![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
文章平均质量分 77
爱你'非我莫属。
这个作者很懒,什么都没留下…
展开
-
通过mysql的frm文件恢复表结构,通过ibd文件恢复数据,实操成功
1.对frm 表进行解析,刚开始使用的mydqlfrm 解析,但是结果总是出错,后来发现一篇文章原创 2022-11-02 17:29:34 · 576 阅读 · 1 评论 -
Cobalt Strike:内存转储 - 第 6 部分
博文系列:Cobalt Strike:解密流量Cobalt Strike:使用已知私钥解密流量 - 第 1 部分Cobalt Strike:使用已知私钥解密流量 - 第 2 部分Cobalt Strike:使用进程内存解密流量 - 第 3 部分Cobalt Strike:解密混淆流量 - 第 4 部分Cobalt Strike:解密 DNS 流量——第 5 部分Cobalt Strike:内存转储 - 第 6 部分(当前)Cobalt Strike:概述 – 第 7 部分这是创建和分析原创 2022-05-06 14:55:20 · 1010 阅读 · 0 评论 -
Cobalt Strike:解密 DNS 流量——第 5 部分
博文系列:Cobalt Strike:解密流量Cobalt Strike:使用已知私钥解密流量 - 第 1 部分Cobalt Strike:使用已知私钥解密流量 - 第 2 部分Cobalt Strike:使用进程内存解密流量 - 第 3 部分Cobalt Strike:解密混淆流量 - 第 4 部分Cobalt Strike:解密 DNS 流量 - 第 5 部分(当前)Cobalt Strike:内存转储 - 第 6 部分Cobalt Strike:概述 – 第 7 部分Cobalt S原创 2022-05-06 14:47:37 · 2078 阅读 · 0 评论 -
Cobalt Strike: 解密混淆过的流量-Part 4
https://blog.nviso.eu/2021/11/17/cobalt-strike-decrypting-obfuscated-traffic-part-4/博文系列:Cobalt Strike:解密流量Cobalt Strike:使用已知私钥解密流量 - 第 1 部分Cobalt Strike:使用已知私钥解密流量 - 第 2 部分Cobalt Strike:使用进程内存解密流量 - 第 3 部分Cobalt Strike:解密混淆流量 - 第 4 部分(当前)Cobalt Stri原创 2022-05-06 14:33:32 · 924 阅读 · 0 评论 -
# Cobalt Strike: 使用进程内存解密流量-Part 3
博客系列:Cobalt Strike:流量解密Cobalt Strike:使用已知的私钥解密流量-Part 1Cobalt Strike: 使用已知的私钥解密流量 - Part 2Cobalt Strike: 使用进程内存解密流量 - Part 3(当前部分)Cobalt Steike: 解密被掩盖的流量 - Part 4Cobalt Strike: 解密DNS流量 - Part 5我们使用从内存进程中提取出来的密钥来解密了Cobalt Strike流量本系列博客文章讲解关于使用不同的方法原创 2022-05-06 14:25:48 · 407 阅读 · 0 评论 -
# Cobalt Strike:使用已知的私钥解密流量-Part 2
博客系列:Cobalt Strike:流量解密Cobalt Strike:使用已知的私钥解密流量-Part 1Cobalt Strike: 使用已知的私钥解密流量 - Part 2(当前部分)Cobalt Strike: 使用进程内存解密流量 - Part 3Cobalt Steike: 解密被掩盖的流量 - Part 4Cobalt Strike: 解密DNS流量 - Part 5我们发现6个流氓软件Cobalt Strike的私钥,可以用来将C2网络流量进行解密在这篇文章中,我们将通过原创 2022-05-06 14:22:58 · 510 阅读 · 0 评论 -
基于GPS定位寻找目标
要点:GPS大环境使用分布Seeker 高精度地位定位工具Ngrok 公网隧道转发工具实战:定位目标的地理位置1.GPS大环境使用分布[ - 物理位置定位]:根据ip的定位不确定,容易被欺骗,网上有很多ip伪造技术,所以定位肯定也不准。具体介绍不讲了 ,没有实战意义。2.Seeker 高精度地位定位工具github https://github.com/thewhiteh4t/seeker.gitgit clone https://github.com/thewhiteh4t/s原创 2022-01-17 14:24:54 · 293 阅读 · 0 评论 -
