*本文原创作者：rj00，本文属FreeBuf原创奖励计划，未经许可禁止转载上一篇文章中，介绍了Cobalt strike 发送钓鱼邮件的利用，但是Cobalt strike不仅仅是用在钓鱼邮件，同时也是一款非常强大的内网渗透利器，下面我们就来介绍一下如何利用其在内网中配合一些脚本来横冲直撞。首先我们模拟一下环境就是说，web服务器是一台内网主机，通过端口映射发布网站，而攻击者有一台linux的vps，下面我们就来进行模拟内网渗透。首先登陆我们的vps，并把Cobalt strike上传到该服务器。./teamserver vps_ip password然后本地启动，启动的时候host写vps的ip。建立连接，连上以后我们还是同样的先建立listener，然后生成一个exe的木马，这些在上一篇 文章中已经介绍，就不过多的说，然后我们把该exe上传到webshell中并执行，就发现在client中已经上线。但是我们的权限并不是很高，仅仅是一个webserver权限，常用的提权脚本都试过了，但是不行怎么办=。=其实通过cobalt strike 有可能实现提权，利用Bypass UAC（亲测在一次测试任务中，2012服务器各种脚本上去无法提权，但是利用bypass uac成功拿下）。点击目标，右键 -> access -> bypass uac ,然后等一下，下面就会给出提 ...继续阅读 (30)

工具简介Exitmap是一个基于Python的Tor出口中继节点扫描器，具有快速和模块化的特点。 Exitmap模块执行在所有出口中继节点（的子集）上运行的任务。如果你有函数式编程的知识背景，可以把Exitmap看作是Tor出口中继节点的map（）接口。这些模块可以执行任何基于TCP的网络任务，例如获取网页、上传文件、连接到SSH服务器或加入IRC频道（Internet Relay Chat，互联网中继聊天，它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议）。Exitmap的实际功能是监测出口中继节点的可靠性。当然很多人会利用Exitmap在Tor项目的检查服务中检查误报情况，并发现恶意的出口中继节点。为Exitmap开发新的模块也非常便捷，只需查看doc或目录中的HACKING文件，或者查看其中一个现有模块即可。Exitmap使用Stem为所有给定的出口中继节点创建线路，并且一旦tor向Exitmap发出线路已建立的通知，Exitmap就会为新建立的线路调用模块。模块可以是纯Python脚本，也可以是可执行文件。对于可执行文件则需要用到torsocks工具（https://github.com/dgoulet/torsocks/）。最后请注意Exitmap是一个网络评估工具，对普通的Tor用户没有用。Tor项目正在定期运行该工具，过多的Exitmap ...继续阅读 (19)

*本文原创作者：addadd，本文属FreeBuf原创奖励计划，未经许可禁止转载起因freebuf中有一篇文章，讲述了基本的扫描原理并给出了简易的python代码，几种扫描方式中我发现SYN的扫描准确率高返回的信息明确，而且不会留下握手的痕迹，但是速度有些慢，因此我们可以使用无状态的扫描，提升扫描速度。scapyScapy 是一个python的库，是一个强大的操纵报文的交互程序。它可以伪造或者解析多种协议的报文，还具有发送、捕获、匹配请求和响应这些报文以及更多的功能。所以我们使用scapy编写扫描程序。有状态的扫描#! /usr/bin/python import logging logging.getLogger("scapy.runtime").setLevel(logging.ERROR) from scapy.all import * dst_ip = "10.0.0.1" src_port = RandShort() dst_port=80 stealth_scan_resp = sr1(IP(dst=dst_ip)/TCP(sport=src_port,dport=dst_port,flags="S"),timeout=10) if(str(typ ...继续阅读 (24)

今日完善了下FreeBuf的IOS版（木有API，直接抓取的HTML，不过也很节省流量），在删除(!添加)了一些功能后，正式发布和各位说hello了。先来些界面养眼吧(原谅我的UI)图标(仿Google的简洁设计)‍‍主界面(下拉刷新,上拉加载)设置界面(设置评论的昵称|邮箱|尾巴）浏览界面（。。）最后就是怎么安装了，本程序无须越狱，直接打开下面的链接，然后直接点击安装即可 (需要梯子)在线安装地址(翻)：http://t.cn/RPhLQdU（FB小编注：非官方版）! 程序编译Target = IOS7.1+ 如果各位无法安装或者无法运行之类的请私信!* 最后，各位在使用的过程中发现一大堆BUG，请在这里留言反馈，或者直接站内私信我即可！感谢大家的支持 ...继续阅读 (14)

