安全客 - 安全资讯平台

powershell

从内网到域控（offensive实战）

powershell

内网渗透

大家好，我是鸿鹄实验室的lengyi，offensive是国外某红队培训时使用的一套环境，被国内的大佬分享给了我，于是便有了此篇文章。

安
2019-11-27 10:30:40

1532883次阅读 33

恶意软件

Powershell 进阶——基于Powershell的远控分析

恶意软件

powershell

之前写过一篇文章《badusb-轻松绕过防护拿下小姐姐的电脑》，其实那篇文章本打算写三个要点：思路、绕过和远控分析，但是因为篇幅太长，所以把远控分析放到这篇文章。

掌控安全学院-魔术手
2019-09-27 11:30:43

838441次阅读 3

powershell

从PowerShell内存中提取取证脚本内容

powershell

取证

本文主要介绍Powershell取证技术，如何从内存中恢复已经执行过的Powershell脚本。

安全首席翻译官
2019-02-01 14:30:38

451614次阅读

如何查找活动目录委派

先前我们只讨论了如何手动查找这类委派，大家可以阅读另一篇文章，了解其他一些工具在手动分析中的应用。在本文中，我们将介绍如何利用脚本，以（半）自动化的方式在网络中搜索这类委派。

興趣使然的小胃
2019-01-21 10:30:01

433266次阅读 1

powershell

初探Powershell与AMSI检测对抗技术

powershell

系统安全

AMSI

微软在2015年中旬开始提出了针对无文件攻击和Powershell脚本攻击的检测缓解方案-AMSI。本文以Powershell行为日志审计为切入点，展开介绍AMSI的功能，工作机制与现有绕过方法。

云影实验室
2018-12-19 10:51:20

819075次阅读 1

powershell

如何滥用PowerShell DSC进行横向渗透

powershell

横向渗透

DSC

PowerShell的期望状态配置（Desired State Configuration，DSC）可以让我们使用WMI来直接执行资源。通过DSC WMI类，我们可以滥用内置的脚本资源来实现PowerShell代码的远程执行。

興趣使然的小胃
2018-11-03 10:09:49

303511次阅读

如何绕过新版Windows的UAC机制

本文将介绍如何使用PowerShell脚本来绕过UAC，也就是说，我们将使用属于本地管理员的中级完整性级别（Medium Integrity）的进程来生成高级完整性级别（High Integrity）的进程。

興趣使然的小胃
2018-11-02 11:00:00

480411次阅读 3

powershell

如何绕过AMSI执行任意恶意PowerShell代码

powershell

系统安全

AMSI

我们本文介绍的方法，对于渗透测试的早期会更有用一些，因为AMSI（反恶意软件扫描接口）可能会对获取Shell的过程以及后期漏洞利用（Post-exploitation）阶段造成麻烦。

P!chu
2018-10-30 16:30:57

406533次阅读 4

恶意软件

解混淆Emotet powershell payload

Emotet是2014年发现的一种银行木马，之后研究人员发现了大量的Emotet垃圾邮件活动，使用多种钓鱼方法诱使用户下载和加载恶意payload，主要使用恶意Word文档传播。

ang010ela
2018-08-02 15:00:19

377236次阅读

注册表中的PowerShell后门分析

第一篇文章介绍了如何在系统事件日志中查找恶意的PowerShell脚本以及如何解码它们。在这篇文章中，我将讨论恶意PowerShell脚本可能隐藏的另一个位置——注册表。

无名小卒
2018-06-15 17:11:13

272129次阅读