反弹shell(一个可交互的真shell)的时候是需要fork出来的子进程 execve /bin/bash 的,但是这样一般会引发告警,此时就有个需求,不让execve内核hook监控知道我执行的是 /bin/bash ,这里总结一下大概有如下方法: 1. 最简单的把/bin/bash拷贝一份,然后执行,但是一般会云查,所以最好修改一下/bin/bash的内容 2. 给/bin/bash 创建软链接,使用 ln -s ,或者 cp -s ,然后执行符号链接。 3. memfd ,这个syscall一般都会监控,而且会对内存的数据当做文件采集。 4. fexecve , 此方法本质上调用的依然是 execve,只不过路径传入的是 /proc/self/fd/%fd 5. 使用加载器,32位执行 /lib/ld-linux.so.2 /bin/bash , 64位执行 /lib64/ld-linux-x86-64.so.2 /bin/bash 6. 内存加载ELF文件,项目有ulexecve
之前面试的时候,面试官问的一个问题需要阅读SharpSQLTools的源代码,其中真正执行恶意payload的地方是在这个DLL中,备份一下
这篇文章主要汇总了一下内网中Vcenter经常出现的两种情况 1.22005root权限可直接造Cookie登录Vcenter 2.21972低权限利用CVE-2021-3156提权 然后再下载到本地或直接上传脚本到目标机器上运行 这里他提出一个系列,修改了EXP才完美运行,这个细节也要注意 3.攻击域控这里没啥好说的NOPAC或是ZeroLogon但这里他给出了一个Bypass火绒的小技巧,可以学习一下。
除了Neo-reg以外,我们应该多去关注一些其余的代理,很多时候可能Neo-reg被杀了或者流量过不去的时候,不妨尝试一下其他的代理,说不定有奇效 Neo-reg pivotnacci pystinger suo5