winrm.vbs(System32中的一个windows签名脚本)能够使用并执行攻击者控制的XSL,它不受“开明脚本主机”的限制,从而导致任意的、未签名代码的执行。本文将讲述如何使用winrm.vbs绕过应用白名单执行任意未签名代码。
web应用程序渗透测试中最具挑战性的任务之一就是处理一个具有有限交互的应用程序。当尝试了每一种常见的方法来进行一些程序开发之后,难免会很容易就放弃了,但是作为一个黑客,花时间去了解一个应用程序通常是有收获的,并且对个人能力
大多数人都知道,可以用AMSI(防病毒软件脚本接口)在操作符库中使PowerShell脚本出现错误。可以试着在不处理AMSI的情况下使用IEX Invoke-Mimikatz,但是这可能导致未被检测的活动结束。本文将讨论该技术是如何在其中起作用的。
我已经对Emotet Downloader进行了剖析,它使用宏和Powershell命令从受攻击的网站下载Emotet。最近他们已经修改了下载器的工作方式,并且已经被上传到了VirusBay。本文我们将对其进行分析!
本文分析的downloader(下载器)被用于将DanaBot(银行木马)安装到用户系统上。普通的Javascript downloader并不难分析,但是DanaBot的Javascript Downloader使用了有很多混淆技术,而且我从未在普通downloader或dropper见过如此多的混淆
本文将以最近发现的VPNFilter和一个货币挖掘恶意软件为例,介绍一下Joe Sandbox Linux的特性。