aws之创建后门实现持久化利用的方式 我们如果控制了一个高权限的用户，那我们应该如何之后才能更分别我们利用呢，当然毫无疑问就是创建一个后门了，假设我们已经有了一个高权限的用户，下面该如何利用呢？ 创建 Access Key emmm，这个就不多说了，key 是一个用户或者 IAM 角色的最重要的身份凭证 这里使用夸张的方法，主要是理解原理 如果我们本来就有用户，我们就直接选择一个用户 root@h

1341025112991831 发表于 四川 · 141浏览 · 2025-01-06 09:14

AWS云之EFS 挂载安全 AWS EFS（Elastic File System）是 Amazon Web Services 提供的一种完全托管的、可扩展的网络文件存储服务。它设计用于与多个 EC2 实例（以及其他 AWS 服务）共享文件系统。EFS 允许你将文件存储在多个 EC2 实例之间共享，且具有高度的可扩展性和高可用性。EFS 可以扩展到海量的数据量，并且能够自动根据存储需求增加或减少存

1341025112991831 发表于 四川 · 233浏览 · 2024-12-30 18:20

这里准备了两个设备，一个是鼠标、一个是SanDisk的U盘 SetupAPI.dev日志 日志目录C:\Windows\INF\setupapi.dev.log setupapi日志可以存储与系统上加载的驱动程序和设备相关的所有事件，不仅仅可以用于badusb排查的，应该也可以应用于驱动后门排查。日志比较详细的记录了加载驱动程序的过程和对应的时间。 通过更改注册表HKEY_LOCAL_MACHIN

SpiritM0nK3y 发表于 江苏 · 269浏览 · 2024-12-26 09:39

应急响应-web1 前景需要： 小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件： 1.攻击者的shell密码 2.攻击者的IP地址 3.攻击者的隐藏账户名称 4.攻击者挖矿程序的矿池域名 用户： administrator 密码 Zgsf@admin.com 1.攻击者的shell密码 这里给的是一个用phpst

1747343513214731 发表于 安徽 · 267浏览 · 2024-12-25 15:48

简单介绍科来使用 实时分析 与wireshark的抓包功能类似不在赘述 回访分析 流量分析最常用,点击添加文件或直接将数据包拖进然后点击开始 哥斯拉流量分析 这里不看概要点击协议,看协议分级,统计各种数据包的流量占比 http最多,在通过日志的http日志就可以直观的看出流量走向 通过请求的url,方法,响应的状态码相结合来快速的定位恶意流量 可以看到3595ba653cb9453a3

bGl1 发表于 河南 · 339浏览 · 2024-12-24 09:04

一·前言 鄙人最近在某某群中寻找到了一个不知道谁的后门，心血来潮写下此文，以此提供一些蓝队简易反钓鱼的策略 ps.（下篇文章就写红队如何高概率钓鱼，期待一下） 本文所用环境：VS2022 二·总思路 通过对IP查找，特殊文件名，文件编译器，启动项的检查，选出第一批可疑进程，再对其筛选，最终以弹窗的形式呈现 三·流量方面 1.获取所有进程的IP连接： #include <iostream&gt

Bat-Hibara 发表于 甘肃 · 203浏览 · 2024-12-21 09:12

文章前言 在攻防演练中红队时而会在获取到目标系统的webshell权限之后会通过篡改前端网页的JS或HTML文件内容并插入恶意代码来挂载水坑扩大战果，具体的效果主要是使其在用户首次访问网站时就出现弹窗诱导用户下载恶意文件并进行安装，也有不少更加彻底直接通过篡改文件来挂载Flash水坑文件来诱导用户下载恶意文件，本篇文章主要是通过介绍近期在应急响应阶段中的几个水坑挂载木马的安全事件从侧面介绍关于水坑

Al1ex 发表于 四川 · 956浏览 · 2024-12-19 06:27

如果因为各种原因没法通过可视化界面操作，那就只能命令行检查 排查Windows日志命令 PowerShell Get-WinEvent命令 列出所有事件Get-WinEvent -ListLog * 获取Security.evtx的日志：Get-WinEvent -FilterHashtable @{LogName='Security'} 获取事件ID为4624的Security日志：Get-

