在远程连接的时候特别容易操作错误,比如通过远程桌面或者是ssh连接,本来想要重启A服务器上的服务,不小心把B服务器上的服务重启了。...常见的操作有【启动服务】、【停止服务】和【重启服务】,另外还有如果按常规方法停止服务后,服务不响应请求时,需要一个【强制杀进程】的操作。...那么我们就要设计出针对这些动作的检查动作了,一般的检查动作有: 检查该服务的进程是否在运行 检查该服务对应的端口是否在侦听 检查该服务对应的应用是否能正常提供服务 而对于检查进程运行和端口侦听,我们可以结合成一个动作...所以我们必须设计批量的方式,针对多个服务同时进行启停。 另外还有考虑批量启停的情况下进行分批启停,也就是第一批服务的启停执行完后,紧接着执行第二批的启停。...作者:何立 ---- 好文推荐 Powershell 挖矿病毒处理与防范 这里有份选择云服务商的攻略,请查收… 嘉为蓝鲸CMP:跳出云管看云管 如何设计大型集团一体化IT运维系统 AD域整合的注意事项
若在排查网络连接中,任务管理器只能看到有命令行工具(如powershell、cmd)powershell进程与外联IP建立会话,无法看到进程对应的运行参数。...此时可借助Process Explorer进一步观察powershell的运行参数。如下在Process Explorer中发现powershell执行了cobalt strike脚本的痕迹。 ?...排查中主要关注粉色条目,建议与客户运维人员一同查看,以及时排除业务所需的正常自启项。...2、查看组策略: 在无法使用工具、只能手工排查的情况下,可查看常见的自启项是否有异常文件。...打开gpedit.msc—计算机配置/用户配置—Windows设置—脚本,在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。 ?
用户Administrator,关闭电源:其他(计划外) 关机类型:关闭电源 原因代码:0x0 通过PowerShell执行stop-computer关机 EventID=1074 进程:C:\Windows...,重启:其他(计划外) 关机类型:重启 原因代码:0x0 通过PowerShell执行restart-computer重启 EventID=1074 进程:C:\Windows\system32\wbem...\wmiprvse.exe,用户Administrator,重启:没有找到这个原因的标题 关机类型:重启 原因代码:0x80070015 通过shutdown -r -t 0重启 EventID=1074...:Service Pack(计划内) 关机类型:重启 原因代码:0x80020010 安装完Windows自带功能角色,勾选了“如果需要,自动重新启动目标服务器” EventID=1074 进程:C:\...如:安装完宝塔,点击“重启服务器” EventID=1074 进程:C:\Windows\system32\shutdown.exe,用户SYSTEM,重启:没有找到这个原因的标题 关机类型:重启 原因代码
Windows PowerShell 系统要求 https://docs.microsoft.com/zh-cn/powershell/scripting/install/windows-powershell-system-requirements...view=powershell-6 2008R2默认是powershell2.0,可以下载powershell5.1直接安装 安装文件地址: https://download.microsoft.com...Get-Service MpsSvc //查看防火墙服务 Restart-Service MpsSvc //重启防火墙服务 Set-Service MpsSvc Automatic //设置防火墙服务开机自启...StartupType Manual //关闭防火墙服务并设置开机手动 Set-Service MpsSvc -StartupType Automatic -Status Running //设置防火墙服务开机自启并启动之...【获取进程信息】 Get-Process -Name exp* Get-Process -Name explorer //查看资源管理器进程 image.png Get-WmiObject -Class
图3.GitHub页面上的PowerSploit / CodeExecution 漏洞的文档说明:“将shellcode插入到您选择的进程ID中或在运行PowerShell进程中”。...由C&C服务器回传的主机名和IP地址可知,该服务器位于韩国首尔。 ?...图8.对 Poison Ivy 恶意软件的C&C服务器WHOIS 结论 这个APT攻击使用了多种变体,它先是欺骗受害者下载一个恶意VBScript,让这个VBScript去下载一个.doc文件并打开它。...完成这些操作之后,它会悄悄的地执行PowerShell(PowerSploit)攻击,使得受害者在运行内存中的进程时感染Poison Ivy。...这种不感染文件的攻击有效地避免了多个编码和包装检测的已知签名,并且100%避免了原始攻击者的工作区域被发现的可能性。 这将使目前的APT活动有更好的机会成功由类似有效载荷造成的其他情况。
