crowsec

在以前学习过volatility的基础功能，主要是使用volatility独立版进行学习的，前几天看到一个赛题，需要用到的是volatility的mimikatz模块，因为以前没使用过那个模块，所以在这里记录下。

这篇文章里面都是以我个人的视角来进行的，因为一些原因，中间删了好多东西，肯定有很多不正确的地方，希望大家能理解，也能指正其中的错误。

在很多攻防中，蓝队想要根据一台公网的RDP服务器或者Windows蜜罐服务器，获取攻击者本身的真实pc，可以尝试使用RDP反制来操作，本文以此为背景，进行学习记录。

2023年，flash最新钓鱼界面

乌鸦安全2022年精选原创文章合集，基本上大部分都是原创，当然还有一部分文章由其他师傅投稿提供，在此感谢各位师傅的投稿和帮助！

宝塔后渗透-添加用户_反弹shell

很早之前的一次攻防演练，主要是从web漏洞入手，逐渐学习vcenter后利用技术。过程由于太长，很多细节都省略了，中间踩坑、磕磕绊绊的地方太多了。。。

Transport Error: socket_protect error (UDP)

CVE-2022-39197这个xss的rce，我只复现了xss和简单版本的NTLM哈希窃取。。。从前几天开始，网上开始讨论关于cobalt strike的CVE-2022-39197漏洞，据说该漏洞可以直接接管服务端的权限。

前段时间看到有大佬发了一篇文章：什么！我用代理你还可以找到真实ip?感觉很有意思，总结下来就是在使用隧道技术的情况下，哪怕是全局，依旧能够访问到你的真实ip。

Volatility是一款开源的内存取证分析工具，支持Windows，Linux，MaC，Android等多类型操作系统系统的内存取证方式。该工具是由python开发的，目前支持python2、python3环境。接下来小编将带领大家学习Volatility工具的安装及使用。volatility(挖楼推了推) 是一个开源的框架，能够对导出的内存镜像进行分析，能够通过获取内核的数据结构，使用插件获取内存的详细情况和运行状态，同时可以直接dump系统文件，屏幕截图，查看进程。

一般来说，在我们获取到Windows的system权限之后，一般都喜欢去看下密码，哪怕是hash，也想尝试去解一下，Windows下的安全认证机制总共有两种，一种是基于NTLM的认证方式，主要用在早期的Windows工作组环境中；另一种是基于Kerberos的认证方式，主要用在域环境中。...

在很多场景中，拿到了Windows下的权限之后，可能由于杀软或者其他的情况下，无法登录目标PC，但是当目标的电脑中安装了向日葵的时候，可以通过读取向日葵本机识别码和验证码，直接登录。

Confluence是一款专业的企业知识管理与协同软件，常用于企业wiki的构建，支持团队成员间开展信息共享、文档协作、集体讨论和信息推送等工作，具有较为便捷的编辑和站点管理特性。漏洞仅限本地复现使用,请遵守网络安全法律法规,违者使用与本程序开发者无关...

1. 报错Command "python setup.py egg_info" failed with error code 1 in /tmp/pip-build-vmJNnt/pyinstaller/Command "/usr/bin/python3 -u -c "import setuptools, tokenize;__file__='/tmp/pip-build-36erwqej/pyinstaller/setup.py';f=getattr(tokenize, 'open', ope

Mac下pip安装包之后无法在命令行使用解决方法

微信公众号：乌鸦安全1. 问题在mac上安装好wireshark之后，是不可以直接使用的：You don't have permission to capture on local interfaces.You can fix this by installing ChmodBPF.Don't show this message again.2. 解决方法首先在你的命令终端输入：whoami看到当前的名字是crow然后继续切换目录：cd /dev将当前的用户执行如下句子：sud

微信公众号：乌鸦安全1. 安装iterm2https://zhuanlan.zhihu.com/p/37195261https://iterm2.com/downloads.html下载之后，对iTerm.app文件右键打开（有些时候，如果不是右键打开的话，可能会报当前文件危险，禁止打开）：将程序移动到应用程序文件夹之后，直接打开：此时，iterm2已经安装完成了。在这里配置设置为默认终端。但是这个终端到我们的需求还差好多，界面看上去好丑。。。2. 安装Zsh直接在命令行里面输入

Parallels Desktop虚拟机简称`PD`虚拟机，是一款运行在Mac电脑上的极为优秀的虚拟机软件，用户可以在 macOS下非常方便运行Windows、Linux等操作系统及应用

Nishang是基于PowerShell的后渗透测试专用工具，这里面有非常多的命令可以调用，虽然大部分情况存在av的情况下无法直接执行PowerShell，但是代码的思路值得我们学习！本文只列举了部分功能，全部功能各位师傅可以参考作者的说明文档！

在昨天发的文章里面，看到了t00ls上TRY写的工具（因为当时不确定文章能不能发，所以我就没放链接，在这里和师傅说声抱歉），但是貌似还没有python的版本，加上晚间又看到有师傅发了全文分析的pdf文件，所以在这里在前辈的基础上分析下这个RCE怎么写，怎么用python实现它。

