com组件 的劫持_网站劫持 - ascertain - 博客园

最新推荐文章于 2024-04-05 06:53:26 发布
最新推荐文章于 2024-04-05 06:53:26 发布
阅读量254 收藏
点赞数
文章标签: com组件 的劫持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42314399/article/details/112012726
版权

最近网站部分域名被劫持,刚开始以为DNS原因,经过曲折故障排查,最终确定被劫持的部分域名未使用https导致网站劫持,下为测试脚本

@echo off

Echo *******************************************************************************

Echo          Collect Machine Information…………

Echo *******************************************************************************

ipconfig /all >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

nslookup -qt=ns hs.51cjml.com >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

nslookup -qt=a hs.51cjml.com >> "%userprofile%"\desktop\Information.txt

Echo *******************************************************************************

Echo *******************************************************************************

Echo          Changing DNS Server…………

Echo *******************************************************************************

::cmd /c netsh interface ip set address name="本地连接" source=static addr=192.168.1.136 mask=255.255.255.0 gateway=192.168.0.1 gwmetric=1

chcp 65001

cmd /c netsh interface ip set dns name="以太网" source=static addr=8.8.8.8

cmd /c netsh interface ip add dns name="以太网" addr=127.0.0.1 index=2

cmd /c netsh interface ip set dns name="本地连接" source=static addr=8.8.8.8

cmd /c netsh interface ip add dns name="本地连接" addr=127.0.0.1 index=2

cmd /c netsh interface ip set dns name="WLAN" source=static addr=8.8.8.8

cmd /c netsh interface ip add dns name="WLAN" addr=127.0.0.1 index=2

cmd /c netsh interface ip set dns name="无线网络连接" source=static addr=8.8.8.8

cmd /c netsh interface ip add dns name="无线网络连接" addr=127.0.0.1 index=2

ipconfig /all

ipconfig /flushdns

Echo *******************************************************************************

Echo          OK!!Success…………

Echo          All done

Echo *******************************************************************************

cls

color 0A

chcp 65001

Echo *******************************************************************************

Echo          Collect Machine Information…………

Echo *******************************************************************************

ipconfig /all >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

nslookup -qt=ns hs.51cjml.com >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

echo. >> "%userprofile%"\desktop\Information.txt

nslookup -qt=a hs.51cjml.com >> "%userprofile%"\desktop\Information.txt

Echo *******************************************************************************

Pause

部分截图

下面的502为安全联盟的

下面为被篡改的连接

http://jump.anquan.org:8080/warning/index.html?q=320501X1376122809PHDGBITAVPASST+http://aximo.51cjml.com/

http://jump.anquan.org:8080/warning/index.html?q=320501X1376122809PHDGBITAVPASST+http://aximo.51cjml.com/

http://jump.anquan.org:8080/complain/report/?ac=320501&url=http%3A%2F%2Faximo.51cjml.com%2F&unet=0&pa=warning&sc=320501X1376122809PHDGBITAVPASST&et=39&ar=consult&id=3205011774320200831181112805773

