7、马某终端检查 之前在分析木马程序过程中,当把病毒文件拷贝到本机时,防病毒软件第一时间就已经自动隔离了两个文件,说明防病毒软件是可以检测该挖矿木马的。...8、小结 攻击者通过未安装防病毒软件的马某笔记本(木桶最短的那块板)进入公司内网,然后再渗透到弱口令的测试服务器,从测试服务器又渗透到弱口令的内网生产服务器。...从整个排查过程看,挖矿木马感染成功后,会通过扫描22端口,并在内网尝试破解SSH弱口令进一步传播。...后续安排 为了防止同类事件再次发生,急需对已发现问题进行整改,主要有以下几点: 由于木马会自动扫描ssh端口弱口令并自动传播,建议抽查或全面排查其他linux服务器是否有中同样的挖矿木马。...修改弱口令,经查该中木马的服务器上的用户账号中有7个弱口令,密码和账户相同。启用密码策略,所有linux服务器不得使用弱口令。
2、扫135端口抓肉鸡 首先先用端口扫描器扫一段IP的135端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用recton开telnet传马。...(详细动画 可以去黑客网站搜索135) 3、扫445端口抓肉鸡 和扫135抓肉鸡差不多,首先先用端口扫描器扫一段IP的445端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用啊D工具包开共享传马...自动扫描,扫描完后自动溢出,溢出后还自动下 马执行,爽吧!所以这里讲详细点,呵呵。还有4221端口也 可以这样溢出,只要用这些端口的溢出工具就好了,详细动画 可以去黑客网站搜索1433。...2、扫135端口抓肉鸡 首先先用端口扫描器扫一段IP的135端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用recton开telnet传马。...(详细动画 可以去黑客网站搜索135) 3、扫445端口抓肉鸡 和扫135抓肉鸡差不多,首先先用端口扫描器扫一段IP的445端口,然后把结果保存,再用NTSCAN过滤有弱口令的机器,最后用啊D工具包开共享传马
欢迎关注我的微信公众号《壳中之魂》观看更多网安文章 弱口令 管理后台链接:http://192.168.0.105:8080/manager/html 弱口令进去后就可以远程部署war包 [583db1c52a41d3a40a5c3ec74c3715fe.jpeg...包不是同一个设置 PUT方法任意文件写入(CVE-2017-12615) 漏洞产生原因为web.xml里将readonly设置为了false(默认为true),导致了可以通过PUT写入任意文件,但是不能直接传....和Windows下实现不同,在Linux下不会产生此漏洞,而在Windows下,CreateProcess中的参数为bat文件或是cmd文件时,会调用cmd.exe,导致最后传入的参数为cmd.exe...ca676432f936d2c9500dfd7e04255c26.jpeg] 接着修改context.xml,添加privileged="true" ,否则会没有权限 [7e653fa2e1f3177aea7ef0298f470e22...26c%3a%5cwindows%5csystem32%5cnet.exe%20user [1579d849442a228b38b51f335636da5c.jpeg] 不过这两个来链接被浏览器执行完后会自动把反斜杠解码
任务一、SSH弱口令渗透测试 任务环境说明: ü 服务器场景:Linux ü 服务器场景操作系统:Linux(版本不详) 1....在本地PC渗透测试平台BT5中使用zenmap工具扫描服务器场景Linux所在网段(例如:172.16.101.0/24)范围内存活的主机IP地址和指定开放的21、22、23端口。...并将该操作使用的命令中必须要添加的字符串作为FLAG提交(忽略ip地址); 直接用nmap扫描 flag=-p21,22,23 2.通过本地PC中渗透测试平台BT5对服务器场景Linux进行系统服务及版本扫描渗透测试...,使用search命令,并将扫描弱口令模块的名称信息作为FLAG提交; flag=search mssql_login 4....页面五,,,,/file=text.txt,,,这题没有做出来 混战阶段 一台Linux 开放21 22 23 80 3306端口。。。
4.经过测试发现phpmyadmin存在弱口令:root/root ? ...21.对10.0.0段进行扫描: 2尝试对10.0.0.8进行pth,成功: 22.在现有的192.168.1.114上尝试对10.0.0.8进行pth(administrator权限)横向成功,当然也可以用...26. 26.传马,上线: link 目标ip ? 27.本地信息收集: ? 28.发现当前账户为域管: net group "domain admins" /domain ?