随着不安全物联网(IoT)设备的激增，针对域名系统(DNS)供应商的分布式拒绝服务(DDoS)攻击在数量和规模上正在不断增加。这些攻击随之影响依赖于这些供应商进行域名解析的网站。虽然DNS供应商采取了各种方法来保护自己免受此类攻击，但网站保护自身的方法之一是使用多个DNS供应商。2016年发生了史上最大规模之一的DDoS攻击，这一攻击是针对DNS供应商Dyn的。此次攻击前后有三波，它通过已感染Mirai恶意软件的物联网设备组成的僵尸网络进行攻击。许多公司都受到此次攻击的影响，比如Amazon、Paypal、Reddit和Github。该攻击导致Dyn无法响应由其域名服务器解析的域名的有效DNS查询，以至于终端用户无法访问相关域名。据Dyn技术副总裁Phil Stanhope所说，此次Dyn攻击事件还包括一个基于TCP SYN cookie的攻击，该攻击利用了Linux内核的一个错误。SYN cookie是一种用于缓解SYN flood攻击的方法，SYN flood攻击通过连续发送TCP SYN请求来耗尽目标系统的资源。然而，SYN cookie也有自己的问题，在Linux 3.x版本中，一个系统级别的锁用于生成SYN cookie。由于这个级别的锁定，无论内核实际数量多少，系统均如单核系统一样运行，从而降低了其实际处理能力。Linux 4.x版本通过使用针对各个CPU内核的局部锁来 ...继续阅读 (21)

一名软件工程师想拿下Whitehouse.gov网站来表达对特朗普就职仪式的抗议1月20日，特朗普即将入主白宫就任美国总统。胡安·索博拉尼斯想要抗议这一就职典礼——以数字的方式。他位于旧金山的抗议平台正在召集美国民众，通过访问Whitehouse.gov造成流量过载，来抗议特朗普的总统就职。实际上，他提议用分布式拒绝服务(DDoS)攻击这种违反联邦法律的行动。当然，这名工程师并不认为这种方式违法。其实就跟到华盛顿特区游行一样的。非暴力反抗一直是美国民主进程的一部分。他的行动呼吁引起了人们的关注，凸显了DDoS攻击是否应当作一种合法抗议形式的问题。根据《计算机欺诈和滥用法案》，向受保护的计算机发送带有破坏目的的指令，是会被判刑的。但这样也没能阻止激进黑客和网络罪犯使用DDoS将网站弄下线。2013年，美国以向政府部门、贸易组织和律所发起DDoS攻击的罪名，起诉了著名黑客组织“匿名者”的13名成员。通常，黑客会使用多台服务器，或者利用被称作僵尸网络的大量受感染PC，来发起此类攻击，用压倒性的流量淹没目标。索博拉尼斯的抗议做法更简单。他只是希望成千上万的市民加入他的抗议活动，通过访问Whitehouse.gov并持续刷新页面来使网站过载。没什么违法的。我们只是聚集很多人发送GET请求而已。索博拉尼斯是一名软件工程师，在1个月前创建了他的Protester.io平台以鼓励激进 ...继续阅读 (18)

近日，FreeBuf上对于一类FireCrypt木马做了相关的报道：流氓会武功：这款勒索软件不仅能勒索，还能DDoS。哈勃分析系统拿到了相关样本，并对其进行了分析。经分析，该类样本通过木马生成器自定义生成，运行该样本会对特定文件类型进行AES加密，同时伴随着持续但微弱的DDoS行为(请求特定网站下载文件)。以下是详细的样本分析结果。一．样本运行效果该样本运行后会加密系统所有盘符下的特定文件类型的文件，加密后会在文件名后加上firecrypt后缀，如下图所示:图1.加密后的文件在加密结束后，样本会在桌面生成两个文件分别为xxxx-READ_ME.html和xxxx-filesencrypted.html，xxxx-READ_ME.html是加密后提示给受害用户的解密提示，xxxx-filesencrypted.html是当前受害者电脑所有被加密文件的路径位置信息，如下图所示：图2 xxxx-READ_ME.html图3 xxxx-filesencrypted.html该解密提示界面警告受害者AES密钥的销毁时间，用户需要在密钥销毁之前向特定比特币地址支付500美元赎金以获得AES密钥和解密程序。木马会在每台被加密的机器上生成一个唯一的USER ID用于识别受害机器。此外，在文件加密完成后，该木马会创建数个后台线程去固定的某个网站上下载文件到%Temp%目录下，如下图所示：图4 &nb ...继续阅读 (12)

当前遭到云端DDoS攻击已变得越来越普遍。在本文中，专家Frank Siemons将与企业分享有关该种攻击方式所需要了解的信息以及如何防范。随着分布式拒绝服务攻击的频率和规模的不断提升，云端服务供应商可能会在带宽争夺战中成为攻击者们的更加关注的目标。云服务供应商（或称之为CSP）的商业模式，包括为客户提供高带宽的互联网连接能力的虚拟化实例。通过CSP直接或通过某一或多个客户间接进入带宽资源池会很容易地造成恶意的DDoS拒绝服务，或称为DDoS以及相关非法操作变得更加严重。这是否是威胁所在？还有企业如何使用云服务保护自己免受这样的威胁？最新进展在2012年，一群网络罪犯利用VE-2014-3120 Elasticsearch 1.1.x漏洞，以及Linux DDoS Trojan Mayday等手段，攻陷了几台Amazon Elastic Cloud Compute的虚拟机。尽管这一漏洞并不只是针对基于云端的系统，同时可以用来对付包括非云端系统在内的任意服务器，但确实为攻击者提供了一些有意义的机会。他们能够从攻陷的云端实例上运行基于用户数据报协议（User Datagram Protocol）的DDoS攻击。攻击者利用云服务供应商亚马逊的输出带宽，在这种情况下距离云服务供应商提供的理想环境相去甚远。如果某一CSP的公共IP地址范围与连接到云端的DDoS攻击产生关联，供应商可以在黑名单 ...继续阅读 (17)

