- 博客(359)
- 收藏
- 关注
RSS订阅原创 .NET 2025年3月份红队武器库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-04-04 08:30:00
263
原创 绕过 WebShell 检测的新思路,通过 Sharp4Error 运行时报错执行命令
然而,传统 WebShell 由于明显的特征,往往容易被安全产品检测并拦截。,从而实现远程命令执行。相比传统的 ASPX WebShell,此方法能够在执行过程中制造异常,使得部分检测机制更难察觉其恶意行为。,从而隐藏真正的执行行为,因此,某些 WAF 可能不会深入分析错误页面,而只拦截正常输出的 WebShell。,并在进程执行后引发异常,使得页面返回错误信息,而实际的命令仍然在后台执行。这一机制,在触发异常之前先执行系统命令,从而实现更隐蔽的远程命令执行方式。后,执行系统命令,如下图所示。
2025-04-03 08:30:00
194
原创 .NET 通过系统计划任务维持权限
在渗透测试或恶意软件开发中,攻击者经常需要在目标系统上维持持久的访问权限,Windows计划任务是实现这一目标的有效工具之一,因为它允许攻击者在特定时间或事件触发时执行预定义的命令或脚本。下面,我们将详细介绍如何通过Windows计划任务来维持权限。Windows 任务计划程序 (Task Scheduler) 的 CLSID标识符是 0F87369F-A4E5-4CFC-BD3E-73E6154572DD,这串CLSID可以在taskschd.h文件中找到,如下图所示。
2025-04-03 08:00:00
7
原创 .NET 内网实战:通过 DirectorySearcher 执行域环境下的 LDAP 信息收集
本文内容部分节选自小报童《.NET 通过 DirectorySearcher 执行 LDAP 查询》,我们会长期更新!
2025-04-02 08:30:00
551
原创 .NET 通过事件订阅实现权限维持
WMI 全称 Windows Management Instrumentation,是 Windows 操作系统中的一项重要功能,常用于管理和监控系统硬件和软件的启动和运行。而WMI 事件订阅能帮助系统管理员监听系统特定事件并在事件触发时执行预定义操作。WMI 事件订阅涉及几个关键部分,包括 EventFilter、CommandLineEventConsumer 和 FilterToConsumerBinding。这些组合使得事件订阅系统能够监听事件并执行特定的响应操作。
2025-04-01 10:30:13
16
原创 .NET 通过Junction Folder实现权限维持
攻击者在对目标系统进行权限维持时,除了常见的COM劫持技术,还可以利用Windows的Junction Folder结合CLSID 和注册表来实现持久化。这种方法通过创建连接文件夹和修改注册表,使得攻击者可以在系统启动时加载自定义的恶意DLL,从而保持对系统的控制。本文将详细介绍这种技术的原理、实现步骤以及相应的.NET代码示例。
2025-04-01 10:28:38
119
原创 .NET 通过COM劫持实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。
2025-04-01 10:27:52
10
原创 .NET 修改UserInitMprLogonScript键值实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。
2025-04-01 10:26:38
13
原创 .NET 修改系统注册表UserInit键值实现权限维持
红队可以通过修改UserInit键值将自定义的可执行文件添加到路径中,比如某个远控生成的木马后门文件,这样用户登录时自动执行该文件,从而实现权限维持。通过修改注册表UserInit键来启动自定义程序,是红队在渗透测试和攻击活动中常用的方法之一,因此需定期检查和监控。方法将UserInit键的值更新为新值,确保在用户登录时启动calc.exe,具体代码如下所示。键位于Windows注册表的路径中,所包含的值,表示指向用户登录时系统要启动的初始化程序。键的配置,有助于确保系统的稳定和安全。
2025-04-01 10:18:48
396
原创 对抗逆向分析,通过 Sharp4NetVbsObfuscator 混淆 .NET 程序集和 VBS 脚本
