玄机应急响应-第四章 windows实战-emlog
简介
12345678910111213141516服务器场景操作系统 Windows服务器账号密码 administrator xj@123456题目来源公众号 知攻善防实验室 https://mp.weixin.qq.com/s/89IS3jPePjBHFKPXnGmKfA任务环境说明 注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!! 应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查开放题目 漏洞修复参考https://mp.weixin.qq.com/s/1gebC1OkDgtz4k4YtN10d1.通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;2.通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;3.通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;4.通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作 ...
玄机应急响应-第三章 权限维持-linux权限维持-隐藏
123456ssh root@env.xj.edisec.net -p 密码 xjqxwcyc1.黑客隐藏的隐藏的文件 完整路径md52.黑客隐藏的文件反弹shell的ip+端口 {ip:port}3.黑客提权所用的命令 完整路径的md5 flag{md5} 4.黑客尝试注入恶意代码的工具完整路径md55.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}
1.黑客隐藏的隐藏的文件 完整路径md5
123456789101112131415161718192021222324252627282930313233// 查找隐藏文件root@xuanji:~# find / -type f -name ".*" 2>/dev/null | grep -v "^\/sys\/"/etc/.pwd.lock/etc/cron.d/.placeholder/etc/cron.daily/.placehol ...
玄机应急响应-第二章日志分析-redis应急响应
简介
123456服务器场景操作系统 Linux服务器账号密码 root xjredis任务环境说明 注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!! 应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查
1.通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
查看redis的日志
192.168.100.13出现次数较多明显是爆破
192.168.100.20是主从复制 从关键字Master replied to PING, replication can continue...可以判断出攻击成功
答案:flag{192.168.100.20}
2.通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;
Module 'system' loaded from ./exp.so
查看日志发现加载了exp.so,使用find找一下
.
使用ida打开exp.so,查看字符串
也可以使用十六进制编辑器打 ...
玄机应急响应-第二章日志分析-mysql应急响应
1234567简介mysql应急响应 ssh账号 root 密码 xjmysqlssh env.xj.edisec.net -p xxxxx1.黑客第一次写入的shell flag{关键字符串} 2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
1.黑客第一次写入的shell flag{关键字符串}
使用D盾扫描
答案:flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}
2.黑客反弹shell的ip flag{ip}
通过分析apache日志看到攻击者写入的反弹shell的命令到/tmp/1.sh,并执行了/tmp/1.sh。
答案:flag{192.168.100.13}
3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx ...
玄机应急响应-第二章日志分析-apache日志分析
12345678简介账号密码 root apacherizhissh root@IP1、提交当天访问次数最多的IP,即黑客IP:2、黑客使用的浏览器指纹是什么,提交指纹的md5:3、查看index.php页面被访问的次数,提交次数:4、查看黑客IP访问了多少次,提交次数:5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
1、提交当天访问次数最多的IP,即黑客IP:
1cat access.log.1 | grep "03/Aug/2023:08:" | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10
答案:flag{192.168.200.2}
2、黑客使用的浏览器指纹是什么,提交指纹的md5:
答案:flag{2d6330f380f44ac20f3a02eed0958f66}
3、查看index.php页面被访问的次数,提交次数:
1cat access.log.1 |grep "/index.php" | ...
玄机应急响应-第一章-应急响应-Linux日志分析
1234567账号root密码linuxrzssh root@IP1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割3.爆破用户名字典是什么?如果有多个使用","分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用”,”分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}
1cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
1grep -a "Failed password for root" auth.log.1| awk '{pri ...
玄机应急响应-第一章-应急响应-Linux入侵排查
1234567账号:root 密码:linuxruqinssh root@IP1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
1.web目录存在木马,请找到木马的密码提交
D盾扫一下
也可以使用命令grep -nr "eval" .发现有1.php、index.php、.shell.php三个文件包含eval字符串
1.php是简单的一句话木马
.shell.php和index.php都是木马且有md5密码校验
答案:flag{1}
2.服务器疑似存在不死马,请找到不死马的密码提交
将md5解密得到hello
答案:flag{hello}
3.不死马是通过哪个文件生成的,请提交文件名
12345678910111213141516171819202122232425262728293031323334353637383940414243// 引入配置文件in ...