本文原创作者：rebeyond文中提及的部分技术、工具可能带有一定攻击性，仅供安全学习和教学用途，禁止非法使用！0×00 前言前段时间java 的反序列化漏洞吵得沸沸扬扬，从刚开始国外某牛的一个可以执行OS命令的payload生成器，到后来的通过URLClassLoader来加载远程类来反弹shell。但是后来公司漏扫需要加规则来识别这种漏洞，而客户的漏扫又时常会工作在纯内网的环境下，因此远程加载类的方法行不通。想到自己写一个利用工具，于是有了下面这篇文章（本文以JBOSS为例）。0×01目标1.   EXP只能利用服务器本机的资源，不能加载远程类。 2.   上传任意文件至任意目录。 3.   获取命令执行的回显内容。0×02实现EXP只能利用服务器本机的资源，不能加载远程类：通过对漏洞成因分析可以得知，我们只能通过链式调用来执行java语句。换句话说，我们所想执行的语句必须可以写到一行里面，而且还不能带分号：( 其实这里很好突破，我们只要把我们想要执行的任意代码（无论有多长）在本地编译成class，然后把class字节码上传到服务器就可以了。然后问题又来了，怎么上传呢，上传到什么路径下面呢？上传可以通过FileOutputStream这个类来实现，上传路径就更 ...继续阅读 (21)

下面内容在 Win 7 下通过软碟通制作启动盘 成功u 盘格式化为 fat32 格式，镜像写入工具写入 u盘,无 efi 文件夹写入后去 u盘 根目录 boot 文件夹，内有 efi.img，拖出来解压，得到 efi 文件夹，live文件夹，install 文件夹。把三个文件夹覆盖到 u盘 根目录。uefi 模式启动后在选项界面 会显示 EFI boot ，ok。最终根目录下有efiliveinstall三个文件夹(从/boot/efi.img中解压)kali2.0 在 ThinkpadE540 安装时，会要求提供 iwlwifi-7260-12 到9.ucode(https://packages.debian.org/jessie/firmware-iwlwifi),rtl_nic/rtl8168g-3.fw(https://packages.debian.org/jessie/firmware-realtek) 网卡驱动,下载解压后提取文件，放入其他u盘,ok . (搜索驱动时要用 google 搜)注意 ：UEFI模式 安装任何系统， 要注意 在制作好的系统U盘根目录必须有 efi 文件夹。采用 软碟通 或其他 启动盘制作工具 制作的 linux 安装盘会产生一个 sdc4 的分区 ，如果无这个分区，则启动后找不到安装介质 ， 而解压后 直接把镜像拖 u 盘里，则不会有这个分 ...继续阅读 (10)

*本文原创作者：ExpLife，本文属FreeBuf原创奖励计划，未经许可禁止转载简介windows下内存取证的内容概括起来讲就是检测系统中有没有恶意程序,有没有隐藏进程,有没有隐藏文件,有没有隐藏服务,有没有隐藏的驱动,有没有隐藏网络端口等等.而进程,文件,驱动等等部件在内存中是以内核对象的形式独立存在的.而通常形形色色的rootkit会尝试修改操作系统的内部数据结构来达到隐藏自身的目的.安全研究员要想在内存取证中做到游刃有余,就需要对windows各种内存对象相关概念进行深入的了解.windows执行体对象大量的内存取证涉及到查找定位和分析执行体对象.Windows绝大多数代码是由C语言编写,其中大量使用了C语言的结构体来组织相关数据和属性.这里面有些结构体被称之为执行体对象,因为这些结构体是由Windows对象管理器(即由NT内核模块实现的一个内核组件)进行管理的(创建,保护,删除等等).严格意义上来说,只有当操作系统为一个结构体准备了用于管理诸如名称,访问控制,引用计数这些数据的各种头部的时候,该结构体才是真正意义上的执行体对象.换句话说,也就是所有的执行体对象都是结构体,但是并不是所有的结构体都是执行体对象.因为执行体对象是对象管理器分配并创建的,所以所有的执行体对象都有类似的特征.例如,所有的执行体对象都有前置头,而由其他子系统比如TCP/IP栈(tcpip.sys)分 ...继续阅读 (17)

