Goby之反制上线CS
Goby之反制上线CS前言 Goby作为新一代网络安全技术,通过为目标建立完整的资产数据库,实现快速的安全应急,日常为广大师傅提供了便捷的渗透体验。最近有观察到有关于某些蜜罐出现了Goby反制的指纹,顿时就起了兴趣进行研究Goby的反制,期间也遇到了很多网上没有答案的坑点,这里把遇到的问题和关键点给师傅们列举出来,希望师傅们能了解到反制的整个流程,在攻防中也不要被反制哈哈哈哈。 原理 据Goby官方解释,这实际上是一个非常久远的历史漏洞,最早的纰漏的时间是在2021年10月,当月漏洞就已修复并发布新版本。至于漏洞为何存在,得追溯到Goby的组件识别能力,Goby是使用Electron构建的客户端软件,在Goby的资产界面中,扫描结果里会展示所有符合指纹识别规则的组件名称,比如PHP、IIS等,而Goby为了更为精准的组件识别,Goby会从返回的数据报文中提取版本信息(例如X-Powered-By中),并在资产界面进行渲染展示,在旧版本的Goby中并未对版本信息做无害化处理,从而导致漏洞产生。 X-Powered-By X-Powered-By 是 HTTP...
PDF吃瓜群众的陷阱之CVE-2024-4367
PDF吃瓜群众的陷阱之CVE-2024-43670x1 概况:PDF.js作为一个广泛使用的 PDF 渲染库,有时可能会因为处理字体的复杂性而出现许多安全问题,例如: 1. CVE-2013-5598:PDF.js 无法正确处理 IFRAME 元素的附加,读取任意文件或以 chrome 权限执行任意JS代码。 2. CVE-2015-2743:PDF.js 为内部 Workers 提供了过多权限,这可能允许远程攻击者利用同源策略绕过来执行任意代码。 3. CVE-2018-5158:未充分清理 PostScript 计算器函数,允许通过精心设计的 PDF 文件注入恶意 JavaScript。 4. CVE-2021-45086:PDF.js对参数pdf_name的操作会导致跨站点脚本。 可谓是细思极恐,并且最近的CVE-2024-4367也是一个关于PDF.js中的安全漏洞,接下来会着重进行分析,它涉及PDF字体的解析和处理,涉及在解析 PDF 文档中的字体时未能正确处理...
Cobalt Strike之反向上线操作
Cobalt Strike之反向上线操作前言 Cobalt Strike 使用 GUI 框架 SWING(一种java GUI的库)开发,攻击者可通过CS木马在 beacon 元数据中注入恶意 HTML 标签,使得Cobalt Strike对其进行解析并且加载恶意代码(类似XSS攻击),从而在目标系统上执行任意代码。 实现原理 攻击者需要通过CS木马在 beacon 元数据中注入恶意payload,恰好Frida 可以用于钩入和修改各种函数,包括 Windows API 函数,这里反制主要通过使用Frida框架钩入Windows API函数,从而对beacon 元数据中注入恶意代码,以下是一些你可以通过 Frida 钩入的 Windows API...
Windows远程桌面的奇技淫巧
Windows远程桌面的奇技淫巧前言 Windows远程桌面简介 远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机) 远程桌面的前置条件 在获取权限后,针对3389进行展开,先查询3389端口是否开启 1netstat -ano | findstr 3389 发现没有开启(也有可能更改了端口),则可以通过注册表进行手动启动(需要管理员权限) 12REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f (开启)REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f ...