/

    【重大事件】知名终端模拟软件XSHELL多版本存在后门,或上传用户服务器账号密码!(11:30更新)
    http://bobao.360.cn/news/detail/4263.html

  2. [ Windows ] 今天发布的 Windows 补丁修复了多个 Windows DNS Client 的堆溢出漏洞(CVE-2017-11779)。该漏洞存在于 DNSAPI.dll,特殊构造的 DNS 响应数据包可以触发,成功利用可以实现 SYSTEM 权限的 RCE。来自 BishopFox 对该漏洞的技术分析
    https://www.bishopfox.com/blog/2017/10/a-bug-has-no-name-multiple-heap-buffer-overflows-in-the-windows-dns-client/

    [ SecurityAdvisory ] 微软发布 10 月安全公告
    https://portal.msrc.microsoft.com/en-us/security-guidance
    http://blog.talosintelligence.com/2017/10/ms-tuesday.html

  3. 使用 Sysmon 寻找带宏的 Word 恶意文档
    http://syspanda.com/index.php/2017/10/10/threat-hunting-sysmon-word-document-macro/

    不需要宏代码,利用 DDE(Dynamic Data Exchange)协议实现 MS Word 的命令执行,弹出计算器
    https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
    针对上面这个【不需要宏代码,利用 DDE(Dynamic Data Exchange)协议实现 MS Word 的命令执行,弹出计算器】的文章。 Nviso Labs 公开了一个用于用于检测 Office DDE 的 YARA 规则文件
    https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/

  4. 【权限维持】window服务端常见后门技术
    http://www.cnblogs.com/xiaozi/p/7613288.html
    `
    未知攻焉知防,攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境。这里整理一些window服务端常见的后门技术,了解攻击者的常见后门技术,有助于更好去发现服务器安全问题。
    常见的后门技术列表:
    1、隐藏、克隆账户
    2、shift后门
    3、启动项、计划任务
    4、劫持技术
    5、Powershell后门
    6、远控软件
    7、嗅探技术
    `

  5. 活动目录下的常见攻击方式介绍
    https://0xdf.gitlab.io/2018/12/08/htb-active.html

    linikatz – 在 UNIX 上攻击活动目录的工具
    https://github.com/portcullislabs/linikatz

    UNIX 上的 Active Directory 攻击
    https://blog.talosintelligence.com/2018/12/PortcullisActiveDirectory.html

    活动目录账户权限安全审计脚本分享
    https://github.com/russelltomkins/Active-Directory/blob/master/Query-UserAccountControl.ps1

    aclpwn.py – 结合 BloodHound 进行活动目录 ACL 提权的工具
    https://github.com/fox-it/aclpwn.py

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注