ZONE.CI 全球网

反击CobaltStrike（一）以假乱真

ZONE.CI 全球网:0x00 背景
CobaltStrike（简称CS）作为一款渗透测试神器，采用C/S架构，可进行分布式团队协作。CS集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Win

2023-11-133评论

CS中继-EFSRPC调用

ZONE.CI 全球网:0x01前言
NTLM 中继是一种众所周知的技术，主要用于安全评估，以便在网络中的服务器上建立某种立足点或用于特权升级场景。这种攻击在没有为 LDAP 和 SMB 协议启用

2023-11-131评论

不出网主机的几种上线方式

ZONE.CI 全球网:前言
拿到一台边缘机器后，内网的机器很有可能大多数都不出网，这时又想上线cs方便后续操作。本文就如何上线不出网主机的方式进行了总结。环境搭建目标内网机器os：win serve

2023-11-130评论

从零开始开发CS beacon（一）

ZONE.CI 全球网:0x00 前言
前段时间，出了一个beaconEye的项目，以及golang版本的EvilEye通过扫描内存，由于以前为了防止被扫描beacon配置都是改XOR值，但是最终

2023-11-130评论

深耕保护模式（二）

ZONE.CI 全球网:代码跨段执行
本质就是修改CS段寄存器
要点回顾
段寄存器:
ES,CS,SS,DS,FS,GS,LDTR,TR
段寄存器读写：
除CS外，其他的段寄存器都可以通过MOV,LE

2023-11-131评论

域前置溯源方法思考

ZONE.CI 全球网:前言
最近频繁被问到关于域前置溯源的问题，但是在工作中实际遇到的不多，这几天有时间整理了下思路，如有不对的对方，多多包涵，欢迎评论指出。2017年火眼爆出APT29至少在201

2023-11-134评论

基于异常行为检测CobaltStrike

ZONE.CI 全球网:前言
在很多攻击活动中，我们都能看到 CobaltStrike 的身影，所以，对于防御者，了解其在各个攻击阶段的行为特征是非常有必要的
上篇文章——《威胁狩猎的最佳实践》里提过

2023-11-131评论

从零开始开发CS beacon（三）

ZONE.CI 全球网:0x01 netbios加解密
因为我也才学golang，基本面向github编程，在网上只找到python版加解密的方式，所以需要翻译成go语言。通过正则匹配加密传输的内

2023-11-130评论

走进shellcode

ZONE.CI 全球网:前言
在做红蓝攻防时，常常要用到cs、msf等工具，使用工具生成shellcode或可执行程序，那么小小的shellcode为何能做这么多事情，拿到shellcode后又该怎么

2023-11-133评论

cobalt strike cdn上线笔记

ZONE.CI 全球网:免费域名注册：https://www.freenom.com/zh/index.html?lang=zh
CDN: https://dash.cloudflare.com/
C

2023-11-131评论

cs上线Linux

ZONE.CI 全球网:概述
基于自身办公环境的需求，想着在自己Mac上搭建cs的服务端和客户端，解决资源可以充分利用，学习cs摆脱多个机器的尴尬处境，之前不知道互联网上有没有这方面的实践，随手百度，

2023-11-132评论

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

ZONE.CI 全球网:前言
前不久参加了一场攻防演练，过程既简单也曲折，最后通过横向渗透获取到了vcenter管理控制台权限，成功拿下本次演练目标。寻找目标
目标分配后，面对大范围的目标，首先要做的

2023-11-132评论

一次不出网上线cs实战案例

ZONE.CI 全球网:场景
shiro打点获取10段服务器权限，在10段机器出网且已上线cs；172段不出网且反向不通10段，已通过mysql弱口令获取system权限，存在web服务。上线过程
思

2023-11-131评论

红蓝对抗-安装包钓鱼与反钓鱼

ZONE.CI 全球网:前言
文件钓鱼是红蓝对抗中红队经常使用的攻击手段，相反蓝队也可以通过反钓鱼的手段来对红队进行反制，获取分值。红队钓鱼利用
随着邮件沙箱，恶意行为检测等技术的发展，传统文件钓鱼攻

2023-11-124评论

CS：GO交易站被黑 600万美元皮肤不知所踪

ZONE.CI 全球网:世界上最大的CS：GO皮肤交易站CS.MONEY遭黑客攻击，价值近600万美元的皮肤被黑客转移。
攻击前网站托管有53种武器共1696个皮肤，总价值达1650万美元，超过三分之

2023-11-120评论