- 博客(794)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 Linux权限维持实战
攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件查看/tmp目录下的flag文件查看/root目录下具有特殊文件属性的文件操作机中共有几个SUID文件操作机中共有几个SGID文件查看操作机中ssh公私钥免密登陆查看strace后门。
2024-08-24 10:50:19
89
原创 Windows权限维持实战
在攻击过程中中对于拿到的shell或钓上来的鱼,目前比较流行用CS做统一管理,但实战中CS官方没有集成一键权限维持的功能,为了将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。
2024-08-24 01:01:41
190
原创 日志排查——linux
var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apache2/access.log:记录Apache的访问日志。/var/log/auth.log:记录系统授权信息,包括用户登录和使用的权限机制等。/var/log/userlog:记录所有等级用户信息的日志。
2024-08-23 21:36:58
244
原创 进程和文件痕迹排查——LINUX
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。
2024-08-23 03:02:32
224
原创 Linux系统信息排查
1、熟悉查看CPU信息、操作系统信息、用户信息、特殊权限账户、启动项和任务计划的排查命令2、在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。3、利用lscpu和uname -a查看系统硬件软件基本信息;针对passwd文件查看特权账户、无密码账户和可登录账户;针对etc目录的启动项和crontab的计划任务排查;
2024-08-21 23:00:41
248
原创 流量分析-Windows
1、Medusa工具是通过并行登陆暴力破解的方法,尝试获取远程验证服务访问权限,它支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare),NNTP, PcAnywhere, POP3, PostgreSQL, rexec, rlogin, rsh, SMB, SMTP(AUTH/VRFY), SNMP, SSHv2, SVN, Telnet,VmAuthd, VNC,是一个不择不扣的密码破解工具2、通过 Wappalyzer。
2024-08-21 22:05:43
784
原创 内存分析—Windows
1、从计算机进行内存捕获可以通过多种方式完成,处于打开状态的计算机可以使用以下工具之一捕获内存:FTK ImagerRedlineDumpIt.exe这些工具通常会输出一个 .raw 文件,其中包含系统内存的镜像。.raw 格式是最常见的内存文件类型之一。2、只要驱动器未加密,处于关闭状态机器就可以相对轻松地提取内存。对于 Windows 系统,可以通过拉取以下文件来完成:%SystemDrive%/hiberfil.syshiberfil.sys,是Windows 休眠文件。
2024-08-18 16:30:13
1072
原创 日志分析-Windows
1、事件日志作为一种检测机制,“Windows PowerShell”经典事件日志的事件 ID 为 400。这是“引擎生命周期”事件,包括引擎版本。4799 中的描述字段主题:执行枚举操作的用户安全 ID帐户名称帐户域登录 ID 为 4624团体:枚举其成员资格的用户组安全 ID组名称组域处理信息:进程 ID 是在 4688 中记录的可执行文件启动时指定的进程 ID。进程名称:标识执行枚举的程序可执行文件。
2024-08-18 01:12:16
962
原创 文件痕迹排查
1、在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。2、检查temp临时文件夹、预读取文件夹和最近打开文件。3、通过对文件痕迹的基础排查,熟悉潜在程序的行为。
2024-08-17 20:19:44
309
原创 系统信息查看
1、在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。2、在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。攻击者会采用的方法主要有如下几种:第1种是最明目张胆的,即直接建立一个新的账户(有时是为了混淆视听,账户名称与系统常用名称相似);第2种是激活一个系统中的默认账户,但这个账户是不经常使用的;第3种是建立一个隐藏账户(在Windows系统中,一般在账户名称最后加$)。
2024-08-17 19:39:08
364
原创 开机启动项检查
