- 博客(3)
- 收藏
- 关注
原创 linux主机和windows主机的入侵排查
结论:因为phpmyadmin弱口令登录导致被写入webshell。整改原因:更换mysql密码,设置mysql配置为不可写文件。整改意见:更换ssh的密码,限制同一用户多次登录。使用 history 命令查看历史运行的命令。192.168.0.130登录到本机的ssh。发现历史命令记录被删除,猜测疑似被入侵。找到配置文件,修改成对应自己的日志位置。su root 切换到root目录后。把隐藏文件复制出来,拿去杀毒分析。猜测网站是被写入webshell。发现注册表被写入恶意的启动项。发现被写入ssh公钥。
2023-12-10 15:27:47 39 1
原创 使用工具写入windows注册表后门,使用linux计划任务进行权限维持。
创建反弹shell脚本,vim shell.sh。权限维持 计划任务反弹shell。设置反弹shell任务每分钟执行一次。里面的 ip和端口号要和攻击机对应。并更改文件权限,使得文件可以被执行。首先拿到msf的shell后。background退出。kali使用nc启动监听。然后选择注册表后门模块。文件是用来清除后门的。注册表后门会自动运行。对应好文件的绝对路径。成功监听到shell。
2023-12-07 16:49:40 37
原创 制作简单的钓鱼样本
python在具有恶意的msi的文件夹下开启http服务。把做好的恶意flash放到win7虚拟机中运行。win7 运行自解压后就获取到shell。放在一起用winrar添加到压缩文件。把木马和正常的flash 进行压缩。目标访问excel且启用宏功能时。标识Excel 4.0宏结束。表示调用服务器上的msi。将名字改为容易混淆的。起一个容易混淆的名字。
2023-12-07 16:45:55 110 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人