客户端攻击(溯源攻击,获取客户端信息)

最新推荐文章于 2024-07-08 10:30:00 发布
最新推荐文章于 2024-07-08 10:30:00 发布
阅读量2.6k 收藏
点赞数
分类专栏: Web/系统安全与溯源 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/129282327
版权
本文介绍了HTML应用程序的特性和如何利用它们进行客户端攻击,特别是通过HTA(HTML应用程序)执行Powershell代码,绕过安全限制。攻击者可以收集浏览器信息、操作系统详情,甚至实现远程反向shell。通过示例,展示了如何创建和利用HTA文件,以及如何通过Fingerprintjs2库进行客户端指纹识别。
摘要由CSDN通过智能技术生成

目录

背景

为什么

示例

探索HTML应用程序

HTA攻击行为(Powershell代码)

背景

如果创建的文件扩展名为.hta而不是.html,Internet Explorer将自动将其解释为html应用程序,并提供使用mshta.exe程序执行该文件的功能。

HTML应用程序的目的是允许直接从Internet Explorer任意执行应用程序,而不是下载并手动运行可执行文件。由于这与Internet Explorer中的安全边界冲突,HTML应用程序总是在浏览器的安全上下文之外由Microsoft签名的二进制文件mshta.exe执行。如果用户允许这种情况发生,攻击者可以使用该用户的权限执行任意代码,从而避免Internet Explorer通常施加的安全限制。

虽然此攻击向量仅适用于Internet Explorer和某种程度上的Microsoft Edge,但它仍然很有用,因为许多公司依赖Internet Explorer作为其主浏览器。此外,该矢量利用了直接内置于Windows操作系统中的功能,更重要的是,它与不太安全的Microsoft遗留web技术(如ActiveX)兼容。

