银狐折戟!山石网科EDR重塑终端安全新高度
为终端安全构建“检测-分析-响应-修复”的闭环防御体系“银狐”木马及其变种凭借高度隐蔽的攻击手法(如加密压缩包传播、伪装工作文档的可执行文件等),已成为当前企业和组织面临的重大威胁...
admin
WebShell 再进化:无需 cmd.exe 实现任意命令执行
在红队渗透测试中,绕过安全防护机制以实现隐蔽的命令执行是关键策略之一。传统的命令执行方式,如调用 cmd.exe,常常被现代安全产品识别和拦截。为应对这一挑战,Sharp4WebC...
WebShell 对抗,规避 w3wp 进程树监测,绕过 cmd.exe 执行系统命令
在当今红蓝对抗持续升级的环境中,越来越多的安全产品已经不再满足于传统的文件特征识别方式,而是将重点转向对行为链条的识别与阻断。尤其是在 WebShell 场景中,命令执行行为已经被...
WebShell 对抗进化,规避w3wp进程树监测,黑屏之下绕过 cmd.exe
在当今红蓝对抗持续升级的环境中,越来越多的安全产品已经不再满足于传统的文件特征识别方式,而是将重点转向对行为链条的识别与阻断。尤其是在 WebShell 场景中,命令执行行为已经被...
WebShell 对抗进化,规避w3wp进程树监测,黑屏之下绕过 cmd.exe 调用链静默执行
在当今红蓝对抗持续升级的环境中,越来越多的安全产品已经不再满足于传统的文件特征识别方式,而是将重点转向对行为链条的识别与阻断。尤其是在 WebShell 场景中,命令执行行为已经被...
.NET内网实战:通过 Sysnative 虚拟路径绕过安全防护启动 cmd 进程
01阅读须知此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报...
探索 Sysnative 路径:一种通过 .NET 启动 cmd.exe 的新方法及其应用场景
Sysnative 路径是Windows操作系统中一个非常有用的特性,它解决了32位应用程序在64位系统中访问系统目录时的路径重定向问题。通过利用这一特性,红队渗透时可以实现一些新...
.NET内网实战:通过FSharp白名单执行命令
01阅读须知此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报...
新年快乐 | 红队Tips LOLbins
forfiles.exe程序是一个众所周知的 lolbin。它的力量来自/c命令行参数,该参数有助于指定我们要为程序在枚举目录时找到的每个项目执行的命令。 ...