注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。
上一篇文章我们介绍了Laravel的HTTP内核,详细概述了网络请求从进入应用到应用处理完请求返回HTTP响应整个生命周期中HTTP内核是如何调动Laravel各个核心组件来完成任务的。除了处理HTTP请求一个健壮的应用经常还会需要执行计划任务、异步队列这些。Laravel为了能让应用满足这些场景设计了 artisan工具,通过 artisan工具定义各种命令来满足非HTTP请求的各种场景, artisan命令通过Laravel的Console内核来完成对应用核心组件的调度来完成任务。 今天我们就来学习一下Laravel Console内核的核心代码。
近期,火绒监测到“LemonDuck”(柠檬鸭)蠕虫病毒感染量正在持续增加。该病毒入侵用户电脑后,会执行挖矿模块,同时还会通过多种方式在网络中进行横向传播。该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。
上一篇文章讲解了Powershell通过交互环境运行命令的相关知识,今天给大家介绍实际工作当中使用最频繁的方式——通过脚本运行,简单来说就是和咱们实际编写代码一样,先编写代码,然后通过开发工具执行。同样的为了实现PowerShell脚本的保存、方面在别的服务器迁移,一般都是先编写脚本,然后通过脚本文件执行完成相应的运维任务。
在应急响应的过程中,客户反馈防火墙AF报告客户服务器僵尸网络警告,服务器试图解析恶意域名msupdate.info。于是客户使用360,火绒剑等杀毒软件均没有发现异常现象。于是求助我,遂有此文章。
可以将shell脚本代码放进函数中封装起来,这样就能在脚本中的任何地方多次使用它了。 17.1 基本的脚本函数 函数:是一个脚本代码块,可以为其命名并在代码中任何位置重用。 17.1.1 创建函数 有两种格式:name 是函数名 1) function name { commands } 2)这种就比较接近c语言风格了 name() { commands } 17.1.2 使用函数 跟其他shell命令一样,在行中指定函数名就好了。 在函数定义前使用函数,会收到一条错误消
写在前面的话 近期,我一直在我客户的网络环境中分析PowerShell攻击,根据我的分析以及研究结果,我发现了几种方法来帮助研究人员检测潜在的PowerShell攻击。这种方法主要利用的是Windows的事件日志,首先我们需要了解攻击者是如何使用PowerShell来实施攻击的,然后我们再来看一看相关的检测和防御机制。 PowerShell如何被用于网络攻击之中 PowerShell的能力大家有目共睹,近期也有越来越多的攻击者开始在攻击活动中使用PowerShell了。PowerShell是Window
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
新的cmdlet、操作符和变量,再加上诸如脚本调试以及后台任务这样的新功能,PowerShell 2.0将帮助你开启PowerShell脚本编程的新世界。 如果你希望发挥PowerShell脚本编程的强大功能,但是又发现学习它的难度很大的话,那么PowerShell 2.0或许就是你开始上手的最好选择。计划于2009年下半年发布的PowerShell 2.0为PowerShell的语言和开发体验加入了许多重要的新特性,让它变得更易于使用,同时也改进了许多PowerShell 1.0所存在的缺陷
任务计划程序服务(Task Scheduler service)是Windows操作系统中的一个核心服务,它负责管理和执行计划任务。任务计划程序服务(Task Scheduler service)在后台运行,并由 svchost.exe 进程来托管。任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面(Task Scheduler GUI)、命令行工具(如schtasks)或编程接口来管理计划任务,用于在预定的时间或特定事件发生时自动执行一系列任务。
计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术,但是它仍然可以在red team场景中使用,并且由各种开源工具支持。Metasploit 的web_delivery模块可用于托管和生成各种格式的有效载荷。
背景:Windows计划任务调用jps.exe,达到的效果跟直接在命令行下调用不同,有时候又相同,摸不着规律
在日常的系统管理和维护过程中,计划任务的设置与管理显得尤为重要。Windows PowerShell 作为一款功能强大的脚本自动化工具,为IT专业人员提供了高效、灵活的任务管理方案。本文将深入浅出地介绍如何利用 PowerShell 在 Windows 环境下管理系统计划任务,并通过实例让读者更好地理解与应用。
Trawler是一款功能强大的PowerShell脚本,可以帮助广大安全研究人员和事件应急响应人员在目标Windows主机上发现潜在的入侵威胁指标IoC,该工具主要针对的是攻击者所部署的持久化机制,其中包括计划任务、服务、注册表修改、启动项和二进制代码修改等。
