11 月 10 日,我们发现了一次多阶段 PowerShell 攻击,该攻击使用冒充哈萨克斯坦卫生部的文件诱饵,目标是哈萨克斯坦。
概述 PowerShell用的最多的地方就是远程调用,在远程机器上执行脚本,监控远程机器的状态,如NLB状态,EventLog,SqlServer DataBase状态等。 本篇将讲到用PsE
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。
在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。
Ansible是自动化运维工具,基于Python开发,实现了批量系统配置、批量程序部署、批量运行命令等功能。Ansible是基于模块(module)和剧本(playbook)工作。
概述. 5月12日,全球突发的比特币勒索病毒(WannaCry)疯狂袭击公共和商业系统事件!英国各地超过40家医院遭到大范围网络黑客攻击,国家医疗服务系统(NHS)陷入一片混乱。中国多个高校校园网也集体沦陷。 WannaCry正是利用了过时的SMBv1协议中的一个漏洞,而SMBv1协议在Windows中默认是开启的。 使用Ansible快速关闭SMBv1协议. 虽然大多数企业都使用Linux服务器,但是仍然有很多企业中可能有成千上百台Windows服务器,如何实现快速批量关闭Win
Windows操作系统中的密码管理通常通过图形界面完成。然而,有时我们可能需要通过脚本或自动化方式更改密码。今天,我们将探讨如何使用PowerShell脚本实现Windows普通用户修改自身密码。
概念 Powershell 是运行在windows机器上实现系统和应用程序管理自动化的命令行脚本环境。你可以把它看成是命令行提示符cmd.exe的扩充,不对,应当是颠覆。 powershell需要.NET环境的支持,同时支持.NET对象。微软之所以将Powershell 定位为Power,并不是夸大其词,因为它完全支持对象,面向对象的便捷可想而知了。其可读性,易用性都非常的完美。 在运维windows 服务器的时候,其作用是非常大的。简洁高效等等。这里我简单用一个我应用的地方来展示一下。 背景
点击“创建资源”—“计算”—“Windows Server 2016 Datacenter”:
今年的Blackhat演讲中,Orange Tsai对其在上一阶段对Microsoft Exchange Server进行的安全研究进行了分享,除了前一段时间已经公开的proxylogon,还带来了ProxyShell等漏洞的有关具体细节。
Cmdlets 用于服务器的管理方面主要体现在4个方面:服务、日志、进程、服务器管理器。
本文档概述了如何在生成服务器上使用 .NET SDK 及其工具。 .NET 工具集既能以交互方式运行(当开发人员在命令提示符处键入命令时),也可以自动运行(当持续集成 (CI) 服务器运行生成脚本时)。 命令、选项、输入和输出都相同,可通过提供的唯一内容来获取用于生成应用的工具和系统。 本文档重点介绍了 CI 工具获取方案,并提供了有关如何设计和构建生成脚本的建议。
.NET Core 3.0视频系列中宣布了80多个新的免费视频,这些视频同时放在Microsoft的Channel 9 和youtube上面。 在线观看由于跨洋网络效果不太好,下载到机器上慢慢上是最好的了。 所以Scott Hanselman 特别制作了一个页面 http://dot.net/videos。
1 概述 最近出现了一种新型的PPT钓鱼攻击方式,该种钓鱼攻击方式不需要宏就能实现执行powershell的功能,通过网络下载gootkit木马进行控制。 2 分析 样本 MD5:3bff3e4fec2b6030c89e792c05f049fc 在拿到样本我们放到虚拟机中进行执行,可以看到以下,但是这并不会触发攻击 当我们用F5放映这个文档后,并把鼠标放到 Loading…Please wait 这个上面,就可以看到如下的画面,提示我们要启动一个外部程序 这个时候我们在点击启动之后,会看见一个powersh
在第一部分中,我提供了 PowerShell 的高级概述及其对网络的潜在风险。 当然,如果我们有追踪机制,那么只能缓解一些 PowerShell 攻击,假设我们已经开启了如下模块:
这篇文章是有关 WMI 的多篇系列文章中的第一篇,如果读者对 PowerShell 有个基本的了解,那么对阅读本篇文章会有所帮助,但这不是必需的。
到目前为止,已经学过了如何在有漏洞的目标上获取立足点的方法,接下来将继续学习后渗透相关的知识,这一节就来学习学习 beacon 的管理、会话传递等。
每个人都认为Python将连续第二次成为TIOBE年度的编程语言。但这次以2.4%的年增长率获奖是老兵C语言。
