资源下载从此链接下载”cobalt strike 4.5原版jar+CSAgent v1.3”到自己的虚拟机中(不建议在实机中运行,因为修改版有病毒):https://www.ddosi.org/cobaltstrike-4-5-cracked/
下载并解压得到以下文件:
启动CS若启动失败则需检查是否安装jdk。
修改权限:
1chmod 755 cobaltstrike teamserver
运行CS服务端:
1sudo ./teamserver [本机地址] [连接密码]
新建终端运行CS客户端:
1./cobaltstrike
连接服务端:
生成exe木马创建监听器
生成32位exe木马
分发木马使用各种方法使木马在对方主机中运行,比如常见的自解压缩包病毒:
上线CS对方运行木马后CS服务器便会和木马建立连接:
截取对方电脑屏幕:
推荐个 CMD 命令补全工具:https://github.com/chrisant996/clink
1. 批处理文件自动请求UAC权限将以下代码写在批处理开头以实现运行时自动请求UAC权限:
123456789@echo offif not "%1"=="am_admin" ( powercmd -Command "Start-Process -Verb RunAs -FilePath '%0' -ArgumentList 'am_admin'" exit /b):: 业务逻辑代码写在下面pause
2. 禁用UAC12345reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t reg_dword /d 0 /Freg add "HK ...
网络安全标准实践指南—Windows 7操作系统安全加固指引
这是Win7停服后全国信息安全标准化技术委员会出台的系统安全加固指引,对Windows Server系统也有很高的参考价值。
Windows操作系统安全加固
这是阿里云官方编写的Windows操作系统的安全合规性检查和配置教程,对数十个配置项进行了详细说明。配置系统为Windows Server 2008。
实现Windows Server操作系统的安全加固
这是腾讯云官方编写的Windows Server操作系统的安全加固教程,对一系列安全配置的过程进行了详细说明。配置系统为Windows Server 2012及以上。
windows server 安全基线加固指引(全)
FreeBuf上的一篇关于Windows Server系统安全加固的文章,从16个安全基线方面对系统进行安全加固。
Windows Server 2003系统安全管理
这是一本在微信读书上可以免费阅读的教材,书中给出了大量Windows Server 2003系统应用的安全设置。
Linux系统主机安全防护
这是华为出品的HPC(高性能计算)系统安全配置手册中的Linux主机安全防护部分。该部分详细介绍了12个安全防护项的操作过程。
Arch Linux安全wiki
出自Arch Linux中文wiki,全中文页面,从软件到硬件的多个方面详细的介绍了相关概念以及如何进行安全配置。
40 Linux Server Hardening Security Tips [2024 edition]
出自nixCraft技术博客官网,全英文页面(可使用网页翻译),内容为Linux服务器加固安全的40条建议,每条建议都引用了相关的链接,方便扩展及查阅。大部分建议都给出了基本操作步骤。
How-To-Secure-A-Linux-Server
这是Github上特别热门的一个关于如何保护Linux服务器的详细指南(全英文)。从6个大类介绍了如何进行详细的服务器安全配置。
1 环境搭建通过红日安全团队官网 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/#base 底部的链接跳转到百度网盘下载靶场环境,解压后使用vmware导入vmx文件。
1.1 登录设备登录设备前会提示需要按CTRL+ALT+DELETE解除锁定状态,可以使用VMWare的Ctrl+Alt+Insert快捷键来解除锁定,以免触发物理机的安全选项菜单:
3台靶机都位于god.org域中且用户密码都为hongrisec@2019, 但由于这些虚拟机都创建于2019年,已经过了密码最长使用期限,因此需要修改密码,这里都改为Admin123!。
1.2 网络配置
设备
IP地址
Windows 7 x64(Web服务器)
192.168.52.143(NAT), 192.168.1.10(仅主机)
Windows Server 2008 R2 x64(域控制器DC)
192.168.52.138(NAT)
Win2K3 Metasploitable(域成员)
192.168.52.141(NAT)
Kali(攻击机), ...
