README
工具
本文最后修改时间:2019-03-03 20:25

Forensic

__ENI__ on 2017-06-08:

Lion💬💬💬 提问: 做计算机终端安全检查时,怎么检查一台终端是否共享过热点?(PS:不是连接过的WIFI,是查是否有过共享热点事件)

好问题,这个估计玩取证的人更懂得,因为这些动作应该会在终端系统上留下痕迹。

我们没试过,但给你一个建议:比如 Windows 下,你用 Process Monitor 来监控下你自己的共享过程,看看是否会在注册表或什么位置留下信息。

...

__M1k3__: 每个版本系统都设置热点,找个记录注册表更改的工具记录下就有特征了…可以依据特征写个检查脚本了

...


__余弦@ATToT__ on 2017-07-18:

#姿势#

使用橡皮鸭 U 盘偷取电脑里的文件

Stealing Files with the USB Rubber Ducky – USB Exf...

USB Rubber Ducky 这个 U 盘设备我玩了很久(不仅这个,我有全套),也叫橡皮鸭,来自 Hak5。攻击的本质原理就是 HID 攻击,U 盘会模拟成键盘,发出所有的触发指令都和键盘操作有关。

比如插入 U 盘,不需要任何其他手动操作,就可以植入木马。但是由于是模拟键盘操作,所以会发现打开了一些窗口(比如运行窗口、CMD 等),但是有办法能让这个过程做到尽可能隐蔽。

可以一键植入木马,当然也可以一键偷取目标电脑上的文件,上面分享的那个链接要达到的就是这个目的。

引导完毕,具体过程自己看吧。

顺便说一句,Hak5 的相关安全设备被美国禁止对中国销售,我有渠道可以买,但是没什么必要我懒得去做这个中间人。

再顺便说一句,黑手里的 HID 攻击也可以达到这类效果,我们玩安全得多脑洞、多扩展、多发散...😏

...

__踏歌行千山__: 淘宝上有卖的 __K3vi__: 可以在某宝购买MJMCU Digispark 微型arduino开发版自己diy一个hid设备。几块钱就可以了 __余弦@ATToT__ replies to __K3vi__: 可以呀 __余弦@ATToT__ replies to __踏歌行千山__: 贵不少 __GEASS__ replies to __余弦@ATToT__: 太贵了,888一个…… __breadjun__: 链接看了,突然又向导余弦大大的这句话:(不仅这个,我有全套) __KevinShan__ replies to __余弦@ATToT__: 我也想买,从官网买399.9的套装卡在海关清单上,淘宝贵的有些离谱了 __熟人不宜__ replies to __KevinShan__: 这个应该是被US海关拦了吧? __Hi__ replies to __KevinShan__: 请问是海淘被海关扣下了吗?US扣的?

...


__豆@ATToT__ on 2017-08-07:

HID攻击是badusb攻击中成本最低,门槛最低的一类,通过模拟键盘向目标机器执行代码,本次分享以上手为主,带路三种从简易到实战的HID攻击姿势,每种都附有具体的how to链接。至于具体的payload大伙儿可以随自己喜欢,反正我是喜欢empire😂

分享文件: HID攻击简易上手.pdf


__余弦@ATToT__ on 2017-08-20:

#姿势#

利用 Safari 浏览器获取 macOS 敏感文件

分享来自@嘀嗒的钟

成功利用这个bug需要满足两个条件,一是通过Safari浏览器访问本地文件,二是需要知道本地文件的绝对路径。

首先,第一个条件如何通过Safari浏览器访问本地文件,一般我们通过file://来访问本地文件,但是像Safari以及Chrome这些浏览器都对访问本地文件作了限制,大部分从Internet上下载的文件也是无法访问本地文件的。但是作者通过测试发现,Safari浏览器会对某些Internet上下载的文件放宽验证机制,从而导致可以访问本地文件(作者在文章中通过Mac桌面版的telegram传播恶意的xhtm可以突破safari浏览器的验证机制)

其次,如何获取本地文件的绝对路径,在macos系统的,如果用户有权访问某个文件夹并且访问过,通常会在该文件夹下生成一个隐藏文件 .DS_Store ,.DS_Store 的作用类似于windows系统下的Thumbs.db,但是所不同的是,.DS_Store 文件包含了文件夹以及该文件夹下所有文件的名称,我们通过解析 .DS_Store 就可以获取该文件夹下所有文件和文件夹的名称,这样就可以拼接出文件的绝对路径(理论上可以遍历系统上所有的文件)

