记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

冰蝎全系列有效:针对 HTTPS 加密流量的 webshell 检测研究

文章目录一、背景二、冰蝎3.0三、webshell 加密流量检测1. 数据集2. 特征提取3. 模型训练和测试4. 特征重要性分析四、小结参考链接:阅读: 0webshell 是 Web 攻击中常见的一种木马形式,目前主流的检测方法都是基于 HTTP 请求和响应流量的内容特征,然而在 HTTPS 协议下,很多 webshell 检测机制是无能为力的。冰蝎这类加密型 webshell 的出现更是增加了检测难度,尤其是冰蝎3.0版本采用预共享密钥机制,即使在 HTTP 场景中的检测也是有一定难度的。
发布时间:2020-08-26 12:16 | 阅读:11314 | 评论:0 | 标签:研究调研 https webshell 冰蝎 加密 shell

攻守道—流量分析的刀光剑影(上)

这是 酒仙桥六号部队 的第 23 篇文章。 全文共计3915个字,预计阅读时长12分钟。 前言 又到了一年一度的HW时刻,各家都在为HW积极筹备着,一些厂商也在做着攻防演练的工作,此时,有些真正的攻击者也在利用这个档口对一些网站进行攻击,浑水摸鱼,这样,对于防守队员来说,分析流量做应急的工作就会变得更加困难。 这不,某公司内网网络被黑客渗透,接下来,我们就借助wireshark来对流量包进行分析,来还原查找黑客留下的蛛丝马迹,还原攻击的现场。 wireshark作为流量分析神器,在开始之前,先来简单科普一下它的一些常用的过滤命令。
发布时间:2020-08-25 18:57 | 阅读:11195 | 评论:0 | 标签:脉搏文库 backup文件 dns隧道 http隧道 php post请求 request数据包 SMB隧道 websh

攻守道—流量分析的刀光剑影(下)

这是 酒仙桥六号部队 的第 24 篇文章。 全文共计3449个字,预计阅读时长11分钟。 大家好,我又回来了,上一期我们对那一起攻击事件流量的分析只进行了一半,事情还远未结束,这期,我们继续来进行探究。 第五问 数据库 攻击者拿到的数据库配置信息是什么。  前面攻击者已经拿下了一个网站,并上传了webshell,通常都会读取网站的配置文件来获取数据库的账号密码,然后连接数据库进行数据脱取等操作,那么,我们就来从流量中找找攻击者读取的数据库文件。
发布时间:2020-08-25 18:57 | 阅读:10283 | 评论:0 | 标签:脉搏文库 aes加密 cobalt strike config.php database.php dns数据包 dns隧

铁头娃的渗透测试

这是 酒仙桥六号部队 的第 12 篇文章。 全文共计1268个字,预计阅读时长5分钟。 前言 争当好青年,疫情期间,坚决执行政府与公司的要求,无奈在家办公的我一如既往的接到了渗透测试的任务。 正篇 话不多说,开干。 01 信息搜集 老规矩,第一步先从信息搜集开始。 对目标进行子域名搜集,并没有发现子域名。 扫描网站目录文件,就一个后台登陆页面,其他什么都没有发现。 之后还进行了nmap端口扫描,也没有发现什么有价值的问题。 没办法,只能正面硬刚了。
发布时间:2020-08-17 17:05 | 阅读:13432 | 评论:0 | 标签:内网渗透 apk文件 Burp misc命令 Proxifier reGeog SQL注入 struts2 webshe

CTF web题型总结-第五课 CTF WEB实战练习(一)

继上一篇总结: CTF web题型解题技巧-第四课 web总结 之后是我在bugku练习的解题过程。   以下内容大多是我在Bugku自己操作练习,有部分来源于网络,
发布时间:2020-08-14 12:25 | 阅读:12544 | 评论:0 | 标签:CTF bugku BurpSuite ctf flag index web2 web3 web4 web5 websh

