keylogger

0x00 简介 Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.exe就可以使用powershell的代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测和大部分安全防护工具,类似于Meterpreter,是一个基于PowerShell的远控木马( www.powershellempire.com ) 0x02 安装 git clone https://github.com/EmpireProject/Empire.git 0x03 使用 help 查看帮助 设置监听 listeners #进入监听线程界面 uselistener #设置监听模式 info #查看具体参数设置 set #设置相应参数 execute #开始监听 uselistener 用来设置监听模式 uselistener <tab> <tab> 查看可以使用的监听模式 uselistener http 采用http监听模式，输入info 查看具体参数设置 Required 为 true 的参数都是需要设置的 set Name Micr067 #设置任务名称 set Host 192.168.190.133 #

前言：现在从事的嵌入式产品设计，很多都是基于TCP/IP的，要求研发的设备能够接入广域网进行远程设置和访问，这就涉及到了路由的工作原理和路由器的使用。包括家庭中用到的ADSL、无线路由器以及在工业现场使用的企业及路由器、交换机，自己都曾接触和使用过，但一直都停留于表面的操作理解。现在由于产品研发的需要，希望能够进一步加深对路由器内部运行机制的理解，澄清一些模糊的认识，所以特写此文。 在阅读此文之前，我们先界定一下主机的概念：主机是连接到一个或多个网络的设备，它可以向任何一个网络发送和从其接收数据，但它从不把数据从一个网络传向另一个。说的直白一些，1台主机就是网络中用于连接的1台设备。 1、为什么要使用路由器？ 现在我们从事嵌入式产品设计，要接触到很多网络的概念，例如以太网、wifi网、485网络、MBUS网络、CAN网络、Zigbee网络等等。我们在进行项目的深入研发过程中，就会注意到一个非常重要而且突出的问题，就是“单一网络中的主机的数目是有一定限制的，不能够无限增大”。 在单一网络中，过多的主机会导致如下问题： a、带宽资源耗尽； b、每台设备都会浪费很多时间处理无关的广播数据； c、网络变的无法管理，任何错误都可能导致整个网络瘫痪； d、每台主机都可以监听到其它设备的通信。 上述问题只有通过网络分段加以解决，但同时我们又必须提供一个很好的机制能够让不同网段之间的设备进行通信

    PatchWorkAPT是一个比较有意思的名字，源于该组织武器库是基于开源的代码拼凑而成(地下论坛、暗网、github等等)，组织主要目标是美国军事和政治机构，曾被赛门铁克、卡巴多次对组织Attack活动披露。   组织善用于office_cve武器库，从奇安信github收录以往的样本统计中来看，office_cve通杀漏洞占据了主导地位。     以往的套路，通过漏洞进行提权和载荷的释放，利用msf进行回连，这里不做累述，有好的文章可以参考套路如下链接，本篇文章主要分析C2样本功能： https://www.freebuf.com/articles/network/108637.html   ➬ IOCs: Column 1 Column 2 文件名 0f4f6913c3aa57b1fc5c807e0bc060fc 大小 195072 bytes MD5 0f4f6913c3aa57b1fc5c807e0bc060fc   ➬ 样本分析： ➀ 图中url并非是组织服务端，而是用来测试通信是否有网络连接。   ➁ 动态的获取函数地址，如下所示：   ➂ http报文截获，如下所示：   ↪ 动作一： ➃ 采集系统信息，主机名，uudi，系统版本等，如下所示：   ➄ CreateThread感染分发，其中循环体中CreateThread不停分发感染线程：   ➅

简介 在网络技术中，端口(Port)包括逻辑端口和物理端口两种类型。 物理端口指的是物理存在的端口，如ADSL Modem、集线器、交换机、路由器上用 于连接其他网络设备的接口，如RJ-45端口、SC端口等等。 逻辑端口是指逻辑意义上用于区分服务的端口，如TCP/IP协议中的服务端口，端口号的范围从0到65535，比如用于浏览网页服务的80端口，用于FTP服务的21端口等。由于物理端口和逻辑端口数量较多，为了对端口进行区分，将每个端口进行了编号，这就是端口号。 名词解释 那么TCP/IP协议中的端口指的是什么呢？如果把IP地址比作一间房子 ，端口就是出入这间房子的门。真正的房子只有几个门，但是一个IP地址的端口 可以有65536个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 到65535。 端口分类 1、知名端口（Well-Known Ports）。知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP(文件传输协议)服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务，135端口分配给RPC（远程过程调用）服务等等。 网络服务是可以使用其他端口号的，如果不是默认的端口号则应该在 地址栏上指定端口号，方法是在地址后面加上冒号“:”（半角），再加上端口 号。比如使用“8080

准备： 1.RabbitMQ安装（我是在window环境下安装的）。 安装完成之后进入登录页面配置，默认地址:http://localhost:15672 2.创建一个SpringBoot项目。 配置文件： #rabbitmq rabbitmq: host: 127.0.0.1 port: 5672 username: root password: 123456 virtual -host: / publisher -confirms: true publisher -returns: true listener: simple: acknowledge - mode: none concurrency: 1 max -concurrency: 1 retry: enabled: false java代码 RabbitMQ配置： /** * 消息列队配置 * * @author My */ @Component public class RabbitmqConfig { private Logger logger = LoggerFactory.getLogger(RabbitmqConfig. class ); @Autowired private RabbitTemplate rabbitTemplate; // 消息交换机 public final static String

现在许多地方都提供免费公共WiFi。作为使用服务的额外好处，机场，酒店和咖啡馆都在提供免费的网络连接。对于许多人来说，能够在旅途中连接到免费的互联网似乎是理想的选择。能够访问他们的工作电子邮件或在线共享文档，这对于正在旅行的商务人员十分有用。 然而，使用公共WiFi热点的风险比许多互联网用户可能意识到的还要高，并且大多数风险与中间人攻击有关。 中间人攻击 当有恶意行为者设法拦截双方之间的通信时，就会发生中间人（MitM）攻击。中间人攻击有各种类型，但最常见的一种是拦截用户访问网站的请求，并发送看似合法的欺诈性网页作为回复。这可能发生在几乎任何网站上，从网上银行到文件共享和电子邮件提供商。 例如，如果在Alice试图访问她的电子邮件时，黑客准备拦截她的设备和电子邮件提供商之间的通信，他可以执行中间人攻击，诱使她进入虚假网站。如果黑客得到了她的登录名和密码，他就可以使用她的电子邮件执行更多恶意操作，例如在Alice的联系人列表里发 钓鱼邮件 。 因此，中间人即为假装合法的，能够拦截两点之间发送数据的第三方。通常来说，进行中间人攻击是为了尝试诱骗用户将其敏感数据输入虚假网站，但它们也可用于拦截私人对话。 WiFi 窃听 WiFi窃听是中间人攻击的一种，黑客使用公共WiFi来监控连接到它的任何人的活动。拦截的信息可能因个人数据，互联网流量和浏览模式而异。 一般来说