【红队利器】——某黑产团伙的IIS内存马源码

最新推荐文章于 2025-03-29 16:19:04 发布
原创 最新推荐文章于 2025-03-29 16:19:04 发布 · 444 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#红队 #免杀 #IIS内存马 #内存马 #IIS模块劫持

关于我们

4SecNet 团队专注于网络安全攻防研究,目前团队成员分布在国内多家顶级安全厂商的核心部门,包括安全研究领域、攻防实验室等,汇聚了行业内的顶尖技术力量。团队在病毒木马逆向分析、APT 追踪、破解技术、漏洞分析、红队工具开发等多个领域积累了深厚经验,并持续在复杂威胁对抗和攻防技术创新方面不断探索与突破。4SecNet 致力于通过技术共享与实践推动网络安全生态的持续进步。

免责声明

本文的内容仅用于学习、交流和技术探讨,旨在传播网络安全知识,提高公众的安全意识。本博客不支持、提倡或参与任何形式的非法活动。本博客内容面向具备合法使用目的的读者,请确保在使用博客中涉及的技术或方法时符合《中华人民共和国网络安全法》等相关法律法规的要求。任何人不得将本博客内容用于破坏网络安全、侵入系统或其他违反法律的活动。

项目获取

微信搜索4SecNet,关注公众号加入圈子,获取项目详细信息

背景介绍

近期,我们追踪了某黑产团伙的一起攻击活动,发现该黑产团伙有能力劫持IIS服务器上的所有请求,并针对特定请求伪造特殊返回包,从而实现流量劫持、命令执行、黑帽SEO等功能。我们定位到该团伙通过IIS流量劫持的模块开发技术实现了全局HTTP流量劫持。

详细信息

该模块主要通过实现 OnBeginRequest 接口,可以拦截IIS传入的 HTTP 请求,并通过自定义条件伪造返回包,达到劫持流量、执行命令等目的。下面的流程详细展示了这一过程。
正常的IIS请求如下:

