OsmanDhaqane/living-off-the-land-attacks-tryhackme

# 原生攻击 (Living Off the Land Attacks) - TryHackMe 本仓库包含我为 TryHackMe 房间 **Living Off the Land Attacks** 编写的演练（walkthrough）。 该房间重点介绍了攻击者如何滥用受信任的 Windows 工具来执行命令、下载 Payload、创建持久化，并将恶意活动伪装成正常的系统管理员操作。 ## 涵盖主题 - 原生攻击 - LOLBins - PowerShell 滥用 - WMIC 远程执行 - Certutil 下载与编码活动 - Mshta 脚本执行 - Rundll32 DLL 执行 - 计划任务持久化 - SIEM 告警审查 - Windows 命令行分析 ## 演练 完整的演练可在此处查看： [查看 PDF 演练](./living-off-the-land-attacks.pdf) ## 总结 在这个房间中，我实践了常见的原生攻击技术，并审查了与受信任的 Windows 实用程序被滥用相关的告警。实战部分侧重于根据命令行行为和上下文，判断哪些活动是恶意的，哪些是正常的。 涉及的工具包括 PowerShell、WMIC、Certutil、Mshta、Rundll32 和计划任务。

标签：AI合规, Certutil, Conpot, Living Off the Land, LOLBins, Mshta, OpenCanary, PowerShell攻击, Rundll32, TryHackMe, Windows安全, WMIC, 命令行分析, 子域枚举, 安全Walkthrough, 安全警报分析, 恶意载荷下载, 数据展示, 红队, 网络信息收集, 网络安全, 计划任务, 隐私保护