Windows在启动的时候,会自动加载很多程序。这些程序的自启动,带来了便利,但如果是恶意的自启动程序,我们就要关闭掉。我们要把恶意的自启动程序删掉,我们需要删掉开机启动文件夹里面的恶意文件、注册表里的恶意注册表项、自启服务里面的恶意自启项、组策略恶意的自启服务。
2024-08-17 17:04:36
241
原创 windows入侵排查上
打开计算机管理 >系统工具 > 计划任务程序 > 计划任务程序库默认情况下此目录是一个空目录,确认是否有非业务程序在该目录下,可以查看任务计划的名称、状态、触发器等详细信息。命令行输入 msconfig,点击 启动,查看启动项(部分WindowsServer在此显示未启用启动项,部分Windows 系统显示使用任务管理器查看启动部分)查看是否存在命名异常的启动项目,是则取消勾选命名异常的启动项目,并到命令中显示的路径删除文件。net user username 查看username 对应账户的详细信息。
2024-08-17 15:46:27
168
原创 windows入侵排查下
进程名字异常是指某些进程的名字是随机产生的,因此高度可疑,例如:某感染环境,打开任务管理器,发现有大量名字随机的进程,如hrlB3.tmp、hrlcc.tmp、hrlcD.tmp、hrlc3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp。在获取内存文件后,可以使用 Redline 进行导入分析,其主要收集在主机上运行的有关进程信息、内存中的驱动程序,以及其他数据,如元数据、注册表数据、任务、服务、网络信息和 Internet历史记录等,最终生成报告。
2024-08-17 15:43:52
1065
原创 netsat -ano 详解
192.168.3.208:50558 204.79.197.222:443的意思是192.168.3.208的50558端口可以访问204.79.197.222的443。因为我们的服务器或者工作站有开启防火墙,过滤了nmap的流量,导致nmap扫描不到一些端口,再加上我们的开放端口有一些是只有本地才能访问的。端口前面的地址是127.0.0.1和 [::1]的,可以看下面的图例,标红的就是只有本地才能访问的。[::]的意思是Ipv6 通配符地址,[::1]:相当于ipv4里的127.0.0.1。
2024-08-15 19:24:59
351
原创 Atlassian Confluence 路径穿越与命令执行漏洞 CVE-2019-3396
2.影响版本:6.6.12之前所有6.6.x版本,6.12.3之前所有6.12.x版本,6.13.13之前所有6.13.x版本,6.14.2之前所有6.14.x版本。访问服务器ip地址,如:192.168.109.130:8090 进行安装,安装步骤如下:选择Trial Installation——》Next。直接使用邮箱账号,点击New Trial License——》select product——》Confluence。然后会让你填写用户名,如果提示填写路径,路径填写。我这边建立失败了,就不复现了。
2024-08-07 23:11:43
452
原创 Adobe ColdFusion反序列化漏洞(cve-2017-3066)
Adobe ColdFusion(直译:冷聚变),是一个动态Web服务器,其CFML(ColdFusion Markup Language)是一种程序设计语言,类似JSP里的JSTL(JSP Standard Tag Lib),从1995年开始开发,其设计思想被一些人认为非常先进,被一些语言所借鉴。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。
2024-08-03 16:14:20
512
原创 Adobe ColdFusion文件读取漏洞(CVE-2010-2861)
读取后台管理员密码:http://192.168.1.232:8500/CFIDE/administrator/enter.cfm?Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。由于AJP协议设计存在缺陷导致内部相关的属性可控,攻击者可以构造属性值,使未授权的用户读取服务器任意文件获得敏感信息,甚至可以进行远程代码执行漏洞的利用。,可以看到初始化页面,输入密码。
2024-07-31 23:00:17
357
原创 Aria2 任意文件写入漏洞
Aria2是一个在命令行下运行,多协议,多来源下载工具(HTTP / HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面。Aria提供RPC服务器,通过–enable-rpc参数启动。Aria2的RPC服务器可以方便的添加、删除下载项目我们可以使用 RPC 接口来操作 aria2 并将文件下载到任意目录,从而造成任意文件写入漏洞。6800 是 Aria2 的 RPC 服务的默认端口。环境启动后,访问 和 服务会返回 404 页面。
2024-07-28 21:59:04
744
原创 CVE-2018-8715