exe2hex 将可执行二进制文件编码为 ASCII 文本格式。然后,将结果传输到目标计算机(回显 ASCII 文件比回显二进制数据容易得多)。执行exe2hex的输出文件后,使用或PowerShell(默认情况下在Windows上预安装)还原原始程序。可以使用exe2hex中的内置 Telnet 或 WinEXE 选项自动将文件传输到目标计算机。 Binary EXE -> ASCII Text -> *Transfer* -> Binary EXE
GuLoader 是一种基于 Shellcode 的无文件恶意软件,下载的后续恶意 Payload 包括 AgentTesla、NetWire RAT 与 Ramcos RAT 等。研究人员发现,过去几周恶意的 VBScript 文件激增,这些文件会在受害者的机器上下载并执行 GuLoader Shellcode。 分析环境中的错误提示 GuLoader 在旧的变种中滥用 Microsoft OneDrive,而研究人员发现新变种改用 Google Drive 来部署 Shellcode 与恶意载荷。旧版
在企业的IT环境中,密码管理是日常运维工作的一项基本任务。通常,修改用户密码需要管理员权限,但在特定的场景下,可能需要允许普通用户修改其他用户的密码。本文将介绍一个独特的PowerShell脚本解决方案,该方案通过普通用户凭据远程登录服务器,并成功修改了其他用户的密码。
听说 90% 的人都在 win10 下使用 ubuntu 子系统了!在不赶紧学习你就out了,今天把我win10下安装linux子系统的过程记录下来了,希望对大家有帮助,少如一些坑。
在 Windows 上设置和使用 kubectl 的综合指南,包括处理代理、管理多个集群和升级 kubectl。
那个模糊了脚本和正经程序的边界,让一切皆有可能的PowerShell,7.0正式版发布啦。
浏览器(软件)能够运行JavaScript代码,浏览器就是JavaScript代码的运行环境
4月1日,Guardicore Labs团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行MS-SQL服务的Windows系统。分析报告称,此攻击活动至少从2018年5月开始,攻击者会针对目标的MS-SQL进行暴力猜解,成功登录目标系统后,再在系统中部署后门并运行远控工具等恶意程序。这一系列的攻击活动被命名为“Vollgar”。
在 Windows 系统上,可以使用计划任务来定时执行某些操作,方便用户对系统的使用和管理,红队成员也可以利用这个特性来对系统进行持久化的控制。
有一些程序不支持被直接启动,而要求通过命令行启动。这个时候,你就需要使用 PowerShell 或者 PowerShell Core 来启动这样的程序。我们都知道如何在命令行或各种终端中启动一个程序,但是当你需要自动启动这个程序的时候,你就需要知道如何通过 PowerShell 或其他命令行终端来启动一个程序,而不是手工输入然后回车运行了。
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
在这个周末我安装了Windows 10 Spring Update,最令我期待的就是它的内置OpenSSH工具,这意味着Windows管理员不再需要使用Putty和PPK格式的密钥了。随后,我花了些时间来探索并了解该版本所支持的特性。最终没有令我失望,我惊喜地看到ssh-agent.exe也被包含在内。在MSDN的一篇关于使用新Windows ssh-agent文章的以下部分,引起了我的注意:
PowerShell应为编写和运行都很方便,所以为了重复利用,经常写了一些小方法或者PS代码片段。使用的时候可能会很难找到自己想要的那个方法,如果要是有一个界面把这些代码管理起来并且调用,那就很爽了 1.创建一个powershell的方法,供C#调用,方法很简单,两个数的加法运算 1 function Sum 2 { 3 param([int]$first, [int]$second) 4 $result = $first + $second 5 return $result 6 } 2. 在C#的控制台
网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年,已经观察到他们如何应用无文件技术使检测和监测更加困难。
前言: 本手记以大学Java教学书籍《Java程序设计基础》第四版(清华大学出版社 陈国君等编著)为背景,每周更新一次,内容涉及学习这本书中可能遇到的问题及其解决办法,但不会贴原书上的内容,你需要自备这本书。 有任何问题,可以在评论区留言,会逐个解答。如果是我的同学,也可以在QQ上直接问我。本人师大计算机一班,运行环境为Windows 10,使用10.0版的cmd或者Windows PowerShell。 <第一章 Java语言概述>是你需要了解,并需要牢记的知识,并没有操作或者编程困难的地方。所以就跳过了
