应急响应中的入侵排查和权限维持

最新推荐文章于 2023-03-31 14:16:12 发布
最新推荐文章于 2023-03-31 14:16:12 发布
阅读量3.5k 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52776876/article/details/123019852
版权

入侵排除

一、检查系统账号安全

(一)排查服务器弱口令
尝试使用弱口令登录爆破或直接咨询管理员
在这里插入图片描述
(二)排查可疑账号、新增账号
1、打开cmd窗口,输入 lusrmgr.msc
2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用
在这里插入图片描述
(三)排查隐藏账号
打开注册表,查看管理员对应键值
1、在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表编辑器
2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口
3、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定并关闭注册表编辑器
4、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
5、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户

最低0.47元/天 解锁文章
鱼传尺素zz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DLL劫持原理&防御方法
安全杂货铺
05-18 2万+
1.原理介绍 DLL劫持指的是,病毒通过一些手段来劫持或者替换正常的DLL,欺骗正常程序加载预先准备好的恶意DLL。 如下图,LPK.dll是应用程序运行所需加载的DLL,该系统文件默认在C:\Windows\system32路径下,但由于windows优先搜索当前路径,所以当我们把恶意LPK.dll放在应用程序同一路径下,便会被程序成功加载,从而执行恶意操作。 2.实例分析 下面以APT32攻...
Windows系统从权限维持角度进行应急响应
ALLEN'Blog
02-16 675
红队攻击者在对目标进行渗透利用后通常都会进行权限维持,以达到持续利用的目的。而作为防守方进行应急响应时,应该如何与技术高超(jiaohuajianzha)的攻击者斗智斗勇呢?或许可以通过本文可以找到答案。以下内容不仅可以助力你拿捏应急响应,也能够让你在红蓝对抗更胜一筹。篇幅有限只能先写一下Windows系统的应急响应。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)
Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术
weixin_33869377的博客
02-02 998
catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL指定函数/或直接指定EXE作为启动...
Windows 查找进程和杀进程
qq_38022616的博客
01-24 271
1、根据端口号查找进程: netstat -ano | findstr "端口号"  2、根据进程号查看进程: tasklist | findstr "11076" 3、根据进程号杀死进程: taskkill /pid 端口号 /F  注:/F 表示强制执行 ...
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查是指在 Linux 系统检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 一、账号安全 账号安全是 Linux 应急...
Linux 应急响应流程及实战演练.docx
06-10
2. **入侵排查**: - 使用`awk`命令筛选特权用户(uid为0)。 - 查找可远程登录的账号信息,确保只有必要的账号有此权限。 - 确保非管理账号没有sudo权限,必要时可禁用或删除可疑账号。 - 通过`.bash_history`...
应急响应实战笔记2020.pdf
06-23
面对各种各样的安全事件,我们该怎么处理? 这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。我将持续更新这份笔记,希望能帮到有需要的人。
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
网络安全-渗透权限维持-杨晓成-360
02-01
网络安全-渗透权限维持-杨晓成-360-下载版 权限维持 Windows相关 Linux相关 间件 webshell
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
dll 劫持和应用研究
最新发布
顶峰
03-31 708
2020年12月,SolarWinds 攻击事件引发全球的关注(),攻击团队在 2020年上旬通过对 SolarWinds Orion产品实现供应链攻击,导致诸多厂商被攻击,造成了不可估量的损失。这种国家间的 APT 攻击包含了大量的技术细节,其供应链攻击的实现,也就是 SUNBURST 后门植入这一块引起了我极大的兴趣。
服务器关于MySQLudf.dll 提权入侵处理方法
CShouziwangDN的博客
04-18 348
处理服务器关于MySQLudf.dll 提权入侵处理方法 首先在服务器桌面创建一个.TXT文件,名称随意,然后复制下面代码保存,最后修改.txt的扩展名为.bat文件,双击运行.bat文件即可。 批处理代码: net stop mysql del %SystemRoot%\system32\udf.dll /A/F/Q del %SystemRoot%\udf.dll /A/F/Q del %SystemRoot%\temp\udf.dll /A/F/Q dir %SystemRoot%\system32
DLL劫持
Armandhe的博客
07-21 1538
dll劫持牛逼啊,权限维持好方法,可以劫持一些开机自弃的程序的dll文件,然后只要对方主机上线那么他就成了你的肉鸡
实验七——DLL劫持病毒的分析和清除
Onlyone_1314的博客
09-26 7963
【实验名称】 DLL劫持病毒的分析和清除 【实验目的】 掌握DLL劫持的原理 了解DLL劫持攻击的防御办法 【实验原理】 Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表的键值决定,注册表路径如下:HKLM\System\CurrentControlSet\Control\Session Manager,的SafeDllSearchMode键。 SafeDllSearchMode=1
神仙技巧-应急响应的神兵利器
南迪叶先森
07-20 745
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! 1.文章概述 本文主要介绍windows以及linux应急响应方面的知识以及排除思路以及笔者日常使用的相关的优秀工具。 2.windows篇 windows终端的应急排除的话,我一般先会查看该终端的网络连接情况来判断是否有异常的连接,根据连接的地址我们可以去威胁情报平台(比如奇安信的TI)查询是否是恶意的或者为已知IOC,同时需要对产生可疑网络连接的进程进行进一步分析我这里使用的是pchunter工具。 可以通过工具看到产生网络连.
通过劫持explorer.exe的dll文件来实现权限维持
热门推荐
Shanfenglan's blog
11-12 10万+
CATALOG前言操作过程对抗方法参考文章 前言 这是一种主动的后门触发方式,只要对方主机重启机器的操作,就会触发我们之前设置的dll。系统在启动时默认启动进程explorer.exe,如果劫持了COM对象MruPidlList,就能劫持进程explorer.exe,实现后门随系统开机启动,相当于是主动后门。而劫持MruPidlList劫持注册表的一个{42aedc87-2188-41fd-b9a3-0c966feabec1}CLSID,将其的键值换成恶意dll即可。 操作过程 更改注册表劫持MruPi
网络安全权限维持(持续更新)
qq_52074678的博客
05-22 1872
权限维持 我们可以直接简单的把权限维持理解为我们在目标上安装了一个后门,权限维持的目的是保证自己的权限不会掉,一直控制目标。 渗透流程 Windows权限维持 1.用户维持 隐藏用户维持(影子用户) 隐藏账户,顾名思义就是计算机看不到的用户(不是不存在用户只是用一般的查看方式看不到) $符号隐藏用户 $符号隐藏用户就是在一个用户名后面加$符号,如(hack$)达到简单的隐藏用户目的,从而进行简单的权限维持 1.我们平时查看一个操作系统的几个用户的命令如下 net user.
Linux应急响应流程及实战演练.docx
03-06
Linux 应急响应流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值