iT邦幫忙

鐵人檔案

2025 iThome 鐵人賽
回列表
Security

《30天深入 LOLBAS:從內建工具到紅藍隊武器化》 系列

驚!原來微軟給了駭客內建後門?
本系列將在30天內,帶領資安入門者深入探索Windows環境中Living off the Land Binaries And Scripts(LOLBAS)的強大功能與濫用場景。
每日聚焦一款系統原生工具,從概念解析、實作範例,到攻防情境再到偵測防禦,讓正在閱讀文章的你,能夠完整掌握利用certutil、mshta、regsvr32等工具發動滲透與建立防禦策略。

參賽天數 14 天 | 共 14 篇文章 | 3 人訂閱 訂閱系列文 RSS系列文 團隊B33F 50UP
DAY 1

【LOLBAS鐵人賽Day1】揭開Living Off The Land攻擊的神秘面紗

什麼是LOLBAS? LOLBAS的全名是「Living Off The Land Binaries, Scripts and Libraries」,中文可以翻...

2025-09-15 ‧ 由 owl_d 分享
DAY 2

【LOLBAS鐵人賽Day2】Certutil.exe深度實戰:證書工具的隱藏功能

以前都會以為 certutil 只是拿來管理憑證跟金鑰的工具,甚至上網查也可能只會查到這些功能: certutil -store my #...

2025-09-16 ‧ 由 owl_d 分享
DAY 3

【LOLBAS鐵人賽Day3】Bitsadmin.exe深度實戰:Windows更新服務的暗黑面

以前都以為 bitsadmin 只是個管理 BITS (Background Intelligent Transfer Service) 的工具,主要就是讓 W...

2025-09-17 ‧ 由 owl_d 分享
DAY 4

【LOLBAS鐵人賽Day4】PowerShell深度實戰:Windows 11 上的攻防對抗

PowerShell 對大部分人而言,可能只是個強化版的 CMD,但在真實的資安事件中,超過 40% 的攻擊都使用了 PowerShell。不過 Windows...

2025-09-18 ‧ 由 owl_d 分享
DAY 5

【LOLBAS鐵人賽Day5】Rundll32.exe深度實戰:DLL的萬能執行器

rundll32.exe 平常只是一個用來執行 DLL 檔案中的函數,像是開啟控制台或顯示系統資訊這類正常功能。但其實這個工具的靈活性,也讓它成駭客的最愛,不只...

2025-09-19 ‧ 由 owl_d 分享
DAY 6

【LOLBAS鐵人賽Day6】Regsvr32.exe深度實戰:Squiblydoo攻擊!

regsvr32.exe 是用來註冊或取消註冊 COM 元件和 DLL,系統管理員也偶爾會用它來修復一些元件問題。但這個工具其實也有個不錯的功能 - 可以執行遠...

2025-09-20 ‧ 由 owl_d 分享
DAY 7

【LOLBAS鐵人賽Day7】Mshta.exe深度實戰:HTA應用程式的惡意執行

mshta.exe 是用來執行 HTA(HTML Application)檔案的工具,偶爾看到一些老舊的企業內部工具會用 HTA 做簡單的 GUI 介面。其實...

2025-09-21 ‧ 由 owl_d 分享
DAY 8

【LOLBAS鐵人賽Day8】Cscript/Wscript深度實戰:Windows Script Host的惡意利用

cscript.exe 和 wscript.exe 是用來執行系統管理腳本的工具,IT 人員偶爾用它們來自動化一些維護工作。但這兩個 Windows Scrip...

2025-09-22 ‧ 由 owl_d 分享
DAY 9

【LOLBAS鐵人賽Day9】Msiexec.exe:使用 WiX Toolset 打造惡意安裝包

Msiexec.exe 是用來執行 Windows 的 DLL, MSI 相關檔案的工具,但也因為這個特性,我們可以透過包裝的方式來包 malware 進行攻擊...

2025-09-23 ‧ 由 owl_d 分享
DAY 10

【LOLBAS鐵人賽Day10】特別企劃之失敗了我還是想放上來(Odbcconf.exe:ODBC 設定工具執行惡意 DLL 攻擊)

今天要來展示一個被修補好的洞,而且是打了一整天才發現全部都被 patch 掉了所以沒成功,不過過程挺有趣的,還是想記錄一下。 Odbcconf.exe 是用來設...

2025-09-24 ‧ 由 owl_d 分享