- 博客(812)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 服务器入侵追溯
GoAccess 是一款用于Apache或者Nginx的命令行日志分析器和交互式查看器。它可以通过分析网站服务器日志来进一步挖掘数据,排查入侵痕迹。它在一个终端窗口实时输出并且可以在web端输出可视化的显示信息。相关事件ID:4624:成功登录4625:登录失败4768:Kerberos身份验证(TGT请求)4769:Kerberos服务票证(ST请求)4776:NTLM身份验证4672:分配特殊权限。
2024-09-16 18:25:58
1325
原创 内存dump文件分析
获得了可疑终端程序的内存映像,在内存分析过程中,首先识别恶意进程正在运行或隐藏的迹象,可以通过使用各种volatility插件来实现。通过使用pstree,可以看到Isass.exe作为资源管理器.exe子进程运行。因此,它是伪装成真正的lsass.exe进程,其次是lsass.exe父进程也不是explorer.exe而是wininit.exe。因此,这是一个恶意进程。通过对内存中进程网络数据连接的分析,可以看出PID 5820 chrome.exe的进程异常的通过端口3389隧道传输流量。
2024-09-16 11:37:18
396
原创 挖矿木马-Linux
1、挖矿木马靶机中切换至root用户执行/root目录下的start.sh和attack.sh2、题目服务器中包含两个应用场景,redis服务和hpMyAdmin服务,黑客分别通过两场景进行入侵,入侵与后续利用线路路如下:redis服务:redis服务监听地址为0.0.0.0,且使用root户运行,黑客通过对外开放的redis服务,向/root/.ssh/authorized_keys⽂文件下写入自己的公钥从而获得服务器ssh服务的root连接权限;
2024-09-09 22:50:51
979
原创 Linux服务器应急响应(上)
网页篡改,即攻击者故意篡改网络上传送的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。网页篡改一般有明显式和隐藏式两种。明显式网页篡改指攻击者为炫耀自己的技术技巧,或表明自己的观点实施的网页篡改;隐藏式网页篡改一般是在网页中植入色情、诈骗等非法信息链接,再通过灰色、黑色产业链牟取非法经济利益。攻击者为了篡改网页,一般需提前找到并利用网站漏洞,在网页中植入后门,并最终获取网站的控制权。
2024-09-09 02:52:23
445
原创 Linux服务器应急响应(下)
Linux alias命令用于设置指令的别名。用户可利用alias,自定指令的别名。若仅输入alias,则可列出目前所有的别名设置。alias的效力仅及于该次登入的操作。若要每次登入是即自动设好别名,可在.profile或.cshrc中设定指令的别名。
2024-09-08 18:22:55
365
原创 mft文件分析
1、MFTMFT,全称,即主文件表,它是NTFS文件系统的核心。它是包含了NTFS卷中所有文件信息的数据库,在$MFT中每个文件(包括MFT本身)至少有一个MFT,记录着该文件的各种信息。这些信息被称为属性。NTFS使用MFT条目定义它们对应的文件,有关文件的所有信息,比如大小、时间、权限等都存在MFT条目中,或者由MFT条目描述存储在MFT外部的空间中。MFT由一个个MFT项(也称为文件记录())组成,每个MFT项占用1024字节的空间。这个概念相当于Linux中的inode在$MFT。
2024-09-07 23:07:37
1233
原创 域取证的日志分析
1、evtx文件是微软从(Windows Vista 和 Server 2008) 开始采用的一种全新的日志文件格式。在此之前的格式是evt。evtx由Windows事件查看器创建,包含Windows记录的事件列表,以专有的二进制XML格式保存。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。记录系统的安全审计日志事件,比如登录事件、对象访问、进程追踪、特权调用、帐号管理、策略变更等。
2024-09-07 14:01:23
412
原创 Prefetch文件分析
Prefetch(预读取),从Windows XP开始引入,用来加速应用程序启动过程。Prefetch包含可执行文件的名称、文件时间戳、运行次数、上次执行时间、Hash等。Win7上记录最近128个可执行文件的信息,Win8-10上的最近1024个可执行文件。Pf文件的名称由“大写字母的应用程序名、、大写的8位十六进制哈希值、.pf扩展名”组成。当用户首次运行某个应用程序的时候,Windows操作系统的程序会跟踪记录应用程序启动过程中所需的代码和数据(主要是DLL),然后由一个名为。
2024-09-07 09:49:35
312
原创 持久化分析
1、WMI 的全称是 Windows Management Instrumentation,即 Windows 管理规范,在 Windows 操作系统中,随着 WMI 技术的引入并在之后随着时间的推移而过时,它作为一项功能强大的技术,从 Windows NT 4.0 和 Windows 95 开始,始终保持其一致性。它出现在所有的 Windows 操作系统中,并由一组强大的工具集合组成,用于管理本地或远程的 Windows 系统。
2024-09-05 22:22:41
692
原创 注册表分析
