12306Br0-CSDN博客

此操作仅用于技术交流和学习研究使用，请勿用于非法攻击，否则造成一切后果与本人无关在F5 BIG-IP 16.1.x 16.1.2.2之前的版本、15.1.5.1之前的15.1.x版本、14.1.4.6之前的14.1.x版本、13.1.5之前的13.1.x版本以及所有12.1.x和11.6.x版本，未公开的请求可能会绕过iControl REST身份验证。注意：未评估已达到技术支持终止(EoTS)的软件版本。...

2022-06-25 11:47:55 466

原创 CVE-2022-22954-VMware Workspace ONE Access SSTI远程代码执行流量特征

仅用于技术交流和学习研究使用，请勿用于非法攻击，否则造成一切后果与本人无关VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入而导致的远程代码执行漏洞。VMware已将此问题的严重性评估为处于严重严重性范围内，CVSSv3基本得分最高为9.8。具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。...

2022-06-25 11:43:45 1114

原创 CVE-2022-26134-Confluence OGNL表达式注入命令执行漏洞流量特征

Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。Confluence Server and Data Center存在一个远程代码执行漏洞，未经身份验证的攻击者可以利用该漏洞向目标服务器注入恶意ONGL表达式，进而在目标服务器上执行任意代码。...

2022-06-25 11:34:52 1339

翻译红队、蓝队和紫队组合：安全保障的协作方法

红队、蓝队和紫队演习是创新的安全策略，可模拟现实生活中的网络攻击，以定位弱点，提高信息安全性，并最大限度地提高防御效率。这种团队努力为组织的安全状况提供了现实的对抗性评估。利用具有特定目标、提高风险意识、提高技能和持续改进心态的专业团队的专业知识。随着越来越多的设备在互联网上上线，安全性已成为所有组织（无论大小）的挑战。在过去的几年里，组织不得不适应局家工作的场景，并迅速采用从未经过测试的威胁模型。 ......

2022-06-16 16:26:54 2733

原创 CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越流量特征

0x1 简介Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复，但这个修复是不完整的，CVE-2021-42013是对补丁的绕过。攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令。这个漏洞可以影响Apache HTTP Server 2.4.

2021-10-10 13:46:50 1386

原创 CVE-2021-41773-Apache HTTP Server 2.4.49路径穿越流量特征

0x1 简介Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。在其2.4.49版本中，引入了一个路径穿越漏洞，满足下面两个条件的Apache服务器将会受到影响：版本等于2.4.49穿越的目录允许被访问，比如配置了Require all granted。（默认情况下是不允许的）攻击者利用这个漏洞，可以读取位于Apache服务器Web目录以外的其他文件，或者读取Web目录中的脚本文件源码，或者在开启了cgi或cgid的服务器上执行任意命令。0x2 漏洞详情使用如

2021-10-10 12:07:30 663

原创 DNSLOG相关知识

0x01 DNS知识域名系统（Domain Name System），是互联网使用的命名系统，用来便于人们使用的机器名字转换为IP地址。0x02 DNS解析2.1 解析过程要点当某一个应用进程需要把主机名解析为IP地址时，该应用进程就调用解析程序，并成为DNS的一个客户（DNS Client），把待解析的域名放在DNS请求报文中，以UDP用户数据报方式发给本地域名服务器（使用UDP是为了减少开销）。本地域名服务器在查找域名后，把对应的IP地址放在响应报文中返回。应用进程获得目的主机的IP地址后即可进

2021-07-15 16:13:07 588

转载转载—红蓝对抗之安装包钓鱼与反钓鱼

红蓝对抗之安装包钓鱼与反钓鱼前言转载自：https://wiki.freebuf.com/detail?wiki=15&post=274750文件钓鱼是红蓝对抗中红队经常使用的攻击手段，相反蓝队也可以通过反钓鱼的手段来对红队进行反制，获取分值。以上内容来自原文。实际上我们曾在某次大型演练中有幸使用过此方法，获得了不错的成绩。看到此文，特转载留存。红队钓鱼利用伴随着邮件沙箱，恶意行为检测等技术的发展，传统文件钓鱼攻击严重增加，可以使用dll劫持技术劫持一个正常的软件，进行重打包。然后以版本