内网隧道搭建总结（一）

Cobalt Strike近些年来被称之为多人线上运动神器，在目前攻防大背景下，由Cobalt Strike展开的红蓝对抗技术不断积累，其中域前置技术、修改特征等手段来躲避各种流量检测工具，而Cobalt Strike的特征识别也成为网络空间测绘引擎重点关照的点，而且各种威胁情报中，对于Cobalt Strike的特征标记也最常见。如果在我们实战攻防中，遇到了红队使用Cobalt Strike来钓鱼等操作时，我们如何在短时间内扰乱红队，甚至将红队的Cobalt Strike服务器宕

Little Snitch 5是Mac上面的老牌流量监控和防火墙的软件，能够帮助用户了解到自身流量的情况，而防火墙软件也能够很好的对自身的各种联网状况进行全面的控制，而且Little Snitch 5界面更加好看。总之一句话：little snitch 可以用来监控 Mac 中所有的联网行为，缺点就是收费的，而且价格还不便宜。

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

一款经典验证码暴力破解工具：Pkav HTTP FuzzerPkav HTTP Fuzzer是一款非常优秀的验证码识别工具。

微信公众号：乌鸦安全扫取二维码获取更多信息！01 前言前段时间在看Xss检测自动化，调研发现网上现在也已经有了很多的非常优秀的xss检测工具，自己就按照最简单的逻辑也写了点，大概的效果是这样的：这里注重的是实现思想，实际中的场景远比此复杂，后面有时间的话，我会在B站上分享下这个简单的教程当时写了反射型和存储型的简单检测脚本，但是在反射中如果用工具来跑的话，xss会保存到数据库中，这样很不优雅。02力大砖飞在早期的时候有师傅在先知上发了一...

微信公众号：乌鸦安全扫取二维码获取更多信息！在上个文章中我堆了一个免费的fofa爬取小工具，这个只是一个最初的版本，后面还会大规模迭代。checkIP本来属于mayfly，但是在mayfly在爬取地址的时候，可能出现账号ip可获取ip受限制的情况，因此可以将已经获取的ip地址直接使用checkIP进行检测。检测速度为100线程，延时5秒则视为无效ip，在实际检测中速度很快。目前蜉蝣的地址（已经停止更新）https://github.com/crow821/mayfly..

本文mimikatz源码编译未能免杀Windows Defender，后面使用的是其他的方式，思路和源代码暂不公开，希望师傅们能够理解！

该shellcode加载器目前可以过360&火绒，Windows Defender没戏。。。

微信公众号：乌鸦安全扫取二维码获取更多信息！免杀效果静态免杀动态免杀效果（指的是可执行命令）1. 准备条件本文中的免杀方式在我写完文章之后，免杀基本已经失效，毕竟是见光死，所以仅供各位师傅参考，内容上如有错误，希望师傅们能够指正！本文在测试时，发现可免杀最新版火绒、最新版联网360、Windows Defender最新版（关闭可疑文件上传）。本文工具已打包至我的GitHub，欢迎多多star：https://github.com/crow82.

最新版010editor逆向分析

01事 情 原 委事情是这样的，鄙人在早时候在先知投了一篇稿子——《Cobalt Strike的多种上线提醒方法》，昨天夜里的时候稿子通过了先知的审核：我原本打算是发到先知之后，转到自己公众号的，但是早上看到朋友圈分享了一篇文章，正好和我的重名：然后打开一看，原来和我的一模一样：https://xz.aliyun.com/t/10698文章原文：原封不动的抄袭原文（目前已删除）在文章开头没有做授权说明，没有引用信息，只有一个作者名是我的。...

在攻防的时候，尤其在钓鱼时，常常需要对Cobalt Strike设置上线提醒，本文将从单用户提醒到多用户提醒，微信提醒到邮件提醒等进行描述。

微信公众号：乌鸦安全扫取二维码获取更多信息！01 什么是打cookie？网上其实已经有很多非常好的解释了，在这里一句话总结下就是：在你访问的页面上执行了一次JS代码，这次代码执行之后可以获取你当前已经登录某个网站的cookie，并将该cookie发送到攻击者指定的网站，攻击者利用当前的cookie来登录你的网站。攻击者用来接收cookie的平台就叫做xss 平台，在网上这种平台其实非常多，但是如果用过的同学应该有些感触，有些平台存在黑吃黑的情况（懂得都懂），而且好多渗..

微信公众号：乌鸦安全扫取二维码获取更多信息！01 使用场景毒刺（Pystinger）通过webshell搭建内网socks4代理，可用于上线CobaltStrike，此方法适用于目标主机不出网但存在web应用可被互联网访问的情况。02拓扑结构03使用方法下载地址：https://github.com/FunnyWolf/pystinger 拿下第一层网络后，上传webshell到机器上。 访问http://靶...

01背景介绍在使用cobalt strike的场景中，很多时候会遇到内网机是Windows不出网，而外网机是Linux的，而且外网机只能获取到低权限来转发流量。如果此时想使用cobalt strike来横向的话，需要使用Linux机器作为跳板机来进行操作。...

微信公众号：乌鸦安全扫取二维码获取更多信息！01 描述在比较早的时候，我比较纠结记笔记的产品，最初的时候是在使用Typora在本地写Markdown文档，后来试用了一下印象笔记，但是它的缺点就是贵，而且上传的流量很少，在之后氪金的一刹那，我最后选择了语雀来写自己的文档，优点就是在云上，而且公司使用了也是语雀，所以我自己注册了一个语雀账号。语雀确实比较好用，但是缺点也很明显，如果没有网络加载的情况下，是无法查看文档的。就算是在本地的语雀应用，也是无法查看的。语雀的...