玄机应急响应-第一章-应急响应-webshell查杀
12345靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}
1234黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} -- 火绒检测 /var/www/html/include/gz.php 2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句,匹配哥斯拉木马 md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路 ...
PsExec Hunt Blue Team Lab
实验简介Instructions:
Uncompress the lab (pass: cyberdefenders.org)
Scenario:
Your organization’s security team has detected a surge in suspicious network activity. There are concerns that LLMNR (Link-Local Multicast Name Resolution) and NBT-NS (NetBIOS Name Service) poisoning attacks may be occurring within your network. These attacks are known for exploiting these protocols to intercept network traffic and potentially compromise user credentials. Your task is to investigate the network logs and ...
安全狗apache版 V3.5的文件上传绕过
环境搭建安全狗的安装
安装过程中如果报错找不到apache2.4服务,解决方法:将apache重新安装一下
找到你apache安装目录找到bin目录
打开cmd执行以下两条命令,重新安装安全狗就可以了或者是安装结束之后安装对应的插件
123httpd.exe -k installhttpd.exe -k start在虚拟机环境下不同的操作系统的版本执行这两条命令的报错不一样忽略即可
安装完成需要打开安全狗的防护功能,重新启动PHP study
常见WAF绕过的方法
双写绕过
某些WAF只对关键字进行一次过滤处理,可使用双关键字绕过。例如,WAF可能会过滤”SELECT”,但不会过滤”SEL”+“ECT”,通过拆分关键字,可以绕过过滤机制。
大小写绕过
某些WAF只过滤全大写或全小写的敏感字符,但未对大小写混用进行过滤。因此,可以对关键字进行大小写转换进行绕过,例如将”sleep”改写成”sleeP”或”slEEp”。
脏数据绕过
WAF通常有数据包大小的限制,旨在防止大型攻击载荷。通过发送超大的数据包,可能会使WAF在处理时耗尽资源或发生错误,从而绕过其检 ...
一篇文章解释正向代理和反向代理
终于有人把正向代理和反向代理解释的明明白白了!故事开始有两个角色,漫小画和程小员
周末,我正在网上搜索简历,准备给团队招聘新人。这时候,女朋友回来了,看起来并不是很高兴。
反向代理(reverse proxy):是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器。
正向代理正向代理(forward proxy):是一个位于客户端和目标服务器之间的服务器(代理服务器),为了从目标服务器取得内容,客户端向代理服务器发送一个请求并指定目标,然后代理服务器向目标服务器转交请求并将获得的内容返回给客户端。
这种代理其实在生活中是比较常见的,比如访问外国网站技术,其用到的就是代理技术。
有时候,用户想要访问某国外网站,该网站无法在国内直接访问,但是我们可以访问到一个代理服务器,这个代理服务器可以访问到这个国外网站。这样呢,用户对该国外网站的访问就需要通过代理服务器来转发请求,并且该代理服务器也会将请求的响应再返回给用户。这个上网的过程 ...
vulnhub靶机 Raven2
主机发现
扫描端口1nmap -A -p- -sV -O 192.168.142.146
12345678910111213141516171819202122232425262728293031323334353637383940Starting Nmap 7.93 ( https://nmap.org ) at 2023-10-13 14:59 CSTNmap scan report for bogon (192.168.142.146)Host is up (0.00052s latency).Not shown: 65531 closed tcp ports (reset)PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)| ssh-hostkey: | 1024 2681c1f35e01ef93493d911eae8b3cfc (DSA)| 2048 315801194da280a6b90d40981c97aa53 (R ...