RegRipper 是一个开源工具,用 Perl 编写,用于从注册表中提取/解析信息(键、值、数据)并将其呈现以供分析。RegRipper 由两个基本工具组成,它们都提供类似的功能。RegRipper GUI 允许分析人员选择要解析的配置单元、结果的输出文件以及针对配置单元运行的配置文件(插件列表)。当分析师针对配置单元启动该工具时,结果将转到分析师指定的文件。如果分析师选择解析系统配置单元,他们也可能选择将结果发送到 system.txt。
2024-09-05 00:55:40
462
原创 zeus病毒应急响应
Zeus病毒,也叫Zbot病毒,是一种具有高潜伏性的木马病毒,受影响系统为微软Windows,主要被用来盗窃用户银行信息。Zeus最早于2007年被发现,当时它被用来盗取美国某公司的资料信息。到2009年,Zeus病毒进入全面爆发阶段。据统计,单单在美国,就有超过三百六十万的主机在2009年感染Zeus。保守估计,至少造成了七千万美元的损失。Zeus早已形成了一个规模庞大的僵尸网络。由于Zeus具备抗检测、高潜伏能力,目前还没有哪一个杀毒软件能够绝对根除所有变种的Zeus。
2024-09-03 23:28:21
428
原创 jumplist分析
Jump Lists是Windows 7开始引入的新功能,该功能允许用户查看固定在任务栏中程序最近打开的文件Jump Lists由应用软件或者系统创建,作用是方便用户可以直接跳转到最近打开的文件或文件夹。Jump List显示的列表数量是有限的,在操作系统中,用户可以通过更改注册表来修改Jump List的条数,但在Windows 10中,这个数量被固定了,用户无法自行修改。Jump List文件是一种OLE文件,存储在和路径下。Jump List有两种类型,一种是存放在路径中的文件,另一个是。
2024-09-03 20:21:03
415
原创 bash反弹shell分析
与目标主机建立连接的原理是利用漏洞执行ShellCode。GetShell的实质是:执行ShellCode,将目标主机的Shell重定向到攻击机。拿到Shell利于后续的渗透。所谓的反弹Shell是指GetShell的过程由目标主机主动发起(反向连接)。反弹shell往往是在攻击者无法直接连接受害者的情况下进行的操作,原因有很多,例如目标是局域网,或者开启防火墙的某些策略等情况,而这时,我们就可以让受害者主动向攻击者发起连接,被控端发起请求到控制端某端口,并将其命令行的输入输出转到控制端,从而实现交互。
2024-09-02 21:14:40
531
原创 小型集群分析
etcd是CoreOS基于Raft协议开发的分布式key-value存储,可用于服务发现、共享配置以及一致性保障(如数据库选主、分布式锁等)。在分布式系统中,如何管理节点间的状态一直是一个难题,etcd像是专门为集群环境的服务发现和注册而涉及,它提供了数据TTL失效、数据改变监视、多值、目录监听、分布式锁原子操作等功能,可以方便的跟踪并管理集群节点的状态。
2024-09-01 16:17:21
556
原创 域渗透应急响应
sAMAccountName Spoofing漏洞CVE-2021-42278,机器账户的名字⼀般来说应该以结尾,但AD内没有对域内机器账户名做验证。CVE-2021-42287,与上述漏洞配合使⽤,创建与DC机器账户名字相同的机器账户(不以结尾),账户请求⼀个TGT后,更名账户,然后通过S4U2self向TGS申请ST服务票据,接着DC在TGS_REP 阶段,这个账不存在的时候,DC会使⽤⾃⼰的密钥加密ST服务票据,提供⼀个属于该账户的PAC ,然后我们就得到了⼀个⾼权限ST。
2024-09-01 09:03:42
1032
原创 Windows服务器应急响应(下)
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。
2024-08-31 21:45:49
391
原创 Elastic日志分析
Elasticsearch 是在 Apache Lucene 上构建的分布式搜索和分析引擎。Elasticsearch常用于日志分析、全文搜索、安全智能、业务分析和运维智能使用案例。可以使用 JSON 文档形式或通过 API 等将数据发送到 Elasticsearch。Elasticsearch 自动存储原始文档,并在集群的索引中添加该文档的可搜索引用。然后,您就可以使用 Elasticsearch API 搜索和检索该文档。还可以利用可视化数据并构建交互式控制面板。
2024-08-28 22:46:30
970
原创 Windows服务器应急响应(上)
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。系统账号信息、启动项信息、计划任务信息、端口进程信息、可疑目录和文件、日志信息、网络行为信息的应急响应基础理论SC 是用于与服务控制管理器和服务进行通信的命令行程序。提供的功能类似于“控制面板”中“管理工具”项中的“服务”
2024-08-25 18:10:48
476
原创 Linux权限维持实战
攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件查看/tmp目录下的flag文件查看/root目录下具有特殊文件属性的文件操作机中共有几个SUID文件操作机中共有几个SGID文件查看操作机中ssh公私钥免密登陆查看strace后门。
2024-08-24 10:50:19
249
原创 Windows权限维持实战
在攻击过程中中对于拿到的shell或钓上来的鱼,目前比较流行用CS做统一管理,但实战中CS官方没有集成一键权限维持的功能,为了将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。
