摘要:
内存马 内存马访问触发特征: 1.URL地址路径 在源码中没有的,不存在的 查杀脚本-java-memshell-scanner 项目地址:https://github.com/c0ny1/java-memshell-scanner 通过jsp脚本扫描并查杀各类中间件内存马,比Java agent要 阅读全文
posted @ 2026-03-03 00:20
JuneCy
阅读(25)
评论(0)
推荐(0)
摘要:
docker镜像存在挖矿应急 top 查看内存 假如存在某个进程一直存在,除了计划任务,启动项等,还有就是在docker中运行 查看所有容器镜像 docker ps -a docker history pmietlicki/xmrig | grep xmrig 查看历史镜像信息 docker exe 阅读全文
posted @ 2026-02-26 09:07
JuneCy
阅读(1)
评论(0)
推荐(0)
摘要:
爆破事件与内网隧道 日志路径 /var/log/auth.log /var/log/secure 针对linux 的ssh登录进行判断是否登录成功 cat /var/log/secure | grep "Accept" 查看成功登录 cat /var/log/secure | grep "Faile 阅读全文
posted @ 2026-02-24 17:07
JuneCy
阅读(5)
评论(0)
推荐(0)
摘要:
(1)导出邮件的eml文件 根据攻击者:发信人,内容,附件进行下手 1.定性钓鱼事件 根据威胁情报,人工分析来源,域名,IP 2.定性攻击目的 攻击者的目的:发信人 内容 附件取得突破 3.溯源攻击画像 可以使用微步在线分析进行分析 然后可以使用安天工具进行分析,类似火绒剑 案例分析:先导出eml文 阅读全文
posted @ 2026-02-23 10:08
JuneCy
阅读(4)
评论(0)
推荐(0)
摘要:
网闸 防止信任的网络区域和非信任的网络进行实时的连接 内网区域划分 阅读全文
posted @ 2026-02-23 10:07
JuneCy
阅读(3)
评论(0)
推荐(0)
摘要:
横向移动-域控提权-CVE-2020-1472 CVE-2020-1472是一个windows域控中最严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限 Windows Server 2008 R2 for x64-based Syst 阅读全文
posted @ 2026-02-23 10:07
JuneCy
阅读(7)
评论(0)
推荐(0)
摘要:
1,信息收集 2,横向移动 协议口令手法 3,横向移动 域控提权手法 课程目的:对比前面课程演示的单域下的手法差异适用 场景1:入口机在h.hr.xiaodi.org下 如何判断同一级是否还有用户,可以进行用户名的爆破,也可以获取DC后进行判断 尝试利用口令移动g.ga.xiaodi.org域dc或 阅读全文
posted @ 2026-02-23 10:06
JuneCy
阅读(3)
评论(0)
推荐(0)
摘要:
windows 打开任务管理器发现中cpu被拉满了,分析进程,查看配置信息,判断矿池 (1)中挖矿后该怎么判断是怎么被入侵的 (2)判断是否有web服务,判断端口,查看日志 (3)找到入口后,进行封堵,这边是通过爆破密码进入的 使用防火墙封堵,或者修改密码 (4)封堵后需要进行清理 发现清理的时候, 阅读全文
posted @ 2026-02-23 10:06
JuneCy
阅读(1)
评论(0)
推荐(0)
摘要:
哥斯拉: cookie后面有分号(强特征) 哥斯拉在进行初始化时会产生一个较大的数据包(第一个),建立Session,第二三次请求确认连接,后续操作产生的数据包则相对较小。第三个包的返回数据是最大的 优先检查 Cookie 末尾是否带分号,结合 “Java 相关 User – Agent”“三阶段数 阅读全文
posted @ 2026-01-13 16:34
JuneCy
阅读(11)
评论(0)
推荐(0)
摘要:
信息收集: (1)通过spn的端口扫描去判断是否开放了exchange 端口:25/587/2525 (2)通过脚本探针 python Exchange_GetVersion_MatchVul.py 192.168.3.142 若存在exchange该怎么攻击 (1):通过密码爆破 (2)使用exc 阅读全文
posted @ 2026-01-13 11:14
JuneCy
阅读(11)
评论(0)
推荐(0)
浙公网安备 33010602011771号