随着不安全物联网（IoT）设备的激增，针对域名系统（DNS）供应商的分布式拒绝服务（DDoS）攻击在数量和规模上正在不断增加。这些攻击随之影响依赖于这些供应商进行域名解析的网站。虽然DNS供应商采取了各种方法来保护自己免受此类攻击，但网站保护自身的方法之一是使用多个DNS供应商。2016年发生了史上最大规模之一的DDoS攻击，这一攻击是针对DNS供应商Dyn的。此次攻击前后有三波，它通过已感染Mirai恶意软件的物联网设备组成的僵尸网络进行攻击。许多公司都受到此次攻击的影响，比如Amazon、Paypal、Reddit和Github。该攻击导致Dyn无法响应由其域名服务器解析的域名的有效DNS查询，以至于终端用户无法访问相关域名。据Dyn技术副总裁Phil Stanhope所说，此次Dyn攻击事件还包括一个基于TCP SYN cookie的攻击，该攻击利用了Linux内核的一个错误。SYN cookie是一种用于缓解SYN flood攻击的方法，SYN flood攻击通过连续发送TCP SYN请求来耗尽目标系统的资源。然而，SYN cookie也有自己的问题，在Linux 3.x版本中，一个系统级别的锁用于生成SYN cookie。由于这个级别的锁定，无论内核实际数量多少，系统均如单核系统一样运行，从而降低了其实际处理能力。Linux 4.x版本通过使用针对各个CPU内核的局部锁来 ...继续阅读 (22)

工具简介这款名叫“Truffle Hog”的免费开源工具可以帮助开发人员检测自己在GitHub上发布的项目代码是否意外泄漏了密钥。Truffle Hog是一款采用Python开发的工具，它可以检索GitHub代码库的所有代码提交记录以及分支，并搜索出可以表示密钥（例如AWS密钥）的高熵字符串。运行机制该工具的开发者Dylan Ayrey解释称：“Truffle Hog会检索代码库中每一个分支完整的代码提交记录，而且也会检查每一次提交的git diff信息，然后对每一个长度超过20个字符的base64字符集和十六进制字符集的香农熵（Shannon entropy）进行估值。如果TruffleHog检测到了一个长度大于20个字符的高熵字符串，它便会将其打印输出至屏幕。”一些Reddit用户目前已经在社区开始讨论Truffle Hog了，因为在此之前有攻击者曾利用工具在GitHub中搜索用户意外泄漏的AWS密钥，并将这些密钥用于恶意的AWS实例之中。由于这种类型的恶意活动会给亚马逊公司带来巨额的经济损失，因此亚马逊也将那些在公共代码库中意外泄漏了密钥的AWS账号暂时禁用了。Dylan Ayrey是谁？其实，有些用户可能早就熟知Ayrey了。Ayrey在去年曾专门制作了一个演示demo来警告用户“Pastejacking攻击”危险性。这种基于JavaScript的攻击可以修改用户剪切板中的 ...继续阅读 (7)

-Level 3 配合其他新设立的亚太区清洗中心提升客户的网络安全防护能力科罗拉多州布鲁姆菲尔德2017年1月16日电 /美通社/ --Level 3 Communications, Inc.(NYSE: LVLT)已开始向亚太地区的跨国公司提供分布式拒绝服务(DDoS,Distributed Denial of Service)攻击缓解方案。通过在香港、东京和新加坡建造新的清洗中心，Level 3扩大了自己的安全服务能力。现在 Level 3的安全服务能凭借更强大的网络路由、速率限制和过滤功能提供多层防御，同时配合基于云端的净化功能，进一步提升缓解方案的全面性。对于亚洲及跨国公司来说，亚太地区是重要市场。同时，他们对全球性的安全服务也有着巨大需求。这令Level 3提供的网络安全解决方案及其全球覆盖性更具意义。Level 3威胁研究表明需要用DDoS缓解解决方案为亚太地区提供网络威胁防护。从数字洞悉亚太区的网络安全状况http://news.level3.com/apacthreatlandscape亚太区网络安全状况：Project Sonar在报告中指出，澳洲、中国内地和香港为最易遭受网络攻击的国家和地区之一。  Level 3威胁研究实验室一项针对入侵物联网的恶意软件的研究显示，很多被攻击及利用的连接设备能发动超过600 Gbps（千兆比特/秒）流量的攻 ...继续阅读 (13)

什么是“中间人攻击”？中间人攻击（Man-in-the-Middle Attack，简称“MiTM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息，然而两个原始计算机用户却认为他们是在互相通信，因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间。工具简介Ettercap是一款实现“中间人攻击”的多功能工具，具有嗅探实时连接、内容过滤以及其它非常有趣的功能。它还支持许多协议的主动与被动分离，并且包含网络和主机分析的多项功能。Ettercap的工作原理是将网络接口设置为混杂模式，并通过ARP欺骗感染目标设备。由此该设备成为所谓的“中间人”，并发动对受害者的各类攻击。Ettercap支持插件，可以通过添加新的插件来扩展功能。功能Ettercap支持对许多协议（包括加密协议）的主动和被动分离，并具有网络和主机分析方面的多项功能。Ettercap包含四种操作模式：基于IP的模式：根据IP源和目的地过滤数据包基于MAC的模式：根据MAC地址过滤数据包，该模式能够对嗅探通过网关的连接起到作用。基于ARP ...继续阅读 (17)

