- 博客(32)
- 收藏
- 关注
RSS订阅原创 第九章-NOP Team dmz-C
这里讲的是获得root用户权限方面,那么直接查看与权限相关的文件,那就是/etc/sudoers文件了,直接获得root权限,那就是deploy ALL=(ALL:ALL) NOPASSWD:ALL,无需密码则可以获得root权限提交flag{(ALL:ALL) NOPASSWD:ALL}(如有错误请指正)
2025-12-04 15:29:22
1028
原创 第九章-NOP Team dmz-B
摘要:攻击者利用DMZ-A遗留的凭证(admin:123456)登录DMZ-B(10.0.1.199),通过.bash_history发现其生成了SSH密钥并复制给10.0.1.120主机的deploy用户。攻击者多次尝试SSH连接该主机,并从10.0.1.147下载glibc-2.29.tar.gz文件。最终确认攻击者通过SSH服务以deploy用户身份进行横向移动。答案为:flag{ssh:deploy}
2025-12-04 15:26:40
220
原创 第九章-NOP团队dmz-A
本文记录了针对NOP团队dmz-A系统的安全排查过程。通过信息收集发现了apt.pcap文件、异常命名的gj文件夹(具有root权限)以及禅道18.0 beta1版本(存在SQL注入和命令注入漏洞)。系统检查发现新建用户debian,但/etc/shadow和/etc/sudoers文件均正常,计划任务也未发现异常。重点分析了禅道系统的两个高危漏洞(/convert-importNotice-db.html路径SQL注入和SCM字段命令注入),为后续渗透测试提供了方向。
2025-12-04 15:25:01
726
原创 solar应急响应-7月
某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现,黑客利用Web应用漏洞植入恶意后门,根据溯源的信息配合警方逮捕了黑客,安全团队已经紧急保存了黑客电脑的内存转储文件,请你开始取证以便固定证据。黑客上传的**一句话木马**密码是多少?evalassertpasshttpd.exenginx.exew3wp.exeshell.php首先看到附件给的.vmem文件以及题目名vol,想到用Volatility工具进行内存取证分析在文件中搜索是否有.php文件类似的webshell。
2025-09-04 22:24:05
1201
原创 arnold图像加密(猫脸变换)
本文介绍了Arnold图像加密(猫脸变换)的基本原理和应用。该加密方法通过对图像像素坐标进行确定性重新映射来打乱图像,使其呈现噪声状。核心公式为周期性坐标变换,当达到特定次数T时图像可恢复原状。文章提供了Python实现代码,并解析了各参数作用。通过一道CTF题目展示了实际应用:利用Arnold变换解密flag.png图像,结合提示"一次13和14"设置参数shuffle_times=1,a=13,b=14成功获取明文flag。同时探讨了可能的解题误区,如通过zsteg工具分析隐藏的可执
2025-08-31 19:19:45
870
原创 玄机——第六章 流量特征分析-蚂蚁爱上树
本文分析了黑客通过WebShell(蚁剑)攻击的过程。攻击者上传了product2.php后门文件,利用POST请求执行恶意命令。分析发现黑客通过net user admin Password1 /add命令添加管理员账号,密码为Password1;使用rundll32.exe转储LSASS进程内存,进程ID为852;并通过导出.dmp文件获取WIN101用户凭证。整个攻击过程涉及WebShell注入、权限提升和内存凭证窃取。
2025-07-20 22:05:02
842
原创 玄机练习——第六章 流量特征分析-蚁剑流量分析
蚁剑默认使用自定义的 **User - Agent **头来标识其流量,例如 “Mozilla/5.0 AntSword”,若检测到该 User - Agent 头的流量,可能存在蚁剑相关的恶意活动。目前用的最广的读取文件的命令是"cat",结合步骤2进行思考,步骤2 在流量包中通过查看字节流并解码,就查看到了黑客执行的命令,那么这题是不是也能用相同的思路进行推。执行的第一个命令,既然是执行,那么肯定会有状态码为200的包,那么就从这入手,此外还要注意的一点是,“第一个”,肯定是有着时间的关系的。