2021-06-15 17:06:43 412

转载转载—sqlmap在https情况下的一个错误

对于https网站，使用sqlmap可能会出现如下错误。使用–force-ssl无效。[14:19:03] [CRITICAL] can’t establish SSL connection解决方法一：python sqlmap.py -u https://www.xxxx.com/?id=2* --level 5 --risk 3 --dbms MYSQL --tamper=between,bluecoat,charencode,charunicodeencode,equaltolike,great

2021-06-15 15:40:42 3662

原创监控渗透测试中powershell白名单利用行为

简介您可以使用PowerShell.exe从另一个工具（例如Cmd.exe）的命令行启动PowerShell会话，也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。补充说明：在高版本powershell（V5以上含V5）中，可以通过配置策略，对进程命令行参数进行记录，具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon，通过sysmon日志进行监控。基础日志windows 安全日志/SYSMON日志（需要

2020-05-08 22:33:04 709

原创监控渗透测试中Certutil利用行为

简介Certutil.exe是作为证书服务的一部分安装的命令行程序。我们可以使用此工具在目标计算机上执行恶意EXE文件，并获取meterpreter会话。补充说明：在高版本操作系统中，可以通过配置策略，对进程命令行参数进行记录。日志策略开启方法：本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用，同样也可以在低版本操...

2020-05-07 13:40:28 980

原创监控白名单WMIC执行payload行为

来自ATT&CK的描述WMI（Windows Management Instrumentation）是Windows管理功能，它为本地和远程访问windows系统组件提供了统一的环境。它依赖WMI服务来进行本地和远程访问，以及SMB（服务器消息块）和RPCS（远程过程调用服务）来进行远程访问。RPCS通过端口135运行。攻击者可能会使用WMI与本地和远程系统交互，也可能使用WMI来将执...

2020-04-26 09:37:04 687

原创监控白名单Installutil.exe执行payload行为

简介命令行实用程序InstallUtil可用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源。InstallUtil位于Windows系统上的.NET目录中：C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exeC:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe...

2020-04-13 15:31:25 644

原创监控白名单Zipfldr.dll执行Payload

简介zipfldr.dll自Windows xp开始自带的zip文件压缩/解压工具组件，同样该工具支持WinXP-Win10 全版本，zipfldr.dll所在路径已被系统添加PATH环境变量中，因此zipfldr.dll命令可识别，但由于为dll文件，需调用rundll32.exe来执行。补充说明：在高版本操作系统中，可以通过配置策略，对进程命令行参数进行记录。日志策略开启方法：本地计算机策...

2020-04-13 14:20:15 321

原创监控白名单Msbuild.exe执行payload

简介MSBuild.exe（Microsoft Build Engine）是Visual Studio使用的软件构建平台。它采用XML格式的项目文件，定义了各种平台的构建要求和配置。攻击者可能会使用MSBuild通过受信任的Windows实用程序来代理执行代码。.NET 4中引入的MSBuild内联任务功能允许将C＃代码插入到XML项目文件中。内联任务MSBuild将编译并执行内联任务。MSB...

2020-04-13 14:12:07 461

原创 Moloch安装与使用

0X01 moloch简介Moloch是一款由 AOL 开源的，能够大规模的捕获IPv4数据包（PCAP）、索引和数据库系统。所以我的Capture Machines和Elasticsearch Machines都放在一台上面，有条件的强烈推荐把这2个组件分离开来。根据官方介绍，需要留意一下事情：1.Moloch不支持32位2.内核4.X 有助于抓包性能提升0x02 Moloch安...

2020-04-10 14:04:58 4242 2

原创 Windows认证/白银票据

Window认证学习笔记（by 12306Bro）前言因为疫情导致在家办公，正好可以利用这段时间提升一下自己，所以打算学习一下Windows认证。windows认证 Kerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并...

