LOLBAS-Project/LOLBAS

# Living Off The Land Binaries and Scripts (以及现在的 Libraries) 所有不同的文件都可以在这个漂亮的 frontend 背后找到：https://lolbas-project.github.io（感谢 @ConsciousHacker 提供的这个视觉盛宴，以及 https://gtfobins.github.io/ 的团队）。 这个 repo 作为一个地方，让我们维护那个漂亮 frontend 所使用的 YML 文件。 ## 目标 LOLBAS 项目的目标是记录每一个可用于 Living Off The Land 技术的二进制文件、脚本和库。 ## 标准 一个 LOLBin/Lib/Script 必须： * 是 Microsoft 签名的文件，要么是 OS 原生的，要么是从 Microsoft 下载的。 * 具有额外的“意外”功能。记录预期的使用案例并不有趣。 * 例外情况是应用程序白名单绕过 * 具有 APT 或红队有用的功能 有趣的功能可以包括： * 执行代码 * 任意代码执行 * 传递执行其他程序（未签名）或脚本（通过 LOLBin） * 编译代码 * 文件操作 * 下载 * 上传 * 复制 * 持久化 * 利用现有 LOLBin 进行传递持久化 * 持久化（例如在 ADS 中隐藏数据，登录时执行） * UAC bypass * 凭据窃取 * 转储进程内存 * 监控（例如键盘记录器，网络跟踪） * 日志规避/修改 * DLL side-loading/hijacking，而无需被重新定位到文件系统的其他位置。 我们不批准允许 netntlm 强制认证的 binaries，因为大多数 Windows binaries 都允许这样做。唯一的例外是允许在默认端口之外（例如 rpcping）执行此操作的 binaries 或可以允许直接凭据窃取的 binaries。 ## LOLBin 的历史 短语 "Living off the land" 是由 Christopher Campbell (@obscuresec) 和 Matt Graeber (@mattifestation) 在 [DerbyCon 3](https://www.youtube.com/watch?v=j-r6UonEkUw) 上创造的。 术语 LOLBins 来自于一场 Twitter 讨论，关于如何称呼攻击者可以用来执行超出其原始目的操作的 binaries。Philip Goh (@MathCasualty) [提出了 LOLBins](https://twitter.com/MathCasualty/status/969174982579273728)。随后进行了一场高度科学的互联网投票，在达成共识（69%）后，这个名字被[正式确定](https://twitter.com/Oddvarmoe/status/985432848961343488)。Jimmy (@bohops) [紧随其后提出了 LOLScripts](https://twitter.com/bohops/status/984828803120881665)。没有进行投票。 这些文件的常见 hashtags 是： * #LOLBin * #LOLBins * #LOLScript * #LOLScripts * #LOLLib * #LOLLibs 我们这个项目的主要维护者 (@oddvarmoe) 在 DerbyCon 2018 做了一个名为：#Lolbins Nothing to LOL about! 的演讲 - https://www.youtube.com/watch?v=NiYTdmZ8GR4 这次演讲介绍了这个项目的历史。 ## 维护者 以下人员在个人时间帮助维护 LOLBAS 项目： * Oddvar Moe ([@oddvarmoe](https://twitter.com/Oddvarmoe)) * Jimmy Bayne ([@bohops](https://twitter.com/bohops)) * Conor Richard ([@xenosCR](https://twitter.com/xenosCR)) * Chris 'Lopi' Spehn ([@ConsciousHacker](https://twitter.com/ConsciousHacker)) * Liam ([@liamsomerville](https://twitter.com/liamsomerville)) * Wietze ([@Wietze](https://twitter.com/@Wietze)) * Jose Hernandez ([@_josehelps](https://twitter.com/_josehelps)) ## 致谢 就像许多开源项目一样，这个项目是社区的产物，我们要感谢我们的社区： * 域名 http://lolbins.com 已由一位未知人士注册，并重定向到该项目的旧版本。 * 域名 http://lolbas-project.com 已由 Jimmy (@bohops) 注册。 * 项目的 logo 由 Adam Nadrowski (@_sup_mane) 创建。我们 #@&!!@#! 喜欢它们。 ## 注意 * 请参阅 NOTICE.md 获取许可证信息

标签：APT, CSV导出, DAST, DNS 反向解析, HTTP工具, Living Off The Land, LOLBAS, LOLBins, RFI远程文件包含, TGT, UAC 绕过, Windows 安全, YML, 信任利用, 协议分析, 命令执行, 威胁情报, 子域名变形, 开发者工具, 微签名, 恶意软件分析, 攻防演练, 数据展示, 权限提升, 横向移动, 白利用, 知识库安全, 端口监听, 系统二进制文件, 红队, 绕过白名单, 编程规范, 网络信息收集, 网络安全, 网络安全审计, 规避防御, 隐私保护