2025-07-08 10:04:08
1067
原创 玄机——应急响应夏令营练习整合
程序加载时会执行恶意代码。黑客创建恶意库/tmp/libexample.so,内容为提权命令。设置环境变量LD_PRELOAD=/tmp/libexample.so,运行 SUID 程序时,恶意库被加载,实现提权。利用 SUID 脚本文件若 SUID 权限被错误地赋予脚本文件(如.sh),黑客可修改脚本内容,插入恶意命令。
2025-07-06 23:02:55
1041
原创 玄机——第三章 权限维持-linux权限维持-隐藏练习
程序加载时会执行恶意代码。黑客创建恶意库/tmp/libexample.so,内容为提权命令。设置环境变量LD_PRELOAD=/tmp/libexample.so,运行 SUID 程序时,恶意库被加载,实现提权。利用 SUID 脚本文件若 SUID 权限被错误地赋予脚本文件(如.sh),黑客可修改脚本内容,插入恶意命令。
2025-07-06 16:53:06
1084
原创 玄机——第一章日志分析-mysql应急响应
比如在 Linux 系统中,攻击者上传恶意的 .so 文件到 MySQL 的插件目录(由 plugin_dir 系统变量指定),并使用 SQL 语句创建函数,如 CREATE FUNCTION sys_exec RETURNS INTEGER SONAME’malicious_udf.so’;发现这个udf.so的文件与步骤一找到的黑客写入的shell文件的内容近乎一样,而且udf.so 本应是 ELF 二进制文件(动态链接库),但实际内容是 PHP WebShell(<?>),说明文件被恶意篡改或伪装。
2025-07-06 10:34:09
1349
原创 玄机——第二章日志分析-redis应急响应
可以将数据从一个 Redis 服务器复制到多个从服务器可以将数据从一个 Redis 服务器复制到多个从服务器,以防数据丢失,由于其高性能和简单易用的特性,Redis 也成为黑客攻击的常见目标(如未授权访问、数据泄露、植入木马等)。在溯源黑客攻击时,SSH 登录日志是最关键的入口之一,它能直接揭示攻击者的入侵路径、使用的用户名、IP 地址及操作时间,日志会记录成功登录的。是用户与 cron 交互的工具,并且是系统自启动的,通过编辑 crontab 文件来管理定时任务,并且是系统自启动的。
2025-07-06 10:20:28
1013
原创 应急响应类题练习——玄机第一章 应急响应- Linux入侵排查
var/www/html/—— 是默认存放网站网页文件(如 HTML、CSS、JavaScript 文件 )、图片、脚本等资源的地方,可以通过检查该目录下的文件,查看是否存在被篡改的网页文件,比如黑客攻击后留下的网页挂马(在正常网页文件中插入恶意代码,如 JavaScript 脚本,用于窃取用户信息或进行恶意跳转 )、网页篡改(将正常网页内容替换为非法或恶意信息 )等情况。(如只需访问一两次的文件),目录内容在系统重启后会清空,任何用户均可在此目录创建、修改文件,那么攻击者在获取机器访问权限后,常将。
2025-07-02 20:59:56
678
原创 应急响应类题练习——玄机第五章 Windows 实战-evtx 文件分析
晒学出的信息中查看,发现了一个特别的文件.DAT文件,它一般会是恶意软件或黑客工具的数据文件,某些恶意软件(如勒索软件、间谍软件)会使用 .DAT 文件存储来窃取的密码、键盘记录数据。然后筛选出了三个有着不同进程号的ID,然后我就分别复制了它们的XML信息,粘贴在了一个文本文件中进行比较分析,把相同的部分删去,留下有差异的部分,发现ID8820没有。在Windows安全日志分析中,事件ID 4624(登录成功)和事件ID 4625(登录失败)是识别登录行为的关键事件,那么就可以搜寻ID4624。
2025-07-01 22:06:23
992
原创 应急响应类题练习——玄机第四章 windows实战-emlog