2024-08-24 01:01:41
463
原创 日志排查——linux
var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apache2/access.log:记录Apache的访问日志。/var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等。/var/log/userlog:记录所有等级用户信息的日志。
2024-08-23 21:36:58
377
原创 进程和文件痕迹排查——LINUX
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。
2024-08-23 03:02:32
529
原创 Linux系统信息排查
1、熟悉查看CPU信息、操作系统信息、用户信息、特殊权限账户、启动项和任务计划的排查命令2、在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。3、利用lscpu和uname -a查看系统硬件软件基本信息;针对passwd文件查看特权账户、无密码账户和可登录账户;针对etc目录的启动项和crontab的计划任务排查;
2024-08-21 23:00:41
276
原创 流量分析-Windows
1、Medusa工具是通过并行登陆暴力破解的方法,尝试获取远程验证服务访问权限,它支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare),NNTP, PcAnywhere, POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP(AUTH/VRFY), SNMP, SSHv2, SVN, Telnet,VmAuthd, VNC,是一个不择不扣的密码破解工具2、通过 Wappalyzer。
2024-08-21 22:05:43
1058
原创 内存分析—Windows
1、从计算机进行内存捕获可以通过多种方式完成,处于打开状态的计算机可以使用以下工具之一捕获内存:FTK ImagerRedlineDumpIt.exe这些工具通常会输出一个 .raw 文件,其中包含系统内存的镜像。.raw 格式是最常见的内存文件类型之一。2、只要驱动器未加密,处于关闭状态机器就可以相对轻松地提取内存。对于 Windows 系统,可以通过拉取以下文件来完成:%SystemDrive%/hiberfil.syshiberfil.sys,是Windows 休眠文件。
2024-08-18 16:30:13
1113
原创 日志分析-Windows
1、事件日志作为一种检测机制,“Windows PowerShell”经典事件日志的事件 ID 为 400。这是“引擎生命周期”事件,包括引擎版本。4799 中的描述字段主题:执行枚举操作的用户安全 ID帐户名称帐户域登录 ID 为 4624团体:枚举其成员资格的用户组安全 ID组名称组域处理信息:进程 ID 是在 4688 中记录的可执行文件启动时指定的进程 ID。进程名称:标识执行枚举的程序可执行文件。
2024-08-18 01:12:16
1031
原创 文件痕迹排查
1、在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。2、检查temp临时文件夹、预读取文件夹和最近打开文件。3、通过对文件痕迹的基础排查,熟悉潜在程序的行为。
2024-08-17 20:19:44
336
原创 系统信息查看
1、在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。2、在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。攻击者会采用的方法主要有如下几种:第1种是最明目张胆的,即直接建立一个新的账户(有时是为了混淆视听,账户名称与系统常用名称相似);第2种是激活一个系统中的默认账户,但这个账户是不经常使用的;第3种是建立一个隐藏账户(在Windows系统中,一般在账户名称最后加$)。
2024-08-17 19:39:08
392
原创 开机启动项检查
Windows在启动的时候,会自动加载很多程序。这些程序的自启动,带来了便利,但如果是恶意的自启动程序,我们就要关闭掉。我们要把恶意的自启动程序删掉,我们需要删掉开机启动文件夹里面的恶意文件、注册表里的恶意注册表项、自启服务里面的恶意自启项、组策略恶意的自启服务。
2024-08-17 17:04:36
297
原创 windows入侵排查上
打开计算机管理 >系统工具 > 计划任务程序 > 计划任务程序库默认情况下此目录是一个空目录,确认是否有非业务程序在该目录下,可以查看任务计划的名称、状态、触发器等详细信息。命令行输入 msconfig,点击 启动,查看启动项(部分WindowsServer在此显示未启用启动项,部分Windows 系统显示使用任务管理器查看启动部分)查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。net user username 查看username 对应账户的详细信息。
2024-08-17 15:46:27
190
原创 windows入侵排查下