Sharp4NetVbsObfuscator 采用多种混淆手段,从控制流、字符串保护到入口点隐藏等,全面提高代码的安全性。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。在逆向分析和代码保护对抗的背景下,混淆技术成为了保护 .NET 程序和脚本的重要手段。的核心混淆方法、功能特点及其使用方法。插入无意义的方法和代码段,增加代码复杂度。
2025-04-01 08:30:00
280
原创 .NET 调用API创建系统服务实现权限维持
在Windows操作系统中,Services服务以后台进程的形式运行的,通常具备非常高的权限启动和运行服务。因此红队往往利用.NET框架通过创建和管理Windows服务来实现权限维持。本文将详细介绍如何通过.NET创建Windows服务,以实现权限维持的基本原理和步骤。
2025-03-31 16:00:48
547
原创 Windows 高权限特权揭秘:通过 .NET 借助特权实现不同账户权限下的进程启动
在 Windows 操作系统中,特权是进程访问控制的关键机制之一,它决定了进程能够执行哪些敏感操作。某些特权,如和,赋予进程极高的权限,使其能够访问受保护的进程、修改系统令牌,甚至加载内核驱动。因此,这些特权在安全防御与攻击技术中都扮演着至关重要的角色。本篇文章将深入分析这三种关键特权,探讨它们的功能、常见应用场景及其安全影响。SeDebugPrivilege 允许进程访问,包括SYSTEM进程。这意味着持有该权限的进程可以读取、修改和注入代码到任何进程。许多 Windows 提权漏洞依赖于来访问。
2025-03-31 08:30:00
319
原创 Windows 内网渗透 | 通过 Sharp4KeyboardLogger 实现键盘记录技术
这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。该工具运行后,所有按键都会被无声记录,无需用户交互。运行后,所有键盘输入都会被记录在当前目录下的 log.txt。,帮助渗透测试人员和安全研究者更好地理解这一技术。,能够捕获用户按下的所有按键,并将其记录到。进行全局键盘监听,从而实现按键日志的收集。,工具会在后台监听按键输入,并自动创建。
2025-03-28 08:30:00
365
原创 新书发布,.NET安全学习与实战指南,从入门到精通
随着的正式发布,经过团队商议我们特别推出限时福利活动——!.NET 安全研究者、渗透测试工程师,还是开发人员、架构师,这里都能帮你深入理解 .NET 安全攻防的核心知识,与顶尖安全专家面对面交流,共同提升!《.NET 安全攻防指南》是 dotNet 安全矩阵团队倾力打造的,全书,系统性覆盖了等核心领域。
2025-03-27 09:51:05
380
原创 域渗透环境下,通过 Sharp4TGT 实现 Kerberos 协议 TGT 请求与票据导出
它能够通过明文凭据直接向 KDC 请求 TGT,并将其导出为 base64 格式的票据文件,供后续 Kerberos 认证操作使用。Sharp4TGT 通过直接与域控制器通信,生成合法的 Kerberos 票据,帮助攻击者或渗透测试人员模拟用户身份,完成后续的 Kerberos 认证操作。其中,asktgt 参数表示 请求 Kerberos 认证服务并获取 TGT,/ppt 参数表示 输出 TGT 为 base64 格式,便于后续操作。
2025-03-27 07:30:00
219
原创 Sharp4ADInformation:Active Directory 域信息收集与内网渗透必备工具
该工具可以帮助渗透测试人员或红队成员快速了解当前域和林的结构、特权账户、委派设置、LDAP 配置信息等,为后续的权限提升、横向移动和域持久化提供有力的情报支持。Sharp4ADInformation 通过与域控制器通信,直接查询和提取 AD 结构中的关键信息,主要包括域林、域控、域信任、特权用户、委派、SPN服务等内容。打开 PowerShell 直接运行如下命令。,红队成员可以直接提取域控制器(DC)、Kerberos、LDAP、SPN 等配置信息,快速建立完整的域拓扑图,定位潜在的攻击路径。
2025-03-26 08:30:00
499
原创 .NET 总第 63 期红队武器库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-03-25 08:30:00
343
原创 .NET内网实战:通过系统白名单文件 Fodhelper.exe 绕过 UAC 实现提权
本文内容部分节选自小报童《.NET 通过 Fodhelper.exe 绕过 UAC 实现提权》,我们会长期更新!