首先我连接就连接了好久,然后捣鼓了一番摸索清楚了。按Win键搜索“远程桌面连接”,然后打开后点击显示选项(我就是这里出的问题,一定要记得点开),然后计算机这里输入给的靶场IP,用户名输入靶场的用户名,再点击连接,然后再输入给的靶场密码就能连接成功了。
2025-07-01 21:52:29
717
原创 玄机——第一章应急响应-Linux日志分析
日志中记录身份验证(登录、身份认证等等)的日志记录一般在里面。而IP尝试爆破主机SSH的root账户,经了解一般的SSH尝试登录的记录在里。然后爆破是有多次失败的尝试,那么就要筛选出登录失败的日志条目,用的命令语句可以进行搜索。找出这些日志条目之后就要提取出进行爆破的IP地址,经过搜索了解,SSH 登录失败日志中IP地址一般在第十一列,那么就可以用命令来进行提取。
2025-07-01 21:12:47
972
原创 ctfshow misc练习 文本隐写
观察文件开始与3490h处的hex码,将00 00 00 00改为50 4B 03 04,这显然像另一个文件的开头,那么从3490开始复制后面所有新建一个文件,将后缀改为.docx然后保存,然后打开发现有有隐藏的文字,但是用前面的方法不行。打开是.docx文件,先检查看又没有隐藏的文字(文件à选项à隐藏文字),发现了一长串的逗号,然后发现这两种逗号不同,选择文本按ctrl+H进行文本替换,将中文逗号替换成1,将英文逗号替换成0。得到flag:Flag{show_ctf_tsw_cc}
2025-05-13 08:57:59
512
2
原创 ctfshow misc练习(三)misc8
解压发现flagnothere.jpg的文件,以及org.zip的两个加密文件。得到口令 56tygh,用它打开flag.png文件,是一张二维码。扫描二维码得到flag :flag{ctf_show_ok}显然加密文件和一个非加密文件名相同,这里典型的明文攻击。
2025-04-16 00:05:16
321
原创 首次接触AUdacity工具,来个小练习
SCTF 2021 in_the_vaporwaves这个题目为例。(接触这个也是在《CTF实战从入门到提升》这本书上看到的,这本书感觉蛮好)然后点击这个类似于菜单键的按钮,选择分离立体声到单声道,使其成为单独的个体。然后再按ctrl+A全选,点击轨道à混音à混音并渲染或混音并渲染到新轨道。得到了一个轨道,放大发现有长短不一的线段,摩斯密码!音频隐写工具Audacity。
2025-04-10 20:16:21
450
原创 ctf misc练习记录(二)
这是一种极小化的计算机语言,基于一个简单的机器模型设计而成,该机器有一个数据指针和一个包含零的数组,通过八种指令来操作数组和指针。输入指令:.\Decode.exe -X -P 123456 svega.mp3,然后得到了sveega.mp3.pcm文件和sevga.mp3.txt文件,打开txt文件。然后继续沿用上一个音频操作,用.png 文件得到的202013作为密码,但是发现打开根本局没有东西。首先发现这个文件没有扩展名,根据名字提示为.rar类型,然后打开得到了一个文档,但是直接打不开。
2025-03-23 09:23:48
847
原创 Ctfshow misc 练习记录(一)
真加密的压缩包,两个标记均为奇数。然后用随波逐流进行解码,发现base64很有看头看一些大佬的wp,里面也说先进行base64的解码,多试几次转码,这时候了解到了一个工具:Cyberchef,在官网上下载,在文件夹中找到index.html文件,打开这个网页就可以进行解码;,这个博客里使用方法都讲解清楚了,然后进行检测,发现了jphs隐写的痕迹。这个题目好有心机,一开始还以为是解密之类的,用随波逐流一梭也没发现什么,后面脑筋移动,他让我看下面,我下面是键盘,然后照着键盘一次看,发现连成了两个字母。
2025-03-19 23:10:31
551
原创 ctfshow misc入门练习(misc44 46 47 48 49)