本次的CASE特别有意思,往期我们碰到的大部分挖矿木马是以高占用CPU,GPU为主的矿马,而这次是一次全程同“薅羊毛”式矿马的斗智斗勇。 本次重要的是分析过程,分享给大家。...,无文件的逻辑编写矿马了) image.png ---- 被入侵原因 1.被植入挖矿进程的原因经最后的溯源分析,问题在于服务器对ssh服务(22端口)未配置访问源,直接暴露于公网。...image.png 2.服务器密码存在通用口令,容易被爆破入侵。...---- 恶意进程定位 1.矿马位置: (1)/usr/local/lib/路径下: /usr/local/lib/zhihuatnail.so 病毒名:Linux.Rootkit.Processhider.Hnur...三、/etc/ld.so.preload等作为定时触发任务,定时触发/usr/local/lib/zhihuatnail.so进程,让每次若进程未清理干净,则会自动继续触发挖矿行为和文件更新行为。
不要学我^^)0x01 一个出局的企业单位内网之旅打点一故事的开始是某佬丢了一个系统nday shell给我ipconfig发现有10段内网,这种网段内网一般都很大但是这种nday已经被别人扫烂了 目录全是马发现不对劲...哪位不知名黑客昨天传的fscan但是目标单位还没出局 先打再说准备cs上线 但是发现不出网先在哥斯拉传fcsan命令执行扫了一下b段(应该先noping稍微扫一下c段再拿一台机器留后路在搞,这次做的有问题...但是这次翻F12看js文件就不一样了构造请求成功注册了一个账号 并且发现了一个敏感参数role修改为1 成功注册一个管理员账户.net的站管理员权限后台很容易找了个上传点配合图片免杀马就shell了在爆破接口的时候...然后进入一堆弱口令的网段里,写报告写死我先登了这个网段扫到的弱口令机器,发现都是设备只能继续找其他突破口了在这台机器翻了一波 发现了一个显眼的sa.txt文件果不其然,里面放了一些密码,fscan再密码喷洒一波拿下双网卡主机弱口令...后面就是fscan+超级弱口令密码碰洒 就完了不得不说看着密码碰洒是真滴爽啊^^因为fscan默认是不支持扫rdp弱口令的一般是用fscan扫开放3389的机器,然后导出到超级弱口令等软件进行爆破,但是这样会由于
0x01 一个出局的企业单位内网之旅 打点一 故事的开始是某佬丢了一个系统nday shell给我 ipconfig发现有10段内网,这种网段内网一般都很大 但是这种nday已经被别人扫烂了 目录全是马...哪位不知名黑客昨天传的fscan 但是目标单位还没出局 先打再说 准备cs上线 但是发现不出网 先在哥斯拉传fcsan命令执行扫了一下b段 (应该先noping稍微扫一下c段再拿一台机器留后路在搞,这次做的有问题...但是这次翻F12看js文件就不一样了 构造请求成功注册了一个账号 并且发现了一个敏感参数 role修改为1 成功注册一个管理员账户 .net的站管理员权限后台很容易找了个上传点配合图片免杀马就shell...)(服务端)>双网卡内网机(客户端) 然后再用proxifier搭个代理链 我们就可以通10.9网段了,美滋滋的写报告的时候 被通知对方出局了~ 把手里的报告交了,因为慢了昨天传fscan的师傅一步...后面就是fscan+超级弱口令密码碰洒 就完了 不得不说看着密码碰洒是真滴爽啊^^ 因为fscan默认是不支持扫rdp弱口令的 一般是用fscan扫开放3389的机器,然后导出到超级弱口令等软件进行爆破
肉鸡 肉鸡也被称为傀儡机,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们...挂马 挂马是指通过各种手段(包括SQL注入,网站敏感文件扫描,服务器漏洞,网站程序0day等方法)在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里,以使浏览者中马。...网站挂马不仅使得被挂马的网站失去信誉,丢失大量客户,同时也会让用户掉进陷阱,沦为电脑肉鸡。...弱口令 通俗的说,弱口令就是指口令中只包含简单字母和数字的口令,这种口令极容易被人破解,比如说“123”、“abc”,或者是用户的生日以及电话号码等,弱口令会让用户的账号安全存在极大的隐患。
时间 时间在22年护网结束之后,8月中旬左右,当时公司接了一个市级的攻防演练,作为实习生的我,有幸和师傅一起参加,也是我第一次以红队身份参加,当然,更多的还是蹭师傅的光 拿了第一有个感谢信(O(∩_∩...成果一:某旅游公司的后台任意文件上传+ftp弱口令 后台登录尝试弱口令于是直接进入后台,在后台有个上传景区照片,宣传视频的地方,bp抓包修改后缀成功上传一句话木马: 随后进行的弱口令爆破发现ftp弱口令...: 成果二:某电子商务公司弱口令+shiro反序列化漏洞 首先是弱口令进入后台 然后是扫描器报shiro反序列化,于是一波写内存马getshell 成果三:某投资公司的sql注入 在进行目录扫描后...的注入获取shell 攻防开始前已经被上传马了。。。...然后是nc的文件上传漏洞: 成果六:某公司弱口令+SQL注入+任意文件读取 又是老套路弱口令进后台。。。