思科Talos安全团队最近发现一款Powershell恶意程序,用DNS进行双向通信。 前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析,这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流量,但对基于DNS的威胁的防护就比较少。攻击者也注意到了这点,经常将其他协议封装进DNS协议中来躲避安全监测。 攻击者利用DNS协议一般都是要获取信息。思科Talos团队最近分析了一个很有趣的恶意程序样本,利用DNS TXT记录查询和响应来创建双向的C2通道。攻击者可
使用jenkins做持续集成时,Ant Targets经常变动,所以采用参数化构建,将Ant Targets参数化
在日常的系统维护和管理过程中,计划任务的设定与管理显示出不可忽视的重要性。它允许我们按照预定的时间或条件自动运行特定的程序或脚本,从而大大提高了系统管理的效率和准确性。Windows PowerShell,作为一款功能强大的脚本自动化工具,为我们提供了一种高效、灵活的方式来管理 Windows 系统中的计划任务。本文旨在深入解析如何利用 PowerShell 来优化我们的计划任务管理,同时也会探讨“作业”和“任务”这两个概念在计划任务管理中的应用和区别。
在“开始菜单”->“运行”中输入gpedit.msc打开组策略编辑器,在左边导航栏中选择“计算机配置”->“windows设置”->“脚本(启动/关机)”,双击其右边的“启动”选项,打开“启动属性”窗口:
写在前面的话 其实很早之前,攻击者就已经开始使用合法工具来渗透目标网络并实现横向攻击了。理由很简单:使用合法工具可以降低被检测到的几率,而且进过授权的工具(而并非恶意工具)可以更容易绕过安全防护机制。
xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
通常的钓鱼邮件场景中office的安全问题一直都受到关注,恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大。但是使用恶意宏进行攻击,往往需要用户进行交互,攻击的隐蔽性不强,结合Powershell的攻击方式二者结合还是可以搞一点大事情的。
在红蓝对抗实战中,当我们获取到一台Windows主机的权限后,首先要做的就是怎么维持住该权限。因为防守方的实力也在不断增强,并且他们的流量监测设备也在不断监控,如果发现机器被植入木马,他们肯定会采取措施。
计划任务是几乎每个开发人员都会用到的功能,在服务器上可以用 Cron 作业来进行任务调度,它也是一种稳定的方式。但我们也可以完全程序化,全部使用 Python 来完成调度程序,而且可以有更简单的配置方式。
对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具。但赛门铁克最近的一份报告指出,超过
APT-Hunter是Windows事件日志的威胁猎杀工具,它由紫色的团队思想提供检测隐藏在海量的Windows事件日志中的APT运动,以减少发现可疑活动的时间,而不需要有复杂的解决方案来解析和检测Windows事件日志中的攻击,如SIEM解决方案和日志收集器。
Red Canary近期公布了《2021 Threat Detection Report》,该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中,就2020年黑客首选10大Windows网络攻击技术进行了调研。
之前,青藤云安全已经对ATT&CK进行了一系列的介绍,相信大家都已了解,Mitre ATT&CK通过详细分析公开可获得的威胁情报报告,形成了一个巨大的ATT&CK技术矩阵。诚然,这对于提高防御者的防御能力、增加攻击者的攻击成本都有巨大作用。但或许是出于猎奇心理,很多威胁情报报告更多地是在报道攻击者使用的比较新颖有趣的技术方法,而却忽视了攻击者反复使用的普通技术。这也是Mitre公司在2019年10月份的ATT&CKcon2.0大会上,推出了ATT&CK Sightings项目,以期借助社区力量收集更多直接观察数据的原因所在。
随着网络攻击的日益繁多,自windows 7以及后续的windows系统中,微软引入了一种名叫UAC(User Account Control,用户账户控制)的一种安全功能,启用UAC后,在用户没有显示允许的情况下,即便是本地管理员账户也无法更改操作系统,这在很大程度上保护了我们的系统安全,以至后来我们常说的bypass UAC。
当我们在创建动态仿真case时,使用命令行参数可以非常方便地控制DUT和TB的行为,比如配置寄存器、控制激励的发送数量、打开或关闭某些scoreboard等。
描述: 脚本和批处理都属于伪可执行文件,它们只是包含了若干命令行解释器能够解释和执行的命令行代码。
Codecepticon是一款功能强大的代码混淆处理工具,该工具专为红队和紫队渗透测试安全活动而开发,在该工具的帮助下,广大研究人员可以轻松对C#、VBA5/VBA6(宏)和PowerShell源代码进行混淆处理。
在网络攻防博弈中,网络流量特征分析类安全防御措施得到了广泛应用。众多厂商和企业对网络流量进行恶意流量分析检测,从而针对性的采取防御措施,如各级ISP在骨干网络设备上大多采用网络流量分析检测的防御方案。
0x00 PowerShell的内网渗透之旅 内网渗透一直以来都是一个热门话题,试想在一个大型的内网环境下,当我们拿到了内网windows机器后,该如何通过他们去获取更多的所需资源,这就需要进行内网渗透了。然而在内网渗透中,除了kali、metasploit等高能的存在以外,还有一款神器也常常容易遭到忽略----PowerShell,因此本次学习将从PowerShell基础语法切入以及利用PowerShell脚本实现的PowerSploit框架演示内网渗透实例。 0x01 PowerShell简介及特性
