ATT&CK
文章平均质量分 67
12306Br0
中国240万铁路工人中的普通一员!
你的每一个进步都值得被记录!
展开
-
CVE-2022-1388-F5BIG-IP未授权RCE流量特征分析
此操作仅用于技术交流和学习研究使用,请勿用于非法攻击,否则造成一切后果与本人无关在F5 BIG-IP 16.1.x 16.1.2.2之前的版本、15.1.5.1之前的15.1.x版本、14.1.4.6之前的14.1.x版本、13.1.5之前的13.1.x版本以及所有12.1.x和11.6.x版本,未公开的请求可能会绕过iControl REST身份验证。注意:未评估已达到技术支持终止(EoTS)的软件版本。...原创 2022-06-25 11:47:55 · 475 阅读 · 0 评论 -
CVE-2022-22954-VMware Workspace ONE Access SSTI远程代码执行流量特征
仅用于技术交流和学习研究使用,请勿用于非法攻击,否则造成一切后果与本人无关VMware Workspace ONE Access and Identity Manager包含一个由于服务器端模板注入而导致的远程代码执行漏洞。VMware已将此问题的严重性评估为处于严重严重性范围内 ,CVSSv3基本得分最高为9.8。具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。...原创 2022-06-25 11:43:45 · 1135 阅读 · 0 评论 -
CVE-2022-26134-Confluence OGNL表达式注入命令执行漏洞流量特征
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server and Data Center存在一个远程代码执行漏洞,未经身份验证的攻击者可以利用该漏洞向目标服务器注入恶意ONGL表达式,进而在目标服务器上执行任意代码。...原创 2022-06-25 11:34:52 · 1349 阅读 · 0 评论 -
红队、蓝队和紫队组合:安全保障的协作方法
红队、蓝队和紫队演习是创新的安全策略,可模拟现实生活中的网络攻击,以定位弱点,提高信息安全性,并最大限度地提高防御效率。这种团队努力为组织的安全状况提供了现实的对抗性评估。 利用具有特定目标、提高风险意识、提高技能和持续改进心态的专业团队的专业知识。随着越来越多的设备在互联网上上线,安全性已成为所有组织(无论大小)的挑战。 在过去的几年里,组织不得不适应局家工作的场景,并迅速采用从未经过测试的威胁模型。 ......翻译 2022-06-16 16:26:54 · 2767 阅读 · 0 评论 -
DNSLOG相关知识
0x01 DNS知识域名系统(Domain Name System),是互联网使用的命名系统,用来便于人们使用的机器名字转换为IP地址。0x02 DNS解析2.1 解析过程要点当某一个应用进程需要把主机名解析为IP地址时,该应用进程就调用解析程序,并成为DNS的一个客户(DNS Client),把待解析的域名放在DNS请求报文中,以UDP用户数据报方式发给本地域名服务器(使用UDP是为了减少开销)。本地域名服务器在查找域名后,把对应的IP地址放在响应报文中返回。应用进程获得目的主机的IP地址后即可进原创 2021-07-15 16:13:07 · 596 阅读 · 0 评论 -
转载—红蓝对抗之安装包钓鱼与反钓鱼
红蓝对抗之安装包钓鱼与反钓鱼前言转载自:https://wiki.freebuf.com/detail?wiki=15&post=274750文件钓鱼是红蓝对抗中红队经常使用的攻击手段,相反蓝队也可以通过反钓鱼的手段来对红队进行反制,获取分值。以上内容来自原文。实际上我们曾在某次大型演练中有幸使用过此方法,获得了不错的成绩。看到此文,特转载留存。红队钓鱼利用伴随着邮件沙箱,恶意行为检测等技术的发展,传统文件钓鱼攻击严重增加,可以使用dll劫持技术劫持一个正常的软件,进行重打包。然后以版本转载 2021-06-15 17:06:43 · 417 阅读 · 0 评论 -
转载—sqlmap在https情况下的一个错误
对于https网站,使用sqlmap可能会出现如下错误。使用–force-ssl无效。[14:19:03] [CRITICAL] can’t establish SSL connection解决方法一:python sqlmap.py -u https://www.xxxx.com/?id=2* --level 5 --risk 3 --dbms MYSQL --tamper=between,bluecoat,charencode,charunicodeencode,equaltolike,great转载 2021-06-15 15:40:42 · 3749 阅读 · 0 评论 -
监控渗透测试中powershell白名单利用行为
简介您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。补充说明:在高版本powershell(V5以上含V5)中,可以通过配置策略,对进程命令行参数进行记录,具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。基础日志windows 安全日志/SYSMON日志(需要原创 2020-05-08 22:33:04 · 713 阅读 · 0 评论 -
监控渗透测试中Certutil利用行为
简介Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话。补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用,同样也可以在低版本操...原创 2020-05-07 13:40:28 · 994 阅读 · 0 评论 -
监控白名单WMIC执行payload行为
来自ATT&CK的描述WMI(Windows Management Instrumentation)是Windows管理功能,它为本地和远程访问windows系统组件提供了统一的环境。它依赖WMI服务来进行本地和远程访问,以及SMB(服务器消息块)和RPCS(远程过程调用服务)来进行远程访问。RPCS通过端口135运行。攻击者可能会使用WMI与本地和远程系统交互,也可能使用WMI来将执...原创 2020-04-26 09:37:04 · 698 阅读 · 0 评论 -
purple-team-attack-automation(紫色团队攻击自动化)学习与研究
接上删除多余/失效的shell。使用命令remove+Name名字删除后,剩下的shell名称,你也可以tab两下查看可供参考的命令rename+name+new name 修改shell名称:interact+name命令即可进入shell中,这里的shell名称即为test:usemodule查看当前可用模块:...原创 2020-01-07 14:26:56 · 1391 阅读 · 2 评论 -
缓存和存储凭据技术概述
一、概述当用户或服务想要访问计算机资源时,他们必须提供证明其身份的信息。他们的身份通常采用其账户用户名的形式。这可能是用户名,即安全帐户管理器(SAM)帐户名或用户主体名称(UPN)。但是,为了证明自己的身份,他们必须提供秘密信息,称为身份验证者。身份验证器可以采用多种形式,具体取决于身份验证协议和方法。身份和身份验证者的组合称为身份验证凭证。创建,提交和验证凭据的过程简称为身份验证,它是通过...原创 2019-11-29 16:53:22 · 1149 阅读 · 0 评论