danzek/awesome-lol

# Awesome LOL [](https://awesome.re) [](https://github.com/danzek/awesome-lol) Living off the land (LOL/LoTL) 是一种攻击策略，攻击者滥用目标环境中常见的工具和功能，以混入正常活动并逃避检测。 ## 目录 - [Cloud & App](#cloud--app) - [Endpoint](#endpoint) - [Network](#network) - [Software Supply Chain](#software-supply-chain) - [SecOps](#secops) ## Cloud & App - [Azure IP Lookup](https://www.azurespeed.com/Azure/IPLookup) - 将 IP 和域名映射到 Azure 服务标签、区域和数据中心；有助于识别 Azure 服务被滥用来伪装成合法 Microsoft 流量的情况。 - [Entra ID First Party Apps & Scope Browser](https://entrascopes.com/) - Microsoft Entra ID 中的第一方应用程序，包括其预先同意的权限、易受 ConsentFix/AuthCodeFix 攻击的应用程序，以及具有条件访问策略默认例外的应用程序。 - [Hacking the Cloud](https://hackingthe.cloud) - 云攻击/战术/技术百科全书。 - [LOLAPI](https://themagicclaw.github.io/LOLAPI/) - Windows、Cloud 和 Browser 平台上被实际滥用的 API，包含检测策略、缓解指南和红队 POC。 - [LOLAPPS](https://lolapps-project.github.io) - Living Off The Land Applications，包括内置和第三方应用程序。 - [LOLFSaaS](https://lolfsaas.github.io/) - 记录了免费层 SaaS 平台的滥用面、OPSEC 配置文件、检测逻辑和 C2 框架映射。 - [Microsoft 365 Application IDs – BEC Investigation Resources](https://byteintocyber.com/microsoft-365-application-ids-bec-investigation-resources/) - M365 中常被滥用的应用程序 ID 参考。 - [Microsoft Graph Permissions Explorer](https://graphpermissions.merill.net/permission/) - Microsoft Graph 权限参考，将每个权限映射到暴露的 API 和数据对象，有助于评估应用注册和 OAuth 授权的滥用潜力。 - [RogueApps](https://huntresslabs.github.io/rogueapps) - 经常被滥用并用于恶意目的的 OIDC/OAuth 2.0 应用程序。 - [TrailDiscover](https://traildiscover.cloud/) - AWS CloudTrail 事件存储库，包含详细描述、MITRE ATT&CK 见解、真实事件、参考和安全影响。 ## Endpoint - [Argument Injection Vectors](https://sonarsource.github.io/argument-injection-vectors/) - 可被利用作为参数注入向量的合法程序的预期功能。 - [Bootloaders.io](https://www.bootloaders.io) - 各种操作系统的已知恶意引导加载程序。 - [BYOL](https://cloud.google.com/blog/topics/threat-intelligence/bring-your-own-land-novel-red-teaming-technique/) - Bring Your Own Land (BYOL)：完全在内存中执行基于 C# 的程序集，以减少对目标系统上现有工具的依赖。 - [Evasion Techniques](https://evasions.checkpoint.com/about/) - 规避和反调试技术百科全书。 - [Filesec.io](https://filesec.io) - 攻击者正在使用的文件扩展名，按功能和操作系统标记。 - [GTFOArgs](https://gtfoargs.github.io) - 可被操纵用于参数注入的 Unix 二进制文件，可能导致安全漏洞。 - [GTFOBins](https://gtfobins.github.io) - 可用于在配置错误的系统中绕过本地安全限制的 Unix 二进制文件。 - [HijackLibs](https://hijacklibs.net) - DLL 劫持候选列表，将易受攻击的可执行文件映射到可被滥用的 DLL，并为防御者提供 Sigma 检测规则。 - [lcdbins](https://github.com/ofasgard/lcdbins) - 单行命令集合，利用大多数基于 UNIX 的操作系统上存在的最低标准二进制文件 来执行枚举和后渗透活动。 - [LOFLCAB](https://lofl-project.github.io) - Living off the Foreign Land Cmdlets and Binaries (cmdlet、二进制文件、脚本和 WMI 类)。 - [LOLAD](https://lolad-project.github.io) - 攻击者可滥用的 Active Directory 技术、命令和功能目录。 - [LOLBAS](https://lolbas-project.github.io) - Living Off The Land Binaries, Scripts and Libraries。 - [LOLBins CTI-Driven](https://lolbins-ctidriven.vercel.app) - 将入侵期间威胁行为者对 LOLBin 的使用情况映射为图形化、STIX 格式的数据，供威胁情报平台使用。 - [LOLBins Reference](https://livingofftheland.dev/) - Windows 和 Linux LOLBins 的交互式参考，具有动态 Payload 构建器、ATT&CK 映射以及来自官方来源的自动更新。 - [LOLDrivers](https://www.loldrivers.io) - 攻击者用来绕过安全控制并实施攻击的 Windows 驱动程序。 - [LOLESXi](https://lolesxi-project.github.io/LOLESXi/) - VMware ESXi 中原生可用的二进制文件/脚本，且已被攻击者利用。 - [LOLGlobs](https://0xv1n.github.io/LOLGlobs/) - 用于 Linux、macOS、Windows CMD 和 PowerShell 的基于 Glob 的命令混淆技术，用于绕过 AV、EDR 和 WAF 产品中基于特征的检测。 - [LOLRMM](https://lolrmm.io) - 可能被威胁行为者滥用的远程监控和管理 (RMM) 工具。 - [LOOBins](https://www.loobins.io) - Living Off the Orchard (LOO)：可被攻击者滥用的内置 macOS 二进制文件，包含详细的使用信息。 - [LOTHardware](https://lothardware.com.tr) - 攻击者经常滥用的硬件和设备目录。 - [MalAPI.io](https://malapi.io) - 将 Windows API 映射到恶意软件常用的技术。 - [Persistence Info](https://persistence-info.github.io) - Windows 持久化机制，包括注册表键、计划任务、服务和 DLL，并提供检测和保护指南。 - [Sploitify](https://sploitify.haxx.it) - 公开的服务端漏洞利用交互式速查表，可按产品搜索。 - [WADComs](https://wadcoms.github.io) - 交互式速查表，包含针对 Windows / Active Directory 环境使用的攻击性安全工具及其相应命令。 - [WTFBins](https://wtfbins.wtf) - 表现出可疑行为的良性应用程序，会在威胁搜寻和自动检测中产生噪音和误报。 ## Network - [Awesome Tunneling](https://github.com/anderspitman/awesome-tunneling) - 隧道软件和服务，包括 ngrok 和 Cloudflare Tunnel 的自托管替代方案，常被滥用于 C2 和数据渗出。 - [LOLC2](https://lolc2.github.io) - 利用合法服务逃避检测的 C2 框架。 - [LOLEXFIL](https://lolexfil.github.io/) - 数据渗出参考，涵盖 LOLBins、RMM 工具、云存储、隧道协议等，每一项都包含检测模式、模拟命令、DFIR 工件、IOC 和 ATT&CK 映射。 - [LOTS Project](https://lots-project.com) - Living Off Trusted Sites：被滥用于钓鱼、C2、数据渗出和工具投递以逃避检测的合法流行域名。 - [LOTTunnels](https://lottunnels.github.io) - Living Off the Tunnels：被滥用于数据渗出、持久化和 Shell 访问的合法隧道服务。 - [LoTWH](https://lotwebhooks.github.io) - Living Off The Webhooks：被滥用于数据渗出和 C2 通信的 Webhook 服务。 ## Software Supply Chain - [LoLCerts](https://github.com/WithSecureLabs/lolcerts) - Living Off The Leaked Certificates：已知泄露或被盗并被威胁行为者滥用的代码签名证书。 - [LOTP](https://boostsecurityio.github.io/lotp/) - Living Off the Pipeline：列出了 CI/CD 管道中常用的开发工具（通常是 CLI）如何具有鲜为人知的“按设计允许远程代码执行 (RCE-By-Design)”功能（“foot guns”）。 ## SecOps - [LoFP](https://br0k3nlab.com/LoFP/) - Living off the False Positive：源自流行规则集的自动生成误报集合。 - [Project LOST](https://0xanalyst.github.io/Project-Lost/) - Living Off Security Tools：攻击者用来绕过安全控制并实施攻击的安全工具。

标签：API接口, API滥用, Azure安全, DNS 反向解析, Living off the Land, LOL, LOLApps, LOLBins, LOLDrivers, Office 365, PB级数据处理, PFX证书, SaaS安全, 免杀技术, 内核模块, 嗅探欺骗, 威胁情报, 安全资源, 安全运维, 开发者工具, 攻击检测, 数据展示, 暴力破解检测, 权限维持, 横向渗透, 横向移动, 流量嗅探, 白利用, 知识库安全, 私有化部署, 端点安全, 红队, 编程规范, 网络安全, 补丁管理, 防御加固, 防御规避, 隐私保护