驚!原來微軟給了駭客內建後門?
本系列將在30天內,帶領資安入門者深入探索Windows環境中Living off the Land Binaries And Scripts(LOLBAS)的強大功能與濫用場景。
每日聚焦一款系統原生工具,從概念解析、實作範例,到攻防情境再到偵測防禦,讓正在閱讀文章的你,能夠完整掌握利用certutil、mshta、regsvr32等工具發動滲透與建立防禦策略。
什麼是LOLBAS? LOLBAS的全名是「Living Off The Land Binaries, Scripts and Libraries」,中文可以翻...
以前都會以為 certutil 只是拿來管理憑證跟金鑰的工具,甚至上網查也可能只會查到這些功能: certutil -store my #...
以前都以為 bitsadmin 只是個管理 BITS (Background Intelligent Transfer Service) 的工具,主要就是讓 W...
PowerShell 對大部分人而言,可能只是個強化版的 CMD,但在真實的資安事件中,超過 40% 的攻擊都使用了 PowerShell。不過 Windows...
rundll32.exe 平常只是一個用來執行 DLL 檔案中的函數,像是開啟控制台或顯示系統資訊這類正常功能。但其實這個工具的靈活性,也讓它成駭客的最愛,不只...
regsvr32.exe 是用來註冊或取消註冊 COM 元件和 DLL,系統管理員也偶爾會用它來修復一些元件問題。但這個工具其實也有個不錯的功能 - 可以執行遠...
mshta.exe 是用來執行 HTA(HTML Application)檔案的工具,偶爾看到一些老舊的企業內部工具會用 HTA 做簡單的 GUI 介面。其實...
cscript.exe 和 wscript.exe 是用來執行系統管理腳本的工具,IT 人員偶爾用它們來自動化一些維護工作。但這兩個 Windows Scrip...
Msiexec.exe 是用來執行 Windows 的 DLL, MSI 相關檔案的工具,但也因為這個特性,我們可以透過包裝的方式來包 malware 進行攻擊...
今天要來展示一個被修補好的洞,而且是打了一整天才發現全部都被 patch 掉了所以沒成功,不過過程挺有趣的,還是想記錄一下。 Odbcconf.exe 是用來設...