开源情报曾在上月初发布了永恒之蓝下载器挖矿木马的更新攻击事件—“黑球”行动,其中就有提到它利用带有Office漏洞CVE-2017-8570漏洞的doc文档作为附件的垃圾邮件进行攻击,然后通过执行PowerShell命令下载和安装挖矿相关的恶意计划任务,相关的垃圾邮件具体信息如下:
概述 最近,国外的安全研究员发现了一种在文档中使用DynamicData Exchange (DDE)协议发起渗透的方法。使用该方法可以绕过MSWord和MSExcel宏限制,不需要使用MSWord和MSExcel的漏洞就可以执行命令。腾讯反病毒实验室哈勃系统第一时间复现了该渗透方法,本文将详细介绍该渗透方法的构造过程。 背景 Windows提供了应用程序间数据传输的若干种方法。其中一种就是使用动态数据交换(DDE)协议。DDE协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换
计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术,但是它仍然可以在red team场景中使用,并且由各种开源工具支持。Metasploit 的web_delivery模块可用于托管和生成各种格式的有效载荷。
因为这次是从应急响应引出的,所以我将侧重点放在分析病毒本身的存储方式和传播途径,靠逆向分析出防护策略用于帮助后续的应急响应/系统加固/运维。
Microsoft在2015年4月30日Build 开发者大会上正式宣布了 Visual Studio Code 项目:一个运行于 Mac OS X、Windows和 Linux 之上的,针对于编写现代 Web 和云应用的跨平台源代码编辑器。
打开 PowerShell 输入代码可以看到下面内容,当然因为小伙伴的显卡和我不相同,拿到的字符串是不相同
Turla,也被称为 Snake,是一个臭名昭著的间谍组织,以其复杂的恶意软件而闻名。Turla 至少从 2008 年就开始运作,当时它成功攻击了美国军队。最近,它参与了对德国外交部和法国军队的重大攻击事件。
自打2015年5月微软Build大会宣布研发Azure Stack,一直到前不久微软Tech Sumit上CEO亲自宣布Azure Stack上市,盆盆一直都是这个产品的最忠实拥趸,也在华来四上发表了大量的原创技术文章。在学习和研究的过程中,盆盆积累了不少的原创视频和文档,敝帚不敢自珍,在此分享给诸位同好。
自定义镜像购买机器,有一些业务逻辑需要实现但又不能使用RunInstances接口的userdata参数,业务需求: 1、hostname需要自动生效,不想人为重启机器生效(如果能用userdata,在userdata里加重启机器的代码即可)
最近在某次系统更新后我的Win10系统遇到了这个在任务管理器中找不到GPU的问题,在网上搜寻了一圈,发现可能导致这个问题的原因有很多,但是大部分都不能解决我的问题,所以在这里总结一下,我自己使用的解决方法是第四个,很大概率是由于自己乱删C盘文件导致的。
PSMDATP PSMDATP是一款针对Microsoft Defender ATP的PowerShell管理模块,这个工具本质上来说是一个易于使用的命令行工具,广大研究人员可以使用PSMDATP来访问和使用 Microsoft Defender Advanced Threat Protection(MDATP) API。 这个工具是一个针对MDATP的PowerShell模块,它的主要特性如下: 可以帮助大家提升PowerShell技术; 提供了一种更加简单的方法并通过PowerShell来与MDATP进
Windows系统图形化界面(GUI)的优点和缺点都很明显。一方面,GUI给系统用户带来了操作上的极大便利,用户只需要单击按钮或图标就能使用操作系统的所有功能;另一方面,GUI给系统管理员带来了烦琐的操作步骤,例如修改Windows系统终端的登录密码,需要依次单击“控制面板”“用户账户”“修改账户密码”等一系列选项,如果需要修改100台终端的登录密码,将会耗费大量时间。
概述 相信大家对后台任务处理不陌生,比如.Net的后台线程处理,Java的线程处理等等。 而当我们用PowerShell这个强大的工具时怎么样开启后台任务呢,以及怎样处理这些任务呢,本篇将会告诉你PowerShell后台任务处理。 1.什么时候会用到后台任务 当本地机器需要执行一个动作,此动作需要耗费很长时间,而机器在这段时间内只能等待,而我们希望在机器等待的这段时间内,我们还可以做其他事情。 这样我们就可以用后台任务来
概述 在数学中1+1=2,在程序中1+1=2,而1+"1"=? 围绕着1+"1"的问题,我们来思考下这个问题。 目录: 一、在.Net代码中 二、在JavaScript代码中 三、在SQLServe
在渗透测试过程中·Windows日志往往会记录系统上的敏感操作,如添加用户, 远程登录, 执行命令等, 攻击者通常会对Windows日志进行清除和绕过。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