2020-03-13 12:57:23 841

原创 purple-team-attack-automation(紫色团队攻击自动化)学习与研究

接上删除多余/失效的shell。使用命令remove+Name名字删除后，剩下的shell名称，你也可以tab两下查看可供参考的命令rename+name+new name 修改shell名称：interact+name命令即可进入shell中，这里的shell名称即为test:usemodule查看当前可用模块:...

2020-01-07 14:26:56 1383 2

原创初用Empire体验

初用Empire体验部署与安装git clone https://github.com/EmpireProject/Empire.gitcd /Empire/setup/./install.sh安装后，在其目录执行./empire 文件即可，打开后如下图:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5lA7e773-1575343501305)(…/...

2019-12-03 12:48:57 257

原创 windows server 2008 活动目录学习笔记1

windows server 2008 活动目录学习笔记1本来想买本书系统的学一下AD域的一些知识（比如审核策略、日志记录等），于是就买了这本书，趁着周末，快速看一遍。以下内容是摘自书中内容。RID主机角色的作用作用一在域中建立对象（例如：用户、组、计算机等），每一个对象都要有一个独一无二的SID，一个SID是由两个号码所组成：Domain ID(当前域的ID)+Reliative ID(...

2019-12-01 16:10:41 327

原创缓存和存储凭据技术概述

一、概述当用户或服务想要访问计算机资源时，他们必须提供证明其身份的信息。他们的身份通常采用其账户用户名的形式。这可能是用户名，即安全帐户管理器（SAM）帐户名或用户主体名称（UPN）。但是，为了证明自己的身份，他们必须提供秘密信息，称为身份验证者。身份验证器可以采用多种形式，具体取决于身份验证协议和方法。身份和身份验证者的组合称为身份验证凭证。创建，提交和验证凭据的过程简称为身份验证，它是通过...

2019-11-29 16:53:22 1133

翻译威胁狩猎终极指南

介绍从本质上讲，网络世界中的威胁狩猎可能与现实世界中的狩猎非常相似。它需要具有独特技能的专业人员，他们具有一定的耐心，批判性思维，创造力和敏锐的洞察力，通常以网络行为异常的形式发现猎物。“但是猎人到底在寻找什么呢？以及为什么我们需要它们？“ 很多CEO问。“既然我们已经实施了最新的网络安全解决方案，我们部署了最新的设备，我们的系统是否得到了充分的保护？”这是一个简单的问题：威胁搜寻的核心可以理...

2019-09-30 15:49:44 1887

转载检测和缓解PowerShell攻击的方法

声明：本文档由12306Bro个人业余时间翻译，个人行为与公司无任何关系！译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议，请将原文文档做为主要参考，原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途，仅供交流与学习。PowerShell已经发展成为针对windows系统攻击的主要方式之一，是攻击者使用本机工具攻击的一种...

2019-09-27 11:09:50 2246

翻译使用windows日志监控AD安全性的五大挑战

声明：本文档由12306Bro个人业余时间翻译，个人行为与公司无任何关系！译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议，请将原文文档做为主要参考，原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途，仅供交流与学习。前言随着恶意活动的增加，攻击者用来破坏凭据和数据的方法也各种各样，监控Active Directory（...

2019-09-25 15:59:11 1969

原创 windows终端事件日志监控指南

windows事件监控指南推荐收集的活动日志账户使用情况收集和审核用户帐户信息。跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。还可以跟踪其他信息，例如远程桌面登录，添加到特权组的用户以及帐户锁定。值得注意的是，你要特别关注那些被提升为特权组的用户帐户，以确保用户被提升到特权组的行为是正常的，经过内部审核的，而不是未授权的。未经审核授权的特权组成员...

2019-08-22 17:30:29 11514 1

原创基于流量侧检测冰蝎webshell交互通讯

概述作为新型加密webshell管理客户端，冰蝎算是作为中国菜刀、C刀的替代者。根据网传使用效果，基本得到的反馈是相当的NICE！那么我们能否像检测中国菜刀、C刀那样对冰蝎客户端的流量进行检测，帮助网站管理员判断自己的网站是否存在后门。本文后续一一介绍。一、冰蝎主要功能1.基本信息客户端和服务端握手之后，会获取服务器的基本信息，Java、.NET版本包括环境变量、系统属性等，PHP版本会显...

