蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

Ethan医生8个月前 (05-25)信息收集320

➢ 蓝队技能-Web入侵-入口&查杀&攻击链等

➢ 蓝队技能-C2后门&权限维持-基线检查&查杀封锁

#C2后门分析处置&权限维持技术处置

#Windows实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程讲到

3、权限维持技术-分析检测

自启动测试：

REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"

隐藏账户：

net user xiaodi$ xiaodi!@#X123 /add

映像劫持

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"

屏保&登录

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

4、Web的内存马-分析检测

后续课程讲到

Linux实验：

1、常规C2后门-分析检测

常规C2后门：

-无隐匿手法

删除文件，防火墙阻止程序或IP域名等

-有隐匿手法

CDN，云函数，中转等（溯源和反制）

2、Rookit后门-分析检测

后续课程

3、权限维持技术-分析检测

4、Web的内存马-分析检测

后续课程

基线检测配合分析项目：

-Windows:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

d-eyes可以查看挖矿家族与勒索病毒

https://github.com/FindAllTeam/FindAll

有两个檔案一个客户端一个服务端使用

https://github.com/DeEpinGh0st/WindowsBaselineAssistant

-Linux:

https://github.com/selinuxG/Golin

https://github.com/m-sec-org/d-eyes

https://github.com/enomothem/Whoamifuck (不推荐使用)

https://github.com/Ashro-one/Ashro_linux(不推荐使用)

https://github.com/sun977/linuxcheckshoot

https://mp.weixin.qq.com/s/fcVMStVXu0BploXWopaHtQ

返回列表

上一篇：JS逆向-安全辅助项目&接口联动&JSRpc进阶调用&BP插件autoDecode&JsEncrypter(下)

下一篇：内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

#插件类-武装BurpSuite-漏洞检测&分析辅助漏洞检测类：1、FioraNuclei提供Poc图形界面，实现快速搜索、一键运行等功能，提升体验。https://github.com/bi...

文件上传&黑白名单&MIME&JS泄露&执行权限&编码解析&OSS存储&分域名

常规文件上传：1、一定要明白：无文件解析安全问题上，格式解析是一对一的（不能jpg解析php）换句话来说有解析错误配置或后缀解析漏洞时才能实现格式差异解析 2、文件上传安全指的是攻击者通过利...

漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动

#知识点：1、综合类-Burp&Xray&Awvs&Goby2、特征类-Afrog&Yakit&Nuclei3、联动类-主动扫描&被动扫描&中转...

红队APT-流量隐匿篇&C2工具&加密数据&证书指纹&算法路径&Profiles规则&数据包特征

➢ 红队APT-流量隐匿-C2证书&特征分析#红队APT-流量隐匿-C2证书&特征分析1、证书相关：#NC-未加密&加密后-流量抓包对比nc -lvvp 5566nc...

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

➢ 红队APT-流量隐匿-C2证书&特征分析➢ 红队APT-溯源隐藏-C2通讯&中转节点➢ 红队APT-溯源隐藏-IP通讯&反制拉黑溯源安全态势日...

红队APT-钓鱼投递篇&免杀方案&代码混淆&远程分离&文件逃逸&Office&CHM&LNK&捆绑

➢ 红队APT-文件后缀-Office分离➢ 红队APT-免杀方案-CHM&LNK➢ 红队APT-免杀方案-自解压&捆绑免杀方案：#Office文档代码混...

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

文件上传&黑白名单&MIME&JS泄露&执行权限&编码解析&OSS存储&分域名

漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动

红队APT-流量隐匿篇&C2工具&加密数据&证书指纹&算法路径&Profiles规则&数据包特征

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

红队APT-钓鱼投递篇&免杀方案&代码混淆&远程分离&文件逃逸&Office&CHM&LNK&捆绑

发表评论

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

EthanDoctor

蓝队技能-应急响应篇&C2后门&权限维持手法&Windows&Linux基线检查&排查封锁清理

相关文章

漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先

文件上传&黑白名单&MIME&JS泄露&执行权限&编码解析&OSS存储&分域名

漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动

红队APT-流量隐匿篇&C2工具&加密数据&证书指纹&算法路径&Profiles规则&数据包特征

红队APT-流量隐匿篇&安全测试&反拉黑&隐藏源IP&隧道代理池&秒切IP访问&绕防护设备

红队APT-钓鱼投递篇&免杀方案&代码混淆&远程分离&文件逃逸&Office&CHM&LNK&捆绑

发表评论 取消回复

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号

发表评论