Lusen的小窝

【免杀专栏】Webshell 免杀过360、D盾、河马一、准备工作1、rouji脚本 百度网盘可下载 GitHub项目地址：https://github.com/ytMuCheng/ruoji 2、环境配置 python3 的环境模块 1pip3 install -r re.txt 二、免杀操作运行脚本： 1python webshell_bypass_5.1.py -c 1 参数： 123456optional arguments: -h, --help show this help message and exit -p PHP, --php PHP -p 文件名 or --php 文件名 -j JSP, --jsp JSP -j 文件名 or --jsp 文件名 -c CONFIG, --config CONFIG 伪装模板（1-7） -c 1 or --config 1 1、方式一：免杀蚁剑1、蚁剑免杀 1python webshell_bypass_5.1.py -p shel ...

【免杀专栏】CS-shellcode 免杀过360、火绒一、准备工作1、掩日（双击运行） 2、cs 的shellcode 二、免杀方式1、方式一：本地分离 火绒绕过： 360绕过： 2、方式二、网络分离暂时搁置 三、总结掩日是一款适用于红队的综合免杀工具，其中包括有：通用免杀、本地分离、网络分离等多种免杀方式和杀软识别等功能，操作简单，免杀效果强悍，是一个非常优秀的项目

【Vulnhub系列靶场】Vulnhub_DC-8靶场渗透一、环境配置从百度网盘下载 在vm中【打开】，并选择位置，可以不用输入名称 打开靶机运行之后，更改网络适配器为NAT即可。 二、信息收集1、主机发现 2、端口扫描1、可以先用-F 参数进行粗略的快速探测 2、之后再进行精细探测 12nmap.exe -sT --min-rate 10000 -p- 192.168.31.58 #以最小10000速率进行TCP全端口扫描nmap.exe -sU --min-rate 10000 -p- 192.168.31.58 #以最小10000速率进行UDP全端口扫描 只有TCP开放了22、80端口。 3、用默认脚本对开放的22、80端口在进行全扫描 1nmap.exe -sT -sV -sC -O -p22,80 192.168.31.58 确认是一个linux操作系统。 4、用漏洞脚本对开放端口进行漏洞探测 1nmap.exe --script=vuln -p22,80 192.168.31.58 并未发现有用的漏洞，只进行了一些目录探测 3、web漏洞探测访问 ...

【Vulnhub系列靶场】Vulnhub_DC-1靶场渗透一、环境准备1、在百度网盘中下载DC-1靶场。DC-1靶场受virtual box 的影响，在VM中直接打开是扫描不到IP 的，我们需要先解决这个问题：【其他经验】Vulnhub靶机扫描不到IP 2、之后在VM中打开.ovf 文件，设置存储路径和任意名称 3、开机之后修改网络连接模式为【NAT】即可 二、信息收集1、主机发现1nmap.exe -sn 192.168.31.* 2、端口扫描1、粗略快速探测 1nmap.exe -F 192.168.31.64 2、精细化扫描 12nmap.exe -sT --min-rate 10000 -p- 192.168.31.64nmap.exe -sU --min-rate 10000 -p- 192.168.31.64 3、全扫描和漏洞探测 12nmap.exe -sT -sV -sC -O -p22,80,111,45384,46146 192.168.31.64nmap.exe --script=vuln -p22,80,111,45384,46146 192.16 ...

Centos8 爆破、后门、命令替换事例一、环境配置 在百度网盘下载Centos8应急响应靶机并在vm打开。首先获取靶机的所有权 之后运行靶机并选择已经复制靶机，之后选择放弃，这是因为没有对应的iso文件造成的。 之后重新运行靶机即可。 以zyr 用户的权限进入，密码123456 二、入侵排查1、网络排查当我们确定该机器已经被入侵之后，通常先看一下网络连接情况，切断机器与外界的网络连接，防止危害继续扩大。 我们在centos8左上角的活动调用终端，输入以下命令进行查看： 1netstat -antlp 目前因为只有这台受害靶机，没有入侵靶机，所以这里并不存在靶机与攻击机建立的端口连接。如果有连接的话我们可以通过 kill 命令切断端口连接，还可以用 lsof -p <PID> 查看到端口连接的进程应用程序，对恶意程序进行取证。 2、后门用户排查先通过who命令查看一下当前靶机上登陆的用户 只有tty 本地登陆的的zyr 用户，确认并无他人在登陆该机器。 简单的看一下 /etc/passwd 文件 12cat /etc/passwdawk -F:  ...

【Python武器库】防SSH爆破自动封禁IP脚本一、相关知识1、ssh爆破后的痕迹残留我们可以在Centos系统的 /var/log/secure（Debian 是/var/log/auth.log文件） 文件中看到有关ssh 的登陆信息，共有如下三种情况： 123登陆成功：Accepted password for root from 192.168.44.1 port 50854 ssh2登陆失败：Failed password for root from 192.168.44.1 port 50854 ssh2用户不存在：Invalid user test from 192.168.31.50 port 54169 2、如何封禁IP有关IP封禁的黑白名单文件： 12IP黑名单：/etc/hosts.denyIP白名单：/etc/hosts.allow 示例： 12sshd:192.168.31.50 #封禁192.168.31.50这个IP的sshd服务all:192.168.31.50 #封禁192.168. ...

一、环境准备 将我们的博客部署到windows 或 Linux 均可，所需要的基础环境如下（保证所有的-v均可正常输出即可）： 1234567git -vnode -vnpm -vnpm install -g cnpm --registry=https://registry.npm.taobao.orgcnpm -vcnpm install -g hexo-clihexo -v 如果cnpm那里出错，可以用如下进行安装 1234 npm cache clean --force npm install -g cnpm --registry=https://registry.npm.taobao.org --strict-ssl=false 或者使用如下npm install --registr=https://registry.npmmirror.com cnpm介绍：跟npm是同一个东西，不过使用的是中国境内的源。以下使用npm 的场景均可用cnpm代替。 我们可以给npm配置成全局的taobao地址 然后再去下载cnpm 1npm config set regist ...

一、常见的操作系统 二、常见的中间件 Apache：Apache是最流行的Web服务器之一，它也被广泛用作Web中间件。Apache支持多种编程语言和操作系统，提供了灵活的配置和扩展性。 Nginx：Nginx是一个高性能的Web服务器和反向代理服务器，它也可以作为Web中间件使用。Nginx支持负载均衡、缓存、SSL加密等功能，适用于高并发和分布式应用场景。 IIS：IIS是Microsoft开发的Web服务器和应用程序服务器，它也可以作为Web中间件使用。IIS支持ASP.NET、PHP和Node.js等技术，适用于Windows平台的Web应用程序开发和部署。 Tomcat：Tomcat是一个开源的Java Servlet容器，也可以作为Web中间件使用。Tomcat支持JSP、Servlet和WebSocket等技术，适用于Java Web应用程序的部署和管理。 WebLogic是Oracle开发的Java应用程序服务器，支持J2EE技术规范和其他Web服务协议。它提供了高度可扩展性、高可用性、安全性和管理性，适用于大型企业级应用程序的部署和管理，支持Java Web应用程序的 ...