2019-08-21 17:39:02 9887 2

原创 Windows的SID和RID

Windows的SID和RID 关于SID和RID的文章有很多，为什么要写这篇文章（tips:瞎攒一份）？其实在我们进行安全数据分析的时候，经常会遇到日志源无法满足模型建设的问题，那么我们能够放弃这个模型么？不能啊！！！甲方粑粑不允许啊！所以我们要对模型进行调整，使模型满足当前日志源质量，对模型进行调整就会带来准确度就会下降，误报率上升的问题。在排除误报时，这些SID会给我...

2019-07-18 10:38:35 3221

原创 ubuntu下更新谷歌出现异常

周末更新自己的ubuntu时，发现更新提示如下仓库'http://dl.google.com/linux/chrome/deb stable Release'将其'Origin'值从'Google, Inc.'修改到了'Google LLC'#sudo apt-get update通过百度并未查找到解决办法，只好溜出去看了一下解决办法。解决办法如下：#sudo apt upda...

2018-11-11 13:07:55 368

原创 msf学习之旅

从八月份到十一月份，从Antiy到新单位，现在算是正式落下脚。开始研究一些新的东西。上周正好有点时间，就在本地复现了三个msf系列的漏洞。做了相关记录，分享出来，网上也有相关文章，可以学习参考。Microsoft Windows Server服务远程缓冲区溢出漏洞（MS06-040）#msfconsolemsf > search ms06-040msf > use ...

2018-11-11 13:02:52 942

原创关于在ubuntu下安装beef的采坑之旅

ubuntu下安装beef生命不息，折腾不止最近一直在忙其他的事情，kali过于臃肿，硬盘空间有限，折腾之心不死！所以自己给自己搞了个ubuntu虚拟机，打算把工具迁移过来。然而，关于beef在Ubuntu下安装网上的材料实在太少。很多教程现在已经不适用了。所以偷摸看了老外在油管上的教程，现在将整个安装过程简单说一下。beef安装步骤1、安装ruby#sudo apt inst...

2018-11-03 20:56:46 3318 3

原创应急响应基础流程

应急响应流程最近要忙的事情很多，要学的也很多，正好领导也要求做应急响应基础流程，基本上已经完工。细节部分还在完善，现在就将整体框架拿出来做个简单分享。应急响应基础流程应急响应随着国家信息化建设进程的加速，计算机信息系统和网络已经成为重要的基础设施。随着网络安全组件的不断增多，网络边界不断扩大，网络安全管理的难度日趋增大，各种潜在的网络信息危险因素与日俱增。虽然网络安全的保障技术...

2018-09-30 13:23:15 10325

转载关于Cookie那点事

Cookie是什么？Cookie（储存在用户本地终端上的数据）有时也用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据（通常经过加密）。定义于 RFC2109 和 2965 中的都已废弃，最新取代的规范是 RFC6265。来自百度百科Cookie处理流程Cookie的处理分为：1.服务器向客户端发送cookie；2.浏览器将...

2018-09-25 23:14:14 1120

转载短信验证码安全常见逻辑漏洞

短信验证码安全常见逻辑漏洞声明：此文转自http://www.lx598.com/hangyedongtai/978.html （短信验证码安全常见漏洞）短信验证码常被用于网站用户注册、账户安全登录以及忘记密码、确认下单等应用场景，特别是一些涉及到用户个人敏感行为时候，为了确认操作是用户本人执行的通常会使用短信验证码进行二次认证。在实际应用中，有很多产品的短信验证码接口存...

2018-03-07 11:01:25 20810 3

原创关于升级14.1.0 build-7370693之后遇到的问题

关于升级14.1.0 build-7370693之后遇到的问题解决办法1、VMware Authorization Service服务项不能启动2、vmx86 驱动版本不匹配3、无法连接 MKS: 套接字连接尝试次数太多;正在放弃。

2017-12-24 00:16:57 15388 4

SPLUNK8.2.0中文手册

splunk-8.1.0-f57c09e87251-linux-2.6-amd64.deb

工业和信息化部《公共互联网网络安全威胁监测与处置办法》

空空如也