ubuntu18.04 安装KVM
KVM是liunx下的虚拟机,下面记录一下我自己的经历吧,方便自己日后忘记能快速上手。1.首先不用多说啦,既然是虚拟机,当然要自己的机器支持虚拟技术,重启机器进入biso,把是否支持虚拟技术改成enable。2.养成好的习惯,在linux终端安装东西的时候都要sudo apt-get update一下,然后安装KVM依赖。sudo apt-get install qemu-kvmsudo apt-get install qemusudo apt-get install virt-managers原创 2022-01-13 18:09:14 · 1468 阅读 · 0 评论 -
windbg+virtualbox+win10双机调试
Windbg+VirtualBox双机调试环境配置(Win10)一、下载WDK10安装Windows驱动程序工具包(WDK) 10这里可以直接安装,也可以下载安装包,我选择下载,选择路径,下一步。下载好之后我们安装WDK安装好了之后,Windbg就在C:\Program Files (x86)\Windows Kits\10\Debuggers\x64目录下二、配置Win10虚拟机调试1.关闭防火墙“控制面板” -> “系统和安全” -> “Windows防火墙” ->原创 2021-11-22 18:12:12 · 1417 阅读 · 0 评论 -
frida编译(server && inject)经过实践可行的
编译frida 的过程对应的资料下载地址 1.复制frida-master/frida-master/文件夹或者压缩包到想要的位置/home/lmj/frida-master/ 2.# cd /home/lmj/frida-master/ 文件夹下 3.# mkdir build 4.cp toolchain-linux-x86_64.tar.bz2 放入/home/lmj/frida-master/build/如果是arm5.cp sdk-android-arm.tar.bz2 放入原创 2021-03-31 18:09:11 · 2254 阅读 · 3 评论 -
用户帮助文档--FOFA
HELP DISPLAYS帮助文档概述 查询语法 API概述FOFA是白帽汇推出的一款网络空间资产搜索引擎。 它能够帮助企业客户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。查询语法直接输入查询语句,将从标题,html内容,http头信息,url字段中搜索title=“abc” 从标题中搜索abc。例:标题中有北京的网站header=“abc” 从http头中搜索abc。例:jboss服务器body=“abc” 从html正原创 2021-03-25 16:42:07 · 324 阅读 · 0 评论 -
bat操作符详解
1 echo 和 @回显命令 @ #关闭单行回显echo off #从下一行开始关闭回显@echo off #从本行开始关闭回显。一般批处理第一行都是这个echo on #从下一行开始打开回显echo #显示当前是 echo off 状态还是 echo on 状态echo. #输出一个” 回车换行”,空白行 .原创 2020-12-15 14:23:54 · 1130 阅读 · 0 评论 -
metasploit、msfvenom生成木马入侵电脑及手机
简介msfvenommsfvenom a Metasploit standalone payload generator,Also a replacement for msfpayload and msfencode.是用来生成后门的软件查看所有–payload的模块msfvenom -l payloads文件后缀名-f的格式msfvenom --help-formatsmetasploitMetasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个原创 2020-10-08 14:10:35 · 3002 阅读 · 11 评论 -
Msfvenom-命令-总结大全--