草头余
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
COM劫持 BypassUAC
weixin_45682070的博客
11-21 869
什么是comcomComponent Object Model(组件对象模型)的缩写 come是微软公司未来计算机工业的软件生产更符合人类的行为方式开发的一种新的软件开发技术。在com架构下,人们可以开发各种各样的功能专一的组件, 然后将他们安装需要组合起来,构成复杂的应用系统 这里不得不说一下CLSID CLSID(Class Identifier)全局唯一标识符,CLSID是指windows系统对于不同的应用程序,文件类型,OLE对象,特殊文件夹以及各种系组件分配的一个唯一表示他的ID代码, 用来
com组件劫持_后门及持久化访问4----Com组件劫持
weixin_35327612的博客
12-29 286
代码及原理介绍COMComponent Object Model(组件对象模型)的缩写,COM组件由DLL和EXE形式发布的可执行代码所组成。每个COM组件都有一个CLSID,这个CLSID是注册的时候写进注册表的,可以把这个CLSID理解为这个组件最终可以实例化的子类的一个ID。这样就可以通过查询注册表中的CLSID来找到COM组件所在的dll的名称。所以要想COM劫持,必须精心挑选CLSID...
com组件劫持_一种劫持COM服务器并绕过微软反恶意软件扫描接口(AMSI)的方法...
weixin_39660922的博客
12-29 254
Microsoft的反恶意软件扫描接口(AMSI)在Windows 10中被引入,作为标准接口,它可以让AV引擎将签名应用于内存和磁盘上的缓冲区。这使得AV产品能够在脚本解释之前“hook”,这意味着任何经过混淆或加密的PS程序都经过了解密程序的解密。你可以在这里和这里阅读有关AMSI的更多信息。这篇文章将介绍一种通过劫持COM服务器来绕过AMSI的方式,并分析Microsoft是如何在build...
com组件劫持_打开文件夹就运行?COM劫持利用新姿势
weixin_42518981的博客
12-29 407
*本文原创作者:菠菜,本文属FreeBuf原创奖励计划,未经许可禁止转载打开文件夹就能运行指定的程序?这不是天方夜谭,而是在现实世界中确实存在的。利用本文探讨的COM劫持技术,可以轻松实现出打开文件夹就运行指定代码的功能。对于COM劫持技术,国内很少有资料进行原理阐述,本文结合自身分析经验对COM劫持技术进行归纳总结。同时,希望各大安全厂商针对此类利用做好防护,保护用户信息安全。前言所谓“骂人先骂...
C++学习笔记 (二)面向对象:封装、继承、多态
是鲤鱼啊
01-22 310
1.内存 分四区(意义:对不同区域的数据,赋予不同的生命周期,给我们更大的灵活编程) (1)代码区:存放二进制代码,由操作系统管理 (2)全局区:存放全局变量、静态变量、常量(该区数据由系统释放) (3)堆区:由人分配、释放。若人没手动释放,则结束时会由操作系统回收(用new在堆区开辟内存,用delete释放) new返回的是该类型数据的指针,如int* p = new int(10);...
Spectrum Occupancy Prediction for Realistic Traffic Scenarios: Time Series versus Learning-Based Models
01-20
However, in a CRN, it is difficult to ascertain a priori the pattern of the spectrum usage of the primary user due to its stochastic behavior. In this context, the spectrum occupancy prediction ...
六级高频词---精装打印版
11-04
14. ascertain (vt.) - 查明,确定,指获取确切信息的过程。 15. ascribe (vt.) - 把...归于,将某种属性或行为归功于某人或某事。 16. assault (vt./n.) - 袭击,攻击,指突然而有力的打击。 17. assert (vt.) - ...
WISC-R、PIAT 和 DAM 之间的相关性
06-29
The WISC-R, PIAT, and DAM were examined to ascertain relationships among the three instruments. Moderate to high correlations were found when PIAT scores were compared to WISC-Rg iqs, while DAM ...
Enhancing the Performance of Biogeography-Based Optimization in Discrete Domain
02-11
The objective of this paper is mainly to ascertain various modified methods which can significantly enhance the performance and efficiency of COOBBO algorithm. The improvement measures include ...
Correlations among the WISC-R, PIAT, and DAM
06-29
The WISC-R, PIAT, and DAM were examined to ascertain relationships among the three instruments. Moderate to high correlations were found when PIAT scores were compared to WISC-Rg iqs, while DAM ...
com组件劫持_无招胜有招: 看我如何通过劫持COM服务器绕过AMSI
weixin_35719180的博客
12-29 439
在Windows 10中,Microsoft的反恶意软件扫描接口(AMSI)被作为新功能被引入,作为标准接口,该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够在恶意程序的脚本被解释执行之前执行劫持操作,这在一定程度上意味着任何的代码混淆或加密都有相对应的例程去还原和解密程序。如果需要更多详细的有关AMSI的信息,您可以在这里阅读有关AMSI的更多信息。在这...
com组件劫持_偷天换日:网络劫持,网页js被伪装替换。
weixin_42405852的博客
01-12 128
偷天换日3月12号石家庄一个客户(后面简称乙方)有几家门店,平台收银(web)有一些功能无法正常使用,平台有上千家门店在使用,到目前为止别的省份都没有此问题。远程协助发现,js日期控件无法正常调用,报js错误。日期插件用的是my97datepicker,用了这么久也没见出过什么问题。浏览器查看页面加载的js,发现页面本身加载的js中有重复的(随机重复),一个是common.js还有个common....
com组件劫持_通过COM组件IFileOperation越权复制文件
weixin_28993705的博客
01-12 300
通过COM组件IFileOperation越权复制文件安全脉搏SecPulse.Com独家发文,欢迎转发分享,平台如需转载请先联系授权。0x00 前言在之前的文章《Empire中的Invoke-WScriptBypassUAC利用分析》曾介绍过一个越权复制文件的方法,在普通用户的权限下,利用wusa能够将cab文件释放至管理员权限的文件夹,进一步可以实现文件名劫持和UAC绕过。但该功能在Win10...