进程名字异常是指某些进程的名字是随机产生的,因此高度可疑,例如:某感染环境,打开任务管理器,发现有大量名字随机的进程,如hrlB3.tmp、hrlcc.tmp、hrlcD.tmp、hrlc3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。在获取内存文件后,可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和 Internet历史记录等,最终生成报告。
2024-08-17 15:43:52
1092
原创 netsat -ano 详解
192.168.3.208:50558 204.79.197.222:443的意思是192.168.3.208的50558端口可以访问204.79.197.222的443。因为我们的服务器或者工作站有开启防火墙,过滤了nmap的流量,导致nmap扫描不到一些端口,再加上我们的开放端口有一些是只有本地才能访问的。端口前面的地址是127.0.0.1和 [::1]的,可以看下面的图例,标红的就是只有本地才能访问的。[::]的意思是Ipv6 通配符地址,[::1]:相当于ipv4里的127.0.0.1。
2024-08-15 19:24:59
393
原创 Atlassian Confluence 路径穿越与命令执行漏洞 CVE-2019-3396
2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。访问服务器ip地址,如:192.168.109.130:8090 进行安装,安装步骤如下:选择Trial Installation——》Next。直接使用邮箱账号,点击New Trial License——》select product——》Confluence。然后会让你填写用户名,如果提示填写路径,路径填写。我这边建立失败了,就不复现了。
2024-08-07 23:11:43
482
原创 Adobe ColdFusion反序列化漏洞(cve-2017-3066)
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
2024-08-03 16:14:20
548
原创 Adobe ColdFusion文件读取漏洞(CVE-2010-2861)
读取后台管理员密码:http://192.168.1.232:8500/CFIDE/administrator/enter.cfm?Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。,可以看到初始化页面,输入密码。
2024-07-31 23:00:17
390
原创 Aria2 任意文件写入漏洞
Aria2是一个在命令行下运行,多协议,多来源下载工具(HTTP / HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面。Aria提供RPC服务器,通过–enable-rpc参数启动。Aria2的RPC服务器可以方便的添加、删除下载项目我们可以使用 RPC 接口来操作 aria2 并将文件下载到任意目录,从而造成任意文件写入漏洞。6800 是 Aria2 的 RPC 服务的默认端口。环境启动后,访问 和 服务会返回 404 页面。
2024-07-28 21:59:04
778
原创 CVE-2018-8715
AppWeb 是一个嵌入式 Web 服务器,基于由 Embedthis Software LLC 开发和维护的开源 GPL 协议。它是用 C/C++ 编写的,几乎可以在任何现代操作系统上运行。当然,它的作用是为嵌入式设备提供一个 Web 应用程序容器。AppWeb可以配置认证,包括以下三种认证方式:basic:传统HTTP基本认证digest:改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用再传递Authorization头form:基于 HTML 的表单身份验证。
2024-07-28 12:35:15
425
原创 CVE-2016-3088
ActiveMQ Web 控制台分为 admin、api 和 fileserver 三个应用程序,其中 admin 是管理员页面,api 是接口,fileserver 是存储文件的接口;admin 和 api 需要登录才能使用,fileserver 不需要登录fileserver 是一个 RESTful API 接口。我们可以通过 GET、PUT 和 DELETE 等 HTTP 请求读取和写入存储在其中的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷,但后来发现:1、它的使用率不高。
2024-07-25 20:02:07
648
原创 CVE-2015-5254
通过 Web 管理页面访问消息并触发漏洞需要管理员权限。在没有密码的情况下,我们可以诱使管理员访问我们的链接触发,或者伪装成其他服务的合法消息在触发时需要等待客户端访问。
2024-07-24 22:35:31
762
原创 漏洞和事件处理
比如严重漏洞,一般要求在24小时之内必须修复漏洞,漏洞修复时间这一块在企业内部和白帽子之间存在一些误会,白帽子往往仅仅从技术角度上去考虑一个漏洞,觉得修复一个漏洞,或者升级一下某个库是分分钟的事情,而在实际企业中,这个过程往往很复杂,比如进行升级的时候,需要评估升级可能带来的其他影响,而漏洞的攻防是跟时间的赛跑,所以在修复之前,安全团队需要密切关注漏洞的发展情况。所有的外部输入都属于不可信的范畴,除了常见的用户输入之外,还需要注意的是文件系统的输入,系统参数的输入、环境变量等其他不可控的输入。
2024-07-22 21:03:15
797
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人