这段时间在做一个编码转换的程序,其中用到了一个SDK,是以DCOM形式发布的。...把这个DCOM添加到引用中,用VS2005编写成一个WebService程序,没有多久就成功了,本以为大功告成,可是接下来的麻烦就来了。...”,试图以参数“”启动服务 StiSvc 以运行服务器: {A1F4E726-8CF1-11D1-BF92-0060081ED811} 这个日志已经告诉我们了,错误就出在DCOM的权限上。...我们这儿的解决办法其实也不复杂,到注册表中搜索提示的{******-*****}这个ID,可以找到这个DCOM的名字,然后运行中输入dcomcnfg打开组件服务,然后找到这个DCOM和相关调用的DCOM...然后记住一定要重启机器,这样我们就可以在IIS中调用DCOM了。
利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求 COM提供了一套允许在同一台计算机上的客户端和服务器之间进行通信的接口(运行在Windows95及之后版本的操作系统中)。...DCOM使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外,因此,在远程系统上托管COM服务器端的软件(通常在DLL或exe中)可以通过RPC向客户端公开其方法 攻击者在进行横向移动时...使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件。...例如我们滥用ShellBrowserWindowCOM对象,那么就会在远程主机的现有explorer.exe进程中执行。...C08AFD90-F2A1-11D1-8455-00A0C91F3880","10.10.10.12")) # 然后执行如下命令,我们就可以调用该对象的"shellExecute"方法在远程主机上启动进程
本文主要讨论的内容如下: 引言; 研究动机; 简单的DCOM横向渗透方法论; 缓解方案; 引言 在此之前,关于DCOM横向渗透技术的内容讨论了已经有一年半载了,Matt Nelson (enigma0x3...DCOM横向渗透方法论 定位二进制文件 首先,我们需要在DCOM应用中定位相应的二进制文件路径。...实际上,mobsync是Microsoft同步中心和脱机文件功能中的一个进程,因此mobsync.exe又开始变得更加有趣了。...缓解方案 厂商: 当软件工具被卸载之后,确保没有DCOM注册表项遗留。 不要在注册表中创建指向并不存在的二进制文件的DCOM程序路径。...当DCOM调用失败时,主机的系统日志中会生成ID为10010的错误事件信息,其中将包含CLSID信息。 ?
利用这个接口,客户端程序对象能够向网络中另一台计算机上的服务器程序对象发送请求。 DCOM是COM(组件对象模型)的扩展,它允许应用程序实例化和访问远程计算机上COM对象的属性和方法。...DCOM 使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外,因此,在远程系统上托管COM服务器端的软件(通常在DLL或exe中)可以通过RPC向客户端公开其方法。...使用DCOM进行横向移动的优势之一在于,在远程主机上执行的进程将会是托管COM服务器端的软件。...例如我们滥用ShellBrowserWindow COM对象,那么就会在远程主机的现有explorer.exe进程中执行。...域成员服务器(Windows 7): IP地址:192.168.52.143 用户名:Aministrator 密码:Liu78963 域控制器DC(Windows Server 2008): IP地址
首先把进程放到后台 nohup python main.py & 然后保持退出终端继续运行 ctrl-z bg 输出在nohup.out里面 输入fg,可以把任务调到前台并取消 输入jobs...显示后台进程
0x01 DCOM简介 COM 是 Windows 的一个组件,可促进软件之间的互操作性,DCOM 使用远程过程调用 (RPC) 将其扩展到整个网络。...分布式组件对象模型(DCOM)远程协议是一种通过远程调用(RPC)公开应用程序对象的协议。 在windows注册表包含3个标识符中的DCOM配置数据: CLSID:类标识符是全局唯一标识符。...如果 APPID 不正确,DCOM 将无法工作。 一个DCOM运行流程 •客户端请求远程计算机通过CLSID或者PROGID创建一个对象。...0x02 DCOM利用 2.1 获得DCOM列表 在windows7,server08中默认是powershell2.0,在server12及以上默认为powershell3.0以上。....管理员权限的powershell2.客户端关闭防火墙3.服务端需要域管的administrator账户或者目标主机具有管理员权限的账户4.双方主机都需有MMC Application Class这个DCOM
一、思路 先与客户端建立好连接, 每次监听到一个客户端之后,都需要产生一个子进程去处理这个连接,然后父进程继续去等待监听,唯一一个要注意的点就是要使用信号来监听子进程是否结束,从而对其进行回收,防止僵尸进程的产生...&opt, sizeof(opt)); (3)bind函数 bind(lfd, (struct sockaddr*)&ser_addr, sizeof(ser_addr));b这个函数主要目的就是将服务器的地址结构绑定到套接字...lfd上,所以开始要设置服务器的ser_addr:ser_addr.sin_family = AF_INET, ser_addr.sin_port = htons(8888);ser_addr.sin_addr.s_addr...监听到了客户端后,就要开始创建子进程来对这个监听进行处理;pid = fork() 3、子进程处理通信 因为子进程不需要监听连接,使用可以close(lfd);之后便可以进行通信处理 void do_work...sizeof(buf)); tcp.Write(cfd, buf, n); tcp.Write(STDOUT_FILENO, buf, n); } } 4、父进程回收子进程
S 13:02 0:00 \_ /usr/sbin/httpd 我们查看httpd 服务器的进程;您也可以用pgrep -l httpd 来查看; 我们看上面例子中的第二列,就是进程PID的列,其中4830...是httpd服务器的父进程,从4833-4840的进程都是它4830的子进程;如果我们杀掉父进程4830的话,其下的子进程也会跟着死掉; [root@localhost ~]# kill 4840 注:...是不是httpd服务器仍在运行?...[root@localhost ~]# kill 4830 注:杀掉httpd的父进程; [root@localhost ~]# ps -aux |grep httpd 注:查看httpd的其它子进程是否存在...,httpd服务器是否仍在运行?
