1.前言 经过国外文章信息,CertUtil.exe下载恶意软件的样本. 2.实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书.使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能. CertUtil的一个特性是能够从远程URL下载证书或任何其他文件. 使用语法 : "certutil.exe -urlcache -split -f [URL] output.file" Casey Smith(http

使用CertUtil.exe下载远程文件 证书 https://www.cnblogs.com/17bdw/p/8728656.html 1.前言 经过国外文章信息,CertUtil.exe下载恶意软件的样本. 2.实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书.使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能. CertUtil的一个特性是能够从远程URL下载证书或任何其他文件. 使用语法 : "cert

实际上利用certutil.exe 把二进制文件(包括各种文件,exe可执行程序,图片,声音,mp3) 经过base64编码为文本,可以实现把这些文件嵌入到批处理代码中. 有什么用?: 举个例子,批处理经常需要依赖其它命令行工具实现自动化脚本,如果把这些工具转成文本嵌入到代码中,贴到网上就可以直接把可用的代码发出去了.不需要上传附件. 缺点: base64编码后的文本比原文件长1/3,加上如果依赖的文件体积大,转换出来的文本内容会非常长.这个缺点影响了这个玩法的实用性. xp 中没有certut

相对于 Apache,Nginx 占用的系统资源更少,更适合 VPS 使用.恶意的 User Agent 无处不在,博客更换到 WordPress 没几天,就被 SPAM(垃圾留言)盯上,又被暴力破解后台用户名密码.以前介绍过 Apache 使用 .htaccess 屏蔽恶意 User Agent,今天来介绍 Nginx 屏蔽恶意 User Agent的方法. 先上规则&注释 #禁用未初始化变量警告 uninitialized_variable_warn off; #匹配各种 bad user

我们在用WordPress建站比较方便,但如果网站有一定的权重后,一些不怀好意的人就会过来制作恶意内容,比如故意搜索邪恶的关键词.垃圾评论等,那我们如何屏蔽恶意搜索关键词呢?不会很难,会写点代码的朋友几行代码就能实现,下面就随ytkah一起来解决这个问题吧. 1.当前主题目录下/wp-content/themes/主题名/functions.php文件添加下列代码 add_action('admin_init', 'ytkah_search_ban_key'); function ytkah_s

恶意域名指向: 比如,有一个垃圾域名将解析指向到了你们服务器的IP,一般多一个解析可能不会有什么问题,但是现在全民备案时期,可能你的运营商会联系你,说你们的域名没备案,可能会封你们的80端口,然后会导致你们的网页访问不了.等之类的情况. nginx屏蔽此类恶意域名指向的步骤如下: 1. 找到nginx.conf文件,加上或者修改默认配置,比如如下配置.<第4行至第8行,添加一个server段> 1 # Default vhost 2 # 3 4 server { 5 listen 80 def

https://www.xlongwei.com/detail/nginx-%E5%B1%8F%E8%94%BD%E6%81%B6%E6%84%8F%E8%AF%B7%E6%B1%82 nginx可以很方便地做访问控制,特别是一些偶发性的大量恶意请求,需要屏蔽处理. 屏蔽ip地址 location /someapi/ {allow ip; #特定接口只开放给某个ip调用deny all;} location /somepage/ {deny ip; #屏蔽某个ip访问(iptables可以拒绝某

certutill.exe 在Windows 7 及其之后的所有Windows Server和Workstation版本均预装 1. Encode file: certutil -encode kk.vbs kk_encode.vbs 2. Upload to target: 3. Decode file: cmd /c certutil -decode D:\\apache-tomcat-7.0.40\\webapps\\ROOT\\xxx.txt c:\\windows\\temp\\aaa

很多情况下,你可能需要在Linux下屏蔽IP地址.比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰.或者当你在运行P2P软件时.你可能想要过滤反P2P活动的网络链接.如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器.或者你因一些原因想要禁止某些国家访问你的web服务.在许多情况下,然而,你的IP地址屏蔽列表可能会很快地增长到几万的IP.该如何处理这个? Netfilter/IPtables 的问题 在Linux中,可以很简单地用netfilter/ipt

#!/bin/bash cat /var/log/secure | grep Failed | awk -F " " '{print $11}'| sort| uniq -c| awk '{print $2"="$1}' > /tmp/badlist for i in `cat /tmp/badlist` do badnum=5 IP=`echo $i| awk -F "=" '{print $1}'` number=`echo $i |