因项目需要，要对主流的几家抗DDoS设备做测评，当然了最专业的是使用Spirent TestCenter，但受限于其他因素，最终决定搭建一个软件环境来进行相关的DDoS测试。本文主要讲解的是如何使用trafgen工具发起DDoS攻击(syn flood, ack flood等等)synflood攻击、ackflood攻击、UDP fragment攻击的详细配置文件见github ddos-dos-tools工具选择开源的流量生成工具很多，可用于模拟DoS攻击的工具也不在少数，如hping、scapy（python库）等等，但均存在着不足，如性能不够，不能模拟DDoS攻击（攻击流IP和PORT不能动态变化）通过详细的对比测试（同hping、scapy、LOIC等对比测试，具体数据不宜公开），最后统一选择了netsniff-ng套件中的trafgen攻击，其在测试环境中可达到24万pps的SYNFLOOD攻击，是一款高速、多线程网络数据包生成工具trafgen 工具能够动态生成攻击IP和端口号，能够通过配置文件动态修改攻击包的内容简单使用1. 安装trafgen属于netsniff-ng套件，是一款linux下的工具，安装很方便，通过系统的在线安装工具即可完成安装，如centos下yum install netsniff-ng即可2. 使用（SYN Flood攻击）工具的比较简单，主要 ...继续阅读 (15)

*本文原创作者：lr3800_，本文属FreeBuf原创奖励计划，未经许可禁止转载关于Usb KILL 在之前的介绍已经清楚讲述USB Kill v2.0，一个可以瞬间烧毁电脑或平板的“U盘”。   该设备原理本意上就是“浪涌攻击” 浪涌也叫突波，顾名思义就是超出正常工作电压的瞬间过电压。Usb KILL是欧洲老外发明的。当时他找到香港某公司进行打样生产的,后来这家公司他们自己生产出售了；官网售价$ 49.95 美元     我带来的教程是如何DIY一个低成本的USB杀手。通过电脑USB接口（ 5V）接上蚊拍电路板可以产生 （2000v）的电流 可以使计算机烧毁 原理图准备工作：1.电蚊拍电路板（拆卸家用的电蚊拍或者网购一个板）2.USB插口（手机数据线可利用）首先要确定usb贴片上的插针。一共连接四根线，左右连接电源 中间是输出释放高压的接口电路板上所连接的黑线和红线是电源线,两根绿色的是释放高压线，最后进行焊接；由于不同品牌的电路或少有些差异,黑线红线要正确连接电源的正负极（一般都会标注 +  -）,为了通电方便可以将按钮开关焊接一个威力巨大USB杀手完成！注意：通电过程中或者断电之后不要触碰到电路板上面带有有高压,需要等待两分钟后才能触碰视频演示（以上教程及视频演示只作为安全测试技术交流 ...继续阅读 (29)

项目中，需要帮助某公司完成对几台抗DDoS设备的测试，受限于各类因素，只能通过搭建软件环境来完成测评。下面是针对自己前期工作的一小部分整理，仅罗列了基于开源工具的一些内容，其他定制化的和自己编写的程序则未公开。hping、LOIC等其他工具，由于性能和其它原因也未被使用！github ddos-dos-tools1. SynFlood 攻击借助netsniff-ng套件中的trafgen工具，其可伪造源ip发起DDoS攻击trafgen是一款高速的，多线程数据包生成器，官方测试显示其速度可达到12Mpps，自己在Intel(R) Xeon(R) CPU E5-2620 v3 @ 2.40GHz下测得的发包速率有500Mbit/s多。通过对比其他开源程序，本工具的发包性能是自己测试中性能表现最高的。synflood.trafgen是对应的配置文件模版，修改文件里的源／目的MAC地址以及源／目的IP后，命令行直接运行trafgen --cpp --dev eth0 --conf ackflood.trafgen --cpu 2 --verbose即可发起synflood攻击通过添加trafgen命令行参数--gap修改发包的速率，具体请man trafgen对应工具可直接通过在线源进行安装，CentOS下yum install netsniff-ng即可安装整个套件，其中包含trafg ...继续阅读 (23)

今天突然来 30 Gbps 的流量把我打懵逼了，恰巧遇到我这里停电，想外出找个地方上网，发现在下冰雹。艹阿里云免费提供的 5 GB 流量防护，其实达到一半的时候就丢进黑洞等清洗了。等到电力恢复，服务器已经清洗完毕了。为了预防业务系统无法为用户服务，在部署架构中做了多层中转，源出口服务器一域名因 CDN 回源直接打到源出口导致其余中转服务器均无法继续服务。取阿里云提供的抓包数据，检查发现是 NTP 攻击，流量在 5 秒间流量打到 27.9 Gb 检查了一遍中转服务器发现 ntpdate 服务开启并且存在反射型漏洞，该服务器仅提供了 Web 服务，时间需同步处理。如果没有必要，把关于 NTP 的服务关闭或限制入口流量，避免肉鸡。如果遇到 DDoS 上硬防~ DDoS 大流量无解，除了烧钱我没话说~处理方法，丢弃该出口服务器，另外部署一台出口节点服务器，再部署一台高防线路服务器做下层出口节点，域名均上 CDN 保持源不泄露，对出口源进行白名单过滤，开放 TCP 80 端口过滤无用端口。如果舍得，部署中心服务器，各地机房自行部署出口节点以及购买 CDN 服务。DNS 解析对地区性解析，挂完 CDN 我再切节点。在 CDN 挂前足够有时间立即响应安全事件了，当然在与 DDoS 进行对抗，完全就是一场烧钱的活动 =.= ...继续阅读 (36)

