最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。...Powershell的挖矿病毒具备无文件攻击的高级威胁外,还具有两种横向传染机制,分别为WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击,极易在企业网的局域网内迅速传播。...在过去的一年里,至少处理了8起有关Powershell挖矿病毒。今天我们就来谈一谈该病毒的处理方式和防范措施。...中Powershell挖矿病毒后的现象 当服务器感染了Powershell挖矿病毒后,通过交互式登录操作系统,利用ProcessExplorer.exe进程查看器进程,会发现Powershell.exe...挖矿病毒还会在本地安全策略中创建一条阻止连接本服务器445号端口的IPSec策略。
在我们的迷你系列“Variables in Shells”中,了解如何在PowerShell中处理局部变量。...设置变量 你不需要特殊权限即可创建变量。 它们可免费创建,免费使用且通常无害。 在PowerShell中,可以通过定义变量名称,然后使用Set-Variable命令设置其值来创建变量。...屏幕快照 2019-11-24 下午5.48.15.png 操作成功是无言的,因此你可能不确定变量是否已被设置。 可以使用Get-Variable(简称gv)命令自己查看结果。...在PowerShell中,变量具有多种类型,包括字符串,整数和数组。 选择创建一个实质上具有多个值的变量时,必须确定是否需要用字符分隔的字符串或数组。...通过环境变量进入全局 到目前为止,本文中创建的变量都是本地变量,这意味着它们仅适用于你在其中创建的PowerShell会话。
利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。 乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!...本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! 1. 介绍 Nishang是一款针对PowerShell的后渗透工具。...模块加载 在官网文档中,启用的操作是这样的: Import-Module ....\Keylogger.ps1 #使用这种方式运行,键盘记录会保存在当前用户Temp目录下的Key文件中 PS >....总结 Nishang是基于PowerShell的后渗透测试专用工具,这里面有非常多的命令可以调用,虽然大部分情况存在av的情况下无法直接执行PowerShell,但是代码的思路值得我们学习!
静默内网存活探测 一、前言 临近教育护网,再次来研究一个之前没有细究过的内容:静默内网存活探测,当你突破边界服务器进入内网的时候就会面临着这个问题,如何在不被发现的情况下进行内网探测。...如果使用如fscan等内网自动化探测工具产生大量的异常流量那么就必然会被发现,被发现那十有八九这台好不容易被拿下的服务器肯定就无了,毕竟蓝队最喜欢关机。这篇文章就来探讨如何这个问题。...二、正文 本文仅探究静默内网存活探测,不对前期的内网信息收集做过多的介绍 1、icmp协议探测 windows使用如下命令扫描192.168.1.0/24网段下存活主机,该方法流量和正常ping流量相似...脚本进行扫描就需要上传对应的脚本才能进行扫描 powershell.exe ‐exec bypass ‐Command "Import‐Module ....首先看一下帮助信息: 可以使用如下命令查看缓存信息: nbtstat -c 5、shell脚本 shell实用脚本(探测内网存活主机) - 简书 (jianshu.com) #!