0x00 regsvr简介 regsvr32表示Microsoft注册服务.它是Windows的命令行实用工具.虽然regsvr32有时会导致问题出现,但它是Windows系统文件中的一个重要文件.该文件位于C:\\Windows的子文件夹中.该文件能够被查看,跟踪和影响其他程序.它主要用于在Windows文件扩展名中注册和取消注册程序,因为它是.exe,它的进程广泛地应用到OLE(对象链接和嵌入).DLL(数据链接库)和OCX(ActiveX控制模块)中.上述进程在后台运行,可以通过任务管理器

bitsadmin的简单介绍与基本用法: bitsadmin.exe 可以用来在windows 命令行下下载文件.bitsadmin是windows 后台智能传输服务的一个工具,windows 的自动更新,补丁之类的下载就是用这个工具来实现的. 跟据我查到的资料 <Use bitsadmin to maintain persistence and bypass Autoruns> 一文当中对bitsadmin的各种用法写得很详细,我这里就必要额外多写了. 后面我会写其它一些我自己能想得到的方法

20145314郑凯杰<网络对抗技术>恶意DLL注入进程(进程捆绑)的实现 一.本节摘要 简介:在这部分里,要实现将恶意后门悄无声息地与进程进行捆绑,通过和已运行的进程进行捆绑,达到附着攻击执行的隐蔽效果.更进一步,结合前面的资源捆绑的方式,还可以实现免杀恶意注入EXE的效果. 目标: 制作一个恶意DLL(手工免杀方法打造,不会被杀出来) 通过进程注入的方式,将这个恶意DLL注入到已运行的进程中去 在进程中编写一个回调函数,一运行就直接执行恶意代码 将这个恶意DLL直接绑定于我们的注入程序的资

修改注册表值解决ie被恶意窜改的问题 IE消失 运行—Regedit 主键HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ 子键NewStartPanel   键值:{871C5380-42A0-1069-A2EA-08002B30309D}  设置为 1(删了IE) 0(恢复IE) 或者直接删除 运行—Regedit 主键:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A

certutil在渗透测测试中的使用技巧                                    0x01 前言 最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧.本文将结合自己的一些经验,介绍certutil在渗透测试中的应用,对cmd下downloader的实现方法作补充. 0x02 certutil简介 用于备份证书服务管理,支持xp-win10 更多操作说明见https://technet.microsoft.com/

system32下EXE文件的作用说明 A accwiz.exe 辅助功能向导 ahui.exe 应用程序兼容用户界面 alg.exe 为 Internet 连接共享和 Internet 连接防火墙提供第三方协议插件的支持 append.exe 打开指定文件夹中的数据文件 arp.exe 显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表 asr_fmt.exe 自动恢复系统 asr_ldm.exe 逻辑磁盘管理器ASR功能 asr_pfu.exe 自动系统恢

好久没更新博客了,最近在实习的过程中还是见识到不少东西. 不多说,直接开始正文. 首先说一下certutil在渗透测试中用到的特别多,下载文件,计算hash,以及base64编码等等. 在这里介绍base64编码方式: certutil.exe -encode .\MSGboxs.exe pop.txt -encode参数,可以将文件加密,并保存到pop.txt 生成后类似如下 再来安排一下图片 接着解密再用certutil解密 跟生成前的文件是一样的效果 可以将图片上传到安全的网站如Micro

Certutil.exe是一个命令行程序,作为证书服务的一部分安装.您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件以及验证证书,密钥对和证书链. 适用于:Windows Server 2012,Windows 10 1.使用Certutil.exe下载文件,下载完成以后一定记得delete 清理痕迹. C:\> certutil.exe -urlcache -split -f http://lyshark.com/lyshark.log

目录 前言 CertUtil计算文件hash 计算MD2 计算MD4 计算MD5 计算SHA1 计算SHA256 计算SHA384 计算SHA512 文件base64编码 文件base64解码 文件hex编码 文件hex解码 结语 前言     CertUtil.exe是一个命令行程序,作为证书服务的一部分安装.可以使用CertUtil.exe转储和显示证书颁发机构(CA)配置信息.配置证书服务.备份和恢复CA组件,以及验证证书.密钥对和证书链.如果certutil在没有附加参数的证书颁发机构上

微软Win系统自带,不需要安装的工具,但它是CMD命令行工具,关于命令行工具的说明和使用请参考我以前的文章 Windows系统的命令行(CLI)介绍及入门使用说明 . 这个微软自带的命令行工具叫做 certutil ,它的参数很多,功能很强大,下面是它的官方文档: certutil -hashfile filename MD5 //检验MD5 certutil -hashfile filename SHA1 //检验SHA1 certutil -hashfile filename SHA256