一次Shiro反序列化引起的域控沦陷

这是 酒仙桥六号部队 的第 9 篇文章。 全文共计2423个字,预计阅读时长8分钟。 前言 本文内容是笔者一次从0到1的实战记录,通过一次完整的外网到内网到拿下域控的过程,来为大家带来渗透的一些思路。 内网的环境千变万化,曲折的也有,一帆风顺的也有。
发布时间:2020-08-06 14:07 | 阅读:10705 | 评论:0 | 标签:内网渗透 aes加密 CS CS服务器 CVE-2019-2725 DNSLog java msf rememberMe

HackTheBox通关手记之October

今天的文章是i春秋论坛作家「HAI_」表哥关于HackTheBox-October的通关分享,文章整体难度适中,基本思路就是通用漏洞打进去,然后bof提权,同时他也会对文中的HTB做一些思路总结。 0x01 信息收集 先简单的扫一下,然后再针对扫出来的端口进行详细扫,主要原因是因为HTB网络的问题。 nmap 10.10.10.16 这里通过详细扫可以看到80用的是October CMS,在下图中已经标出。
发布时间:2020-07-23 11:56 | 阅读:14536 | 评论:0 | 标签:Web安全 HackTheBox-October HTB网络 msf一键梭 NX October October CMS

如何进行内网穿透

当我们通过 webshell 或者其它一些方式获取到一台可以访问内网的服务器权限后,如果要做进一步的渗透,往往要访问内网中的其它主机,但其它主机在内网中,我们无法直接访问。由于控制的服务器处于内网中,所以我们可以通过这台服务器作为跳板进行内网穿透。 这篇文章将会使用之前搭建的环境(搭建一个简单的Windows域环境)对内网穿透常用的技术及防御手段进行介绍。
发布时间:2020-06-30 20:13 | 阅读:38692 | 评论:0 | 标签:内网渗透 dns 隧道 frp icmp 隧道 iptables kali netsh reGeorg socat so

细说渗透江湖之柳暗花明又一村

这是 酒仙桥六号部队 的第 3 篇文章。 全文共计3684个字,预计阅读时长10分钟。 背景 某年的某个夏天,某医院需要做攻防演练,而且是全仿真的演练,只有客户名,没有任何资产信息。时间紧,任务重,于是我们兵分两路,一波人在远程从外围突破,我和另一个小伙则踏上了旅途,准备从内部来瓦解。 出师未捷险被抓 目标是当地最著名的医院,大夏天的依旧是人山人海,我们行走其间,完全无人注意。红蓝对抗中,最爽的事儿是什么?当然是能直接连入目标的内网。 于是我们进入医院后,首先就开始搜寻wifi,看是否有直接访问内网的可能。医院的就诊wifi应该是给病人临时用的,本身没有密码,使用手机号即可登录。
发布时间:2020-06-03 19:24 | 阅读:33932 | 评论:0 | 标签:内网渗透 0day 445端口 ftp弱口令 OA系统 teamviewer webshell Wifi 域控 攻防演练

Windows 下的提权大合集

Windows 下的提权大合集 项目地址:https://github.com/lyshark/Windows-exploits Windows平台提权漏洞集合 项目地址:https://github.com/SecWiki/windows-kernel-exploits 各大平台
发布时间:2020-05-13 20:45 | 阅读:26243 | 评论:0 | 标签:Windows webshell windows 平台提权漏洞 提权 提权工具 辅助提权脚本

MySQL注入点写入WebShell的几种方式

在工具化日益成熟的今天,手工注入的能力越来越被忽视了。当你掌握了一款工具的使用时,应更深入的去了解工具帮你做了什么,把工具所产生的影响控制在自己可控的范围内。 比如:当面对一个MySQL注入点,通过使用SQLmap的--os-shell命令选项,便可轻松一键获取Webshell,但是非正常退出时,便会在网站目录中存留SQLmap临时上传的Webshell文件。
发布时间:2020-04-30 17:27 | 阅读:37839 | 评论:0 | 标签:系统安全 FILE权限 log mysql注入 Union select webshell 分隔符 注入

