驱动人生某样本分析

发布时间:March 10, 2019 // No Comments

今日某应急中遭遇到了驱动人生木马,对其中对一个powershell脚本进行了分析,发现挺有意思对 。该后门在原本的基础上进行了延伸,除了常规的内网端口扫描,smb弱口令爆破,hash传递攻击还加入了17010漏洞扫描的功能。 利用某大佬的话来说。由于木马是样本都是不落地的方式,核心技术是通过定时计划任务执行powershell代码达到持续控制的目的,因此最先分析powershell代码,了...

阅读更多...

分类:运维工作,linux,windows

Kolide Fleet osquery体验

发布时间:December 17, 2018 // No Comments

fleet Osquery体验 Kolide Fleet是为安全专家量身打造的最先进的主机监控平台。利用Facebook久经考验的osquery项目,Kolide能够快速回答重大问题。要了解更多关于Kolide Fleet的信息,请访问https://kolide.com/fleet 【都是xxx翻译的】说的直白一点就是一个信息汇聚实时查询系统 0x00.fleet准备 根据官方的提...

阅读更多...

分类:开发笔记,运维工作,工作日志,linux,windows

利用beat对系统进行监控

发布时间:December 10, 2018 // No Comments

主要是利用winlogbeat和auditbeat进行监控 关于安装elk.自行更新到最新版本 wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-6.4.2.rpm wget https://artifacts.elastic.co/downloads/kibana/kibana-6.4.2-x...

阅读更多...

分类:开发笔记,运维工作,linux,windows,生活琐事

针对windows下命令记录的种种

发布时间:December 2, 2018 // No Comments

处于客户的某种需求需要对windows系统进行进程监控,想了几个办法,但是走了一些弯路,不过好在还是实现了 最开始想到的是hook,后记录cmd命令,后来小伙伴提示不仅仅是cmd命令。还有其他的进程信息。这类例举了一些可以依赖于系统实现和记住第三方实现的方式 1. 系统自带的gpedit.msc 实际上,在win10、win8、win2012、win2016上面,是可以手动开启4688...

阅读更多...

分类:运维工作,开发笔记,工作日志,windows

关于半自动刷某交警答题赢积分

发布时间:July 27, 2018 // 2 Comments

最近在为了被扣分的事情一直烦恼。朋友推荐XX交警答题赢积分可以处理交通违章扣分。 关于XX交警答题赢积分 XX交警答题赢积分可以处理交通违章扣分。 规则: 系统随机生成试题,在规定时间内答题正确率在90%以上可以获得1分。 每个驾驶证每天最多可获得1分,最高可获得6分。 答题所获积分可用于自主处理交通违法时冲抵所绑定的轻微交通违法记分。 冲抵交通违法记分后,答题积分小于6分时,可以...

阅读更多...

分类:开发笔记,工作日志,代码学习,linux,python,生活琐事

利用RELK进行日志收集

发布时间:April 3, 2018 // No Comments

前不久在做应急的总是遇到要求对日志进行分析溯源,当时就想到如果对常见的日志类进行解析后统一入库处理,然后在对相关的IP/URL进行统计归纳。对于溯源之类的很是方便。想到数据量比较大,又要便于分析,就想到了ELK. 搭建一套基于elk的日志分析系统。 系统centos 内存4G 双核 大概架构如此 1.elk搭建 wget https://artifacts.elastic.co/do...

阅读更多...

分类:运维工作,开发笔记,python

Bash通配符在命令执行中的应用

发布时间:February 25, 2018 // No Comments

主要是在和基友讨论一个绕过的时候遇到了.后来翻东西的时候发现已经有国外的大神对此已经发布过类似的东西了.既然如此,记录下呗,权当搬运工 首先关于bash通配符 其中的?是匹配一个任意字符.也就是说如果我们平时执行的是cat /etc/passwd可以用?来替代 首先来试试常见的ls root@bee-box:~# which ls /bin/ls root@bee-box:~# ...

阅读更多...

分类:运维工作,linux

Weblogic(CVE-2017-10271)漏洞复现 附POC

发布时间:December 26, 2017 // No Comments

最近的CVE-2017-10271也是引起了一个小风波。趁着刚好有空就也测试了一下.测试环境是基于docker的.实际地址是: https://github.com/vulhub/vulhub/tree/master/weblogic/ssrf 注意的是,在发送请求的时候,在请求头中必带Content-Type: text/xml,否则是无法请求成功的。 文件上传: POST /wls-...

阅读更多...

分类:开发笔记,linux,python,windows

nginx 接受post数据

发布时间:December 6, 2017 // No Comments

开始使用的是apache.发现如果需要记录post数据还的使用其他的模块或者去hookapache来实现.后来发现nginx可以记录post数据 log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_ref...

阅读更多...

分类:运维工作,开发笔记,工作日志,linux

wvs如何应对频频提示激活

发布时间:September 15, 2017 // 3 Comments

今天基友和我说起来wvs总是提示激活的时候没发扫描啊.于是就想了下咋个自动化或者快速的解决这个问题.总的来说我暂时知道的方法有两个。认真的激活或者禁止和服务器通信,就自然不会再激活 1.自动激活 虽然禁止了升级提示的频率有所减少。但是依旧会提示.所以就想办法搞了一个自动激活的脚本.加入计划任务。每天执行一次就好了…^_^ WScript.Echo "wvs auto Activation...

阅读更多...

分类:运维工作,工作日志,开发笔记