2025-03-24 08:30:00
727
原创 国内首本 .NET 攻防实战力作丨《.NET安全攻防指南》新书上线,文末领取福利!
不少读者反馈,本书内容系统全面,涵盖从基础原理到攻防实战的完整技术体系,特别是在.NET Web安全审计和逆向工程领域,提供了许多实用的思路和技巧,极具实战价值。上册主要聚焦于B/S架构下的安全实践,结构上从.NET基础知识入手,循序渐进地揭示.NET Web代码审计的核心技术与攻防思路,帮助读者全面掌握.NET Web应用的安全要点。本书凝聚了多年来在.NET安全领域的攻防实战经验,内容系统全面,涵盖从基础原理到红蓝对抗的完整技术体系,是.NET安全研究者和攻防实战者不可或缺的技术宝典。
2025-03-22 18:54:33
725
原创 域渗透环境下,通过 Sharp4TGT 实现 Kerberos 协议 TGT 请求与票据导出
它能够通过明文凭据直接向 KDC 请求 TGT,并将其导出为 base64 格式的票据文件,供后续 Kerberos 认证操作使用。Sharp4TGT 通过直接与域控制器通信,生成合法的 Kerberos 票据,帮助攻击者或渗透测试人员模拟用户身份,完成后续的 Kerberos 认证操作。其中,asktgt 参数表示 请求 Kerberos 认证服务并获取 TGT,/ppt 参数表示 输出 TGT 为 base64 格式,便于后续操作。
2025-03-21 08:30:00
230
原创 .NET内网实战:通过扩展名劫持和屏保劫持技术实现注册表权限维持
本文内容部分节选自小报童《.NET 通过扩展名劫持和屏保劫持技术实现权限维持》,目前已有300+位朋友抢先预定,我们会长期更新!
2025-03-20 08:30:00
823
原创 .NET内网实战:通过扩展名劫持和屏保劫持技术实现注册表权限维持
本文内容部分节选自小报童《.NET 通过扩展名劫持和屏保劫持技术实现权限维持》,我们会长期更新!
2025-03-19 08:30:00
460
原创 .NET 基于会话劫持的权限切换:通过 Sharp4SessionExec 实现在不同用户会话中执行命令
在内网渗透测试和红队活动中,渗透者通常需要在不同的用户会话之间切换,以模拟不同用户的操作,或者获取更高的权限。例如,攻击者可能通过窃取凭据或利用漏洞获得 SYSTEM 级权限,然后切换到其他低权限会话,执行特定操作,绕过安全监控。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
2025-03-18 08:30:00
192
原创 攻防对抗战绩亮眼!dotNet安全矩阵团队荣获殊荣,解禁样本限时优惠等你来拿!
在这场高水平的对抗赛中,我们团队凭借丰富的实战经验和对.NET安全研究的长期积累,成功突围,获得了优异成绩。这不仅展现了我们在.NET安全攻防领域的专业能力,也为后续的HW等实战场景积累了宝贵的经验。由于Windows产品的广泛普及,.NET技术几乎贯穿整个攻击生命周期,从外部边界突破到内网渗透实战,各个环节均涉及相关的攻击方法和防御工具。大会上,专家们围绕.NET安全攻击手法、检测对抗技术、工具创新等方面展开了深入探讨,为安全研究人员和企业安全防御提供了重要参考。
2025-03-17 08:30:00
192
原创 Windows 域渗透环境下通过 Sharp4QueryAD 查询 LDAP 实现域内信息收集
Sharp4QueryAD.exe 是一款基于 .NET 开发的红队工具,主要用于在域渗透环境下执行 LDAP 查询,帮助攻击者或安全研究人员高效地获取域内用户、计算机、组、组策略对象等关键信息。在域渗透场景中,LDAP 是 Active Directory 交互的重要协议,攻击者可以利用 LDAP 查询获取大量域内信息,例如用户账户枚举、权限分析、组策略识别等。命名空间,实现高效、灵活的 LDAP 查询,支持各种复杂的 LDAP 过滤器语法,并允许指定返回的属性,提高查询效率。
2025-03-14 08:30:00
163
原创 .NET 任务计划隐藏与权限维持:注册表与 Wow64 文件系统重定向的结合应用
ptr参数传递一个指针变量,用于存储重定向状态的句柄,后续可用于恢复重定向,成功时返回非零值TRUE。
2025-03-13 08:30:00
498
