入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重...
内存取证之Volatility从0到1
下载安装官网下载即可:https://www.volatilityfoundation.org/releases 网址Windows环境下下载软件包直接输入CMD打开使用(简单方便)真题操练...
linux下进程隐藏的一些研究
进程隐藏前两天逛github时, 看到了这个进程隐藏的项目,感觉挺有意思的, 简单复现分析一下, 并写了个差不多的用来隐藏网络信息的ps进程隐藏准备得到ps源码git clone https://gi...
Ninja:一款专为隐藏红队活动的开源C2服务器
NinjaNinja是一个开源的命令控制C2服务器,由Purple团队设计、开发和维护。在Ninjia的帮助下,红队研究人员可以隐藏他们的计算机和活动目录枚举活动,并且不会被SIEM和反病毒产品检测到...
AntSword v2.1.15 更新汇总
由于 ASP/ASPX/ASPXCharp/PHP/JSP/CUSTOM 类型每次请求时为多个参数,WebSocket连接之后Server端解析会较为困难,所以当前仅支持「RAW」类型: 「PHPRA...
前后端语言简析
什么HTML语言?作用:定义的是【网站显示的内容】。表现形式:<标签名>内容</标签名> 语法:标签式语法。ps:凡是你在网站上看到的东西,都属于HTML...
Red Team 常用 Powershell 脚本
各种常用PowerShell脚本:Search-EventForUser.ps1:在 Windows 事件日志中搜索特定用户的 Powershell 脚本Search-FullNameToSamAcc...
Linux故障排查思路及常用命令
Liunx应急一直都是安全行业中的重点,由于是全命令行界面,排查起来也没那么方便,也一直想做这方面的笔记,今天抽空来总结一下。现场环境如果是Linux系统的话,见过最多的是CentOS ,Linux是...
内存取证方法之volatility⼯具的使⽤
本文来自“白帽子社区知识星球”作者:kite白帽子社区知识星球加入星球,共同进步01抓取内存dumpDump⽂件是进程的内存镜像。可以把程序的执⾏状态通过调试器保存到dump⽂件中。Dump⽂件是 ⽤...
分享 | 绕过数字杀软的PowerShell调用并Bypass计划任务
文章来源:红队攻防参考原作者视频https://www.bilibili.com/video/BV1Mq4y1v7WC?spm_id_from=333.999.0.0前言:Powershell在渗透当...
Live-Forensicator:一款针对事件响应和实时取证的PowerShell脚本
关于Live-Forensicator Live-Forensicator是一款功能强大的PowerShell脚本,该脚本同时也是Black Widow工具箱中的一个组件,该工具...
内网学习笔记 | 15、系统服务权限配置不当利用
PowerUpPowerUp 可以用来寻找目标中权限配置不当的服务,下载地址:https://github.com/PowerShellEmpire/PowerTools/blob/master/Po...
8