2025 Daily Notes
|
35
|
|
0
|

1180 字
|
6 分钟

2 月

7 号:

docker 容器相关配置/日志存储位置 /var/lib/docker/containers

ELK 指的是 Elasticsearch、Logstash、Kibana三大开源框架,ES 数据库非关系型很容易理解,我们也经常用。Kibana 就是一个数据可视化工具。而其中的 LogStash 出现的目的是将日志传递到 Es 数据库中,可能比较困惑明明有那么多 API,可以让我们直接向 ES 里面写数据,为什么还需要 Logstash 呢?其实他的设计理念就是让我们专注于业务代码,少写 Log 记录逻辑,让原本就输入在终端的日志非侵入式的让 Logstash 帮我们写入 Es 数据库。

SOAP 的测试可以使用 Burp Suite 的 Wsdler 插件快速构造相应的 XML 请求包

8 号:

侥幸心理:如果木马是在某个盘下创建文件夹例如 D:/mytest/mytest.exe 即使通过 EDR 查看请求日志也会猜测是否为员工自己创建文件测试导致的误报。也可以自己新建一个类似于杀毒软件的目录,并把文件改名为杀毒软件的名字,由于杀毒软件正常情况下也会请求恶意的域名,因此告警信息可以迷惑防守方。

另外,我就说将 shellcode 注入到浏览器中,更会让人迷惑不已。

Word、Excel 文档可能遗留用户名、邮件信息,可溯源。

11 号

可以通过注册表的方式查询是否启用了某个宏,具体怎么做,自己搜

12 号

APP 如何判断是否被 Xposed hook。

xposed 框架要 Hook 一个函数,最先改变的就是这个函数的属性,由 java 函数变为了 native 函数。所以我们在判断一个函数是否被 xposed 框架 hook 的第一步就是判断其是否本应是一个 java 函数的函数被置为了 native 函数。

https://goodoak.github.io/2017/01/18/xposed-detect/

也可以通过堆栈调用

public static boolean isXposedInStackTrace() {
    StackTraceElement[] stackTrace = Thread.currentThread().getStackTrace();
    for (StackTraceElement element : stackTrace) {
        if (element.getClassName().contains("de.robv.android.xposed")) {
            return true;
        }
    }
    return false;
}

13 号:

powershell 列举已经安装的 msi Get-WmiObject -Class Win32_Product 卸载命令:msiexec /x {}

14 号:

居然还有通过修改 C:\Windows\System32\drivers\etc\hosts 文件劫持域名解析与 C2 通信的手法,可以规避黑白名单?

mrt.exe 微软恶意软件删除工具,默认不会运行

18 号:

通常情况下,Windows 机器都会有 csc.exe,例如 win7 和 win10 的路径为 C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe, 可以上传一个 cs 文件,在目标机器上面编译,删除源文件,再运行 pe(csc 不像 go 可以直接 go run,必须编译出来),由于是本机器编译,或许可以绕过某些检测,也可以考虑钓鱼。

无论使用什么钓鱼方式,运行完后的脚本一定要自删除。

20 号:

Windows 资源监视器真是一个排查进程网络连接的好工具 resmon.exe,但还是没有记录历史的记录。只能处理事中。建议还是打开 Process Monitor 来捕获一下网络进程(需要等待)。

25 号:

vssadmin.exe 也可以替代 reg 导出 sam 和 system。

3 月

7 号:

使用 Advanced Installer 可以将 exe 等打包为 msi。

icacls.exe 是 Windows 系统中用于查看和修改文件、目录权限的命令行工具。

分配所有人对该 exe 执行、属性读取、删除子项、读取内容、写内容、修改、写属性等权限

icacls "rustup-init.exe" /deny *s-1-1-0:(x,ra,de,r,w,m,wa)
已处理的文件: rustup-init.exe
已成功处理 1 个文件; 处理 0 个文件时失败

一些木马会用,可能是为了持久化操作吧,但是实际上就是这里的 cmd 操作:

image-20250307113208935

10 号:

CobaltStrike 的 C2 Profile 的 pipename 一定得修改!

EtwExplore 这个软件可以相对可视化的查看 ETW 日志。

11 号:

pyinstaller 打包的 PE 运行过程中会释放 dll 或 so,默认在 OS temp 目录。这可以是一个检测 pyinstaller 的特征,但是实际上攻击者可以修改释放路径。具体释放文件名/路径规则我没有深入研究。

image-20250311104644079

12 号:

直到现在,rsrc 仍然是打包 Go PE 资源最合适的方法,例如请求管理员权限配置信息、ico 等。

FullEventLogView.exe 是很好的查看 Windows 日志的可视化工具,支持 XML 内容搜索

版权声明:除特殊说明,博客文章均为 Shule 原创,依据 CC BY-SA 4.0 许可证进行授权,转载请附上出处链接及本声明。
2025
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
															
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