SpiritM0nK3y 发表于 江苏 · 227浏览 · 2024-12-13 15:00

前言 每年的七月至八月对于安全圈的小伙伴来说那肯定是忙碌的两个月，各行各业都在开展不大不小的攻防演练，本人作为安全圈中的一个小白肯定也是被卷入了其中，这不，护网才开始不久就有情况了，事情起因就是我同事发现上报人员上报上来的告警信息IP很可疑，然后的话也因为要写技战法也需要有溯源反制等等内容，所以我同事就把该IP信息简单的进行了一个溯源，不过他护网期间确实太忙太累了，就让我帮他看看，这篇文章从此而来

bcloud 发表于 四川 · 795浏览 · 2024-12-02 11:29

基于深度学习（TextCNN&XGBoost stacking融合）对恶意软件的检测算法设计与实现 本文将基于深度学习技术提出一种新的利用模型融合的恶意软件检测模型。这种方法通过分析恶意软件的动态行为特征，即其运行时调用的的底层 API 信息，利用 one-hot 编码和word2vec 词向量算法的结合，通过将 API 名称及其调用序列特征映射到向量表示，并使用上下文嵌入技术将 API

je1emy 发表于 广东 · 458浏览 · 2024-11-29 13:02

下列手法均不讨论免杀 1、rlo文件名翻转 (1)简介：全名Right-to-Left Override，本质是一串Unicode字符，编码0x202E，本身不可见，插入之后会让在他之后的字符串从右往左重新排列，本意是用来支持一些从右往左写的语言的文字，比如阿拉伯语、希伯来语等，现可以用来伪造文件名后缀，结合上一些其他手段可用作钓鱼文件的制作 (2)例子： 为了更直观的看懂反转过程使用原文件名如下

1479394864616213 发表于 湖南 · 537浏览 · 2024-11-22 12:39

前言 蜜罐作为一种主动防御策略，其核心在于故意暴露潜在的脆弱性并设置诱饵，旨在吸引攻击者发起攻击。通过维持某些易受攻击的端口处于开放状态，蜜罐能够巧妙地引导攻击者进入其预设的虚拟环境，而非真实的系统领域。一旦攻击者踏入蜜罐的陷阱，系统便能持续监控并追踪其活动轨迹，不仅实现对攻击者的有效捕获与攻击路径的追溯，还能通过对攻击行为的深入分析，提炼出强化真实网络安全防护的宝贵见解。这些洞察随后可被转化为具

次于完美 发表于 广东 · 182浏览 · 2024-11-22 05:42

分析报告 一、应急启动判断 发现CPU占用率居高不下，那么主机很有可能已经被植入了挖矿木马。 攻击时段： 2024年8月5日08时06分-2024年8月6日08时06分 攻击影响： 2024年8月5日08时06分，监控平台监控到IP为xx.xx.xx.xx的web服务器cpu使用率过高 二、处理流程 计划任务-->开机启动-->守护进程-->异常进程 1. 登陆

1404298252030661 发表于 四川 · 2495浏览 · 2024-08-30 06:17

之前在我当猴子的时候，我正在愉快的摸鱼，但是突然，甲方那边突然传过来说有人可能被钓鱼 了，让我紧急去处置，我瞬间就懵了，我手里的零食也不香了。硬着头皮上吧！ 因为保密原因，所以码会很重，但是绝对能让师傅们学到什么，并且我看现在市面上供应链溯源处置文章比较少，他和传统的溯源思路还是有些区别的，所以我写下这篇文章想帮助还在防御的兄弟们遇到这种情况的时候有一个比较清晰的思路 这条短信，当时企业很多员工都

xhys 发表于 北京 · 627浏览 · 2024-08-19 01:00

写在最前面： 这是顺丰“威胁情报作战三部曲”的第一篇，三篇分别是：攻击者画像、情报拓线和威胁狩猎。 我们的心愿，就是把顺丰使用威胁情报的经验掰开了、揉碎了、明明白白写出来，希望对屏幕前每一个你都能有所帮助，哪怕只有一点点。 那么，正题，开始！ ►►► 从挨批到挨夸，我只用了一个动作 嗨，还是我，顺丰的安全研究员K，今天又在网络安全的海洋里“冲浪”，结果被三条告警的“浪”拍得晕头转向：这三条告警彼此

顺丰安全应急响应中心 发表于 上海 · 1155浏览 · 2024-08-13 10:38