网络安全最新【实战】服务隐藏与排查 Windows 应急响应

于 2024-05-04 18:17:16 发布
阅读量645 收藏 26
点赞数 30
分类专栏: 程序员 文章标签: web安全 windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84302761/article/details/138447179
版权

https://learn.microsoft.com/zh-cn/windows/win32/secauthz/security-descriptor-string-format

https://learn.microsoft.com/zh-cn/windows/win32/secauthz/ace-strings

https://learn.microsoft.com/zh-cn/windows/win32/services/service-security-and-access-rights

可以通过一些 SDDL 解析工具进行查看

https://github.com/canix1/SDDL-Converter

是一个 powershell 脚本,右键执行

图片

将 SDDL 放到其中进行解析

图片

这样看起来比较直观

0x03 修改服务权限设置

sc sdset "XblGameSave" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"

图片

图片

0x04 测试隐藏效果

1. services.msc

图片

2. sc
sc queryex | findstr "XblGameSave"
sc query "XblGameSave"

图片

可以看到,常规检查的时候,无法直接看到 XblGameSave

通过 sc query 指定名称查找显示的是 拒绝访问

通过 sc qc 指定名称查找能够显示出正常内容

如果常规方式看不到,应急响应人员也无法知晓该活动的名称,也就无法查询到

3. PowerShell
Get-Service | findstr "XblGameSave"
Get-Service -Name "XblGameSave"

图片

指定名称查询都显示找不到任何服务

4. wmic
wmic service | findstr "XblGameSave"
wmic service where "Name='XblGameSave'" get Name, DisplayName, Description

图片

5. System Informer

https://systeminformer.sourceforge.io/

Process Hacker 的升级版

图片

也看不到

6. 注册表

图片

可以看到,注册表能够看到该服务,此时注册表多了一项 Security

图片</

最低0.47元/天 解锁文章
2401_84302761
关注
  • 30
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【漏洞复现】Hikvision综合安防管理平台env信息泄漏漏洞
晚风不及你
01-21 1979
Hikvision(海康威视)是一家在中国颇具影响力的安防公司,其网络摄像头产品在市场上占据了相当大的份额。综合安防管理平台基于“统一软件技术架构”理念设计,采用业务组件化技术,满足平台在业务上的弹性扩展。
网络安全自学教程》- Windows应急响应排查思路
热门推荐
wangyuxiang946的博客
04-17 1万+
结合实战案例逐步讲解Windows应急响应排查思路及具体操作步骤
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 791
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
文档根元素 "beans" 必须匹配 DOCTYPE 根 "null"
woshi1226a的博客
03-24 3691
文档根元素 “beans” 必须匹配 DOCTYPE 根 “null” 环境 Spring + Mybatis的Web程序 现象 在程序启动时,出现“文档根元素 ‘beans’ 必须匹配 DOCTYPE 根 ‘null’”的错误。 问题原因 根据报错信息“文档根元素 "beans" 必须匹配 DOCTYPE 根 "null" ”可知, mybatis在扫描Mapper.xml文件时,扫描到非m...
文档根元素 “beans“ 必须匹配 DOCTYPE 根 “null“
m0_62429214的博客
04-19 552
【文档根元素 “beans“ 必须匹配 DOCTYPE 根 “null“ 】 这种错误的一种低级错误!! 整合mybatis时,创建SqlSessionFactoryBean时,configLocation属性设置错误,提供了一个错的配置文件导致。
实战服务隐藏排查 Windows 应急响应(3),逆袭面经分享
最新发布
2401_83946284的博客
04-19 742
Write-Host “未发现恶意服务.”
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
文档根元素 beans 必须匹配 doctype 根 null。_DTD(Document Type Definition):文档类型定义...
weixin_39870199的博客
11-28 907
在编写html的时候,我们常常会看到以下代码:<!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title></title> </head> <body> </body> </html>可以看见在...
检测到目标url存在http host头攻击漏洞_每日漏洞 | Host头攻击
weixin_39625586的博客
12-08 1157
0x00 概述漏洞名称:Host头攻击风险等级:低问题类型:管理员设置问题0x01 漏洞描述很多场景下,开发者都相信HTTP Host header传递的参数值用来更新链接导出脚本或者一些敏感操作。但该参数是可控的,若没有对其进行处理,就有可能造成恶意代码的传入。0x02 漏洞危害如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。0x03 修复建议对Host字段进行检测Ngin...
头插法和尾插法
weixin_30847939的博客
07-07 458
、#include "stdio.h"#include "stdlib.h"typedef struct List { int data; //数据域 struct List *next; //指针域} List;void TailCreatList(List *L) //尾插法建立链表{ List *s, *r;//s用来指向新生成的节点。r始终指向L的终端节点。 r = L; //r...
漏洞复现-海康威视综合安防管理平台信息泄露【附Poc】
zkaqlaoniao的博客
10-25 3670
海康威视(Hikvision)是一家总部位于中国杭州的公司,是全球最大的视频监控产品供应商。除了传统的CCTV摄像机和网络摄像机,海康威视还提供各种相关的安防产品和解决方案。他们的综合安防管理平台为用户提供了一站式的解决方案,包括视频监控、入侵检测、访客管理、停车场管理等。
【0day】复现海康威视综合安防管理平台信息泄露(内网集权账户密码)漏洞
记录并分享学习安全的知识点..
10-17 2226
​ HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,海康威视综合安防管理平台信息存在信息泄露(内网集权账户密码)漏洞,可以通过解密软件,解密用户名密码。 ​
检测到目标url存在http host头攻击漏洞_任意URL跳转漏洞
weixin_39841572的博客
12-08 787
任意URL跳转漏洞漏洞简单介绍:服务端未对传入的跳转URL变量进行检查和控制,导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易。修复该漏洞最有效的方法之一就是校验传入的跳转URL参数值,判断是否为预期域名。在Java中可使用下列方法:Str...
ctfshow-web-web15 Fishman
HAI_WD的博客
09-11 621
ctfshow-web-web15 Fishman
企业Windows应急响应策略:实战技巧与排查流程
"Windows应急流程及实战演练文档详细介绍了企业在面对黑客入侵、系统崩溃或影响业务的其他安全事件时,如何迅速采取应对措施,确保网络信息系统能尽快恢复正常运作。文档首先强调了应急响应的重要性,特别是在保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值