因此,如果您启用了Module&ScriptBlock 日志记录并且至少安装了最新的 PS v4,那么你会认为 powershell 的事件日志中记录了基本脚本的活动记录。...由于 powershell V2 不能被总是卸载,所以我们可以使用 EventSentry 检测并终止 powershell V2 的命令(特别是启用了 4688 事件时)。...-Online -FeatureName 'MicrosoftWindowsPowerShellV2' -norestart 当我们需要从多个系统上卸载 powershell V2 时,我们可以使用...注意:由于 400 事件无法与活动进程相关联(400 事件不包含 PID),因此我们无法做到选择性的终止 powershell 进程,只会将所有 powershell 进程都终止,但是,我觉得这不是一个问题...PowerShell 事件日志,则无法杀死确切有问题的 PowerShell 进程,并且所有正在运行的 PowerShell.exe 进程都必须终止。
版权说明 本教程采用此开源项目: https://github.com/dakkidaze/one-key-kms 由于 Microsoft KMS 服务器会占用1688端口,博主不建议使用中国大陆以外的服务器部署...准备工作 腾讯云轻量服务器国内任意区域 Linux操作系统(CentOS或Debian系都行) 开始部署 首先要连接上服务器,需要使用SSH协议的软件登录 CentOS / Redhat / Fedora...ufw allow 1688 激活Windows 该KMS服务只能激活批量激活(VL)版的系统,如果不是可以 通过微软提供的KMS密钥 进行转换 命令提示符或PowerShell需要以管理员身份运行!...IP或域名 cscript ospp.vbs /act 设置开机自启(可选) 为了防止您的KMS服务器因为不必要的原因而停止工作,您需要设置开机自启 rc.local (方法一) 编辑/etc/rc.local...并加上 #如果那个 kms.sh 脚本位于 /root/kms.sh /root/kms.sh start supervisor (方法二) 您可以安装supervisor并设置守护进程以维持KMS服务
我们通过工具生成一个有powershelldownloader功能的一个excel,victim服务器打开此excel之后会从CC服务器下载并执行一个基于powershell的payload到本地的计算机后就可以通过...CC服务器当中的Metasploit操控Victim服务器。...在github下载一个powershell工具用于生成excel后门,这里使用了Generate-Macro一个评价很不错的小工具。...0x3 进程拉起顺序 在victim端口查看相关进程可以发现依次的启动顺序为:svchost.exe-> WmiPrvSE.exe -> powershell.exe ->powershell.exe...2.office本身也有CVE2017-0262、CVE–2017–8759、CVE-2017-0199、CVE-2017-11882等多个安全问题,攻击手法也有了较多的差异性,作为普通用户在日常的工作生活当中还是应该提升自身的安全意识
攻击者可以利用PowerShell将远程服务器中托管的恶意文件下载至目标用户的设备之中。...下面给出的是真实场景中的攻击实例: 在这个样例中,攻击者使用了.downloadfile()方法来下载恶意文件,并使用环境变量将其存储在了用户的Appdata目录中,然后使用“Start-Process...你可以使用进程管理器等工具来查看父进程和子进程之间的关系,你可以从下图中看到,Explorer.exe是PowerShell.exe的父进程: 但是在大多数PowerShell攻击中,PowerShell...因此,我们需要注意并记录以下PowerShell进程: -由 winword.exe生成的PowerShell进程(父进程是winword.exe) -由cmd.exe生成的PowerShell进程(父进程是...比如说,如果目标使用了DownloadFile()方法, 说明它很可能已经在目标设备的硬盘中下载了恶意文件,而且我们也许可以从中发现用于托管恶意文件的远程服务器。