+----
最低0.47元/天 解锁文章
红队视角下Java内存的应用
include_voidmain的博客
11-07 907
红队视角下Java内存的应用
红队利器】无文件内存执行远程程序
4SecNet团队专栏
02-22 653
在渗透测试中,文件如何一直是一个令人头疼的问题。随着安全品检测能力的不断提升,传统的加载和执行方式很容易被检测并拦截。为了绕过静态和动态检测,我们考虑使用PE Loader 技术结合远程下载与内存执行,实现文件不落地的执行方式,从而有效提高能力。🔒完整的项目代码已上传内部圈子🔒目前团队已经开通知识圈子,圈子内部会不定期发布前沿的红蓝对抗技巧、系列内容,同时还会不定期开放关于逆向学习相关课程和课件。
关于网站劫持劫持应急响应中需要检查的关键点
11-25 2910
本文主要是对常见的网站劫持方法进行总结学习,通过提前学习了解,不至于在遇到实际应急项目时手足无措。通过入侵服务器获得权限后,对前端JS、后端脚本文件以及中间件进行设置,从而达到跳转到恶意网站提高恶意网站权重的方法。
win2003服务器某一个网站被劫持,windows server 2012 iis劫持的处理过程
weixin_42303461的博客
08-11 1037
标签:关闭安装infpcmtoolext重写downloadocs需要用到的工具filemon下载地址:FileMon for Windows v7.04上周五晚接到有客户反应,网站打开很慢,而且百度搜索有很多博彩信息,打开依然能打开。第一反应就是网站被挂了。网站从百度快照打开时程序一定加了来源判断转到了博彩网站。于是通过下载服务器安全狗及WebS...
记录一次winserver2019IIS劫持处理操作过程
主宰
12-20 4104
最近在管理自己负责的一个服务器和网站时,发现网站有异常,具体情况如下: 我们的服务器用的是阿里云的云服务器,最近阿里云老是通知我们你的网站有违规URL屏蔽处理通知,登录服务器查看,根本没 有通知中的文件夹和文件,一直处在蒙的状态中,给阿里云提工单,对方反馈你的网站中就是有相关的违规URL,请尽快处理;我自己访 问那些存在的网址的,网址状态是200,页面显示的是空白; ...
内存检测排查手段
Innocence_0的博客
08-13 1430
内存是无文件落地webshell中最常见的攻击手段,随着攻防演练对抗强度越来越高,流量分析、EDR等专业安全设备被蓝方广泛使用,传统的文件上传的webshll以及文件形式的后门容易被检测到,文件shell明显气数已尽,而内存因其隐蔽性等优点从而越来越盛行。
红队利器单文件一键Kill360
03-18
红队利器单文件一键Kill360
更优雅的nignx内存后门 | ebpf 内核
2202_75361164的博客
02-04 772
更优雅的nignx内存后门,ebpf 内核全链路内存系列之 nginx 内存和ebpf 内核使用本项目不含有完整的利用工具,仅提供无害化测试程序、防御加固方案,以及研究思路讨论下载地址在文末。
劫持代码生成器.exe
11-08
劫持dll自动生成函数,复制到易语言创建劫持dll。
【应急响应】网站入侵篡改指南&Webshell内存&漏洞排查&时间分析
今天是几号的博客
03-14 2477
并且gsl.aspx webshell实体被删除后,仍然可以连接正常使用,且无法扫描出内存。aspx内存项目:ASP.NET-Memshell-Scanner-master。在日志里进行搜索,那些ip访问了gsl.aspx等后门文件。被注入内存之后,使用gsl可以直接连接任何路径"后门"火绒,管家,X60,Defender,Nod32等。5、在线webshell查-灭绝师太版。4、网页篡改与后门攻击防范应对指南。1、抗拒绝服务攻击防范应对指南。8、APT攻击入侵防范应对指南。
iis劫持案例应急学习
qq_39541626的博客
11-10 866
iis劫持案例 https://www.freebuf.com/articles/network/222060.html 记一次IIS劫持处置 https://www.freebuf.com/articles/web/153788.html 真实网站劫持案例分析 https://www.cnblogs.com/fogwang/p/11833022.html 记windows server 2012 iis出现百度快照劫持的处理过程 ...
常见 Web 安全攻防总结
2201_75735270的博客
07-08 1120
Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。
应急响应-网站入侵篡改指南&Webshell内存&漏洞排查&时间分析
SuperherRo的博客
04-03 2074
网站入侵篡改防范应对指南 主要需了解:异常特征,处置流程,分析报告等 主要需了解:日志存储,Webshell检测,分析思路等
网站被劫持怎么排查,有哪些防护措施
护卫神的博客
01-24 1119
网站被劫持是一个令许多网站管理员深恶痛绝的问题。网站劫持问题并非新生事物,随着互联网技术的不断发展,客的攻击手段也日益复杂多样。网站被劫持不仅会给网站所有者带来经济损失,还可能影响用户的信任和隐私安全。那么,当面临网站被劫持的情况时,应该如何应对呢?我们需要先排查劫持原因,再针对性的解决问题。
深度剖析帽SEO手法
Safety88888的博客
11-29 2470
SEO全称为搜索引擎优化,是指通过站内优化、站外优化等方式,提升搜索引擎收录排名。既然有SEO技术,便会有相应的从业人员,他们被称为白帽SEO,专指通过公正SEO手法,帮助提升站点排名的专业人员。当然有白便会有,由于白帽SEO优化的过程将会十分漫长,一个新站想要获取好的排名,往往需要花上几年时间做优化推广。因此一些想要快速提升自身网站排名的小伙伴,便开始在SEO上研究作弊手法,从而诞生了帽SEO。帽SEO是指通过作弊手段,让站点快速提升排名的一类SEO技术,或者说是客技术,比如说:链(暗链)、站群
记录一次企业官网被挂的排查过程
qax
11-06 1125
事情发生在一个月前的晚上,因为领导下令了,客户网站被挂,跳转bc页,影响比较大,刚打完王者农药的我默默的关闭了手机,开启了我的花呗分期的电脑。 问题描述 访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页访问站点只要后面目录带Fkj(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转博彩网站,如果是电脑浏览器,就会弹空白页 排查过程 初步判断可能被修改js文件,但是翻...
溯源分析 | 客横扫亚多家云平台做流量劫持
2401_85027424的博客
06-19 1439
自 2022 年 9 月上旬以来,一个未知的客已成功入侵数万个主要针对东亚用户的网站,将数十万用户重定向到成人主题内容。在每种情况下,客都将恶意代码注入到面向消费者的网页中,这些网页旨在收集有关访问者环境的信息,并偶尔将他们重定向到这些其他网站,具体取决于随机机会和用户所在的国家/地区.被入侵的网站包括许多小公司网站和一些由跨国公司网站。它们在技术栈和托管服务方面各不相同,因此很难查明该客可能滥用的任何特定漏洞、配置错误或泄露凭据的来源。
云服务器网站劫持那些事儿,从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
03-29 1597
``好了,以上就是关于云服务器网站劫持的危害以及处理方法的全部内容。希望这些“解救”方案能帮助各位服务器用户更好地维护网站安全,远离“绑架”风险!记住,安全第一,备份常备!客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&客文籍护网行动资料客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取CSDN大礼包:《客&网络安全入门&进阶学习资源包》费分享1.成长路线图&学习规划要学习一门新的技术,作为新手一定要先学习成长路线图。
C#远程控制源码合集(含PCShare源代码)
本资源标题为“c#远程控制源码(包括pcshare 源码哦)”,其核心内容是围绕使用C#语言编写的远程控制程序源代码,其中包括知名的远程控制工具PCShare的源码,具有极高的研究与学习价值。 首先,从标题来看,“C#...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值