Nginx服务器的进程有3类:主进程、工作进程、缓存进程 (1)主进程 Nginx启动时运行的主要进程,主要功能是与外界通信和对内部其他进程进行管理 主要工作内容 1)读取配置文件,验证有效性和正确性...2)建立、绑定、关闭 socket 3)按照配置生成、管理、结束工作进程 4)接收指令,如 重启、升级、退出 5)不中断服务,平滑重启、升级,升级失败的回滚处理 6)开启日志文件,获取文件描述符 (2)...工作进程 由主进程生成,生成数量由配置文件指定,工作进程生存于主进程的整个生命周期 主要工作内容 1)接收请求 2)将请求依次送入各个功能模块进行过滤处理 3)IO调用,获取响应数据 4)与后端服务器通信...,接收后端服务器处理结果 5)数据缓存,访问缓存索引、查询、调用缓存数据 6)发送请求结果 7)接收主进程指令,如 重启、升级、退出 (3)缓存进程 缓存进程有两类 1)缓存索引重建进程 nginx启动后由主进程生成...,在缓存元数据重建完成后就自动退出 该进程启动后,对缓存文件的目录结构扫描,在内存中建立索引元数据库 2)缓存索引管理进程 生存于主进程的整个生命周期 负责在索引元数据更新完成后,对元数据是否过期进行判断
Threat Hunting#16 — 通过 DCOM 的 ShellWindows & ShellBrowserWindow 进行横向渗透 Windows 分布式组件对象模型(DCOM)是一种透明的中间件...通过COM,客户机对象可以调用服务器对象的方法,这些对象通常是动态链接库(dll)或可执行文件(exe) 与本地和远程服务器 COM 对象交互的权限由访问控制列表(ACL)在注册表中决定。...默认情况下,只有管理员可以通过 DCOM 远程激活和启动 COM 对象。...攻击者可使用 DCOM 进行横向移动,通过 DCOM,攻击者可在拥有适当权限的情况下通过 Office 应用程序以及包含不安全方法的其他 Windows 对象远程获取任意甚至直接的 shellcode...11cf-a442-00a0c90a8f39) shellbrowserwindow(clsid=c08afd90-f2a1-11d1-8455-00a0c91f3880) 使用这些 COM 对象的优势在于,从父进程和子进程的关系来看
jvisualvm使用jvisualvm监控远程服务器开启远程监控通过在服务器上设置jmx参数来开启vi /etc/profileexport JAVA_OPTS='-Dcom.sun.management.jmxremote...=false -Dcom.sun.management.jmxremote.authenticate=false -jar xxx.jar连接打开jvisualvm,在远程中添加需要监控的服务器,然后再在该服务器下添加...:远程服务器端口要设置开放参考视图常见问题开启OOM-dumpnohup java -Dcom.sun.management.jmxremote=true -Dcom.sun.management.jmxremote.port...idtop -p 进程id> 精确定位到cpu高的进程,然后按H键,查看该进程所有线程 或者 top -p 进程id -H 查看进程下的线程printf "%x" 进程id 将进程号转化为16进制...10表示这个线程所在行后面10行,55a0是进程ID转换后的十六进制查看堆内存使用情况jps查看各个应用进程idjmap -heap java项目进程idjmap -histo 进程id > log.txt
故事情节: 有一天在聚餐中,我有一个朋友和我说他的服务器上有有个异常的进程他一直在占满CPU在运行,我在一顿谦虚之后答应了他,有空登录上他的服务器看一下具体情况。...就是以上三张图,在proc目录中的exe指向的文件已被删除,我看到这里,我好奇这个进程肯定是被隐藏掉了。这时,我急中生智跟这位朋友要了root账号密码。...登录服务器用top命令一看,发现一个奇怪的进程在运行,我使用kill命令将其杀后,等了十来分钟后,发现没有被启动,这时我和这位朋友说干掉了,他问我是不是kill掉了,我说嗯,他又补充到,这个进程杀掉过段时间会起来的...没过多久,我又看了一下,发现这个进程换了个名字又启动了。...还干满了CPU,就在这时,我在研究这个进程运行文件的时候发现: 这个进程会连到一个韩国的服务器上,我访问这个IP发现是一个正常的网站,没有异常情况。
当服务器有后台进程在运行时候,一般输出不会在命令行界面显示,需要一行命令来实时查看后台进程的输出结果先输入ps查看后台进程然后输入:python your_script.py > output.log...然后进入到后台程序的目录下面然后输入:tail -f output.log这样就可以实时查看后台进程输出了
次会用到我们上次写的多进程服务器 我们既然学习了 面向对象,就用面向对象来改进一个这个程序: import socket import re import multiprocessing class...self,): while True: cli_socket,cli_addr = self.tcp_server.accept() # 多进程实现调用该方法...self,): while True: cli_socket,cli_addr = self.tcp_server.accept() # 多进程实现调用该方法...最终还是要在服务器中国调用函数,我们想要把他分开。 很简单,我们把请求的方法从服务器传过去,在py文件中判断就好了。自己尝试一下。...但是WSGI就是负责和服务器交互的,我们需要在服务器中修改。