AppWeb 是一个嵌入式 Web 服务器,基于由 Embedthis Software LLC 开发和维护的开源 GPL 协议。它是用 C/C++ 编写的,几乎可以在任何现代操作系统上运行。当然,它的作用是为嵌入式设备提供一个 Web 应用程序容器。AppWeb可以配置认证,包括以下三种认证方式:basic:传统HTTP基本认证digest:改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用再传递Authorization头form:基于 HTML 的表单身份验证。
2024-07-28 12:35:15
401
原创 CVE-2016-3088
ActiveMQ Web 控制台分为 admin、api 和 fileserver 三个应用程序,其中 admin 是管理员页面,api 是接口,fileserver 是存储文件的接口;admin 和 api 需要登录才能使用,fileserver 不需要登录fileserver 是一个 RESTful API 接口。我们可以通过 GET、PUT 和 DELETE 等 HTTP 请求读取和写入存储在其中的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷,但后来发现:1、它的使用率不高。
2024-07-25 20:02:07
632
原创 CVE-2015-5254
通过 Web 管理页面访问消息并触发漏洞需要管理员权限。在没有密码的情况下,我们可以诱使管理员访问我们的链接触发,或者伪装成其他服务的合法消息在触发时需要等待客户端访问。
2024-07-24 22:35:31
751
原创 漏洞和事件处理
比如严重漏洞,一般要求在24小时之内必须修复漏洞,漏洞修复时间这一块在企业内部和白帽子之间存在一些误会,白帽子往往仅仅从技术角度上去考虑一个漏洞,觉得修复一个漏洞,或者升级一下某个库是分分钟的事情,而在实际企业中,这个过程往往很复杂,比如进行升级的时候,需要评估升级可能带来的其他影响,而漏洞的攻防是跟时间的赛跑,所以在修复之前,安全团队需要密切关注漏洞的发展情况。所有的外部输入都属于不可信的范畴,除了常见的用户输入之外,还需要注意的是文件系统的输入,系统参数的输入、环境变量等其他不可控的输入。
2024-07-22 21:03:15
788
原创 安全运营概述
概述安全运营的工作对内安全运营工作对外安全运营工作品牌建设安全是一个过程,安全是靠运营出来的,公司会不断的有新业务的变更,新产品的发布,新版本的升级,技术架构的升级,底层系统的升级,网络设备的升级要想持续的保障公司的安全,只能靠运营,有一家电商公司,他遭遇的安全问题更多的来自于羊毛党刷单撞库等问题,但是随着业务的发展,该公司也做起了支付业务,那么就会引入新的安全风险,比如洗钱盗刷,这些问题除了在技术和业务上进行升级之外,还需要在安全运营上进行跟进,引入新的对抗手段,才能对付来自黑产和灰产的威胁。
2024-07-16 22:58:52
1445
原创 内存镜像文件取证
打印userassist注册表项和信息跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47。
2024-03-20 15:29:10
1111
原创 本地文件包含漏洞利用
因为tftp协议是不校验账号密码的,所以我们可以直接使用这个协议把木马文件上传上去,我们现在的想法是把shell脚本给上传上去,因为我们前面通过信息收集知道这个服务器有使用php语言的环境,所以我们上传的是PHP语言的木马,下面这个是反向shell木马的部分内容。我们可以知道目标的80端口上运行着http服务,服务器是ubuntu,,中间件是apache/2.4.29,语言可能用的是PHP的,还有一个信息资产。我们回过头继续去看/etc/passwd,发现了tftp,这个好像是传输协议,我们去搜索一下。
2024-03-16 19:24:45
908
1
原创 文件包含加/的问题
网站存在文件包含漏洞,我们在访问其目录的时候,要加/。例如http://xx.129.23.249/?而不能http://xx.129.23.249/?file=etc/passwd,后面这个是访问不了的。
2024-03-16 16:15:20
107
原创 MSSQL渗透测试
拿到目标的IP地址,我们先对IP地址进行信息收集,收集信息资产,同时使用nmap对IP地址进行扫描从扫描的结果中,我们能知道目标服务器是windows操作系统,使用的是mssql数据库,数据库端口对外开放,我们先对1433端口进行爆破没有扫描出账号密码,看一下其它的端口有没有可以利用的地方这个135端口是高危端口,我们去网上搜索一下相关利用资料,发现这个端口在之前涉及到一个冲击波病毒,这个端口有登录点,可以进行爆破,我这里使用NTscan进行爆破,没有跑出来。
2024-02-27 12:47:35
1263
原创 nmap网络枚举
Network Mapper ( Nmap) 是一个用 C、C++、Python 和 Lua 编写的开源网络分析和安全审计工具。它旨在扫描网络并使用原始数据包以及服务和应用程序(包括名称和版本)来识别网络上可用的主机(如果可能)。它还可以识别这些主机的操作系统和版本。除了其他功能之外,Nmap 还提供扫描功能,可以确定是否根据需要配置数据包过滤器、防火墙或入侵检测系统 (IDS)。源端口设置为端口号 53,端口 53 通常与 DNS(域名系统)服务关联。端口号 50000 是连接的目标端口。