java安装完成后,打开文件夹,找到java,将jdk安装路径复制下来,本例中为C:\Program Files\Java\jdk-17.0.5 在开始菜单栏搜索高级系统设置并打开系统属性,点击环境变量...使用文本编辑器(如记事本)打开eula.txt,将文件中的eula=false改为eula=true。这表示你已阅读并理解了EULA的内容,并会在使用服务端时遵守它。...25565 点击完成 选择刚刚创建的服务器后,点击加入服务器 然后会出现连接不上,因为正版验证需验证正版账号,我们需要将其关闭验证 查看powershell也看到了相关错误,接下来需修改相关配置文件...创建隧道映射内网端口 cpolar内网穿透安装成功后,在浏览器上访问cpolar web UI管理界面(默认为本地9200端口),以【 http://本地ip地址:9200 】形式访问,如http://...配置固定TCP端口地址 需要注意的是,以上步骤使用的是随机临时tcp端口地址,所生成的公网地址为随机临时地址,该公网地址24小时内会随机变化。
一些有用的脚本 获取电池使用情况报告(battery-report)-电池历史记录 来源:获取电池使用情况报告(battery-report)-电池历史记录 点击任务栏搜索框,搜索:POWERSHELL...鼠标右键点击搜索结果中的“Windows Powershell”,点击“以管理员身份运行” 1 $HTML=[System.Environment]::GetFolderPath('Desktop')...")}| %{$_.Replace("Information about each currently installed battery","查看当前已安装电池的信息")}| %{$_.Replace...72小时内的电源状态")}| %{$_.Replace("START TIME","开始时间")}| %{$_.Replace("STATE","状态")}| %{$_.Replace("SOURCE"...72小时内的电池消耗")}| %{$_.Replace("DURATION","使用时间")}| %{$_.Replace("ENERGY DRAINED","消耗的能量")}| %{$_.Replace
在共享主机中,停机的最常见原因是单个帐户会降低服务器上的其他帐户的速度。...如何监控资源使用情况 您可以随时查看您的帐户消耗的服务器资源量。只需登录cPanel并查看右侧的资源使用情况统计信息。 资源使用情况是相对于仅应用于您帐户的限制而非整个服务器计算的。...根据您帐户的资源使用情况,您可能会在CPU和并发连接的 资源使用情况概述页面上看到以下摘要: 在过去24小时内,您的网站上没有任何活动: 如果您看到此消息,则您的帐户在过去24小时内未触发任何限制。...您的网站在过去24小时内受到限制: 如果您看到此消息,则您的帐户在过去24小时内至少触发了一次资源限制。cPanel还将显示有关哪些资源触发了限制的其他信息。...1.在“ 资源使用情况概述”页面上,单击“ 快照”。 2.从日历中选择要查看的日期。 3.从“选择快照”下拉菜单中,选择要查看的特定时间的快照。
赛门铁克分析,95.4%的PowerShell脚本为恶意脚本,这个结果表明来自外部的PowerShell脚本程序对企业构成了重大威胁,尤其是在使用shell 框架的企业中。 ?...分析样本中,最常用的PowerShell命令行参数是“NOPROFILE”(占比34%),“WindowsStyle”(占比24%)和“ExecutionPolicy”(占比23%)。 ?...而且为了能够保证存在的持久性,PowerShell也会安排任务、替换启动文件夹中的脚本、采用组策略或者WMI、感染本地配置文件,在注册表中存储脚本(如2014年的Trojan.Poweliks)等。...有兴趣的可点击阅读原文下载查看完整报告。 如何应对? 防御此类威胁的最好方法是运行最新版本的安全软件以及Powershell。...公司内部的IT专业人士需要对企业内部应用对PowerShell的调用进行更加严密的监控,记录PowerShell的活动并通过分析日志来发现异常行为,创建规则,以便在发生异常行为时能够报警。
今天就分享一下如何在小米路由器4A千兆版刷入OpenWRT并通过内网穿透工具实现公网远程访问。 1....在解压OpenWRTInvasion的目录打开cmd(本教程中使用的是Windows PowerShell) 输入python remote_command_execution_vulnerability.py...4.3 登录cpolar web ui管理界面 在浏览器上访问127.0.0.1:9200,使用所注册的cpolar邮箱账号登录cpolar web ui管理界面(默认为本地9200端口) 4.4 创建公网地址...此时,点击左侧状态中的在线隧道列表,可以看到刚才创建的wamp隧道,生成了两个公网地址,有两种访问方式,分别是http 和https,随意复制一个地址,在公网电脑浏览器打开即可,如下图所示即代表成功实现公网访问本地内网路由器的...固定公网地址访问 需要注意的是,本次教程中使用的是免费cpolar所生成的公网随机临时地址,该地址24小时内会发生变化,对于需要长期在外使用OpenWrt的用户来讲,配置一个固定地址就很有必要。