原创 MachineKeys 大字典:利用 3000 条 MachineKeys 爆破 ViewState 反序列化漏洞
Sharp4DotNetBurst 是一款专门用于爆破远程主机。
2025-03-12 08:30:00
873
原创 .NET 实战中使用 Sharp4FUAC 通过 Windows 白名单文件绕过 UAC 实现本地权限提升
UAC 是 Windows 系统的一项安全机制,用于防止恶意软件在未经用户许可的情况下执行高权限操作。即使用户以管理员身份登录,其默认运行的程序权限也是受限的,只有在 UAC 提示框弹出并经过用户确认后,才可执行高权限操作。利用 Windows 系统中受信任的可执行文件,结合注册表劫持技术,在受限权限下执行高权限命令。目标用户必须具有管理员权限,但当前运行的进程处于 UAC 受限模式,该工具适用于 Windows 10 及以上版本。执行后,系统会弹出一个新的命令行窗口,该窗口以高权限运行。
2025-03-11 08:30:00
402
原创 .NET 持久化技巧:通过 NtSetValueKey 绕过 API 监控实现注册表隐藏恶意文件
首先,由或获取的注册表句柄,具体函数的声明如下所示。UIntPtr KeyHandle, // 已打开的注册表项句柄IntPtr ValueName, // 要设置的值名称int TitleIndex, // 标题索引,一般设为 0IntPtr Data, // 指向要写入的数据int DataSize // 数据大小。
2025-03-10 08:30:00
336
原创 ViewState再现漏洞:行业内又一款知名的 .NET 分析工具爆出反序列化漏洞
在 .NET 中提供了丰富的状态管理机制,其中是最常见的一种。允许 Web 应用程序在页面回传时保持控件状态,无需依赖服务器端存储。然而,ViewState 的便利性也带来了潜在的安全风险——如果未正确配置,攻击者可能利用其反序列化漏洞,实现远程代码执行。本篇文章将深入剖析 ViewState 的工作原理、常见的安全隐患,以及如何通过代码审计来识别和修复可能存在的漏洞。同时,我们还将探讨等工具的出现的反序列化漏洞,帮助安全研究者更好地理解和掌控 ViewState 安全性。
2025-03-07 08:30:00
604
原创 权限维持壹招鲜:通过 termsrv.dll 绕过RDP限制实现多用户可持续性访问连接
在渗透测试和红队攻击中,通过修改 Windows 系统的文件,,从而允许在同一时间内多个用户通过 RDP 登录到同一台机器。这种技术在红队活动中常常用于维持对目标系统的长期访问权限,攻击者或渗透测试人员在不被察觉的情况下保持对受感染机器的控制。下面我们会详细说明每个步骤的具体用途和背后的原理。termsrv.dll 是 Windows 操作系统中与相关的一个关键系统文件,位于目录下。
2025-03-06 08:30:00
723
原创 .NET 通过代码审计发现某办公系统逻辑绕过漏洞可泄露管理员账户和密码
在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项逻辑绕过漏洞的发现引起了广泛关注。攻击者只需构造一个特定的URL请求,便能实现让接口泄露管理员敏感信息,包括用户名和密码,因此,在日常的代码审计和评估的环节需要格外留意该漏洞类型引发的安全漏洞。某个系统的一个公开的接口存在敏感信息泄露漏洞,可导致攻击者通过请求该接口获取后台管理员账户和密码。具体的数据包如下所示。
2025-03-05 08:30:00
906
原创 Sharp4CWH.exe:分享一个通过 Console Window Host 白名单文件绕过安全防护监控的工具
来启动指定二进制文件进程的工具。凭借其隐蔽性和高效性,它能够绕过许多基于签名的防护机制,在不引起用户注意的情况下执行指定程序。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。是一个系统进程,并且通常不会被安全软件标记为可疑进程,因此攻击者能够利用这一信任的进程绕过防护。启动指定二进制文件进程的工具。成为一款非常隐蔽的工具,能够在用户不知情的情况下执行目标程序,而不引起任何视觉上的警觉。通常被认为是系统信任的进程,来运行指定的二进制文件。
2025-03-03 10:57:00
558
原创 权限维持一招鲜:通过 Windows 屏幕保护程序实现目标权限持久化