为什么

让我们假设在一个实际示例中,我们说服了受害者访问我们的恶意网页。我们的目标是确定受害者的网络浏

了解本专栏 订阅专栏 解锁全文
墨痕诉清风
关注
专栏目录
订阅专栏
为什么我们的网络攻击行为很难被检测?
AI天才研究院
08-04 1309
在日益复杂的网络环境中,安全防护是一个综合性、多方面的过程。其中,对网络攻击行为的检测及响应也是非常重要的一环。检测网络攻击的手段很多,包括流量分析、入侵检测系统、日志分析、设备检测、身份验证等等,但网络攻击检测与防御存在着严重的矛盾。网络攻击行为很难被检测到,主要有以下原因:1.缺乏统一标准不管是流量分析还是设备检测,大都采用了不同协议、不同的报文特征作为检测依据。这导致攻击行为在检测过程中,会产生各种误判,无法准确地发现真正的攻击。2.流量指纹不足。
溯源(五)之攻击源的获取
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-30 1476
蜜罐的概念:模拟各种常见的应用服务,诱导攻击攻击,从而记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息蜜罐的工作原理流程图:蜜罐溯源的常见两种方式:1、网站上插入特定的js文件2、网站上显示需要下载某插件蜜罐的分类:1、低交互蜜罐模拟系统 能够获取信息比较少 但是安全2、中交互蜜罐比较真实的模拟系统, 比较安全3、高交互蜜罐真实的主机, 获取信息比较多,配置难,维护难,威胁高,不安全
网络攻击溯源与流量分析
qq_63613566的博客
04-19 1445
实际上,如果服务器的TC P/IP栈不够强大,那么最后的结果往往是堆栈溢出崩溃——即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时,从正常客户的角度看来,服务器失去响应,这种情况就称做:服务器端受到了SYN Flood攻击(SYN洪水攻击)。如果数据库名称的第一位值的 ascii 码值等于 79,则会返回 1,否则返回0,这样当返回 1 时,’1’and 1 为 true,即可正常查询到数据。找寻下一步的利用点。
MySQL蜜罐反制获取攻击信息
最新发布
Hacker_j1的博客
07-08 848
蜜罐是对攻击者的欺骗技术用以监视、检测、分析和溯源攻击行为其没有业务上的用途所有流入/流出蜜罐的流量都预示着扫描或者攻击行为;因此可以比较好的聚焦于攻击流量。MySQL蜜罐通过搭建一个简单的MySQ服务如果攻击者对目标进行3306端口爆破并且用navicat等工具连接MySQL蜜罐服务器就可能被防守方获取攻击IP、读取本地文件包括微信配置文件和谷歌历史记录等等3,这个功能默认是关闭查看是否开启#开启4,尝试读取本地C盘Windows目录下的win.ini。
蜜罐如何获取攻击者敏感信息
热门推荐
土豆的博客
02-07 7万+
目录 Part1 前言 Part2 原理 Part3 mysql数据包分析 Part4 蜜罐搭建 Part5 资料参考 Part1 前言 在护网中看到甲方的蜜罐感觉很好玩,就想着自己也搭建一个。然后就看到很多文章讲述用蜜罐获取手机号了什么的,感觉很神奇,就研究了研究。 蜜罐获取手机号信息其实就是一个mysql的任意文件读取漏洞,关于这个漏洞已经出现很久了,晚上也有很多关于这个漏洞的文章。但是对于一些入行晚的师傅,可能还不是太了解。本篇文章就来讲述一下mysql蜜罐的原理。 Part2 原..
浅谈APT攻击
顺其自然~专栏
12-06 1万+
APT(Advanced Persistent Threat):高级持续威胁,主要特点是利用手段高,攻击持续,高危害。换句话说其实当于持续性高级渗透,加上恶意的目的或者谋取利益的想法时,就成了威胁,而APT防御一般出现于酒足饭饱之后。 0×00.APT的历史起源 APT这个词汇最早起源于:2005,2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感...
在容器服务中获取客户端真实源 IP
吉小白的博客
10-16 2504
适用范围:腾讯云容器服务(Tencent Kubernetes Engine ,TKE), 以下简称 TKE。 为什么需要获取客户端真实源 IP? 当需要能感知到服务请求来源去满足一些业务需求时,就需要后端服务能准确获取到请求客户端的真实源 IP, 比如以下场景: 对服务请求的来源有做审计的需求,如异地登陆告警。 针对安全攻击安全事件溯源需求,如 APT 攻击、DDoS 攻击等。 业务场景数据分析需求,如业务请求区域统计。 其他需要获取客户端地址的需求。 在 TKE 使用场景下如何获取客户端真实源.
客户端攻击怎么办,为什么应用加速这么适合
HoewDec的博客
06-05 752
3、刷Script脚本攻击这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器。
游戏盾无限防御DDOS和CC攻击
weixin_45967826的博客
09-03 865
游戏很容易招到黑客攻击,尤其是对于一些比较出名的平台,风险就更高一些。究竟为什么黑客这么喜欢攻击地方性游戏呢? 经过许多被攻击的案例显示,黑客之所以会选择攻击棋牌游戏平台是以下原因: /1、盗卖游戏币。一般这种情况会出现在比较成熟的平台上,使用这种方式通常都是长期进行的过程。就像蛀米虫一样,慢慢的、悄悄的进行。 2、勒索行为。这个是绝大部分黑客攻击平台的原因。如果出现这个原因的,黑客就不会专门去挑选平台,无论平台大小、是否成熟。做这种事的也并不是技术十分了得的黑客,只是为了贪图一些小钱的网络流氓罢了。 3、