解压cudnn文件夹,将解压后的文件夹下的文件拷贝到cuda安装目录下,与之相对应的文件夹下,如下图所示。 ②如何创建针对于深度学习项目的虚拟环境?...conda env -h 查看环境管理的全部命令帮助 conda create -n env_name python=3.5 创建指定python版本的conda环境 conda create -n...④如何在不同的Windows主机上迁移配置好的conda环境?...1.首先查看自己的conda版本 在 anaconda prompt终端输入: conda --version 2.根据不同的conda版本进行的conda环境的激活 Conda低于4.6版本: 用...window系统,是在%APPDATA%路径下,(说明:%APPDATA%是一个系统变量来着)操作如下: 直接回去即可: 新建一个pip文件夹,并创建pip.ini文件即可,如: 文件的内容如下:
我们在一次测试中偶然发现,由于信任未过滤的文件名,因此在运行特殊命名的脚本时,PowerShell可能会执行任意代码。...测试过程如下: 1、生成powershell命令:首先,我们创建一个用于混淆的Base64编码的文件名;它将下载并执行一个在本例中名为“ calc.exe”的远程可执行文件。...将可执行文件托管在Web服务器上,或仅使用python -m SimpleHTTPServer 80或任何其他工具。...我们也许还可以绕过某些端点保护或IDS系统,这些系统可能只查看文件的内容或标头,而不查看文件名。 为此,用户在打开“ .ps1”文件时必须已将PowerShell启用为其默认程序。...以上示例是使用了“文件名嵌入式下载器”,其实我们还可以在同一目录中调用其他各种类型的第二特洛伊木马文件。 使用起来,是需要用户交互,需要想一个场景来利用。
Elixir 和 Erlang 版本, 需要将 vfox 默认挂载到 powershell 中: 打开 PowerShell 配置文件: New-Item -Type File -Path $PROFILE...# 无需在意 `文件已存在` 错误 # 如果它提示未能找到路径, 那么你需要强制创建 profile....文件末尾并保存: Invoke-Expression "$(vfox activate pwsh)" 如果powershell提示: 在此系统上禁止运行脚本, 那么请你以管理员身份重新运行powershell...如果你已经通过其他方式安装了 Erlang/OTP, 请确保后续通过 vfox-elixir 安装的 Elixir 版本与它是兼容的, 可以查看 Elixir 官方文档说明去确认这一点 between-elixir-and-erlang-otp...exe 文件的发行版本.
本文主要介绍如何在IDEA中设置远程连接服务器开发环境,并结合Cpolar内网穿透工具实现无公网远程连接,然后实现远程Linux环境进行开发。...,然后点击右下角连接 出现输入root用户对应的密码,输入密码后点击authenticate 稍等片刻后,出现了选择服务器中包的步骤,可以先在服务器中提前创建好文件夹,本例提前在/usr/local/javaProject...) 域名类型:临时随机TCP端口 地区:选择China 点击创建 创建成功后,打开左侧在线隧道列表,查看刚刚创建隧道后生成的tcp地址,这个地址就是公网连接地址,接下来使用该地址在IDEA中使用进行远程连接...然而,它的缺点是网址是随机生成,这个地址在24小时内会发生随机变化,更适合于临时使用。...固定连接公网地址 要注意的是,以上步骤使用的是随机临时tcp端口地址,所生成的公网地址为随机临时地址,该公网地址24小时内会随机变化。
创建文件命令touch touch命令只能创建文本文件,也可以用来修改文件的创建时间 【命令格式】:touch [option] filename (touch +文件名+.扩展名) 【命令参数】:该命令会创建以参数...创建目录命令mkdir 【命令格式】:mkdir [option] dir (mkdir +目录名) 【命令选项】: p: 同时创建一个路径中的多个目录 【示例】: (1)创建一个名为test的目录...时间: -atimen :在 n*24小时内被 access 即存取过的文件列出来!...-ctimen :在 n*24小时内被 changed 即改变、新增的文件或目录印出 -mtimen :在 n*24小时内被 modified 即修改过的文件印出 -newer...# which ls 管道 在用 cat命令显示文件内容的时候你会发现如果内容过多,他把前面的内容直接翻过去了,你这样就看不到上面的内容了,这时咱们可以这样去做,让文件内容一屏一屏的显示。