弱口令漏洞 公网数据库爆破 web 登录系统的弱口令爆破就不说了,有一种思路是直接对公网的 IP 地址的数据库弱口令爆破,个人感觉还是比较爽的。...若公网跳板机是 linux 的话,可以使用 linux 版本的 lcx,也就是 portmap 用法: ....第二种方法可以用上面那个工具进行文件上传传小马上去,接着用小马客户端传大马就行了,这是常规套路。 ? Q:拿到大马之后要干啥? A:当然要进一步渗透了,内网渗透、域渗透。...A: 先 ipconfig 看看是不是内网 IP,如果是的话就传个 msf 马上去进一步操作,或者用 lcx 或者 ew 把 3389 转发到公网。 ---- Q: 但是要怎么传呢?...可以直接上传木马的话,就可以直接上大马或者用 msf 直接生成一个 jsp 马(msfvenom)。
大家时常碰到数据库如果前面或者中间+了# 可以用%23替换就可以下载了 \database\%23newasp.mdb 如:#xzws.mdb 改成%23xzws.mdb 22. ...工具:网站猎手 关键词:inurl:Went.asp 后缀:manage/login.asp 口令:'or'='or' 26. ...关键字:尚奈克斯 后台路径/system/manage.asp 直接传ASP木马 31. ...工具:网站猎手 WebShell 关键字:inurl:Went.asp 后缀:manage/login.asp 弱口令:'or'='or' 37. ...actionType=mod&picName=xuanran.asp 再上传马..... 进访问uppic anran.asp 登陆马. 39.
Linux账户口令生存期策略 口令老化(Password aging)是一种增强的系统口令生命期认证机制,能够确保用户的口令定期更换,提高系统安全性。...我们可以这样子做,把密码设置成三个月过期,具体的操作步骤如下: # 打开etc目录下的login.defs vim /etc/login.defs # 添加楼下内容 PASS_MAX_DAYS 90 Linux...账户登录失败锁定策略 设置账户登录失败锁定策略,加大用户口令被暴力破解的难度。...账户超时自动登出策略 配置帐户超时自动登出,在用户输入空闲一段时间后自动断开。.../ssh/sshd_config vim /etc/ssh/sshd_config # 添加楼下内容 PermitRootLogin no # 重启sshd服务 更改ssh监听端口 SSH监听在默认的22
关键词:凭证窃取、口令收集、密码抓取、密码嗅探 ---- 01、history记录敏感操作 Linux系统会自动把用户的操作命令记录到历史列表中,当用户在命令行中输入账号、密码进行登录时,将会导致敏感信息泄露...当id=1,采用md5进行加密,弱口令容易被破解。 ? 当id为5时,采用SHA256进行加密,id为6时,采用SHA512进行加密,可以通过john进行暴力破解。...:34:34 read(6, "\10\0\0\0\4root", 9) = 9 [pid 2401] 22:34:34 read(6, "\4\0\0\0\16ssh-connection\0\0\...0\0\0\0\0\0", 27) = 27 [pid 2401] 22:34:34 read(6, "\f\0\0\0\4toor", 9) = 9 ?...grep -rn "password=" / 07、swap_digger 一个用于自动进行Linux交换分析bash脚本,自动进行交换提取,并搜索Linux用户凭据,Web表单凭据,Web表单电子邮件
/xz.aliyun.com/t/13633 外网打点 信息搜集 Fscan扫描 访问后发现是Wordpress站点,Wpscan扫描漏洞 探测相关插件和Wordpress版本均未发现相关漏洞,尝试弱口令...,以弱口令成功登入后台 写入Webshell 后台可以编辑PHP文件,改动为一句话木马即可 使用蚁剑进行连接 在根目录下发现flag 内网横向 信息搜集 Fscan扫描内网网段 172.22.15.24...open 172.22.15.24:445 open 172.22.15.13:88 open 172.22.15.18:80 open 172.22.15.26:80 open 172.22.15.26:22.../chisel client VPS:7000 R:0.0.0.0:7001:socks 攻击域成员一(MS17-010) 访问存在Web服务的 发现是ZDOO,搜索相关漏洞后无果 弱口令登录 尝试弱口令登录...Ms17-010攻击 使用upload指令传马,再用execute执行,进而上线至VIPER 发现flag 攻击域成员二(RBCD) 信息搜集 新建管理员用户 RDP登录后发现桌面存放有数据库服务 使用