那么这次 demo 做到了,无服务,无进程,无端口,无自启。 根据上面的 5 条概念,加入到了 demo 中,增加对手成本,使其更隐蔽。...一次具有针对性的渗透,绝对不单单是以渗透 DMZ 区为主,重要资料一般在内网服务器区(包括但不限制于数据库服务器,文件服务器,OA 服务器),与内网办公区(包括但不限制于个人机,开发机,财务区)等。...第四代 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入 DLL 线程。...驱动级木马多数都使用了大量的 Rootkit 技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统 SSDT 初始化,导致杀毒防火墙失去效应。...以 Demo 第二代举例,它无自己的进程,端口,服务,而是借助 notepad++(非 dll 劫持)来生成 php 内存 shell(这个过程相当于插件生成),并且无自启,当服务器重启后,继续等待管理员使用
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。...0079nlvZly4g5y08a5rhxj30u00esmzx.jpg 某一天,当你检查服务器,发现很多服务器的CPU使用率特别高,且使用进程为Powershell.exe时,那么基本可以判定,您的服务器中了...中Powershell挖矿病毒后的现象 当服务器感染了Powershell挖矿病毒后,通过交互式登录操作系统,利用ProcessExplorer.exe进程查看器进程,会发现Powershell.exe...详细步骤如下: 1.结束Powershell.exe进程 由于服务器中了挖矿病毒后,整理反应会特别的慢,所以建议通过taskkill命令暂时将服务器上的Powershell.exe结束后再行处理(结束Powershell.exe...进程后,Powershell.exe进程会在1-2个小时内自行启动)。
PowerSploit是一款基于PowerShell的后渗透框架软件,包含了很多PowerShell的攻击脚本,它们主要用于渗透中的信息侦测,权限提升、权限维持等。...该模块用于检测Winlogin注册表的AutoAdminLogon项是否被设置,可用于查询默认的用户名和密码 Get-ModifiableRegistryAutoRun 该模块用于检查开机自启的应用程序路径和注册表键值...该模块会自动执行 PowerUp.ps1 下所有的模块来检查目标主机是否存在服务配置漏洞 以下是这些模块提权的原理: Get-ServiceUnquoted 模块提权 (该模块利用了...所以如果一个低权限的用户对于此类系统服务调用的可执行文件具有可写的权限,那么就可以将其替换成我们的恶意可执行文件,从而随着系统启动服务器获得系统权限。。...Invoke-Allchecks模块 powershell -exec bypass -c import-module .
Windows权限维持 目录 定时任务 创建隐蔽账号 进程迁移 启动目录 注册服务自启(报毒) 修改注册表实现自启动 在红蓝对抗实战中,当我们获取到一台Windows主机的权限后,首先要做的就是怎么维持住该权限...vps.exe /ru system /f 其他启动时间参数: /sc onlogon 用户登录时启动 /sc onstart 系统启动时启动 /sc onidle 系统空闲时启动 但是如果是powershell...还需要执行启动该计划任务的命令 schtasks /create /tn test /sc HOURLY /mo 1 /tr "c:\windows\syswow64\WindowsPowerShell\v1.0\powershell.exe...进程迁移 针对查杀木马进程这个措施,我们可以将木马进程迁移到系统正常的进程当中 对于查杀木马进程,我们还有一种解决办法,设置CMD定时脚本,创建隐蔽账号,登录创建的账号执行该脚本: 这个bat脚本的代码如下...注册服务自启(报毒) 注册服务 sc create "WindowsUpdate" binpath= "cmd /c start "C:\Users\Administrator\Desktop\beacon.exe
的后渗透框架软件,包含了很多PowerShell的攻击脚本,它们主要用于渗透中的信息侦测,权限提升、权限维持等。...该模块用于检测Winlogin注册表的AutoAdminLogon项是否被设置,可用于查询默认的用户名和密码 Get-ModifiableRegistryAutoRun 该模块用于检查开机自启的应用程序路径和注册表键值...该模块会自动执行 PowerUp.ps1 下所有的模块来检查目标主机是否存在服务配置漏洞 以下是这些模块提权的原理: Get-ServiceUnquoted 模块提权 (该模块利用了...所以如果一个低权限的用户对于此类系统服务调用的可执行文件具有可写的权限,那么就可以将其替换成我们的恶意可执行文件,从而随着系统启动服务器获得系统权限。。...Invoke-Allchecks模块 powershell -exec bypass -c import-module .
