2022 年 9月随笔档案 - bonelee

通过命名管道检测Cobalt Strike

posted @ 2022-09-29 17:46 bonelee 阅读(377) 评论(0) 推荐(0)

wazuh hids爆破攻击检测——可以看到wazuh是将爆破的原始事件缓存了，最终取证输出。

摘要：可以去申请一个商业版的试用： https://console.cloud.wazuh.com 我的如下（我安装的是linux版本）：使用hydra在kali下做暴力破解攻击。==》可以看到wazuh是将爆破的原始事件缓存了。最终取证输出。测试了下火绒，GG了！没有检测出暴力破解：阅读全文

posted @ 2022-09-29 15:38 bonelee 阅读(135) 评论(0) 推荐(0)

Dependency Walker使用说明

摘要：Dependency Walker使用说明微软官方有提供depends，可以查看exe文件的依赖库，仅适用于winxp/win7/win8，但是不能用于win10，会卡死报错. https://github.com/lucasg/Dependencies 最新版本看这里！原文链接：https:/ 阅读全文

posted @ 2022-09-28 16:27 bonelee 阅读(3200) 评论(0) 推荐(0)

PEiD查壳软件

摘要：UPX壳 ①经过UPX压缩的win32/pe文件，包含三个区段：UPX0, UPX1, .rsrc或UPX0, UPX1, UPX2(原文件本身无资源时)。UPX0：在文件中没有内容，它的”Virtual size”加上UPX1的构成了原文件全部区段需要的内存空间，相当于区段合并。②UPX1：起始位阅读全文

posted @ 2022-09-27 19:53 bonelee 阅读(4966) 评论(0) 推荐(0)

在windows中使用strings

摘要：在windows中使用strings 在刚刚的d3ctf中，给了个虚拟机取证的问题，题目是直接strings直接出flag了的但是题目的硬盘文件太大，自己的linux虚拟机空间又很容易不够，所以需要windows下一个strings的工具自己想的解决方案网上找现成的工具把linux里的stri 阅读全文

posted @ 2022-09-27 10:37 bonelee 阅读(966) 评论(0) 推荐(0)

计算hash和md5的工具md5deep

摘要：计算hash和md5的工具md5deep 下载地址：https://sourceforge.net/projects/md5deep/ 还是比较好用！ C:\Users\lx>md5deep test.py md5deep: WARNING: You are running a 32-bit pro 阅读全文

posted @ 2022-09-27 10:23 bonelee 阅读(167) 评论(0) 推荐(0)

burpsuite pro2022.2.3破解版下载build11926 cracked

摘要：https://www.ddosi.org/burpsuite_pro_2022_2_3-cracked/ burpsuite pro 2022.2.3下载地址解压密码: www.ddosi.org https://yzzpan.com/#sharefile=BVxY9xyi_37070 对于wi 阅读全文

posted @ 2022-09-25 18:32 bonelee 阅读(1922) 评论(0) 推荐(0)

Proxifer+BurpSuite 抓取PC客户端HTTP(s)数据包

摘要：Proxifer+BurpSuite 抓取PC客户端HTTP(s)数据包针对PC客户端(C/S架构)的渗透测试，抓包是一个挡在我们前面的问题。如果可以使用BurpSuite抓取客户端的HTTP(S)流量，那么测试过程将更有效率，也更有利于漏洞挖掘。本文分享一个抓取PC客户端HTTP(s)数据包的小阅读全文

posted @ 2022-09-25 17:55 bonelee 阅读(432) 评论(0) 推荐(0)

UAC提权的姿势——看来还是依赖特定OS版本，很少有一招鲜吃遍天的做法

摘要：https://github.com/hfiref0x/UACME UACMe Defeating Windows User Account Control by abusing built-in Windows AutoElevate backdoor. System Requirements x 阅读全文

posted @ 2022-09-24 17:19 bonelee 阅读(593) 评论(0) 推荐(0)

如何规避Sysmon DNS监控

摘要：如何规避Sysmon DNS监控阅读量358951 |评论7 | 发布时间 : 2019-06-17 16:30:13 x 译文声明本文是翻译文章，文章原作者 xpnsec，文章来源：blog.xpnsec.com 原文地址：https://blog.xpnsec.com/evading-sys 阅读全文

posted @ 2022-09-20 20:38 bonelee 阅读(228) 评论(0) 推荐(0)

关于DNS cache

摘要：关于DNS cache “DNS Client服务”只是客户端对DNS解析内容的缓存服务，禁用“DNS Client服务”并不影响DNS解析，只是客户端不对DNS解析内容进行缓存。命令ipconfig/displaydns 显示本机DNS缓存，但在禁用“DNS Client服务”时失效。这个服务关阅读全文

posted @ 2022-09-20 20:37 bonelee 阅读(763) 评论(0) 推荐(0)

svchost.exe详细解析，运行过程

摘要：svchost.exe详细解析，运行过程 svchost.exe是什么？ svchost.exe 是从动态链接库(DLL)中运行的服务的通用主机进程名称，本身只是作为服务宿主，并不实现任何服务功能，提供条件让其他服务在这里被启动，需要svchost.exe启动的服务以动态链接库形式实现，在安装这些服阅读全文

posted @ 2022-09-20 20:17 bonelee 阅读(1512) 评论(1) 推荐(0)