因为很多敏感的文件都存在于当前用户文件夹下,例如.ssh文件下的登录凭证,各类浏览器的cookies,对于如何获取当前用户名称,文章提供了一种方法,通过获取系统日志(/var/log/system.log 和 /var/log/install.log)来查找当前用户的名称。

参考链接:

https://lab.wallarm.com/hunting-the-files-34caa0c1496

如何通过简单的网页文件从macOS中盗取文件? - 嘶吼 RoarTalk – 回归最本质的信息安全...

PoC: GitHub - Bo0oM/Safiler: Safari local file reader

...

__余弦@ATToT__: 这个技巧针对 Mac 的攻击,很不错,有实战意义。 __别说话吻我头像__ replies to __余弦@ATToT__: 不只是safari吧 同样是输入file://c:/ IE Edge 会直接弹出进入到c盘根目录的窗口 firefox直接会在页面上现实文件 之前leader让我尝试能否关掉这个 查询了很多资料 只是隐约提及了和内核里的文件搜索有关 具体的并没有说出来 然后就产生了一个这样的想法 能否在存在xss的地方插入一段js 让他直接访问受害者file:///c:/Windows/System32/cmd.exe (本地测试 可以打开)然后不在用户处回显 而且像beef一样 回显在攻击者的机子上 __踏歌行千山__ replies to __别说话吻我头像__: 我这边Chrome不会打开cmd,而是先下载,下载完提示“此文件可能会损害您的计算机” __嘀嗒的钟__ replies to __别说话吻我头像__: Firefox 可行?我这测试好像不行 __GeekaLeo__: 不错😘 __别说话吻我头像__ replies to __踏歌行千山__: 我刚重新试了一下 发现更新过后(不知道是浏览器更新还是系统更新 我这是win10)的确不行了 粗略查了查 可能是与'默认打开文件类型'的配置有关 我找个时间再仔细研究下 不过可以确定的是 有可能利用这个查看受害者电脑文件的方法吧 __别说话吻我头像__ replies to __嘀嗒的钟__: 说的是直接打开cmd? 我这里现在也不能复现了 不知道是更新系统 还是我调整了ie配置的问题 我再研究下吧(›´ω`‹ )

...


__豆@ATToT__ on 2017-09-13:

汉邦高科IP摄像头任意密码重置 #漏洞#

SSD Advisory – Hanbanggaoke IP Camera Arbitrary Password Change – SecuriTeam Blogs


__嘀嗒的钟__ on 2017-09-14:

#资讯#

最近Talos公布了一个浏览器漏洞细节,讲的是利用绕过服务器设置的内容安全策略(CSP),导致隐私信息泄露。

这个跟我之前分享的 “通过Safari浏览器获取MacOS系统的敏感信息”,都是利用内容安全策略这个安全机制。不过,这个这个漏洞覆盖的范围更广,Edge、Chrome、Safari都受影响。

相关链接:

【技术分享】如何绕过Edge、Chrome和Safari的内容安全策略 - 安全客 - 有思想的安全新媒体

...

__余弦@ATToT__: about:blank 是一个神奇魔法点

...


__Wing__ on 2017-10-24:

#姿势#

BadUsb+Empire 让目标持久怀孕 胡乱写的,莫怪莫怪![难过] 密码:alone

http://hackerwing.com/2017/10/24/BadUsb-Empire-%E8%AE%A9%E7%9B%AE%E6%A0%87%E6%8C%81%E4%B9%85%E6%80%80%E5%AD%95/

...

__Wing__: 哈哈,手机上这个密码没用。只要把js禁用就行了。静态站点。QAQ __DarkEvil__: Badusb不管payload怎么改,调小调隐藏窗口,当插入别人电脑的时候终还是会有东西弹出来让别人察觉。然后taobao买了800多的橡皮鸭除了官方提供的payload比较全面之外也没有什么特别的地方,这些东西真的只能自己玩,然后以为做的隐藏比较完全,结果连客户鸟都不鸟这种东西。 __Wing__ replies to __DarkEvil__: 因为人家是甲方!滑稽。 __DarkEvil__ replies to __Wing__: 不是 是某部门具体要实战用 __Wing__ replies to __DarkEvil__: 学生狗不懂,😢😢😢

...