•默认外部 DNS •MTU •是否允许没有访问密钥的节点注册(出于安全原因,建议关闭) 查看 Netmaker 所在节点状态 创建网络之后,Netmaker 所在节点会自动作为客户端加入,可以在 Nodes...页面查看其状态和信息,如下: Netmaker Node 状态 Netmaker Node 详细信息 可以在 DNS 页面查看其 DNS 记录,如下:(我实际配置的网络名为:private) Netmaker...DNS 记录 创建访问密钥 在 Home / Access Keys 页面,创建指定客户端数量(如 10 个,那么这个 key 用 10 次后就自动失效,其他客户端无法再用这个 key 加入网络),如下图...,在执行 powershell 脚本下载 winsw.exe 过程中始终无法完整下载,出现这种情况,补救措施如下。...操作步骤如下图: Netmaker 创建 Egress Gateway 填写局域网的网段(如:192.168.2.0/24 )和出口网卡(如:eth0)。
前言 在飞书中创建chatGPT机器人并且对话,在下面操作步骤中,使用到了Git克隆项目,需提前安装好Git,克隆的项目是Go语言项目,所以需提前安装Go语言环境。...,接下来设置配置文件中openAI的参数,我们需要获取openAI的KEY,可以去openAI官网自己账号获取,也可以有一些免费网站获取测试,如https://freeopenai.xyz/ 这个网站,...,注意,需加上资源路径/webhook/card,然后点击验证 点击验证后没有任何提示表示成功,我们在powershell中也可以看到打印的日志 6.固定公网地址 由于我们刚刚创建的是免费随机临时的隧道...,他生成的公网地址会在24小时内随机变化,不适合作为长期使用的链接。...切换后可以看到我们创建的机器人项目,点击进去 我们可以看到状态已经发布状态 然后我们还要继续设置最后一步,打开凭证与基础信息,查看APPID和APP Secret这两个值 然后把上面的两个值在我们配置文件中替换掉
在这篇文章中,我们将阐述一种通过劫持COM服务器来绕过AMSI的方法, 并分析Microsoft如何在build#16232中修复该绕过,然后再讨论如何再次绕过微软对该漏洞的修复。...现在我们可以看看微软如何在build#16232中修复该漏洞。...在进行研究之前,我们需要明白的是:基本上,脚本解释器(如PowerShell)从工作目录加载amsi.dll,而不是从安全路径(如System32)加载它。...关于防御方法,我们觉得对那些在正常目录之外执行任何的二进制文件(wscript,cscript,PowerShell)操作进行监视操作将是一个好的想法。...由于绕过修复补丁需要将二进制文件移动到用户可写位置,所以在非标准位置执行这些命令可以被当成一种异常的操作行为。
最近一次修改的时间,这里的修改 专指文件的内容修改 注意: 当创建文件时候,atime、ctime、mtime 都会修改为当前创建的时间 当修改文件内容的时候,ctime、mtime 都会更新为修改时间...二、如何查看文件的 atime、ctime、mtime 查看单个文件可以使用 stat 来查看: > stat ....比如 3 表示 3天前当天,或者 72 之前的 24 小时内修改过的文件。 +n 表示 n天前那一整天 之前的所有时间,或者说(n+1) * 24 小时之前的时间。...天内以及未来修改过的文件,或者说 48 小时内加上未来的时间段。...一个是今天,一个是 一天前 之后的时间,所以理论上是不等价的,因为 -mtime -1 除了今天还包含未来的所有时间,但大部分情况下都是可以通用的,因为未来的时间还没发生,过滤文件应该没有问题(除非把系统时间调整到过去
如您选择在线支付,则需要点击下一步。 5、支付成功后,您将来到支付成功页,点击“查看实例”,即可前往轻量应用服务器控制台查看刚刚购买的服务器。...通过幻兽帕鲁应用模板创建的服务器 步骤二:在实例详情页点击“应用管理”,即可看到幻兽帕鲁的配置面板。...5、在性能选项窗口中,切换到"高级"选项卡,并在"虚拟内存"部分点击"更改"按钮。 6、在虚拟内存窗口中,首先取消选中"自动管理所有驱动器的分页文件大小"的复选框。...swapon --show 第二步:创建一个swap文件 命令里的“8G”是指创建一个大小为8GB的文件,这个文件可以用作swap空间,用于临时存储不适合放在内存中的数据。您可以根据需要调整大小。...如何找到 PowerShell? 使用开始菜单:点击Windows开始按钮,然后在搜索框中输入"PowerShell"。
领取专属 10元无门槛券
手把手带您无忧上云