Aggregator

“少年的梦发烫，晒过月与太阳，随风自生自长”

针对CobaltStrike中出现的Stager监听端口特征后门分析和处理方式

一、简介 WinRM是WindowsRemoteManagementd（win远程管理）的简称。基于Web服务管理(WS-Management)标准，使用80端口或者443端口。这样一来，我们就可以在对方有设置防火墙的情况下远程管理这台服务器了。 Server2008R2及往上的系统中默认中都开启该

记录下那XSS相关的10篇文章和15道题目背后的故事

记录下那XSS相关的10篇文章和15道题目背后的故事

2020年度总结 灾难性的一年 2020年终于要过完了 又到了写年度总结的时候. 今年划水的时间太多了,尤其是下半年 并没有做什么事情 首先看看各个平台

https://github.com/uknowsec/frpModify

https://github.com/uknowsec/frpModify

https://github.com/uknowsec/frpModify

https://github.com/uknowsec/frpModify

https://github.com/uknowsec/frpModify

AI and Machine Learning can find the optimal cyberattack strategy by analyzing all possible vectors of attack.

AI and Machine Learning can find the optimal cyberattack strategy by analyzing all possible vectors of attack.

AI and Machine Learning can find the optimal cyberattack strategy by analyzing all possible vectors of attack.

题目简介

在刚结束的 hxpCTF 中出现了一题跟 🍊 的 One line php challenge 一样短小精悍但非常有趣的题目. 长度只有五行,

 

0x00关于本文很早就知道360有个ARP防火墙，中学的微机课上还装个攻击程序来让老师电脑上的360报警，现在课上做ARP实验装了个靶机，忽然就想拿下来调戏一番，结果一调戏就发现一些问题了。
0x01360 ARP防火墙的功能这个ARP防护功能在360的流量防火墙中的局域网防护中
一旦捕获到了攻击还能“智能追踪”
MAC地址懒得打码了

0x01360 智能追踪功能实现原理最开始，我的猜想是，这个追踪功能靠的是ARP包里面所声称的地址来实现的，因为欺骗者总是想要自己声称自己的MAC地址对应网关的地址，以此来欺骗受害者。但是测了一下发现并不是这样。用scapy命令send(ARP(op=1,hwsrc='11:45:14:19:19:81',hwdst='00:0C:29:AC:46:B5',psrc='192.168.1.1',pdst='192.168.1.235'))构造一个非攻击者的地址发过去，但还是被360找到了真实的地址这是怎么回事呢？那只能抓包看看了。


一看wireshark就找到问题了，原来以太帧里面就会有这个MAC地址那么要是把以太帧上的源地址换掉会怎么样呢？通过scapy可以轻易伪造源地址sendp(Ether(src='11:45:14:19:38:6F')/ARP(op=1,hwsrc='11:45:14:19:19:81',hwdst='00:0C:29:AC:46:B5',psrc='192.168.1.1',pdst='192.168.1.235'))结果360就只能看到错误的地址了
而360的“追踪”是怎么回事呢，抓包发现360是执行了一次局域网内的ARP扫描，尝试找到攻击者的MAC地址对应的IP地址：
通过这个简单的测试，我们已经知道了360ARP防火墙智能追踪功能的实现原理：收到异常ARP包的时候，从以太帧中提取攻击者的真实MAC地址，然后执行ARP扫描，找到这个MAC地址对应的IP，从而实现追踪。
0x02 点评360 ARP防火墙只能根据以太帧中的MAC地址来做“追踪”，因此攻击者可以随时改掉包中的地址来借刀别的机器或者让360追踪不出来，当然这并不是360技术有缺陷，而是因为作为一台装在用户主机上的软件，它只能做到这样。事实上，大部分的ARP欺骗工具都不会修改以太帧中的MAC地址，因此大部分情况已经够用了。0x03 更正：09/17/2024昨天了解到，在无线环境中伪造以太帧的地址不可行，所以360这套在无线环境中（或许）够用了。

取证小知识-98

取证小知识-98