GitHub - orlyjamie/mimikittenz: A post-exploitation powershell tool for extracting juicy info from memory.
mimikittenz is a post-exploitation powershell tool that utilizes the Windows function ReadProcessMemory() in order to extract plain-text passwords from various target processes. mimikittenz can also easily extract other kinds of juicy info from target processes using regex patterns including but not limited to: TRACK2 (CreditCard) data from merchant/POS processes PII data Encryption Keys & All the
PowerShell難読化の基礎 (2) – Binary Pulsar
概要 前回の記事に引き続き、今回もPowerShellの難読化の手法について記述します。 ドット記号によるスクリプトの実行 前回の記事では、アンパサンド記号によりInvoke-Expressionを実行する手法を取り上げましたが、ドット記号もアンパサンド記号と同様の動作をします。よって、ドット記号もまたアンパサンド記号と同様に、難読化されたPowerShellスクリプトでInvoke-Expressionコマンドレットを実行するために用いられます。以下に実行例を示します。アンパサンド記号とドット記号のどちらによっても、変数comletに格納した「Get-Host」が、コマンドレットとして評価され実行されていることがわかります。 PS C:\> $comlet = "Get-Host" PS C:\> $comlet Get-Host PS C:\> & $comlet Name : Con
PowerShell難読化の基礎 (1) – Binary Pulsar
概要 悪意のあるコードを実行させようとした場合、平文でそのまま実行させようとしても、何かしらのセキュリティ機構に検知されてしまいます。そこで攻撃者は、難読化を施すことでセキュリティ機構を潜り抜けて、悪意のあるコードの実行を試みます。近年のPowerShellによる攻撃でも、悪意のあるスクリプトに難読化処理を施すことは珍しくありません。本記事では、難読化されたPowerShellスクリプトへの対処のために、難読化に関する基本的な事項を記述します。 コードの評価 難読化されたコードは、実行中に意味のあるコードに形を変えて、最後に「コードを評価して実行する関数」の引数に渡されることで実行されます。例えばJavaScriptやPHPなどでは、eval関数によってコードを評価して実行します。PowerShellの場合はInvoke-Expressionコマンドレットやアンパサンド記号がそれに相当しま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
