- 博客(46)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 应急响应-日志分析
日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
2022-11-22 10:00:00
1257
4
原创 应急响应-文件痕迹排查
在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。时间点查找应急响应事件发生后,需要先确认事件发生的时间点,然后排查时间点前后的文件变动情况,从而缩小排查的范围。通过列出攻击日期内变动的文件,可以发现相关的恶意软件。系统中的恶意文件存在特定的设置、和关键字信息等。
2022-11-21 14:32:22
1152
原创 应急响应-进程排查
进程是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。无论在Windows还是Linux中,主机在感染恶意程序后,恶意程序都会启动相应进程来完成恶意操作。
2022-11-20 17:12:01
1516
原创 应急响应-计划任务排查
由于很多计算机都会自动加载“计划任务”,“计划任务”也是恶意病毒实现持久化驻留的一种常用手段,因此在应急响应事件排查时需要进行排查。通俗的讲会定期执行某些操作。
2022-11-20 17:08:57
898
原创 应急响应-服务排查
服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面。服务非常适合在服务器上使用,通常在为了不影响在同一台计算机上工作的其他用户,且需要长时间进行功能时使用。在应急响应排查过程中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方式。
2022-11-19 23:57:01
180
原创 应急响应-账户排查
在服务器被入侵之后,攻击者可能会建立相关账户,方便进行远程控制。主要采用一下几种:1. 直接建立一个新用户;(有时候为了混淆视听,账户名称和系统常用名相似)2. 激活一个系统中的默认用户,但是这个用户不经常使用;3. 建立一个隐藏用。(在windows中,一般在用户名后加$)无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个用户提升到管理员权限,然后通过这个账户任意控制计算机。
2022-11-19 23:55:04
2113
原创 Bypass WAF常规绕过思路
BYPASS WAF实际是去寻找位于WAF设备之后处理应用层数据包的硬件或软件的特性。利用特性构造WAF不能命中,但是在应用程序能够成功执行的载荷,绕过防护。
2022-11-06 22:46:06
1926
原创 CentOS下Nginx+ModSecurity(2.9.3)安装教程及配置WAF规则文件
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。
2022-11-04 22:49:17
3331
3
原创 渗透测试-域内密码凭证获取
Ntds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在 **SYSTEM** 注册表配置单元中的密钥对这些哈希值进行加密。第二个加密步骤是为了执行密码转储以进行审计,需要两个文件的副本。
2022-08-19 17:38:42
1631
3
原创 渗透测试-Windows密码凭证获取
NTLM哈希,是一种单向哈希算法,Windows将用户的密码计算成NTLM哈希之后才存储在电脑中。本地认证中用来处理用户输入密码的进程为 lsass.exe ,密码会在这个进程中明文保存,供该进程将密码计算成 NTLM Hash 与 sam 进行比对,我们使用 mimikatz 来获取的明文密码,便是在这个进程中读取到的。...
2022-08-17 01:33:26
3409
2
原创 域环境提权姿势
Netlogon域权限提升2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MSNRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者。可以在该网络中的设备上运行经特殊设计的应用程序。......
2022-08-15 10:21:25
1336
1
原创 MSF/CS框架提权姿势
提权,就是提高自己在服务器中的权限。比如在windows下从普通用户提升到administrator或者system权限,linux下普通用户提升到root权限。用户的权限决定了其能够访问的资源。在渗透测试中,我们通过某种方式(比如上传webshell)获取到一个执行命令的shell,但它是一个低权限用户,所以不能执行某些系统命令或者访问某些关键系统资源。此时如果我们想要获取更高的控制权就需要提权。...
2022-08-13 15:53:06
2624
原创 渗透测试-域环境下的信息收集
当获取了一台在域内的Windows服务器权限,就需要我们尽可能地去收集所能获取到的域的相关信息,收集的域的信息越多,拿下域控的成功率越高。
2022-08-08 17:59:11
1814
1
原创 邮件钓鱼上线cobalstrike
绝大多数攻击都与社会工程有关,涉及网络钓鱼邮件、鱼叉式网络钓鱼,网络钓鱼结合了社会工程学。它可能是一个电子邮件附件,会加载软件到你的计算机,也可能是到网站的一个链接,这些网站会使用户下载软件或泄露个人信息。...
2022-08-07 20:35:19
999
原创 伪装马上线Cobalstrike
使用Restorator工具,将生成的压缩文件和正常文件拖拽进来,在图标的选项里删除马的图标,复制正常软件的图标到马。
2022-08-06 16:16:13
274
3
原创 CobalStrike(CS)上线隐藏IP和流量
使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP!......
2022-08-06 01:44:43
2440
3
原创 Office宏上线Cobalstrike
Office宏:宏是一个批量处理程序命令,正确地运用它可以提高工作效率。微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力。
2022-08-05 00:13:21
266
1
原创 Metasploit-域名上线隐藏IP
为什么要隐藏IP?在拿下了目标机之后,目标机在内网里面,使用msf或者CS时,用自己的VPS做服务器的话,导致很容易被溯源。
2022-08-04 16:31:56
862
原创 CobalStrike(CS)基础超级详细版
Cobalt Strike(简称为CS)是一款团队作战渗透测试神器,是一种可以用来进行横向移动、数据窃取、鱼叉式钓鱼的后渗透工具,分为客户端和服务端,一个客户端可以连接多个服务端,一个服务端也可以对应多个客户端连接。......