多进程TCP并发服务器 最初的服务器都是迭代服务器,服务器处理完一个客户的请求,再接受下一个客户的请求。但是我们的期望应该是一台服务器同时为多个客户服务。...实现并发服务器最简单的办法就是为每个客户均fork一个子进程。...[accept返回后客户-服务器的状态] 并发服务器的下一步是调用fork,下图是从fork返回后的状态。此时描述字listenfd和connfd是父进程-子进程共享的。...[fork返回后客户-服务器的状态] 下一步是父进程关闭已连接套接口,子进程关闭监听套接口。...[父子进程关闭相应套接口后客户-服务器的状态] 最后的结果是子进程处理与客户的连接,父进程可对监听套接口调用accept来处理下一个连接。
jvisualvm使用jvisualvm监控远程服务器开启远程监控通过在服务器上设置jmx参数来开启vi /etc/profileexport JAVA_OPTS='-Dcom.sun.management.jmxremote...=false -Dcom.sun.management.jmxremote.authenticate=false -jar xxx.jar连接打开jvisualvm,在远程中添加需要监控的服务器,然后再在该服务器下添加...注意:远程服务器端口要设置开放常见问题开启OOM-dumpnohup java -Dcom.sun.management.jmxremote=true -Dcom.sun.management.jmxremote.port...id top -p 进程id> 精确定位到cpu高的进程,然后按H键,查看该进程所有线程 或者 top -p 进程id -H 查看进程下的线程 printf "%x" 进程id 将进程号转化为16进制...10行,55a0是进程ID转换后的十六进制查看堆内存使用情况jps查看各个应用进程id jmap -heap java项目进程id jmap -histo 进程id > log.txt 查看此应用中各实例生成情况
进程间通信(三) — 进程同步原语及管道与队列 回顾操作系统所提供的所有进程间通信方式的系统调用,我们会发现还有两种进程间通信方式我们还没有介绍:共享内存与域套接字,本文我们就来介绍这剩下的几种 IPC...但 Python 的 multiprocessing 包中仍然提供了两种方法让你可以在多进程环境下共享数据: 共享内存 服务器进程 3....服务器进程 — server process python 提供了一种十分类似共享内存的数据共享机制 — 服务器进程。...通过 multiprocessing 包中的 Manager 类可以构造一个服务器进程对象,他支持用于进程间共享的多种数据类型: list dict Namespace Lock RLock Semaphore...BoundedSemaphore Condition Event Barrier Queue Value Array 一旦创建,对象的使用与原生类型的用法是完全相同的,因此相比于共享内存,服务器进程的使用更为简单和灵活
Jvm监控工具 一、jstack 介绍: jstack用于打印出给定的java进程ID或core file或远程调试服务的Java堆栈信息。...使用: 1、查看运行程序的进程号 ? 2、jstack dump当前线程状态 ?...=192.168.1.130 这是连接你的tomcat服务器地址 -Dcom.sun.management.jmxremote.port=7003 jmx连接端口 -Dcom.sun.management.jmxremote.ssl...7、在远程上右击,添加主机,输入服务器的ip: ? 8、在远程主机上右击,添加JMX连接,我的端口号是7003,确定: ?...这时就可以查看服务器的资源情况、以及tomcat的线程情况等。 ---- -END-
而本小节我们将介绍一下如何使用jvisualvm来监控远程的java进程,我们这里以线上服务器的Tomcat为例。...打开jvisualvm,双击 “远程” 选项,添加一个远程主机,即远程的服务器: ?...-Dcom.sun.management.jmxremote.port=9004 -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl...注意,如果你使用的是阿里云等云服务器的话,不仅需要配置防火墙规则来开放端口,还需要到云服务器的安全组规则中,增加相应的端口规则,如下: ? 连接成功后,如下: ?...-Dcom.sun.management.jmxremote.port=9005 -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl
GlusterFS服务器端进程分析 服务端进程信息: root 348 0.0 0.2 273104 16268 ? ...bdda-0a4fe0223384 --brick-port 49155 --xlator-option tank-server.listen-port=49155 服务端重启glusterd服务,如下进程...0d5ba4a3-c6fa-4afd-ad39-a2842ca3cde0 --brick-port 49176 --xlator-option tank-server.listen-port=49176 其他3个进程...PID会变,生产新的进程。...当服务器端执行gluster volume stop操作后,上述进程消失,gluster volume start后会创建新的线程。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
