白名单利用
12306Br0
中国240万铁路工人中的普通一员!
你的每一个进步都值得被记录!
展开
-
监控渗透测试中powershell白名单利用行为
简介 您可以使用PowerShell.exe从另一个工具(例如Cmd.exe)的命令行启动PowerShell会话,也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。 补充说明:在高版本powershell(V5以上含V5)中,可以通过配置策略,对进程命令行参数进行记录,具体策略可参考powershell事件。同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。 基础日志 windows 安全日志/SYSMON日志(需要原创 2020-05-08 22:33:04 · 709 阅读 · 0 评论 -
监控渗透测试中Certutil利用行为
简介 Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件,并获取meterpreter会话。 补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用,同样也可以在低版本操...原创 2020-05-07 13:40:28 · 988 阅读 · 0 评论 -
监控白名单WMIC执行payload行为
来自ATT&CK的描述 WMI(Windows Management Instrumentation)是Windows管理功能,它为本地和远程访问windows系统组件提供了统一的环境。它依赖WMI服务来进行本地和远程访问,以及SMB(服务器消息块)和RPCS(远程过程调用服务)来进行远程访问。RPCS通过端口135运行。 攻击者可能会使用WMI与本地和远程系统交互,也可能使用WMI来将执...原创 2020-04-26 09:37:04 · 698 阅读 · 0 评论 -
监控白名单Installutil.exe执行payload行为
简介 命令行实用程序InstallUtil可用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源。 InstallUtil位于Windows系统上的.NET目录中: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe ...原创 2020-04-13 15:31:25 · 653 阅读 · 0 评论 -
监控白名单Zipfldr.dll执行Payload
简介 zipfldr.dll自Windows xp开始自带的zip文件压缩/解压工具组件,同样该工具支持WinXP-Win10 全版本,zipfldr.dll所在路径已被系统添加PATH环境变量中,因此zipfldr.dll命令可识别,但由于为dll文件,需调用rundll32.exe来执行。 补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策...原创 2020-04-13 14:20:15 · 325 阅读 · 0 评论 -
监控白名单Msbuild.exe执行payload
简介 MSBuild.exe(Microsoft Build Engine)是Visual Studio使用的软件构建平台。它采用XML格式的项目文件,定义了各种平台的构建要求和配置。 攻击者可能会使用MSBuild通过受信任的Windows实用程序来代理执行代码。.NET 4中引入的MSBuild内联任务功能允许将C#代码插入到XML项目文件中。内联任务MSBuild将编译并执行内联任务。MSB...原创 2020-04-13 14:12:07 · 471 阅读 · 0 评论