2022-08-02 18:11:29
1644
原创 Metasploit(MSF)基础超级详细版
The Metasploit Framework 的简称。 MSF 高度模块化,即框架由多个 module 组成,是全球最受欢迎的渗透测试工具之一。是一款开源安全漏洞利用和测试工具,集成了各种平台上常见的溢出漏洞和流行的shellcode ,并持续保持更新。metasploit 涵盖了渗透测试中全过程,你可以在这个框架下利用现有的 Payload进行一系列的渗透测试。............
2022-08-02 00:32:17
11719
原创 SpringBoot漏洞复现
SpringBoot基本上是Spring框架的扩展。Actuator是Springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator,开发者可以很方便地对应用系统的某些监控指标进行查看、统计等。在Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。......
2022-08-01 00:32:33
5932
3
原创 Apache Log4j2历史漏洞复现
Apache Log4j2漏洞简介:log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。
2022-07-30 08:00:00
1756
原创 Shiro漏洞复现
Apache Shiro 框架提供了记住密码的功能( RememberMe ),关闭浏览器再次访问时无需再登录即可访问。用户登录成功后用户信息会经过加密编码后存储在 cookie中。在 Cookie 读取过程中有用 AES 对 Cookie 值解密的过程,对于 AES 这类对称加密算法,一旦秘钥泄露加密便形同虚设。......
2022-07-29 01:03:56
1676
2
原创 Fastjson历史漏洞复现
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
2022-07-27 20:00:45
1445
原创 Thinkphp历史漏洞复现
Thinkphp 是一种开源框架。是一个由国人开发的支持 windows/Unix/Linux 等服务器环境的轻量级PHP开发框架。很多cms(内容管理系统)就是基于 thinkphp 二次开发的,如果 thinkphp 出现问题,会影响很多基于 thinkphp 开发的网站。...
2022-07-26 13:45:43
1964
原创 Strtus2历史漏洞复现
S2-015(CVE-2013-2135)原理:如果一个请求与任何其他定义的操作不匹配,它将被匹配*,并且所请求的操作名称将用于以操作名称加载JSP文件。并且,1作为OGNL表达式的威胁值,{ }可以在服务器端执行任意的Java代码。...
2022-07-26 01:27:34
959
1
原创 Jboss弱口令Getshell复现
JBoss Administration Console存在默认账号密码admin/admin,如果Administration Console可以登录,就可以在后台部署war包getshell。
2022-07-24 10:46:49
743
原创 JMX Console 未授权访问漏洞
Jboss的webUI界面http//ipport/jmx-console未授权访问(或默认密码admin/admin),可导致JBoss的部署管理的信息泄露,攻击者也可以直接上传木马获取webshell。
2022-07-23 21:00:16
5159
原创 JBossMQJMS 反序列化漏洞(CVE-2017-7504)
CVE-2017-7504 漏洞与 CVE-2015-7501 的漏洞原理相似,只是利用的路径稍微出现了变化, CVE-2017-7504 出现在 /jbossmq-httpil/HTTPServerILServlet 路径下。JBoss AS 4.x及之前版本中,JbossMQ实现过程的 JMS over HTTP Invocation Layer 的HTTPServerILServlet.java ⽂件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利⽤该漏洞执⾏任意代码。...
2022-07-23 14:10:39
964
原创 Jboss Application Server反序列化命令执行漏洞(CVE-2017-12149)
JBOSSApplication Server 反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危。
2022-07-23 10:44:01
1024
1
原创 Weblogic任意文件上传漏洞复现(CVE-2018-2894)
Weblogic Web 服务测试客户端,其配置页面存在未授权访问的问题,路径为**/ws_utc/config.do**、**/ws_utc/begin.do。可造成任意文件上传漏洞,文章完整复现该漏洞并提供修复建议!
2022-07-21 17:19:27
781
原创 ssrf漏洞攻击内网Redis复现
SSRF简介SSRF(Server-SideRequestForgery,服务端请求伪造),是攻击者让服务端发起构造的指定请求链接造成的漏洞。由于存在防火墙的防护,导致攻击者无法直接入侵内网;这时攻击者可以以服务器为跳板发起一些网络请求,从而攻击内网的应用及获取内网数据。大都是由于服务端提供了从其他服务器获取数据的功能,比如使用户从指定的URLweb应用获取图片、下载文件、读取文件内容等。.........
2022-07-21 12:13:19
1157
2
原创 Docker未授权访问漏洞(www.hetianlab.com)
Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。Docker Daemon把服务暴露在tcp的2375端口上,这样就可以在网络上操作Docker了。Docker本身没有身份认证的功能,只要网络上能访问到服务端口,就可以操作Docker。...
2022-07-20 00:30:14
3299
4
原创 Redis未授权访问漏洞复现(www.hetianlab.com)
未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面配置不当导致其他用户可以无需认证授权直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。
2022-07-19 22:06:47
1156
1
原创 Burpsuite2022.1详细安装步骤包含证书安装
本文详细介绍了burpsuite的安装过程及浏览器证书的安装,从安装到下载一条龙服务,方便理解和学习!
2022-07-17 00:38:12
5588
3
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
2022-07-23
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
2022-07-23
Wireshark-win32-1.8.4
2022-07-17
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人