2024-02-23 13:30:05
508
原创 信息收集专题概括
3.通过目标网站搜集,分析,利用站长工具进行收集信息。2.演示GoogleHacking语法相关知识。某些情况下,社会工程学的收集方法往往更直接有效。不断收集经验,形成自己对收集信息的深刻理解。开扩自己的思路,信息收集没有固定的套路。4.在社交网站中挖掘套取有用的信息。明确要收集那些信息,有针对性的挖掘。
2024-02-20 21:06:24
218
原创 红队APT-钓鱼篇_邮件钓鱼_Ewomail系统_网页克隆
以什么理由让对方去下载文件,这个是很重要的,像一些内部部门的话,就是安装和更新一些补丁,或者给对方发送一个动画视频,这个动画视频是不能播放的,类似于gif图片,刚好动画里面有显示你的播放器是坏的,点进去要它更新播放器,然后更新的播放器就是你本地的。网页钓鱼的作用就是截获用户账号密码,控制目标的电脑上线,主要就是看攻击者的目标,或者是什么邮件引起的,如果是发一封打补丁的,那就涉及到文件后门的问题,我发一封商城的,那就是对你的账号感兴趣。我们前期准备的域名要跟我们的目标保持高度的相似性;
2024-02-18 19:23:34
1169
原创 84 CTF夺旗-PHP弱类型&异或取反&序列化&RCE
相关PHP所有总结知识点参考:ctf变量php的弱类型比较问题php断言(assert) php读取目录下文件的方法preg_match绕过PHP中sha1() 函数和md5() 异或注入updatexml() 函数报错注入源文件泄露利用extract变量覆盖strcmp() 漏洞md5() 漏洞ereg() 截断漏洞弱类型整数大小比较绕过命令执行md5() 漏洞escapeshellarg() 与escapeshellcmd() sql注入绕过关键字。
2024-02-15 15:08:20
1263
原创 83 CTF夺旗-Python考点SSTI&反序列化&字符串
MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广。我们平时看到的社工类题目;给你一个流量包让你分析的题目;取证分析题目;都属于这类题目。主要考查参赛选手的各种基础综合知识,考察范围比较广。PPC(编程类):全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写,批量处理等,有时候用编程去处理问题,会方便的多。当然PPC相比ACM来说,还是较为容易的。
2024-02-07 23:00:41
1295
原创 88 SRC挖掘-拿下CNVD证书开源&闭源&售卖系统
闭源系统:程序源码不公开,一般拿不到源码,你虽然可以接触到系统,但是里面的系统会对源代码加密或者编译,那么这套系统你是看不到真实的源代码;源码有php、python、java这种脚本去处理,还有一种是js处理,例如登录请求可以使用后端代码去处理,也可以通过js里面的ajax或里面的代码去处理,所以这个js也可以和数据进行交互。python是我们在挖掘漏洞里面的一个好帮手,在大家搞ctf比赛,红蓝对抗、挖漏洞,后期涨薪水,工作里面处理任务,这个python都有用处。
2024-02-05 17:25:17
1455
原创 87 SRC挖掘-CNVD证书平台挖掘技巧修君分享
补天不收只有后台能打进去的漏洞,它只收前台能打进去的漏洞。像这种web接口放到awvs里面扫一下,就能扫到很多漏洞。什么是通用型漏洞:互联网有100+ip部署的该系统。通用系统分类:开源系统、闭源系统、售卖系统。
2024-02-03 19:14:11
166
原创 86 SRC挖掘-教育行业平台&规则&批量自动化
危害比较小或者无关紧要的就不会收了,提交漏洞尽量写的详细,图片上传上去,不要说单独的文字说一下,写漏洞详情的时候,文字表达能力也是重要的,漏洞危害写的玄乎一点,说不定等级就会评高了,比如我们写个sql漏洞,看这个权限低的,只能注入到漏洞,把它写上去能获取到什么数据库权限,搞几个截图,它就会认为的确会获取到数据库权限,能在后期做很多事情,这样子它就会把你评到高危漏洞。进行特定检测的时候,一定要选取一些漏洞层面高的,又是比较新的漏洞,你如果用一些老的,就没什么意义,在官网这个地方找有POC的就完事了。
2024-02-03 11:24:22
1041
1
原创 45 漏洞发现-API接口服务之漏洞探针类型利用修复
网站应用这块,有时候会调用网络服务、API的接口,对它的网站有相应的操作,比如支付的,短信的,各种各样的,这些都不是他写的,都是他用别人的,可以理解为是网站的插件或者第三方的东西,按正常来讲,我们可以不用这个东西,我们只是有这个业务,我们就用它,大家如果有做过开发,我相信大家有这个事情。思路2:给定一个域名,我们先找到对应的ip,然后扫描IP,可以发现开放的端口,我们进行目录扫描或敏感文件扫描时,不仅需要对域名扫描,还要对IP以及IP:端口进行扫描,这样会发现更多的漏洞。
2024-02-01 19:40:40
856
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人