*本文原创作者：ExpLife，本文属FreeBuf原创奖励计划，未经许可禁止转载简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话,同样可以借助Volatility这类框架来做内存取证分析.Volatility是一款非常强大的内存取证工具,它是由来自全世界的数百位知名安全专家合作开发的一套工具, 可以用于windows,linux,mac osx,android等系统内存取证,下面一起来体验一下吧.安装最新版框架下载地址:windows版可执行程序:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_win64_standalone.ziplinux版可执行程序:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_lin64_standalone.zipMax OS X版可执行程序:http://downloads.volatilityfoundation.org/releases/2.6/volatility_2.6_mac64_standalone ...继续阅读 (17)

网上类似的文章已经非常多了，在此再唠叨唠叨。本文的写作的主要目的是，让大家知道破解一个使用弱密码的wifi是如此的简单，从而提高大家的安全意识，要是能提起对网络安全学习的兴趣就更好了。原理分析：本文演示破解wpa/wpa2加密方式的wifi热点。因为加密，无法获取密码明文，需要使用暴力破解握手包的方式获取密码。首先使用aircrack-ng套件中的airmon-ng 命令开启无线网卡的monitor模式，使网卡可以接收到别人连接wifi热点的握手包。然后airodump-ng 命令监听wifi热点的数据，获取握手包，期间可以同时使用aireplay-ng 命令泛洪攻击wifi热点使连接的设备断线重连，加速获取。最后使用aircrack-ng 通过密码字典暴力破解握手包。所需环境：Kali Linux 或其他安装了aircrack-ng套件的linux系统，支持monitor模式的无线网卡(推荐使用8187或3070芯片的），密码字典。因为我电脑上没有安装Kali Linux系统，本次使用安装了kali的树莓派2B+ 和 USB定向8187无线网卡做演示，目标wifi名为“hello ”。操作步骤：⑴开启无线网卡的monitor模式： 有些进程会影响到monitor模式的开启，使用下面这条命令结束受影响的进程airmon-ng check kill使用iwconfig查看无线网卡的名 ...继续阅读 (21)

About 3xp10it3xp10it是一个自动化渗透测试框架,目前没有做到完全自动化[自动上传漏洞利用框架和自动fuzz框架暂时没有加入。b)支持功能列表高危漏洞扫描模块爬虫模块目标网站脚本类型检测目录扫描模块sqli扫描模块robots/sitemap自动收集cms识别与cms漏洞扫描模块自动识别管理员页面并爆破[支持自动识别简单验证码]webshell自动查找与爆破,支持asp,php,aspx,jsp,支持chopper一句话webshell和大马类型webshella)apache,iis,nginx,lighttpd在phpstudy中测试默认可接收1000个post参数 b)一句话类型webshell根据上面的特点可以正常情况下(单线程)的1000倍速度来爆破,可用大字典爆破,但是不能用多线程, 可能是因为用多线程会太快而让web server觉得每次的参数不止1000个 c)其他类型web server未测试,暂用多线程1倍速爆破,用最常用的webshell较小字典,17659个左右 d)大马类型webshell由于表单名是一定的,所以不能以1000倍速爆破,于是也用和c)中一样的小字典多线程1倍速爆破 whois信息收集资源文件收集自动尝试获取cdn后的真实Ip旁站获取[获取真实Ip后再获取旁站,如果有cdn但是没有获取到真实 ...继续阅读 (21)

MalwareHunterTeam 的安全研究人员发现了一款勒索软件变种 ——“FireCrypt”，它不仅具备一般勒索软件的特性，会将受感染的系统文件恶意加密，甚至还会试图利用受感染者机器，向其源码中硬编码的 URL 地址，发起小规模的 DDoS 攻击。一般特性：勒索功能一旦，恶意 EXE 文件被触发，FireCrypt 将杀死计算机的任务管理器（ taskmgr.exe ）并使用 AES-256 加密算法加密 20 种文件类型。所有加密文件都会添加“ .firecrypt ”的扩展名，加密完成后就会索要 500 美元赎金。FireCrypt 和勒索软件 “Deadly for a Good Purpose” 源代码很相似，都使用源代码的电子邮件和比特币地址，很有可能是“Deadly for a Good Purpose”勒索软件的升级版。另类特性：DDoS 功能FireCrypt 源码中含一个硬编码的 URL 地址，勒索软件会不断地连接该 URL 下载相应内容并存储在%Temp% 磁盘文件名下，同时命名为 [random_chars]-[connect_number].html 。该 URL 为巴基斯坦电信管理局的官网地址，勒索软件作者称该功能为“ DDoSer”并希望借此发动 DDoS 攻击，不过感染设备至少要达到上万台才能达到攻击效果。详细分析报告以下是 MalwareHu ...继续阅读 (27)

