最近見たファイルレス・マルウェアのメモ。
Author: Tony3
IISサーバーのメモ
Apacheはどこに何のファイルがあるとか、なんとなく把握しているけど、IISはそうでもないのでメモ。
grepでバックスラッシュを含む文字列の検索
シングルクォートの場合、バックスラッシュを2つ重ねる ダブルクォートの場合、バックスラッシュを4つ重ねる 以上。
Chrome Developer toolsでJavaScriptの変数や関数を手っ取り早くデバッグする
以前にも似たような記事を書きましたが、今回はChrome Developer toolsを用いたデバッグ方法のメモです。手っ取り早く変数や関数の状態を確認したいときのためのメモなので、そんなに細かいことは書きません。
PowerShellのConsoleHost_history.txtについて
Windows 10のPowerShell version 5.0では、PowerShellの入力履歴はデフォルトで以下のファイルに保存される: ConsoleHost_history.txtにはユーザーがPowerShellターミナルを起動して対話モードで入力したコマンドの履歴が保存される。PowerShellターミナルを介さずに実行されたコマンドは記録されない。 元々はPSReadLineというモジュールの機能の一部だった。 参考 https://github.com/PowerShell/PSReadLine https://docs.microsoft.com/en-us/powershell/module/psreadline/get-psreadlineoption?view=powershell-7
COMオブジェクト・ハイジャックとは
Component Object Model (COM) とは 主にWindows上で動作するソフトウェア間の相互通信を可能にするための技術仕様のこと。 この技術仕様に基づいて開発されたソフトウェアをCOMオブジェクトあるいはCOMコンポーネントと呼ぶ。 詳しくはこちら。
WordPressのログインについて
先日、WordPressサーバの侵害を調査する機会がありました。Webサーバのアクセスログを眺めてみると、どうやら何らかの手段でWordPressの管理者アカウントを手に入れた攻撃者が、管理ページに堂々とログインして悪意のあるファイルをアップロードしているようでした。 で、ふと、「そういえば、SSLしてない場合WordPressのログイン情報ってどうやって送られるんだろう」と気になりテストしてみたところ、POSTリクエストのボディ部分にログイン情報が平文で記載されていました。 log=[REDACTED]&pwd=[REDACTED]&wp-submit=Log+In&[REDACTED] フォーム入力でログインするので、当たり前といえば当たり前でした。 以上。
GDB メモ
個人的によく使うコマンドをメモ なにかあれば、随時更新予定
WMIを悪用したマルウェアの永続化
攻撃者がWindowsシステムにおいて、マルウェアや悪意のあるペイロードを永続化させて定期的に実行させたい場合、以下の仕組みを利用するのが定番です。 上記に加えてWMIを利用した永続化の方法もあります。個人的には、上述した永続化テクニックに比べると目にすることが少ないので、「そんな手法もある」という程度の認識だったのですが、最近このWMIを悪用した永続化のパターンを調査する機会があったので、ポイントをまとめておきます。
WordPressのデータベースにアクセスしてみた
WordPressは投稿データをMySQLデータベースに保存します。 試しにデータベースにアクセスしてクエリを送ってみました。 ※WordPressのデータベース構造はこちらを参照 以上。