2开头(请求成功)2开头(请求成功)表示成功处理了请求的状态代码。
状态码
解释
200(成功)
服务器已成功处理了请求。 通常,这表示服务器提供了请求的网页。
201(已创建)
请求成功并且服务器创建了新的资源。
202(已接受)
服务器已接受请求,但尚未处理。
203(非授权信息)
服务器已成功处理了请求,但返回的信息可能来自另一来源。
204(无内容)
服务器成功处理了请求,但没有返回任何内容。
205(重置内容)
服务器成功处理了请求,但没有返回任何内容。
206(部分内容)
服务器成功处理了部分 GET 请求。
3开头(请求被重定向)3开头(请求被重定向)表示要完成请求,需要进一步操作。 通常,这些状态代码用来重定向。
状态码
解释
300[多种选择]
针对请求,服务器可执行多种操作。 服务器可根据请求者 (user agent) 选择一项操作,或提供操作列表供请求者选择。
301[永久重定向]
请求的网页已永久重定向到新位置。 服务器返回此响应[对 GET 或 HEAD 请求的响应]时,会自动将请求者转到新位置
3 ...
开发工具
未读在Linux中,通配符是代表一个或多个字符的特殊符号。通常用于匹配文件或目录,而正则表达式常用于匹配文件内容。
*:匹配0个或多个字符123456789❯ ls /etc/*.conf # 查找/etc/目录下所有以.conf结尾的文件/etc/adduser.conf /etc/deluser.conf /etc/host.conf /etc/logrotate.conf /etc/pnm2ppa.conf /etc/sudo.conf /etc/xattr.conf/etc/apg.conf /etc/e2scrub.conf /etc/kernel-img.conf /etc/mke2fs.conf /etc/resolv.conf /etc/sudo_logsrvd.conf/etc/appstream.conf /etc/fprintd.conf /etc/kerneloops.conf /etc/mongod.conf /etc/rsyslo ...
前言最近给博客接入了评论系统,使用Twikoo + MongoDB Atlas + Vercel 进行部署,MongoDB作为数据库。后面给评论系统设置密码的时候,由于设置的过于简单,便打算重新设置,按官方的描述是需要删除MonogoDB的 config.ADMIN_PASS 配置项, 但是没有给出具体过程,遂去学习了下MongoDB的基本用法。
先贴出删除config.ADMIN_PASS配置项的方法:
123mongosh "mongodb+srv://[user]:[password]@cluster0.uhqzyla.mongodb.net/?retryWrites=true&w=majority&appName=Cluster0" // 连接字符串从MongoDB Atlas获取use test // 切换到test数据库db.config.updateOne({}, {$set: {ADMIN_PASS: ""}}) // 更新config集合中的所有文 ...
1. 本地端口转发本地端口转发指的是将本地机器的某个端口的所有请求通过ssh隧道转发到远程主机的某个端口上,相当于将远程主机的某个端口映射到了本地机器的某个端口上,访问本机的该端口就相当于访问远程主机的相关端口。
本地端口转发的命令格式如下:
1ssh -f -N -L local_port:remote_host:remote_port user@ssh_server
-f: 后台执行ssh指令
N: 不执行远程指令(不进入远程shell)
L: 本地端口转发,local_port是本地主机的端口,remote_host是远程主机的IP地址(或者是远程主机所在内网的其他主机的IP地址),remote_port是远程主机或其同内网某主机的端口
例如, 由于远程主机的安全组设置不允许访问http的80端口, 但可以访问SSH的22端口, 那么便可以通过使用SSH的-L选项将远程主机的80端口的流量跑在远程主机的22端口上, 具体来说就是将本地机器的8080端口(也可以指定其他端口)的所有请求通过ssh隧道转发到远程主机的80端口。这样, 在本机浏览器访问 http://127.0. ...
1. 以管理员权限打开CMD2. 查找U盘禁用程序的PID以及所在路径12tasklist | findstr PortControlwmic process get ProcessId,ExecutablePath | findstr [PID]
将第二条命令中的[PID]替换为第一条命令查询到的进程标识符PID。
3. 终止进程1taskkill /pid 9272
将进程标识符PID替换为上一步查询到的PID。
4. 删除进程文件1del "C:\Program Files (x86)\Lenovo\联想智能云教室客户端\PortControl64.exe"
将双引号中的路径替换为上一步查询到的路径,命令执行后没有输出则代表成功删除。
进程终止后必须立即删除进程文件,否则很快又会死灰复燃。
5. 启用设备1devmgmt.msc
执行以上命令打开设备管理器,然后找到”通用串行总线控制器”,将其下面的”USB 大容量存储设备”右键启用设备即可。
6. 关闭错误通知删除进程文件后会弹出一个进程错误通知,点击关闭后会马上弹出,因此还需要按WIN + ...