在渗透测试和红队攻击中,持久化是攻击者确保在系统重启或安全检测后仍能继续访问目标系统的一种关键技术。通过保持对目标系统的长期控制,攻击者可以在不被发现的情况下获取敏感信息或执行其他恶意操作。本文将介绍一种常见的持久化方法—通过修改Windows屏幕保护程序的方式来实现恶意程序的持久化。Windows操作系统提供了一种被称为 屏幕保护程序(ScreenSaver)的功能,通常用于在用户未操作计算机时自动启动一个程序以保护屏幕。
2025-03-03 08:30:00
716
原创 .NET内网实战:通过伪造文件时间戳实现入侵阶段的痕迹清理
本文内容部分节选自小报童《.NET 通过伪造文件时间戳实现痕迹清理》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有300+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!CreateFile 函数通常用于在 Windows 系统中创建或打开文件、设备或管道。该函数从 kernel32.dll 库中导入.NET,具体函数的声明如下所示。string lpFileName, // 文件路径int dwDesiredAccess, // 访问权限。
2025-02-28 08:30:00
1622
原创 Sharp4PCA.exe:利用 Windows 系统白名单文件启动指定二进制文件进程的工具
Sharp4PCA.exe 是一款能够通过调用 Windows 系统白名单文件启动指定的二进制文件进程。该工具通过利用 Windows 系统本身的信任机制,避免了常见的安全防护措施,能够在目标系统上悄无声息地启动任意二进制文件。这使得。
2025-02-27 08:30:00
248
原创 ViewStates反序列化情报,国外安全研究者利用 .NET 机器密钥实施代码注入攻击
近期,Microsoft Threat Intelligence监测到一起由未知威胁行动者发起的攻击事件。该行动者利用从公开资源中获取的 .NET 机器密钥,成功注入了恶意代码,并部署了Godzilla,尽管其活动范围有限。经调查,发现问题的根源在于部分开发人员错误地从可公开访问的代码文档和存储库中整合了已公开的 .NET 机器密钥,为威胁行动者提供了可乘之机。ViewState是 .NET Web窗体用于在回发之间保存页面和控件状态的一种机制。
2025-02-26 08:30:00
564
原创 定制化对抗,通过 Sharp4SploitConsole2012 实现 Windows 2012 环境下的横向移动
在渗透测试与红队活动中,横向移动是攻击者通过内部网络从一个系统向另一个系统扩展访问权限的关键技术之一。
2025-02-25 08:30:00
782
原创 .NET 通过代码审计发现某 OA 系统全局性权限访问绕过漏洞
在 .NET 应用程序中,安全漏洞时常成为攻击者突破防线的关键入口。近日,一项全局绕过漏洞的发现引起了广泛关注。该漏洞源自两个组件的协同作用,攻击者只需构造一个特定的URL请求,便能实现对任意接口的未授权访问。某和OA协同办公管理系统软件共有20多个应用模块,从功能型的协同办公平台上升到管理型协同管理平台,并不断的更新完善,全面支撑企业发展。此系统外部已公开的多个漏洞详情,不难发现都有一些共同的特点,那就是URL里的 .aspx后都会加上一个 / ,然后再进行传递参数。
2025-02-24 08:30:00
636
原创 .NET内网实战:通过 Sysnative 虚拟路径绕过安全防护启动 cmd 进程
本文内容部分节选自小报童《.NET 通过 Sysnative 虚拟路径绕过安全防护启动cmd进程》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有300+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!在 64 位 Windows 操作系统中,System32 目录并不包含 32 位系统文件,而 32 位的系统文件则存放在 SysWOW64 目录中。这是为了区分和管理不同位数的程序和其对应的系统文件,如下图所示。
2025-02-23 08:30:00
837
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人