DDoS攻击事件溯源和取证方法
## 1. 第一章:DDoS攻击事件概述 ### 1.1 DDoS攻击的定义和特点 DDoS(Distributed Denial of Service)攻击是指攻击者通过多个...- 隐蔽性:攻击者可以利用分布式的攻击节点和伪造的IP地址,隐匿自身身份,增加溯源
制作钓鱼网站(克隆网站)
墨痕诉清风的博客
01-24 2万+
克隆网站
114.114.114.114和8.8.8.8,哪个DNS好?
墨痕诉清风的博客
09-21 1万+
一、两者的联系   114.114.114.114和8.8.8.8,这两个IP地址都属于公共域名解析服务DNS其中的一部分,而且由于不是用于商业用途的,这两个DNS都很纯净,不用担心因ISP运营商导致的DNS劫持等问题,而且都是免费提供给用户使用的。   二、二者的区别   1、114.114.114.114   114.114.114.114是国内移动、电信和联通通用的DNS,手机和电脑...
Burpsuite Web渗透-扫描工具(中间攻击,渗透大牛都用来修改包和监视包)
墨痕诉清风的博客
05-10 1万+
免费版本:渗透大牛都用来修改包和监视包(被动的) 收费版本:可以主动向web扫描获取漏洞 不过大家穷都用免费的 在学习Burpsuit之前,我先说一下什么是代理,就是代理网络用户去取得网络信息,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。形象地说:它是网络信息的中转站。一般情况下,我们使用浏览器直接去连接其他internet 站点取得网络...
挖矿病毒解决实例(隐藏进程,文章较好)(入侵)
墨痕诉清风的博客
01-06 1万+
CPU起飞了 最近有朋友在群里反馈,自己服务器的CPU一直处于高占用状态,但用top、ps等命令却一直找不到是哪个进程在占用,怀疑中了挖矿病毒,急的团团转。 根据经验,我赶紧让他看一下当前服务器的网络连接,看看有没有可疑连接,果然发现了有点东西: 上Shodan查一下这IP地址: 反向查找,发现有诸多域名曾经解析到这个IP地址: 这是一个位于德国的IP地址,开放了4444,5555,7777等数个特殊的服务端口: 其中这位朋友服务器上发现的连接到的是7777端口,
SQL注入漏洞详解
墨痕诉清风的博客
08-09 9383
" 预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了,因为语法分析已经完成了,而语法分析主要是分析SQL命令,比如 select、from 、where 、and、 or 、order by 等等。在这里,我们使用了占位符的方式,将该SQL传入prepare函数后,预处理函数就会得到本次查询语句的SQL模板类,并将这个模板类返回,模板可以防止传那些危险变量改变本身查询语句的语义。
获取Shell(提权)后的操作(windows、Linux)
墨痕诉清风的博客
07-26 8101
查看用户身份,如果是系统用户那就再好不过了,如果是普通用户的话,就得想办法提权了。但是这里要注意,远程连接前判断该用户是否在线,万一对方管理员在线,你把人家给挤下去了,这样一下子就暴露了。先查看当前用户身份,是否是root权限身份,如果不是的话,查看系统版本,是否可以利用已知漏洞提权的,比如 CVE-2016-5195。:获得了权限之后,尽一切可能搜集该主机的信息,该主机上各种服务的用户名和密码。当我们通过对Web服务器进行渗透,拿到了该Web服务器的shell后,可以执行系统命令后,我们该如何操作呢?..
IDS与IPS的区别(HIDS、NIDS)
墨痕诉清风的博客
01-11 7890
IDS (入侵检测系统) IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入...
解决挖矿病毒(定时任务、计划任务、系统定时器、定时启动、crontab、入侵)
墨痕诉清风的博客
05-15 7416
在阿里云使用redis,开启了6379端口,但是当时并没有对redis的密码进行设置。在晚上一点左右。阿里云给我发短信,告诉我服务器出现紧急安全事件。建议登录云盾-态势感知控制台查看详情和处理。于是早上开启电脑,连接服务器,使用top查看cpu状态。结果显示进程占用cpu99%以上。在网上百度,了解到qW3xT.2是一个挖矿病毒。也就是说别人利用你的电脑挖矿。谋取利益。解决办法:1、首先解决redis入口问题,因为最开始没有设置密码,所以首先修改redis.conf。设置密码,然后重启redis。
Linux的chattr与lsattr命令详解(重点-i参数,锁定文件,禁止修改文件)
墨痕诉清风的博客
11-10 7415
PS:有时候你发现用root权限都不能修改某个文件,大部分原因是曾经用chattr命令锁定该文件了。chattr命令的作用很大,其中一些功能是由Linux内核版本来支持的,不过现在生产绝大部分跑的linux系统都是2.6以上内核了。通过chattr命令修改属性能够提高系统的安全性,但是它并不适合所有的目录。chattr命令不能保护/、/dev、/tmp、/var目录。lsattr命令是显示chat...
睿眼攻击溯源系统:洞察威胁,防御挑战
- OBS Studio 编译过程与 WEB 攻击溯源系统》一文探讨了当前网络安全领域面临的挑战,特别是针对Web攻击的防护困境。文章首先指出,攻击者的目标往往是通过高超的技术手段绕过传统的规则库检测,进行长时间的“踩点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值