摘要:
场景 按照一定时间规律运行Tcpdump 思路 编程思路细化思考 查看文件个数 file_count_results= $ du h max depth=0 2.1G . $ du bs 2177623726 . CHECK=$(du bs /data/sflow_log | awk '{print 阅读全文
摘要:
搜集暴露给互联网的服务器和服务 (1)dnsdb:https://www.dnsdb.io (2)censys:https://www.censys.io/ (3)fofa:https://fofa.so/ (4)钟馗之眼:https://www.zoomeye.org/ (5)shodan:htt 阅读全文
摘要:
0x01 分析思路 利用https://github.com/googleprojectzero/winafl 漏洞分析框架模糊测试WinRAR。 几个存档格式的崩溃,例如RAR,LZH和ACE,这些存档格式会导致内存损坏,例如Out of Bounds Write 发现WinRAR使用名为unac 阅读全文
摘要:
场景 拿到一台C段的Linux服务器,对目标主机进行嗅探 ettercap安装 操作环境 Centos 6 命令 参考 "中间人攻击之ettercap嗅探" "CentOS 6.5 下安装ettercap" "Compiling and Installing ettercap 0.8.2 on RH 阅读全文
摘要:
PE加载的过程 任何一个EXE程序会被分配4GB的内存空间,用户层处理低2G的内存,驱动处理高2G的内存。 1、双击EXE程序,操作系统开辟一个4GB的空间。 2、从ImageBase决定了加载后的基址,ImageSize决定了程序有多大。 3、然后加载DLL 大体流程: 1、PE被执行时,装载器为 阅读全文
摘要:
场景 根据报错页面的备份文件名格式生成日期文件,尝试遍历日期下载 实现代码 !/bin/bash startdate= enddate= while [[ $startdate le $enddate ]] do date=$startdate startdateother= dateother=$ 阅读全文
摘要:
Trickbot是一个简单的银行木马 来源 https://blog.trendmicro.com/trendlabs security intelligence/trickbot adds remote application credential grabbing capabilities to 阅读全文
摘要:
来源 https://blog.trendmicro.com/trendlabs security intelligence/trickbot adds remote application credential grabbing capabilities to its repertoire/ 感染 阅读全文
摘要:
场景 提供有关如何使用特定商业安全产品来检测已知对手行为的客观见解 提供有关安全产品和服务真实功能的透明度以检测已知的对手行为 推动安全供应商社区增强其检测已知对手行为的能力 地址 https://attackevals.mitre.org/evaluations/sentinelone.1.apt 阅读全文
摘要:
关注点: 1、Hook的位置 2、运行不起来可能是因为以计算机名作为密钥,【ahih_@i_back计算机名】 调试方法: 1、LoadLibrary 恶意代码的DLL 2、从Data字段查找到shellcode 3、引用ShellCode的位置 4、断点查看这个引用ShellCode的位置 阅读全文