这种恶意行动利用NSA EternalBlue 和 EternalSynergy两种漏洞,运行于多个平台,目标为内部网络。...然后下载一个相同的恶意软件作为DLL,并使用Reflective DLL注入技巧,将恶意软件注入进更多的PowerShell 进程中。...图13 “zealot.py” 执行两个漏洞利用 注入的shellcode一旦成功执行,它会开始运行PowerShell,下载 相同的“scv.ps1” 代理。不同的是,这一次是不同的服务器。...shellcode,且试图从另一个服务器下载并执行一个名为“minerd_n.ps2”的PowerShell脚本。...图15 Mule 恶意矿机的值 Leveraging Off-the-Shelf Tools Zealot攻击者使用了公共EmpireProject,这是一个PowerShell和Python 漏洞利用后期代理
前言 今天关网站只要是想要在我的服务器上装kali系统,可惜的是轻量应用服务器好像不支持自定义系统镜像,但云服务器是可以的。...安装GRUB启动引导器----是 选择一长串的那个设备名字,不用手动选择设备 # 最后开始结束安装进程,并自动启动了kali kali安装SSH服务 打开终端输入 sudo su # 会提示输入安装kali...apt-get update apt-get upgrade apt-get install openssh-server # 会有提示,输入 y systemctl enable ssh # 设置开机自启...打开终端输入 sudo passwd root 设置root用户密码 制作kali镜像 打开本地安装kali的目录,在该目录下找到.qcow文件,将其复制到virtualbox软件的安装目录下 运行powershell...,点击镜像,然后导入镜像 然后就是静待镜像导入完毕了 因为我的是轻量应用服务器,所以无法安装kali系统 详情可以看原作者,本文主要用于加深印象而写 云服务器安装kali系统 点击实例,选择云服务
Startup 这个目录下存放着这个用户开机启动的程序 C:\programData\Microsoft\Winodws\Start Menu\Programs\StartUp 这个目录下存放这开机自启的程序...更多的关于PowerShell的用法:PowerShell使用浅析 本地加载并执行PowerShell脚本 在cmd当前目录下有PowerView.ps1脚本,并执行其中的Get-Netdomain模块...*>a.txt 将C盘文件列表写入a.txt del 删除一个或多个文件 Windows中快捷键操作 Alt+Tab 快速切换程序...关闭端口: 命令行方式关闭端口,实际上是调用了防火墙。...taskkill -F -pid 520 杀死PID为520的进程 Windows反弹Shell cmd窗口下利用Powershell反弹NC shell 亲测所有机器都适用 powershell
0x01 Beacon 的管理 Beacon 控制台 在一个 Beacon 会话上右击 interact(交互)即可打开 Beacon 控制台,如果想对多个会话进行控制,也只需选中多个会话,执行相关功能即可...psinject:将非托管的 PowerShell 注入到一个特定的进程中并从此位置运行命令。 powershell-import:导入 PowerShell 脚本到 Beacon 中。...inject:输入inject + 进程 id + 监听器名来把一个会话注入一个特定的进程中。使用 ps 命令来获取一个当前系统上的进程列表。...\file.dll] 来在另一个进程中加载磁盘上的 DLL文件。 会话传递使用场景 1、将当前会话传递至其他CS团队服务器中,直接右击spawn选择要传递的监听器即可。...也可以在 cancel 命令中使用通配符来一次取消多个文件下载任务。
在大多数连接下,后门是一个运行在目标主机上的隐藏进程。因为后门可能允许一个普通的、未经授权的用户控制计算机,所以攻击者经常使用后门来控制服务器。...windows的粘滞键主要是为无法同时按多个按键的用户设计的。...WMI 型后使用了 WMI 的两个特征,即无文件和无进程。...WMI型后门主要利用了WMI的两个特征,即无文件和无进程。...其基本原理为:将代码加密存储于WMI中,实现无文件;当设定的条件被满足时,系统将自动启动PowerShell进程去执行后门程序,执行后,进程将会消失,实现无进程。
首先判断加载自身的进程,如果是powershell,则开始进行下载行为: ? 获取本机信息,包括计算机名、用户名等信息及进程列表: ?...lame.dll,并执行命令将其拷贝到system32目录中命名为msTracer.dll进行劫持,并将wsearch服务设为开机启动实现开机自启: ?...木马在多个位置调用了核心下载函数,该函数有两种模式,参数分别为1和0: ? 首先解密出url域名和参数,然后进行网络访问: ? 解密C2并构造url: ? 解密出的C2: ?...5、 插件分析 采用插件形式,也是本系列木马的一个特色,本次攻击我们发现了非常多的恶意木马插件,主要如下: 1) 插件一: 执行powershell命令: powershell -ex bypass -...其功能是解密出一段脚本并创建powershell进程执行,解密后的脚本如下: ? 其功能是申请一块内存,并解密出一段shellcode,创建线程执行shellcode: ? ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