* 本文原创作者：nibiwodong，本文属FreeBuf原创奖励计划，未经许可禁止转载近期，同程SRC发布了巡风扫描系统，用于内网资产发现和漏洞扫描。首先应该感谢同城SRC的互联网分享精神，好工具，大家用^^迫不及待的下载安装试用之后，谈一谈自己的体验。下面的文字仅代表个人看法，可能理解有偏差，烦请大家指正啊。github地址如下：https://github.com/ysrc/xunfeng使用方法的视频演示：https://sec-pic-ly.b0.upaiyun.com/xunfeng/xunfeng.mp4巡风的原理依赖masscan扫描，进行资产发现和指纹识别，获得banner信息之后，进行正则匹配，入库，前台展现扫描结果。另外支持自定义漏扫脚本，目前巡风在公布了50个漏扫脚本，非常好用。主要功能1、爬虫引擎配置。包括线程数，扫描引擎，资产探测周期，正则匹配，网络资产探测列表配置等。2、扫描引擎配置。指的是漏扫脚本相关的配置，包括线程数，超时时间，字典等。3、插件管理。目前支持50个插件，包括弱口令相关插件、中间件漏洞相关插件等。也可以自己编写漏扫插件，使用Python，在github上有插件编写方法的详细说明。4、统计功能。这个功能目前比较简单，主要是对扫描结果进行展示，如apache服务器数量、ssh服务数量等。5、搜索功能。扫描结果太多了，搜索功能可以方便的找 ...继续阅读 (37)

Kodachi Linux 是一款基于 Debian 8.6 的操作系统。它是专为保护用户隐私而设计的，因此具有高度的安全及匿名性，并具备反调查取证的特点。Kodachi 的使用也非常方便简单，你可以通过 USB 驱动来在你的 PC 上启动它。当你完全启动 Kodachi 操作系统后，你将会建立一个 VPN+Tor+DNScry服务器的运行环境。你不需要特别了解或学习 Linux 的知识，Kodachi 都为你准备好了你所需要的！整个操作系统都活动在你的临时内存 RAM下。因此，你一旦你关机，任何的操作痕迹都会被清除，避免你的隐私泄露及被追踪调查。Kodachi 是一个实时的操作系统，你可以从几乎任何计算机上来启动它。例如：从DVD，U盘 或 SD卡等。它旨在保护你的隐私及匿名性，并帮助你：匿名使用互联网。所有与 Internet 的连接，都将被强制通过 VPN，然后通过 DNS 加密的 Tor 网络。在你使用的计算机上不会留下任何痕迹，除非你要求保留一些数据痕迹。使用先进的加密和隐私工具加密你的文件，电子邮件和即时消息。Kodachi 是基于实体 Debian Linux 和 定制 XFCE ，这使得 Kodachi 系统非常的稳定、安全并且独特。视频：特点：连接 VPN连接 Tor 和 出口节点选择DNScrypt 服务器运行环境拥有 Truecrypt 加 ...继续阅读 (16)

一款名为 FireCrypt 的勒索软件正悄然来袭。它不仅具备一般勒索软件的特性，会将受感染的系统文件恶意加密。还会试图利用受感染者机器，向其源码中硬编码的 URL 地址，发起微弱的 DDoS 攻击。这个新型勒索软件，是由MalwareHunterTeam（恶意软件猎人小组）发现的。 以下是MalwareHunterTeam和Lawrence Abrams提供的对该恶意软件的分析报告。作为勒索软件构建套件的 FireCrypt恶意软件通常通过从源码编译生成，或者通过软件来自动生成，自动化软件会采用某些输入参数，并以此来定制恶意软件的有效载荷。后者在业内，被称为恶意软件构建器，一般都为命令行应用程序或GUI的工具。而FireCrypt勒索软件的作者，则使用的是命令行应用程序。在使用过程中，该应用程序会自动将FireCrypt的样本文件放在一起，允许他修改基本设置，而不需要再使用笨重的IDE，重复编译源码了。FireCrypt的构建器，被命名为BleedGreen（见下文），它允许FireCrypt作者，给勒索软件自定义名称，并使用个性化图标，来生成一个独特的勒索软件可执行文件。与其他勒索软件构建器相比，BleedGreen算是一个比较低端的构建器。与其他类似的构建器相比，它的自定义选项少的可怜。例如某些类似的构建器，还会有比特币收付款地址，赎金值，电子邮件联系地址等设置选项。Blee ...继续阅读 (5)