加密勒索软件 加密勒索软件主要以加密个人文件和文件夹(文档、电子表格、图片和视频)为主,受影响的文件一旦加密就会被删除,用户通常会在与现在无法访问的文件同名的文件夹中遇到带有付款说明的文本文件,当文件扩展名被自动更改时用户可能会察觉到勒索软件所带来的影响...的好处是作者不需要暴露自己的私钥,交给用户一个程序生成的RSA私钥来针对不同的受害机器执行单独解密的操作 攻击手法 目前勒索病毒常见的攻击手法主要有以下几种: 文件感染 钓鱼邮件 网站挂马...加密方式:RSA+AES 赎金类型:虚拟货币(比特币) BlackCat 发现日期:2021年 简要描述:BlackCat一经公布即在俄语论坛售卖服务与分发合作,并且于22年7月入侵万代南梦宫并窃取敏感信息...ProxyShell漏洞入侵 加密方式:RSA+AES 赎金类型:虚拟货币(比特币) BlackBasta 发现日期:2022年 简要描述:作为新兴勒索软件针对企业用户的Windows系统以及Linux...企业不仅要面临隐私数据泄露还要面临相关法规、财务和声誉受损的影响从而大大增加了攻击者勒索的成功率 勒索软件也随着云计算业务的发展趋势而转移目标,未来有越来越多公司业务迁移到虚拟机,诸如BlackBasta瞄准Linux
下面介绍使用ssh客户端远程登录linux系统。本人使用的是win7,登录虚拟机的ubuntu linux。...如图: 知道了这些,当查看linux的ip后,把对应的宿主机虚拟网卡ip设置同一网段即可: 然后ping测试网络是否畅通: 测试通过,然后使用SSH客户端登远程登录linux。...正常情况如果登录成功,接下来会输入远程登录主机的用户名和密码,linux的一个账户可以多台主机登录。 如上图,已经登录成功了。此时就可以使用远程登录工具操作linux了。...ForwardX11 no “ForwardX11”设置X11连接是否被自动重定向到安全的通道和显示集(DISPLAY set)。...FallBackToRsh no “FallBackToRsh”设置如果用ssh连接出现错误是否自动使用rsh。
漏洞探测 访问网站,弱口令直接登进行了,但是没啥东西 搞搞Shiro漏洞,尝试工具一把梭,寻找下密钥 没找到,呃,总不能是Shiro721吧,但确实此时登录过后,有对应的Cookie,满足爆破的条件了,...接下来尝试写入内存马 执行命令 有一些不方便,用冰蝎的反弹shell功能弹到vps上 提权 find / -user root -perm -4000 -print 2>/dev/null 发现vim,...尝试内存马 尝试用工具写入内存马 没写进去,那八成是Yaml反序列化了。...(域用户二)->172.30.54.12(域用户三) 我们改下配置文件 接下来尝试curl用户三 成功,在Windows用Proxifier挂上代理链即可 尝试访问域用户三 漏洞探测 登录框肯定尝试弱口令.../grafanaExp_linux_amd64 exp -u "xxx" 需要注意的是我这里是用域用户二执行的命令,用本机然后通过代理执行经常卡住。
坐等开机不是办法,于是尝试其他的系统 0x03 尝试学生管理系统 通过0x01的信息收集,在这个机器上开着某闭源的学生管理系统,直觉告诉我这里有可能会有突破 首先来测弱口令,虽然没有成功,但是发现了一些信息...) 成功登陆进去 但是发现该账号权限特别小,只能查看一些学校的文件、发布文件等等 系统使用了ueditor1.3.6,有不少文章在这个版本下上传成功,然而这里尝试截断传马失败,有白名单 由于是.net...系统,数据库推断使用的是sqlserver 于是尝试找注入点,直接上sqlmap不妥,在后台能传参的地方打报错注入payload 找到一处注入后利用xp_cmdshell提权但是失败,无法getshell...成功 接下来测试下17010,配置下msf的路由转发,然后在内网中乱杀 试试弱口令(SSH,FTP,Redis等)基本一试一个准 内网的一些web系统,甚至admin-admin这种都可以直接进...0x0b 总结 最后没有做太多的事情,关了socks隧道,删掉了马,清了msf sessions,一切就当没发生过 之前和大佬做的一些渗透,技术含量不高,现在整理出来,不足之处,大佬们别喷就行 (后来我感觉自己太菜就去做
领取专属 10元无门槛券
手把手带您无忧上云