read 内部命令被用来从标准输入读取单行数据。这个命令可以用来读取键盘输入,当使用重定向的时候,可以读取文件中的一行数据。
本文由Tide安全团队成员“爱上卿Ooo”首发于FreeBuf TideSec专栏:
APT-Hunter是用于Windows事件日志的威胁搜寻工具,该工具能够检测隐藏在Windows事件日志中的APT运动,如果您是弄威胁情报的人,那么我保证您会喜欢使用此工具的,为什么?我将在本文中讨论原因,请注意,此工具仍为测试版,并且可能包含错误。
学过徐老师《内网安全攻防:渗透测试实战指南》第五章的⼩伙伴都知道,巨硬为了防⽌密码在内存中以明⽂形式泄露,发布了KB2871997补丁,⽤来关闭Win7和08的Wdigest功能,同时Server2012版以上默认关闭该功能,但是仍然可以通过修改注册表的⽅法来⼿动开启。
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。
cron是Linux中默认的计划任务。使用cron,你可以安排一个计划(比如:命令或者shell脚本)周期性地运行或者在指定的分钟、小时、天、周、月等特定时间运行。cron在你安排不同的常规维护任务时是很有用的,比如周期性地备份、日志循环、检查文件系统、监测磁盘空间等等
最近在实战过程中遇到了组策略,发现攻击面其实挺宽广的,这里记录下自己的分析和学习过程。
组策略(英语:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。
之前博客分享过一篇《Linux/vps 本地七天循环备份和七牛远程备份脚本》,我自己也一直在用。某天检查备份的时候,突然发现数据库的备份的压缩包是空的! 看了下 crontab 的日志,发现有如下错误: Access denied for user 'dbuser'@'localhost' to database 'db' when using LOCK TABLES 原来,我在计划任务中备份数据库时,用的是普通用户,在凌晨三点备份的时候,可能碰巧网站正在被访问(比如蜘蛛抓取)。由于存在数据查询,所以 my
🐱 猫头虎博主又来了!在本篇文章中,我们要探讨的是Shell脚本编写,一个对于每位Linux和Unix用户都至关重要的技能。我相信通过我的详细指导,你可以轻松地在搜索引擎上找到本篇内容,同时快速掌握Shell脚本的各种奥秘。不论你是编程新手还是资深开发者,相信我,这篇文章都将为你带来意想不到的收获!🚀
PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进,正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录,反恶意软件脚本接口(AMSI)以及第三方安全供应商针对恶意PowerShell活动签名的开发。目前已发布了多个C#工具包,如Seatbelt,SharpUp和SharpView,用以攻击生命周期各个阶段的任务。而在攻击生命周期中缺少C#工具包的一个阶段就是持久性。为此,FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。
前言: 我们都知道AD中有组的概念,这组我们更多是用来进行权限的管理,公司里有一个系统登录需要确认登陆的AD账户是否是添加到指定的组中,只有加入组中的才有登录权限。现在每次在AD系统中新建人员后,需要再手动添加组成员,否则新账号无法登录这个系统。 解决问题思路: 通过Powershell命令获取AD中的全部成员,然后添加成员到这个组中。 用到的命令: get-aduser;add-adgroupmember 完整命令:
与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而,“无文件”攻击的定义已经逐渐扩大化,那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,并且与现有的WSH保持向后兼容,因此它的脚本程序不仅能访问.NET CLR,也能使用现有的COM技术,同时也包含了数种系统管理工具、简易且一致的语法,提升管理者的管理能力,自Windows 7 开始一直到Windows 10 包括服务器Windows Server 系统中,都将内置 PowerShell,其可作为白名单的一种绕过方式,也让渗透变得更加有趣。
背景 早就听说微软的powershell非常强大,凭借它可以全命令行操控windows服务器了。最近终于要在工作中用到它了,于是花了几个小时将powershell的基础教程看了下,这里将学习过程中的一些要点记录一下。 环境准备 欲善其事,先利其器,先准备一个开发环境。 个人的开发电脑是macOS 11.13.3,为了开发powershell脚本,在本机安装了一个windows 7 sp1的虚拟机。 升级powershell版本 win7自带的powershell版本较低,这里将windows 7 sp1里自
虽然说PowerShell也是在dotNET体系内,凡是dotNET语言可以完成的,它也几乎可以同样完成,但完成的代价可能不一,有些部分可能没有使用其他语言如C#等语言来得方便好用。 同样地PowerShell作为一门定位于帮助运维人员实现日常工作自动化的脚本语言,很多方面有其独特的优势所在,虽然用其他语言、工具一样可以完成,但PowerShell完成得更漂亮,更方便快捷。
领取专属 10元无门槛券
手把手带您无忧上云