NSA发布WebShell恶意软件检测与预防报告

美国国家安全局(NSA)和澳大利亚信号局(ASD)本周发布了一份安全公告,警告企业尽快从Web服务器和内部服务器中检测常见的WebShell恶意软件。两家机
发布时间:2020-04-25 19:07 | 阅读:38879 | 评论:0 | 标签:行业动态 首页动态 NSA Webshell 报告调研

错误页面中隐藏webshell的骚思路

恶意软件发布者、黑客和钓鱼诈骗犯现在都喜欢把webshell隐藏在虚假HTTP错误页面中。这些页面常常伪装为错误页面,比如404未找到页面或者403禁止页面,然而它们实际上是webshell登录表单页,攻击者能够获得webshell并且在服务器上执行系统命令。这种技术并不新鲜,不过钓鱼专家和安全研究员nullcookies发现这种利用虚假错误页面隐藏webshell的做法近来有所增加。攻击者通过webshell能够上传恶意软件、钓鱼脚本或其他软件。nullcookies说,这种技术很早就有了,但我发现,最近在这种做法越来越频繁,非常明显。如果不是对这种技术有所了解,人们通常都会忽视这种页面。
发布时间:2018-07-31 12:20 | 阅读:134623 | 评论:0 | 标签:Web安全 webshell

Powershell-Github-Shell:利用Github来做控制端的Powershell版本的Shell

项目主页 https://github.com/zlocal/Powershell-Github-Shell Author:zshell 简介 一般遇到比如说需要执行代码的时候就反弹一个shell回来.比如,一个SA权限的aspx注入,盲注的话,查结果又异常的麻烦,大多情况可能用nc会比较多,但NC的麻烦和限制或者是需要上传文件上去,而且如果是NAT情况又要有一个外网的服务器来监听使其回连。
发布时间:2016-12-30 00:50 | 阅读:146962 | 评论:0 | 标签:工具 Powershell-Github-Shell powershell的webshell webshell 免杀we

Weevely3:一个可用于远程服务器管理和渗透测试的命令行webshell

项目主页 https://github.com/epinna/weevely3 简介 weevely3是一款使用python编写的webshell工具(集webshell生成和连接于一身),可以算作是linux下的一款菜刀替代工具(限于php),在linux上使用时还是很给力的,就是某些模块在windows上无法使用,总的来说还是非常不错的一款工具。Weevely类似于菜刀,一个厚客户端,与一个轻服务端,由客户端生成要执行的代码,传递到服务端执行。与菜刀不同的是Weevely只提供命令行终端,同时自己生成服务端文件。
发布时间:2016-11-12 18:55 | 阅读:360202 | 评论:0 | 标签:工具 webshell Weevely3 命令行

novahot:一个面向渗透测试人员的webshell开源框架

项目主页 https://github.com/chrisallenlane/novahot 简介 novahot是一款面向渗透测试的开源webshell框架。它实现了一个基于JSON-based的API,可以用任何语言编写的木马进行通信。它默认附带了用PHP,Ruby和Python编写的木马。 除了执行系统命令,novahot还能够模拟终端进行交互,包括mysql,sqlite3,和psql。另外,它还实现了虚拟终端,便于上传,下载,编辑和查看远程文件。
发布时间:2016-11-09 03:05 | 阅读:171912 | 评论:0 | 标签:工具 novahot webshell webshell管理 渗透测试

中国最大的Webshell后门箱子调查,所有公开大马全军覆没

起因 对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局
发布时间:2016-11-01 16:00 | 阅读:467804 | 评论:0 | 标签:WEB安全 头条 系统安全 webshell 博彩 后门