Msfvenom命令-p (–payload-options)添加载荷payload。载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后门,所以只有选对payload,再填写正确自己的IP,PORT就可以生成对应语言,对应平台的后门了!!!(- -payload-options 列出payload选项)-l查看所有payload encoder nops。-f (–help-formats)输出文件格式。(- -hel原创 2020-10-05 17:46:01 · 1609 阅读 · 1 评论 -
利用metasploit制作pdf木马
实验环境:kali-linux虚拟机(攻击机)、win7虚拟机(靶机)实验工具:Vmware、kali-linux的iso实验过程:一、攻击机端:1.查看自己的ip地址:ifconfig2.进入metasploit控制台:msfconsole#> msfconsole3.利用PDF文件漏洞(Adobe公司之前发布的一个漏洞):#> use exploit/windows/fileformat/adobe_cooltype_sing4.配置攻击载荷创建到攻击机的.原创 2020-10-04 15:26:53 · 1905 阅读 · 0 评论 -
访问跟踪数据
访问跟踪数据.NET TraceProcessing可从NuGet使用以下程序包ID获得:Microsoft.Windows.EventTracing.Processing.All该软件包允许您访问跟踪文件中的数据。如果还没有跟踪文件,则可以使用Windows Performance Recorder创建一个跟踪文件。以下示例控制台应用程序显示了如何访问跟踪中包含的所有进程的命令行:using Microsoft.Windows.EventTracing;using Microsoft.Wind原创 2020-07-16 16:05:38 · 315 阅读 · 0 评论 -
创建第一个Windows事件跟踪(ETW)
快速入门:处理您的第一个跟踪尝试使用TraceProcessor访问Windows事件跟踪(ETW)跟踪中的数据。TraceProcessor允许您将ETW跟踪数据作为.NET对象访问。在此快速入门中,您将学习如何:安装TraceProcessing NuGet软件包。创建一个TraceProcessor。使用TraceProcessor访问跟踪中包含的进程命令行。先决条件Visual Studio 2019安装TraceProcessing NuGet软件包.NET TracePro原创 2020-07-16 14:33:08 · 1423 阅读 · 0 评论 -
事件追踪
事件追踪目的Windows事件跟踪(ETW)为应用程序程序员提供了启动和停止事件跟踪会话,对应用程序进行检测以提供跟踪事件以及使用跟踪事件的能力。跟踪事件包含事件标头和提供者定义的数据,这些数据描述了应用程序或操作的当前状态。您可以使用事件来调试应用程序并执行容量和性能分析。本文档适用于要使用ETW的用户模式应用程序。有关检测以内核模式运行的设备驱动程序的信息,请参阅Windows驱动程序工具包(WDK)中的WPP软件跟踪和将事件跟踪添加到内核模式驱动程序。适用时当您要检测应用程序,将用户或内核事原创 2020-07-16 14:19:15 · 392 阅读 · 0 评论 -
隐藏的宝藏:使用ETW的入侵检测(第2部分)
隐藏的宝藏:使用ETW的入侵检测(第2部分)原文链接:https://docs.microsoft.com/zh-cn/archive/blogs/office365security/hidden-treasure-intrusion-detection-with-etw-part-2在上一篇文章中,我们讨论了Windows事件跟踪(ETW)如何提供丰富的知识,以及Windows安全事件日志提供的知识。尽管我们可以更好地了解Windows活动,但ETW最初是作为大批量调试跟踪提供的。如果没有某种过滤或减转载 2020-07-16 12:02:48 · 1137 阅读 · 0 评论 -
隐藏的宝藏:使用ETW的入侵检测(第1部分)
隐藏的宝藏:使用ETW的入侵检测(第1部分)原文链接:https://docs.microsoft.com/zh-cn/archive/blogs/office365security/hidden-treasure-intrusion-detection-with-etw-part-1当今的捍卫者在信息不对称方面面临越来越大的障碍。随着内存攻击和针对性恶意软件的出现,防御者无法简单地依靠Windows提供的默认事件日志。攻击者可能利用进程挖空在看似良性的进程中隐藏其代码,并通过DNS路由其“命令和控制”转载 2020-07-16 11:44:21 · 1042 阅读 · 0 评论