com组件劫持_IE首页被劫持跳转问题的解决方案
weixin_39673002的博客
12-29 202
现象:IE首页设置和显示均正常,但是打开IE首页会跳转到不知名或者其他网站,经过检测IE加载BHO,IE的CLSID\OpenHomePage注册表正常,没有第三方可疑进程,另外通过第三方安全工具(比如电脑管家,火绒剑,卫士软件)锁定主页,打开IE后仍然跳转。分析及解决方案:IE跳转很可能是通过Explorer的BHO加载项来实现的调整,通过PCHunter,在进程列表框中点击进程Explorer...
COM对象劫持,深入讲解网络安全
最新发布
m0_60635321的博客
04-05 643
以下是一个示例规则,例如使用vt.behaviour.registry_keys_set修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。meta:condition:自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
后门及持久化访问4----Com组件劫持
浅笑996的博客
07-01 1023
代码及原理介绍 COMComponent Object Model(组件对象模型)的缩写,COM组件由DLL和EXE形式发布的可执行代码所组成。每个COM组件都有一个CLSID,这个CLSID是注册的时候写进注册表的,可以把这个CLSID理解为这个组件最终可以实例化的子类的一个ID。这样就可以通过查询注册表中的CLSID来找到COM组件所在的dll的名称。所以要想COM劫持,必须精心挑选CLSID,尽量选择应用范围广的CLSID。这里,我们选择的CLSID为:{b5f8350b-0548...
COM对象劫持
weixin_55030700的博客
03-13 1785
以下是一个示例规则,例如使用修饰符。规则会生成一些噪声,因此建议通过排除某些常见的家族(如Berbew)来进行优化。
com组件劫持_COM Object hijacking后门的实现思路——劫持CAccPropServicesClass和MMDeviceEnumerator...
weixin_29313239的博客
01-12 143
0x00 前言在之前的文章《Use CLR to maintain persistence》介绍了通过CLR劫持所有.Net程序的方法,无需管理员权限,可用作后门。美中不足的是通过WMI添加环境变量需要重启系统。本文将继续介绍另一种后门的利用方法,原理类似,但优点是不需要重启系统,同样也不需要管理员权限。注:本文介绍的方法曾被木马COMpfun使用详细介绍地址:0x01 简介本文将要介绍以下内容:...
PHP COM组件调用绕过安全模式执行任意文件漏洞
04-27 777
受影响的系统:Windows 下支持COM()函数的PHP版本发现人:Saiy/我非我 From http://www.wrsky.com & kEvin1986Saiy:dawangs_at_etang.comkEvin1986:Garnett1986_at_hotmail.com我非我:wofeiwo_at_bugkidz.org我非我:描述:Windows平台下的PHP脚本平台存在一个安全漏
There is a excel that names Health_Data.csv, two columns of it named cholesterol and BMICat.Using decision Tree in Jupyter notebook to build a predictive model to ascertain if a person with a cholesterol level of 3 is mostly overweight.
05-25
Sure, here are the steps to build a decision tree model in Jupyter Notebook to predict if a person with a cholesterol level of 3 is mostly overweight using the Health_Data.csv file: 1. Import necessary libraries: ```python import pandas as pd from sklearn.tree import DecisionTreeClassifier, export_graphviz from sklearn.model_selection import train_test_split from sklearn.metrics import accuracy_score import graphviz ``` 2. Load the dataset: ```python data = pd.read_csv('Health_Data.csv') ``` 3. Prepare the data for modeling: ```python # Select the columns of interest df = data[['cholesterol', 'BMICat']] # Convert categorical column to numeric df['BMICat'] = pd.factorize(df['BMICat'])[0] # Split the data into training and testing sets X_train, X_test, y_train, y_test = train_test_split(df[['cholesterol']], df['BMICat'], test_size=0.2, random_state=42) ``` 4. Train the decision tree model: ```python model = DecisionTreeClassifier() model.fit(X_train, y_train) ``` 5. Make predictions on the test set: ```python y_pred = model.predict(X_test) ``` 6. Evaluate the model's accuracy: ```python accuracy = accuracy_score(y_test, y_pred) print('Accuracy:', accuracy) ``` 7. Visualize the decision tree: ```python dot_data = export_graphviz(model, out_file=None, feature_names=['cholesterol'], class_names=['Normal Weight', 'Overweight'], filled=True, rounded=True, special_characters=True) graph = graphviz.Source(dot_data) graph ``` This will display a decision tree that shows the rules used by the model to predict if a person with a cholesterol level of 3 is mostly overweight.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值