烽火18台系列之八——Webshell,隐藏在网站之下的潘多拉魔盒

近年来网站被植入后门等隐蔽性攻击呈逐年增长态势,国家互联网应急响应中心发布的《2015年中国互联网网络安全报告》中指出,“2015年CNCERT/CC共监测到境内75028个网站被植入后门,其中政府网站有3514个。” 而Webshell则是最常用的一种网站后门工具,盛邦安全通过大量对被黑网站的应急发现,绝大多数黑客是通过后门进行的修改,并在篡改后删除后门及服务器日志。但与Webshell的危害程度相反的是,许多信息中心并没有非常重视该问题,或者可以说,业界并没有提供很好的解决办法。本文将根据盛邦安全对于Webshell的一些研究做些总结,希望给大家一些借鉴意义。
发布时间:2016-08-25 06:25 | 阅读:138042 | 评论:0 | 标签:威胁情报 Webshell 盛邦安全

PwnLab挑战技术解析

概要 这是一个boot2root的叫做Pwnlab的挑战。 我把拿到flag过程记录了下来: 过程 用vbox运行Pwnlab,并用nmap扫描下,扫描结果如下: 我们可以看到开放了80端口,打开发现运行着一个web应用。 这个应用程序包含一个登陆页面,主页和上传页面。我尝试浏览robots.txt文件,然而并不存在。所以我们使用dirb来枚举存在的目录。 打开config.php,页面是一片空白。 对网站进行扫描后,找到了一个本地文件包含漏洞,通过php://filter的方式加以利用。
发布时间:2016-08-22 16:55 | 阅读:239476 | 评论:0 | 标签:Web安全 burpsuite ctf flag nc nmap php://filter PwnLab robots

那些年我们渗透过的灰鸽子官网

前言 上次因为被灰鸽子骗了,所以全过程的思路分享并没有写出来。那么今天,我们来弥补掉这个遗憾。没错!灰鸽子再次沦陷。 踩点 首先灰鸽子有两个域名: www.hgzvip.net ,域名注册人hkmangguo@vip.qq.com www.huigezi.org,域名注册人hkmangguo@vip.qq.com 域名商PDR LTD. D/B/A PUBLICDOMA,曾经比中国万网还牛的国外知名域名商;想必客服质量特别高2333。 半年前,我们渗透的是www.huigezi.org,那么今天我们同样要渗透这个站点 两个域名从注册人来看,明显是同一家公司。
发布时间:2016-08-18 04:15 | 阅读:204840 | 评论:0 | 标签:Web安全 NET对称加密 SymmetricAlgorithm webshell 加盐密文 密码学 渗透 灰鸽子

使用Powershell反弹Meterpreter Shell

撸站时难免会遇到一些比较特殊的情况,遇到一个可以执行命令的点(Windows,可连外网),却无法获得回显;这种情况下我通常会用这几种方法去尝试: 使
发布时间:2016-08-16 21:05 | 阅读:142846 | 评论:0 | 标签:Web安全 CloudEye Meterpreter Shell Payload powershell webshell

看我如何绕过一个Webshell认证

当一个网站被攻击之后,攻击者通常会留一个后门或者webshell,便于将来继续控制该网站。通常会对这些webshell做一些混淆来躲避检测。并且也需要认证,保证只有攻击者能通过它控制网站。首先,我会还原混淆处理了的webshell,并演示如何在只有源代码而没有密码的情况下绕过认证。
发布时间:2016-05-19 18:45 | 阅读:186361 | 评论:0 | 标签:WEB安全 webshell 反混淆 认证

如何基于菜刀PHP一句话实现单个文件批量上传?

