应急响应中的入侵排查和权限维持

最新推荐文章于 2022-11-05 16:41:21 发布
最新推荐文章于 2022-11-05 16:41:21 发布
阅读量3.5k 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52776876/article/details/123019852
版权

入侵排除

一、检查系统账号安全

(一)排查服务器弱口令
尝试使用弱口令登录爆破或直接咨询管理员
在这里插入图片描述
(二)排查可疑账号、新增账号
1、打开cmd窗口,输入 lusrmgr.msc
2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用
在这里插入图片描述
(三)排查隐藏账号
打开注册表,查看管理员对应键值
1、在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表编辑器
2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看该选项内容,右键菜单选择权限,打开权限管理窗口
3、选择当前用户(一般为 administrator),将权限勾选为完全控制,然后确定并关闭注册表编辑器
4、再次打开注册表编辑器,即可选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users
5、在 Names 项下可以看到实例所有用户名,如出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户

最低0.47元/天 解锁文章
鱼传尺素zz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
Windows系统从权限维持角度进行应急响应
最新发布
ALLEN'Blog
02-16 676
红队攻击者在对目标进行渗透利用后通常都会进行权限维持,以达到持续利用的目的。而作为防守方进行应急响应时,应该如何与技术高超(jiaohuajianzha)的攻击者斗智斗勇呢?或许可以通过本文可以找到答案。以下内容不仅可以助力你拿捏应急响应,也能够让你在红蓝对抗更胜一筹。篇幅有限只能先写一下Windows系统的应急响应。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)
应急响应排查
S_cx666的博客
02-08 546
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 **信息内容安全事件** 违反宪法和
网络安全权限维持(持续更新)
qq_52074678的博客
05-22 1883
权限维持 我们可以直接简单的把权限维持理解为我们在目标上安装了一个后门,权限维持的目的是保证自己的权限不会掉,一直控制目标。 渗透流程 Windows权限维持 1.用户维持 隐藏用户维持(影子用户) 隐藏账户,顾名思义就是计算机看不到的用户(不是不存在用户只是用一般的查看方式看不到) $符号隐藏用户 $符号隐藏用户就是在一个用户名后面加$符号,如(hack$)达到简单的隐藏用户目的,从而进行简单的权限维持 1.我们平时查看一个操作系统的几个用户的命令如下 net user.
内网安全--权限维持
weixin_58782362的博客
11-05 815
C:\Windows\System32\mimilsa.log 记录登录的账号密码(前提条件是需要在线切换用户,且服务器不重启)1、mimilib.dll 传到目标域控的c:\windows\system32\目录下。c:\windows\system32\kiwissp.log 记录账号密码文件。方法一:但如果域控制器,被注入的内存的伪造的ssp将会丢失。域环境的权限维持、单机版的权限维持、web权限维持。使用此方法即使系统重启,也不会影响到持久化的效果。权限维持:为攻击者创造出稳定的输出。
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查是指在 Linux 系统检测和响应入侵活动的技术和方法。本文档将详细介绍 Linux 应急响应入门——入侵排查的基本概念、核心技术和应用场景。 一、账号安全 账号安全是 Linux 应急...
Linux 应急响应流程及实战演练.docx
06-10
2. **入侵排查**: - 使用`awk`命令筛选特权用户(uid为0)。 - 查找可远程登录的账号信息,确保只有必要的账号有此权限。 - 确保非管理账号没有sudo权限,必要时可禁用或删除可疑账号。 - 通过`.bash_history`...
应急响应实战笔记2020.pdf
06-23
面对各种各样的安全事件,我们该怎么处理? 这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。我将持续更新这份笔记,希望能帮到有需要的人。
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
间件之权限控制
enkayi的博客
08-16 1022
权限控制间件 http://blog.csdn.net/qq_20745827/article/details/50514394
通过劫持explorer.exe的dll文件来实现权限维持
热门推荐
Shanfenglan's blog
11-12 10万+
CATALOG前言操作过程对抗方法参考文章 前言 这是一种主动的后门触发方式,只要对方主机重启机器的操作,就会触发我们之前设置的dll。系统在启动时默认启动进程explorer.exe,如果劫持了COM对象MruPidlList,就能劫持进程explorer.exe,实现后门随系统开机启动,相当于是主动后门。而劫持MruPidlList劫持注册表的一个{42aedc87-2188-41fd-b9a3-0c966feabec1}CLSID,将其的键值换成恶意dll即可。 操作过程 更改注册表劫持MruPi
应急取证window脚本(测试
weixin_34144450的博客
05-02 228
测试发现还是有很多问题,继续改进,欢迎大家提供建议,小白学习 ::取证应急脚本 v2.0 ::2018年/5/02 del c:\antiy_information.txt del c:\antiy_executablepath.csv del c:\antiy_process.html del c:\antiy_startup.csv chcp 65001 @echo *********...
windows应急响应(一)
Websec
09-10 1847
常见的入侵时间的排查思路如下: 攻击类型定位->时间范围->文件分析->进程分析->系统分析->日志分析->关联分析->逻辑推理->事件总结 参考文章:http://www.freebuf.com/column/178677.html https://www.cnblogs.com/shellr00t/p/6943796.html?utm_so...
linux巡检脚本生成word,windows、linux应急响应安全巡检
weixin_32778881的博客
05-01 457
手动篇0. 注意最好提前获取客户操作系统等相关信息千万不要一开始就使用一些扫描工具。因为有些工具可能带有打开文件操作,这样会导致所以文件的修改时间全被刷新一次。//别问我为啥知道本文主要使用linux、windows自带的相关命令和程序。//避免工具对生产系统服务器带来的未知后果。linux1.日志和记录ssh 后门 strings /usr/bin/.sshd | egrep '[1-9]{1...
服务器关于MySQLudf.dll 提权入侵处理方法
CShouziwangDN的博客
04-18 349
处理服务器关于MySQLudf.dll 提权入侵处理方法 首先在服务器桌面创建一个.TXT文件,名称随意,然后复制下面代码保存,最后修改.txt的扩展名为.bat文件,双击运行.bat文件即可。 批处理代码: net stop mysql del %SystemRoot%\system32\udf.dll /A/F/Q del %SystemRoot%\udf.dll /A/F/Q del %SystemRoot%\temp\udf.dll /A/F/Q dir %SystemRoot%\system32
实验七——DLL劫持病毒的分析和清除
Onlyone_1314的博客
09-26 7970
【实验名称】 DLL劫持病毒的分析和清除 【实验目的】 掌握DLL劫持的原理 了解DLL劫持攻击的防御办法 【实验原理】 Windows2000之后的系统,将强制PE加载器首先在应用程序所在目录搜索要加载的DLL,如果搜索不到才搜索其他目录。PE加载搜索DLL路径顺序由注册表的键值决定,注册表路径如下:HKLM\System\CurrentControlSet\Control\Session Manager,的SafeDllSearchMode键。 SafeDllSearchMode=1
入侵破解:教你清除DLL后门
QUINCY_HU的专栏
04-13 1025
后门!相信这个词语对您来说一定不会陌生,它的危害不言而喻,但随着人们的安全意识逐步增强,又加上杀毒软件的“大力支持”,使传统的后门无法再隐藏自己,任何稍微有点计算机知识的人,都知道“查端口”“看进程”,以便发现一些“蛛丝马迹”。所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,
宝塔面板权限不足问题解决
weixin_46246967的博客
06-26 2188
宝塔面板权限不足问题解决

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值