渗透蓝队
关注
分享
扫一扫
文章平均质量分 86
以蓝队护网为主
Henry404s
活到老学到老
展开
-
蓝队学习笔记之应急响应案例
相对长连接而言,指的是在数据传送过程中,只需要发送数据时间,才会去建立一个连接,数据发送完毕后则断开连接,这样的短连接对于系统维护来说是很难被察觉到的管理员在出口waf检测到服务器不停向外部发送请求,进入服务器发现短连接进程。...原创 2022-08-13 10:37:19 · 1411 阅读 · 0 评论 -
蓝队应急响应之Linux篇
tmp目录是一个放置临时文件的目录,普通用户对其目录内的文件都具有读写的权限,因此tmp目录通常用于提权。原创 2022-08-11 20:48:12 · 2199 阅读 · 2 评论 -
蓝队应急响应之Windows篇
有些PE(exe,dll,sys)文件会隐藏在Temp文件目录里,还有一些比较大的TMP文件,这些都是比较可疑的,需将这些可疑的文件发到检测病毒的网站进行检测。文件的创建时间永远是早于或等于修改时间,如果修改时间早于创建时间,就说明该文件十分可疑,因为webshell管理工具是可以修改文件的修改时间。查看已建立的网络连接,可以通过非寻常的端口来确认可疑程序,443,80端口大部分都为正常,特别要注意那些不寻常的端口。通过筛选功能可以更方便查询到指定的事件内容,不同的事件ID对应不同的事件操作。......原创 2022-08-08 15:38:01 · 708 阅读 · 0 评论