一个很low的验证局域网内的机器中永恒之蓝病毒的方法

  1. 局域网内高发永恒之蓝病毒,但是发现并没有进行勒索加密的迹象,仅是进行了传播,不过因为病毒会将同一个子网掩码内的所有的ip地址进行一遍arp 广播,所以造成公司局域网性能下降,以及很多服务器出现无法ping通(网关不能及时响应提交的arp申请信息),或者出现ping的延迟较高的现象。暂时解决方法如下:
  2. 使用wireshark 跟踪局域网内的流量, 主要高发的arp 广播包如下:

判断是否是病毒的方法:

(1)       arp包数据非常多

(2)       给不存在的ip地址发送arp数据包

以上两点基本定位为病毒机器

  1. 根据mac地址简单分析机器类型,主要的网卡类型

VM类型的网卡的一般为workstation 或者是 ESXi的虚拟机,如果是ESXi的机器可以与耿伟或者是赵本帅联系,询问是否有ESXi的病毒机器刚开机或者是回滚。

Pegatron 基本上就是方正的PC机器可能性多一些。

Virtualbox相关的虚拟机基本上为自己机器或者是机房PC机器上面运行的虚拟机。

  1. 通过ping –a ip 的方式 查找机器名

如果机器名有意义基本可以定位到事发的组别。

如果无意义需要继续分析

  1. 通过Nmap 查看打开的端口

如图示:

如果3389端口不开 基本上就是开发自己笔记本上面的虚拟机,基本上无法解决 除非是群发邮件

如果80端口打开 可以尝试连接客户端,查看GS用户或者是在线用户,尝试发现是谁在使用该虚拟机

如果1433或者是1521端口打开,尝试连接数据库,查看gspaudit 等的表,尝试发现是谁的虚拟机

如果开启了8080 以及其他端口 则与java 相关开发人员联系

  1. 如果能够猜中密码进入远程

运行eventvwr 查看票据登录的安全审计记录,查看最近登录的站点名字,定位是谁在远程虚拟机。

7. 我对安全测试这一块的理解实在是太差 不知道有什么好办法能够进入到操作系统内部

也没有脚本还有其他部分, 只能够通过硬猜的方式进行处理, 效果很差

安全测试在后续的工作中非常重要  需要多学习 多积累..

时间: 2024-08-28 17:28:54

一个很low的验证局域网内的机器中永恒之蓝病毒的方法的相关文章

Java:验证在类继承过程中equals()、 hashcode()、toString()方法的使用

以下通过实际例子对类创建过程汇中常用的equals().hashcode().toString()方法进行展示,三个方法的创建过程具有通用性,在项目中可直接改写. //通过超类Employee和其子类Manager ,验证在类继承过程中equals().hashcode().toString()方法的使用.package equals;public class EqualsTest{    public static void main(String[] args){        Employ

一个很low的登录界面

import tkinter as tk from tkinter import messagebox import socket def receive(name=None,password=None): sk = socket.socket() # 创建客户套接字 sk.connect(('192.168.13.142', 8898)) # 尝试连接服务器 send=name+"|"+password send1=send.encode("utf-8") sk.

内网渗透之永恒之蓝——ms17_010

永恒之蓝其实是利用了微软的MS17-010漏洞.MS17-010是Windows系统一个底层服务的漏洞,通过这个漏洞可以影响445端口.黑客就是通过在网络上扫描开放的445端口,然后把木马病毒植入被攻击电脑. 本次渗透测试在kali中进行 首先 扫描局域网存在漏洞主机 msfconsole    #启动msf use auxiliary/scanner/smb/smb_ms17_010   #加载ms_17_010模块 show options    #查看配置 (这里可以看到RHOSTS后边的

一个很low的购物车系统还花了我一下午时间

购物车的要求 有一两个入口 用户入口: 1.商品信息存在文件里 2.已购商品余额记录 商家入口 2.可添加商品,修改商品 用户入口 俩个文件一个product.txt商品信息   一个历史购买数据 用户输入本想加一个判断历史购买是否由余额然后直接输入余额  ,但是if判断好像返回不了返回值 1 # Author:Zhiyu Su 2 3 shopping_list=[] 4 f=open('product.txt','r',encoding='utf-8') 5 product_list=eva

Python一个命令开启http下载服务器(可以局域网内共享文件)

前提条件:windows系统上安装python 如果想把D:\asdm作为提供下载的目录, 打开cmd然后cd命令进入该目录:cd D:\asdm, 然后执行Python -m SimpleHTTPServer, 如果出现:No moudle named SimpleHTTPServer, 就使用命令:python -m http.server,此时会看到使用端口 重新打开另一个cmd窗口,ipconfig查看本机ip,同一局域网内任何机器浏览器访问该ip:端口,就可以看到asdm目录,里面文件

局域网内任何一台pc上windows下eclipse远程连接hbase数据库

通过很长一段时间的反复失败,终于在windows下实现远程连接hbase数据库,在不断的尝试过程中深感一个详细的文档的重要性,于是就把我配置的详细过程记录下来.文中如果有些地方用词不当,或者理解错误,欢迎您们评论. 一.运行平台 hbase服务器端:Ubuntu 14.04 64位:HBASE1.1.3:JAVA 1.8: hbase客服端:windows32/64位:JAVA1.8:eclipse 4.5: 二.linux服务器端环境配置 1.  安装java 1.8软件 1)下载java软件

中间人攻击-Arp之局域网内DNS欺骗

基础知识 网关是啥? 网关是工作在OSI七层模型中的传输层或者应用层,用于高层协议的不同网络之间的连接,网关就好比一个房间通向另一个房间的一扇门. ARP协议 假设A(192.168.1.2)与B(192.168.1.3)在同一局域网,A要和B实现通信.A首先会发送一个数据包到广播地址(192.168.1.255),该数据包中包含了源IP(A).源MAC.目的IP(B).目的MAC,这个数据包会被发放给局域网中所有的主机,但是只有B主机会回复一个包含了源IP(B).源MAC.目的IP(A).目的

使用shutdown命令实现局域网内远程关机、重启整蛊他人

用法: shutdown [/i | /l | /s | /r | /g | /a | /p | /h | /e | /o] [/hybrid] [/soft] [/f]    [/m \\computer][/t xxx][/d [p|u:]xx:yy [/c "comment"]] 没有参数   显示帮助.这与键入 /? 是一样的.    /?         显示帮助.这与不键入任何选项是一样的.    /i         显示图形用户界面(GUI).             

再谈C#采集,一个绕过高强度安全验证的采集方案?方案很Low,慎入

说起采集,其实我是个外行,以前拔过阿里巴巴的客户数据,在我博客的文章:C#+HtmlAgilityPack+XPath带你采集数据(以采集天气数据为例子) 中,介绍过采集用的工具,其实很Low的,分析Html,用开源的HtmlAgilityPack就很快解决问题了.我个人并不是技术特别深,所以只要是解决问题就OK了.但每一次需求并不是完全一致的,对上面那篇文章的采集,无需登录,是非常灵活的,但是这次碰到的稍微有点变态,虽然最后任务完成,但总结方案还是很low的,但觉得还是有必要分享出来,希望对以