本文原创作者:安全小飞侠0×00 前言很多时候当我们通过某个通用型RCE漏洞批量抓取了很多的webshell后,可能想要批量传个后门以备后用。这时,我们不禁会面临一个问题,使用菜刀一个个上传显得太慢,那么如何快速的实现文件的批量上传呢?本文尝试以菜刀的php一句话为例来分析一下如何实现这类需求。0×01 原理分析首先,我们必须了解菜刀是如何通过一句话木马来实现web服务器的文件管理的。
发布时间:2015-12-28 16:05 | 阅读:168742 | 评论:0 | 标签:工具 php webshell 一句话 一句话木马 菜刀

中兴某站万能密码导致getshell

漏洞标题 中兴某站万能密码导致getshell 相关厂商 中兴通讯股份有限公司 漏洞作者 qhwlpg 提交时间 2015-07-29 09:18 公开时间 2015-07-29 10:08 漏洞类型 成功的
发布时间:2015-07-30 03:40 | 阅读:130955 | 评论:0 | 标签:漏洞 webshell

智联招聘越权查看求职信

漏洞标题 智联招聘越权查看求职信 相关厂商 智联招聘 漏洞作者 sadn3s 提交时间 2015-04-09 12:48 公开时间 2015-05-25 20:00 漏洞类型 敏感信息泄露 危害等级
发布时间:2015-05-26 04:25 | 阅读:134398 | 评论:0 | 标签:漏洞 webshell 后台被猜解 敏感信息泄露

哇塞网分站任意代码执行漏洞

漏洞标题 哇塞网分站任意代码执行漏洞 相关厂商 北京哇噻网信息技术有限公司 漏洞作者 range 提交时间 2015-05-24 21:56 公开时间 2015-05-25 22:03 漏洞类型
发布时间:2015-05-26 04:25 | 阅读:153434 | 评论:0 | 标签:漏洞 webshell 心血漏洞 融众网某OpenSSL

围观海航某服务器养马场(目前发现六枚shell)

漏洞标题 围观海航某服务器养马场(目前发现六枚shell) 相关厂商 海南航空 漏洞作者 路人甲 提交时间 2015-04-02 15:14 公开时间 2015-05-18 10:42 漏洞类型 成功
发布时间:2015-05-19 02:25 | 阅读:146855 | 评论:0 | 标签:漏洞 webshell

记一次内网渗透

前言 一客户,指定要给其公司做安全测试可从网络层面做,也可以人肉社工 :-) 对于一个小清新来说,怎么可以做人肉社工呢,要是把对方公司的妹子骗走怎么办,于是果断交给单身的同事去做了。 自己默默的看站,客户扔过来的一个域名,域名是a.com,其他什么信息都没有。 信息收集 Google搜了下,得到了一批二级域名;开起kali用fierce来一轮域名枚举,成功枚举出某域名下的子域名列表。   可以看到邮件服务器的域名是mail.a.com,采用微软的exchange所搭建。
发布时间:2015-01-14 20:15 | 阅读:204429 | 评论:0 | 标签:内网渗透 020001 Boom DMZ DMZ区 fierce HTRAN ipconfig /all K8飞刀 ka

ModSecurity技巧:使用ssdeep检测Webshell

最新版本的ModSecurity增加了ssdeep检测webshell的接口,于是猛地回忆起搞客户端安全(游戏安全)的时候买过一本书《恶意软件分析诀窍与工具箱-对抗“流氓”软件的技术与利器》,这本书就提到了用ssdeep来查找恶意软件(webshell是恶意软件的一种,安全领域是互通的嘛)。本文介绍如何使用它来检测webshell。
发布时间:2014-12-16 09:00 | 阅读:130706 | 评论:0 | 标签:工具 ssdeep webshell

用搜索神器Everything定位Webshell木马后门

Everything是速度最快的文件名搜索软件。其速度之快令人震惊,百G硬盘几十万个文件,可以在几秒钟之内完成索引;文件名搜索瞬间呈现结果。它小巧免费,支持中文,支持正则表达式,可以通过HTTP或FTP分享搜索结果。Everything搜索工具的最大优点是速度。其速度不是快,是极快;用户不是满意,而是震惊。因为Everything的索引无需逐一扫描硬盘文件,而是直接读取NTFS文件系统的USN日志。
发布时间:2014-06-25 16:25 | 阅读:305726 | 评论:0 | 标签:WEB安全 webshell web安全 后门

ADS

标签云