日志分析
文章平均质量分 75
12306Br0
中国240万铁路工人中的普通一员!
你的每一个进步都值得被记录!
展开
-
CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越流量特征
0x1 简介Apache HTTP Server是Apache基金会开源的一款流行的HTTP服务器。Apache官方在2.4.50版本中对2.4.49版本中出现的目录穿越漏洞CVE-2021-41773进行了修复,但这个修复是不完整的,CVE-2021-42013是对补丁的绕过。攻击者利用这个漏洞,可以读取位于Apache服务器Web目录以外的其他文件,或者读取Web目录中的脚本文件源码,或者在开启了cgi或cgid的服务器上执行任意命令。这个漏洞可以影响Apache HTTP Server 2.4.原创 2021-10-10 13:46:50 · 1400 阅读 · 0 评论 -
监控渗透测试中powershell白名单利用行为
简介您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。补充说明:在高版本powershell(V5以上含V5)中,可以通过配置策略,对进程命令行参数进行记录,具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。基础日志windows 安全日志/SYSMON日志(需要原创 2020-05-08 22:33:04 · 713 阅读 · 0 评论 -
监控渗透测试中Certutil利用行为
简介Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话。补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用,同样也可以在低版本操...原创 2020-05-07 13:40:28 · 994 阅读 · 0 评论 -
监控白名单WMIC执行payload行为
来自ATT&CK的描述WMI(Windows Management Instrumentation)是Windows管理功能,它为本地和远程访问windows系统组件提供了统一的环境。它依赖WMI服务来进行本地和远程访问,以及SMB(服务器消息块)和RPCS(远程过程调用服务)来进行远程访问。RPCS通过端口135运行。攻击者可能会使用WMI与本地和远程系统交互,也可能使用WMI来将执...原创 2020-04-26 09:37:04 · 698 阅读 · 0 评论 -
监控白名单Installutil.exe执行payload行为
简介命令行实用程序InstallUtil可用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源。InstallUtil位于Windows系统上的.NET目录中:C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exeC:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe...原创 2020-04-13 15:31:25 · 656 阅读 · 0 评论 -
监控白名单Zipfldr.dll执行Payload
简介zipfldr.dll自Windows xp开始自带的zip文件压缩/解压工具组件,同样该工具支持WinXP-Win10 全版本,zipfldr.dll所在路径已被系统添加PATH环境变量中,因此zipfldr.dll命令可识别,但由于为dll文件,需调用rundll32.exe来执行。补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策...原创 2020-04-13 14:20:15 · 326 阅读 · 0 评论 -
监控白名单Msbuild.exe执行payload
简介MSBuild.exe(Microsoft Build Engine)是Visual Studio使用的软件构建平台。它采用XML格式的项目文件,定义了各种平台的构建要求和配置。攻击者可能会使用MSBuild通过受信任的Windows实用程序来代理执行代码。.NET 4中引入的MSBuild内联任务功能允许将C#代码插入到XML项目文件中。内联任务MSBuild将编译并执行内联任务。MSB...原创 2020-04-13 14:12:07 · 473 阅读 · 0 评论 -
Windows认证/白银票据
Window认证学习笔记 (by 12306Bro) 前言因为疫情导致在家办公,正好可以利用这段时间提升一下自己,所以打算学习一下Windows认证。windows认证 Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并...原创 2020-03-13 12:57:23 · 843 阅读 · 0 评论 -
purple-team-attack-automation(紫色团队攻击自动化)学习与研究
接上删除多余/失效的shell。使用命令remove+Name名字删除后,剩下的shell名称,你也可以tab两下查看可供参考的命令rename+name+new name 修改shell名称:interact+name命令即可进入shell中,这里的shell名称即为test:usemodule查看当前可用模块:...原创 2020-01-07 14:26:56 · 1391 阅读 · 2 评论 -
威胁狩猎终极指南
介绍从本质上讲,网络世界中的威胁狩猎可能与现实世界中的狩猎非常相似。它需要具有独特技能的专业人员,他们具有一定的耐心,批判性思维,创造力和敏锐的洞察力,通常以网络行为异常的形式发现猎物。“但是猎人到底在寻找什么呢?以及为什么我们需要它们?“ 很多CEO问。“既然我们已经实施了最新的网络安全解决方案,我们部署了最新的设备,我们的系统是否得到了充分的保护?”这是一个简单的问题:威胁搜寻的核心可以理...翻译 2019-09-30 15:49:44 · 1903 阅读 · 0 评论 -
检测和缓解PowerShell攻击的方法
声明:本文档由12306Bro个人业余时间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议,请将原文文档做为主要参考,原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途,仅供交流与学习。PowerShell已经发展成为针对windows系统攻击的主要方式之一,是攻击者使用本机工具攻击的一种...转载 2019-09-27 11:09:50 · 2290 阅读 · 0 评论 -
使用windows日志监控AD安全性的五大挑战
声明:本文档由12306Bro个人业余时间翻译,个人行为与公司无任何关系!译文来源INSIDER THREAT SECURITY BLOG博客站相关文档。如您对翻译文档内容有异议,请将原文文档做为主要参考,原文版权由博客站及其相关成员持有并保留。翻译文章禁止用于任何商业用途,仅供交流与学习。前言随着恶意活动的增加,攻击者用来破坏凭据和数据的方法也各种各样,监控Active Directory(...翻译 2019-09-25 15:59:11 · 1990 阅读 · 0 评论 -
windows终端事件日志监控指南
windows事件监控指南推荐收集的活动日志账户使用情况收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...原创 2019-08-22 17:30:29 · 11558 阅读 · 1 评论