简介Cobalt Strike 3.6版本已经正式发布，此版本新增了一个用于调用Beacon的第三方提权漏洞利用程序的API，并扩展Malleable C2以支持不使用HTTP POST的HTTP C&C。同时该版本还对之前版本中存在的问题进行了修复和改进。目前网上能找到3.5版本的破解版本，相关破解以及工具使用技巧在FB上资源还是挺多的。CobaltStrike最新版完美破解方法如何制作Cobalt Strike v2.5破解版在Kali 2.0下安装破解最新版Cobalt Strike关于分析Cobalt Strike的beacon.dll的一些TIPS提权API此版本新增了一个API将提权利用程序集成到Beacon的elevate命令。下面以FuzzySec发现的ms16-032漏洞为例子，将变型的PowerShell Empire集成到Beacon中：sub ms16_032_exploit { local('$script $oneliner'); # acknowledge this command btask($1, "Tasked Beacon to run " . listener_describe($2) . " via ms16-032"); # generate a PowerShell script to run ...继续阅读 (5)

首先，祝各位Freebuf的同学新年快乐，希望各位同学在新的一年能够努力学习黑客知识，争取早日成为一名优秀的安全专家！在这篇文章中，我们将会给大家介绍几款超级好用的Android端黑客工具，这些App不仅功能十分强大，而且使用起来也非常的简单。在这些App的帮助下，用户可以直接使用自己的Android设备来完成某些渗透测试任务。免责声明：本文提及的安全工具和方法仅供试用及教学用途，禁止非法使用No.1: HackodeHackode是时下最热门的Android端黑客工具之一，用户可以免费在Google Play应用商店中下载和安装Hackode。该工具专为渗透测试人员、白帽黑客、IT管理员和网络安全专家而设计，Hackode可以执行类似Google Hacking、网络侦察、DNS Dig和漏洞扫描等任务。Hackode不仅功能十分强大，使用简便，而且还提供了非常美观的操作界面，这一切使得Hackode成为了初学者手中的一款绝佳的Android端黑客工具。下载地址No.2: ApkInspector这个项目的主要目的就是为了帮助安全分析师和逆向工程师通过一种可视化的方法编译Android数据包以及相应的DEX代码。APKInspector提供了图形化的分析功能，用户可以使用APKInspector来对恶意App进行深入地研究和分析。ApkInspector支持分析的数据如下：-cf ...继续阅读 (6)

写在前面2016年你应该听说过几起严重的DDoS攻击事件，其中，有两起让人印象比较深刻。第一起是Brian Krebs受到620Gb/s的DDoS攻击，第二期起是更受关注的Dyn（DNS服务提供商）事件，那次DDoS攻击使得Twitter、亚马逊以及其他美国东海岸的Dyn设备瘫痪。经过深入调查以及缜密思考，我发现PornHub（国外最大的成人网站）在安全方面似乎比某些‘安全’公司做的还要好一些。这篇文章的目的是分析这些公司做了什么以及目前它在整个技术行业的水准。我的分析总体观察对于所有组织机构来说，这也许是一次lesson，PornHub这样一个看上去无安全、无技术（这里的无技术不包括编码、影视产业方面）的公司逐渐成为安全行业里的专家。如今它拥有一个健全的文件管理机制，并且在HackerOne上成立一个bug赏金项目。PornHub会支付50$（XSS漏洞）~150$（远程Shell/命令执行）不等的奖励给发现各种漏洞的白帽子。针对DDoS攻击的发现当我在Twitter上看到美国东海岸地区Twitter和亚马逊停运的根本原因是单点故障时，我终于按耐不住，决定做一点研究。这是输出“dig -t NS ____”的命令，在这个空里填入以下几个网站NSA.gov上图展示了NSA（美国国家安全局）使用6个不同的DNS服务器，这些服务器似乎都属于Akamai。 Akamai是一个著名的、受人 ...继续阅读 (8)

Hijacker 是一个安卓平台下的无线渗透工具。它的功能非常强大，几乎集成了 aircrack-ng 套件，mdk3 和 reaver 这些工具的功能。而且采用图形化用户界面，相比命令行界面，使用起来也更加的方便简单！想要成功运行Hijacker，我们首先需要一台 Android 设备 和一块支持监听模式的无线网卡。这里需要说明的是，只有少数一部分 Android 设备支持该模式，但是它们没有一个是原生的  Android 系统。这意味着你需要自定义一个固件。这里我推荐大家使用Nexus 5设备，它使用的BCM4339 芯片（除此之外，像Xperia Z2，LG G2等设备使用的MSM8974 芯片）都可以很好的与Nexmon驱动（同时它还支持一些其它的芯片组）一起工作！ 此外，使用BCM4330 芯片的设备，还可以使用bcmon。 另一种方法是在 Android 设备中，使用支持OTG线连接一个支持监听模式的外部适配器。所有的无线工具都包含在 Hijacker 中（仅适用于armv7l设备）。 在你初次运行该软件时，它会询问你是否安装这些工具。如果你选择不安装，那么你可以在之后的设置中，再次进行安装。还有一点也非常重要，就是我们的设备必须要取得root权限。因为，只有在root权限下这些工具才能正常运行使用！功能：列出你周围的 无线AP和 客户端（ ...继续阅读 (6)