我的sysmon采集全量数据配置

摘要：我的sysmon采集全量数据配置： <!-- FILTERING: Filter conditions available for use are: is,is not,contains,contains any,is any,contains all,excludes,excludes any,e 阅读全文

posted @ 2022-09-16 12:16 bonelee 阅读(592) 评论(2) 推荐(0)

Sysmon 使用查询进程名称获取 DNS 查询日志==》看来早些版本是不支持溯源的！

摘要：浏览器打开的域名： ss的请求： svchost出去的也有：系统更新，也是svchost发出去的： ping的： nslookup的，看不到：GG！！！这是一个简单的“ping google.com ”命令，导致事件 22 记录在 Sysmon Windows 事件日志中：它可以监视几乎任何支阅读全文

posted @ 2022-09-16 10:59 bonelee 阅读(1031) 评论(0) 推荐(0)

LPC介绍

摘要：https://www.jiwo.org/ken/detail.php?id=2858 尝试使用Process Monitor查看此服务进程的属性，发现此服务提供了一个ALPC端口：\WindowsErrorReportingServicePorthttps://www.hexacorn.com/b 阅读全文

posted @ 2022-09-15 20:13 bonelee 阅读(1150) 评论(0) 推荐(0)

LPC事件采集——todo，待实践

摘要：使用 SYSMON + ELK 寻找 MIMIKATZ - 系列的第 2 部分 https://malwarenailed.blogspot.com/2017/10/hunting-mimikatz-using-sysmon-elk-part.html 在我之前的文章中，我们看到了 sysmon 日阅读全文

posted @ 2022-09-15 20:01 bonelee 阅读(49) 评论(0) 推荐(0)

注册表WinTrust\Trust Providers\Software Publishing作用是是否要做“检查证书是否吊销”

摘要：http://support.obtain.com/knowledgebase/codesign/CRLDisable.html 禁用证书吊销列表默认情况下，OBTAIN 服务器服务在本地系统帐户下作为 Windows 服务运行。要禁用本地系统的 CRL 检查，我们必须使用注册表进行更改。 1) 阅读全文

posted @ 2022-09-13 16:26 bonelee 阅读(222) 评论(0) 推荐(0)

payload免杀之Installutil.exe&csc.exe利用【自己win7机器复现ok】我下载的.net framework是4.8 不是最新的哈最新的没有v2 csc.exe

摘要：payload免杀之Installutil.exe&csc.exe利用轻落语 2019-09-30 原文 0x00 前言 C#的在Windows平台下的编译器名称是Csc.exe。Installutil.exe工具是一个命令行实用程序，允许您通过执行指定程序集中的安装程序组件来安装和卸载服务器资源阅读全文

posted @ 2022-09-13 15:49 bonelee 阅读(168) 评论(0) 推荐(0)

Bypass UAC——通过HKCU\Software\Classes\mscfile\shell\open\command

摘要：注意：win11均无法利用此漏洞了！ **UAC bypass for Win10:** 【此case，在我的win10上没有复现】 reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths\cont 阅读全文

posted @ 2022-09-13 15:00 bonelee 阅读(779) 评论(0) 推荐(0)

vmvare windows 7 虚拟机无法ping通宿主机解决方法

摘要：尼玛！关闭防火墙就可以了！坑死！阅读全文

posted @ 2022-09-11 10:56 bonelee 阅读(37) 评论(0) 推荐(0)

metersploit msf 常用命令

摘要：MSF命令大全详解我自己操作的示例 └─$ msfconsole msf6 > use exploit/multi/handler [*] Using configured payload generic/shell_reverse_tcp msf6 exploit(multi/handler) 阅读全文

posted @ 2022-09-10 19:39 bonelee 阅读(289) 评论(0) 推荐(0)

windows 7 iso下载地址

摘要：https://www.partitionwizard.com/partitionmanager/windows-7-iso-file-download.html 阅读全文

posted @ 2022-09-10 18:33 bonelee 阅读(60) 评论(0) 推荐(0)

windows暴力破解各个EDR厂商协议显示情况——就火绒做了，客户体验更好

该文被密码保护。

posted @ 2022-09-09 12:18 bonelee 阅读(0) 评论(0) 推荐(0)

Sandboxie

摘要：Sandboxie 6.7分安全认证适合当前系统发布时间：2021-11-11 大小：2.62MB 版本：5.53.3.0 支持系统：Win7/Win8/Win8.1/Win10/win11 位数：64 普通下载高速下载 Previous Next 1 2 3 软件简介 Sandboxie允许阅读全文

posted @ 2022-09-05 22:11 bonelee 阅读(112) 评论(0) 推荐(0)

浅谈ATT&CK对提升主机EDR检测能力的探索

摘要：浅谈ATT&CK对提升主机EDR检测能力的探索安全狗safedog 2020-01-29 09:00:10 305570 一、前言 ATT&CK是今年国内安全行业的一个备受瞩目的火热概念，很多组织和厂商发布了文章阐释各自对于它的理解，甚至连不少甲方单位也开始关心起ATT&CK，不仅向安全厂商咨询其阅读全文

posted @ 2022-09-05 15:10 bonelee 阅读(222) 评论(0) 推荐(0)

windows 7 iso文件下载都是官方链接

摘要：随便一个都是windows的，https://download.microsoft.com/download/0/6/3/06365375-C346-4D65-87C7-EE41F55F736B/7601.24214.180801-1700.win7sp1_ldr_escrow_CLIENT_PRO 阅读全文

posted @ 2022-09-05 11:16 bonelee 阅读(1654) 评论(0) 推荐(0)