__Sanr__ on 2017-10-31:

GoCrack是FireEye的ICE团队发布的一款工具,是基于Web的高效地管理多个GPU服务器上的密码破解任务,如创建,查看和管理。

GitHub - fireeye/gocrack


__余弦@ATToT__ on 2017-11-04:

sungrass 提问: 求问,忘了加密密钥,有办法逆向求出来么?已知DES加密,有大量明文和密文可以匹配。

非职业选手,看看圈里有谁可以搞定喽。

...

__5u9ar__: DES在密码学上已经属于高强度加密了,它的加强版就是大名鼎鼎的AES对称加密。除了穷举暴破之外,有几种数学的方式,但我只在paper看到过没试过。建议你google下 微分密码分析技术 __5u9ar__: 但可能需要你的明密文对达到一定的数量。 __sungrass__ replies to __5u9ar__: 以前用kali试过破解wifi密码,感觉原理也是用密码字典暴力破解。能用相同的方法么?明文密文对数量没问题,估计能有三千个吧。

...


__余弦@ATToT__ on 2017-11-14:

#姿势#

用一点对抗技巧来优雅地激活 Windows 10

上一篇分享的是 IDA Pro 7.0 在 Ubuntu 上的安装 hack 过程,这里给大家分享激活 Windows 10 的取巧过程。

我分享的这些更多是“渔”,请仔细吸收。

过程是这样的,我拿到个万能激活工具(MicroKMS 15.08.29.exe),不仅 Windows,Office 的也可以激活,但是对我来说谨慎很必要,万一这个小工具有个什么猫腻,那就不好了。

所以在激活之前,我安装了微软自家的 Sysmon 来做完整的日志记录,在管理员权限的 cmd 里安装如下:

sysmon -accepteula –i –h md5,sha256 –n

然后就可以在系统日志里找到 Sysmon 的所有记录。

这个小技巧是我们拿来做日志完备审计时用到的,当时的对抗出发点是恶意 PowerShell 的行为发现,用在这,其实一样:)

准备好后,双击 MicroKMS 15.08.29.exe 进行激活操作,很快就完成。然后我们就可以去 Sysmon 的日志里寻找痕迹了,发现两行命令:

cscript C:\Windows\System32\slmgr.vbs /skms kms-win.msdn123.com
cscript C:\Windows\System32\slmgr.vbs /ipk 7BNRX-D7ABG-3D4RQ-4WPJ4-YADFV

激活的本质就这两行,这两行什么意思自己试就知道了:)

提取出这两行后,准备干净的 Windows 10,直接在管理员权限下的 cmd 里执行就可以优雅地完成激活操作了。

这是个小技巧,在我们面对未知程序时多了份放心。

...

__jiayu__: 网上搜激活工具,一下出来好多乱七八糟的,肯定不放心,有时候直接拿 IDA 看一下,甚至 strings 一下也能发现好玩的 __心态决定人生__: 从日志提取命令,学习了

...


__Sanr__ on 2017-12-07:

#tools#

LogViewer:用于查看和搜索大型文本文件

GitHub - woanware/LogViewer: LogViewer for viewing...

glogg:快速浏览,搜索日志(优点:1.可以读取正在写入的日志 2. 支持Mac os、Linux、window),正常情况下,如果日志正处于时时写入状态,会提示日志文件已被占用。

GitHub - nickbnf/glogg: A fast, advanced log explo...

...

__Y叔也叫段子手__: 大文件一般也只会用ue,涨姿势了 __Y叔也叫段子手__: 试了LogViewer,个人还是喜欢ue、notepad++这种,打开大文件也没多大问题,搜索支持结果汇总列表的,体验更方便些。[呲牙] __jiayu__ replies to __Y叔也叫段子手__: 不知道大佬说的“大文件”一般是多大?平时我都用 Gvim for Windows 发现也够用[尴尬] __Y叔也叫段子手__ replies to __jiayu__: 小弟使用一般也就是几十近百兆居多。顶多小几百兆而已。没到那么“大”其实。😂 __jiayu__ replies to __Y叔也叫段子手__: 不算小了[呲牙] __sharecast__: 一般还是用Linux文本处理命令居多,一般的日志都是几十G,过滤出来用这个看还是比较方便的,感谢分享!

...