m0_49025459的博客

直接就是一个接管成功，但是我是个笨比，我就想着怎么上传webshell然后去链接了，但是我怎么链接都连不上，然后我去问了永远的神，大佬直接甩给我一个链接，我瞬间恍然大悟，不愧是神。看到这里，我大胆的推测，云上的信息中心，客户花点钱，直接把服务挂在云服务器上托管了，但是能对客户进行攻击，那么就必然存在漏洞奥，我直接仍在鹰图上看看有什么资产。我直接笑的起飞，然后我掏出我永远的神的教我的OSS浏览器，狠狠的接管了阿里云服务的存储桶。我笨拙的下载好利用工具，然后按照步骤先是配置了凭证。然后直接猛猛接管控制台。

奇安信-初级应急响应-Windows-常用工具PCHunter是一款强大的内核级监控软件，软件可以查看内核文件、驱动模块、隐藏进程、注册表内核，网络等等信息，和PCHunter功能相似的还有火绒剑，PowerTool等。

命令：wmic process where name="cmd.exe" get processid,executablepath,name 说明：根据应用程序查找PID。命令：%APPDATA%\Microsoft\Windows\Recent 说明：最近打开的文件。命令：tasklist /m dll名称 说明：对于要查询的特定dll的调用情况，可以使用命令。命令：%UserProfile%\Recent 说明：最近打开的文件。命令：lusrmgr.msc 命令：本地用户和组。

其中"privilege_key":"acde052289f66688af256449392d3500"为密码。其中"version":"0.48.0"为对应frp版本。其中"os":"windows"为对应操作系统类型。其中"arch":"amd64"为对应系统位数。使用wireshark抓取流量包。

Asterisk是一款开放源码的软件PBX，支持各种VoIP协议和设备。Asterisk包含的h264_format_attr_sdp_parse()函数(res/res_format_attr_h264.c)存在一个溢出条件。问题是由于在处理H.264视频的媒体属性时没有正确校验用户提交的输入，允许攻击者提交特制的SDP标头，远程攻击者可以利用漏洞触发基于栈的缓冲区溢出，可以应用程序上下文执行任意代码。

Apache Httpd支持一个文件拥有多个后缀,不同的后缀执行不同的命令,也就是说当我们上传的文件中只要后缀名含有php,该文件就可以被解析成php文件,利用Apache httpd这个特性,就可以绕过上传文件的白名单。该漏洞和apache版本和php版本无关,属于用户配置不当造成的解析漏洞。Apache对文件后缀名的识别是从后向前进行匹配的，以单个.作为分隔符。当遇到未知的文件后缀名时，会继续向前匹配，直到遇到可以识别的后缀名为止。apache配置文件，禁止.php.这样的文件执行，配置文件里面加入。

微软官方发布5月安全更新补丁，其中修复了一个HTTP协议栈远程代码执行漏洞（CVE-2021-31166），该漏洞存在于Windows 10和Windows Server中的HTTP协议栈(http.sys)处理程序中。未授权的攻击者可以构造恶意请求包攻击目标服务器，成功利用该漏洞的攻击者可以在目标服务器执行任意代码，微软表示此漏洞可用于蠕虫式传播，影响十分广泛。

解决办法：在root权限下输入crontab -e。之后再次输入：crontab -l 即可运行成功。问题：no crontab for root。分别按照顺序按Esc，：，wq，Enter。

以下的全是我在各个大佬哪里看文章做的总结-相当于我的笔记。

概述概述Mirai病毒是物联网病毒的鼻祖，能够感染在 ARC 处理器上运行的智能设备，将其转变为远程控制的机器人或“僵尸”并组成网络。这种机器人网络称为僵尸网络，通常用于发动 DDoS 攻击。由于Mirai病毒具备了所有僵尸网络病毒的基本功能（爆破、C&C连接、DDoS攻击），后来的许多物联网病毒都是基于Mirai源码进行更改的。攻击流程Mirai 扫描互联网上运行于 ARC 处理器上的 IoT 设备。这种处理器运行 Linux 操作系统的精简版本。

HTTP 的 OPTIONS 方法 用于获取目的资源所支持的通信选项。客户端可以对特定的 URL 使用 OPTIONS 方法，也可以对整站（通过将 URL 设置为“*”）使用该方法。options 请求就是预检请求，可用于检测服务器允许的 http 方法。当发起跨域请求时，由于安全原因，触发一定条件时浏览器会在正式请求之前自动先发起 OPTIONS 请求，即 CORS 预检请求，服务器若接受该跨域请求，浏览器才继续发起正式请求。

​SNMP 是专门设计用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。SNMP 使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息（及事件报告）网络管理系统获知网络出现问题。

蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为宿主继续扫描并感染其他计算机，这种行为会一直延续下去。蠕虫病毒传播与一般病毒不同，蠕虫病毒不需要将其自身附着到宿主程序，它是一种独立智能程序。一般有两种类型的蠕虫：主机蠕虫与网络蠕虫。

"特洛伊木马"（trojan horse）简称"木马"，据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城，久久无法攻下。于是有人献计制造一只高二丈的大木马，假装作战马神，让士兵藏匿于巨大的木马中，大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后，遂将"木马"作为奇异的战利品拖入城内，全城饮酒狂欢。到午夜时分，全城军民尽入梦乡，匿于木马中的将士开秘门游绳而下，开启城门及四处纵火，城外伏兵涌入，部队里应外合，焚屠特洛伊城。后世称这只大木马为"特洛伊木马"。

可被用来进行跨域访问，可能会导致“跨站点伪造请求”或“跨站点跟踪”（“跨站点脚本编制”的变体）之类的攻击，从而导致其它用户的信息被非法读取。导致不受信任的第三方域的flash也能访问当前域的资源，绕过同源策略的限制，可为后续渗透攻击做准备，flash的跨域均可能导致XSS，CSRF等问题。Flash 显示程序接受 AllowScriptAccess 之类的对象参数。

Panchan 的挖矿设备是一个功能丰富的 Golang 僵尸网络和 cryptojacker。它的点对点协议很简单——TCP 上的明文，但它足以分散僵尸网络。又能坚忍不拔，能监视躲避。正在上传…重新上传取消植入恶意软件的是一个“godmode”——一个能够编辑挖矿配置的管理面板，然后将其分散到其他同行。为防止不必要的篡改，需要私钥才能访问 godmode，然后使用该私钥对挖矿配置进行签名。该恶意软件包含一个公钥，用于验证提供的私钥。管理面板是用日语写的，暗示了创建者的地理位置。

Mozi僵尸网络是于2019年底首次出现在针对路由器和DVR 的攻击场景上的一种P2P僵尸网络。主要攻击物联网（IoT）设备，包括网件、D-Link和华为等路由设备。它本质上是Mirai的变种，但也包含Gafgyt和IoT Reaper的部分代码，用于进行DDoS攻击、数据窃取、垃圾邮件发送以及恶意命令执行和传播。

Windows系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志。如何查看：右键我的电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器打开Windows系统的事件查看器，右键单击系统或安全日志，选择筛选当前日志，在筛选器中输入事件ID即可。