通过解析 fcTL 块中的内容,可以获取到动画帧在显示时相对于前一帧的位置偏移情况,这对于正确呈现APNG动画的效果至关重要。又是和图像有关的题目,用honeyview打开图片,发现是.apng类型,显然这个题目每帧查看是不行的,然后去搜了一下.png的偏移量怎么查找:。扶乩一种占卜问事方式,两位操作者双手扶着木架,使其在沙盘上运动,写下文字来作答,可能是图像的题。查找了发现minus是减的意思,然后解释这句话就是,数FF的数量减一,然后ctfshow里面有32个字符,然后参考别的大佬的脚本。
2025-03-10 00:13:51
1532
原创 ctfshow misc 入门练习 misc43
点击创建的快捷方式,进入如下界面,并输入pngdebugger ..\test\misc43.png(注意pngdebugger后面有一个空格,两个..之间没有空格)那么flag与这个crc错误应该有关,然后看到这个crc错误我就想着用随波逐流来看一下正确的高度和宽度,结果高度和宽度都没有问题,- 图片信息查看:能读取并展示PNG图片的详细信息,像图片的宽度、高度、颜色模式、位深度等,方便开发者或用户了解图片的底层属性。然后右击创建的快捷方式,点击属性,将起始位置改为C:\Debug,完成。
2025-03-01 23:15:48
776
原创 ctfshow misc入门 misc45
了解后才知道,讲.png文件转化为.bmp文件不仅仅是重命名一下就可以,因为用010editor打开文件,文件头与之对应的就是.png文件,所以这里要搜索网站,将png图片转为bmp图片。又是耐人寻味的提示,然后用stegslove,tweakpng打开图片都没又发生问题,再试了一下binwalk,也没有发现问题,- .webp:这是一种新兴的图片格式,相比.png有更好的压缩比,在保证图片质量的同时能显著减小文件大小,适用于网页优化。尝试修改文件名位.bmp文件,再用binwalk打开,发现并无区别,
2025-02-28 23:27:13
243
原创 ctfshow misc入门练习(misc40 misc42)
APNG是一种跟GIF类似的图片也是有多帧的存在,其内容特征存在fdAT fcTL 通过tweakpng查看,在遇到APNG时有时也需要时间轴处理,此时需要使用到APNG Disassembler(使用脚本将apng格式转gif格式再用identify命令会出现问题)”“41位”,这与长度还有位数有关,很难不去想,然后扫到IDAT也有长度,会不会有关呢?这个提示就很耐人寻味,看到是.png文件,然后用honeyview打开,发现不是.apng文件,然后用tweakpng打开图片,发现图片有多个IDAT。
2025-02-28 00:11:29
561
原创 ctfshow misc入门题解(misc 38-39)
这个misc38.png的帧数有很多,想着用Frame Browser查看,结果发现不行,然后查了一下它是否适用于.png文件:stegslove的帧浏览器主要是用于查看动画格式图像的帧,一般情况下.png格式图像不是动画格式时,帧浏览器功能无法像对动画格式那样发挥作用,即不能逐帧浏览。- 图像分析与处理:对于图像分析和处理任务,如批量处理图像前了解图像的基本情况,根据图像的颜色模式、分辨率等信息来制定处理策略, identify 工具可提供基础信息支持。- 功能:可以从图像中提取隐藏的数据。
2025-02-27 22:43:55
1784
原创 ctfshow misc入门练习(misc35-37)
然后在众多图片中找到宽度真确的那个,然后发现直接用脚本得出的图片里没有一个正确的,然后看了大佬的做法,在010editor中调节了宽高,把它们扩大了再进行的脚本爆破,我也试试。打开发现提示和misc34差不多,然后刚想沿用刚才的脚本,发现这个是JPG文件,然后对脚本的一些信息进行修改,运行脚本。又是宽度修改的问题,然后看文件为.gif文件,然后根据gif文件的特点修改上个题目所用的脚本。然后还是不行,我觉得是脚本的问题,结果还真是脚本的问题,换上正确脚本,再试一次。再进行脚本操作,最终找到了flag。
2025-02-27 00:09:55
628
原创 ctfshow misc入门题练习(图片篇 misc50-56颜色通道)
发现又没有直接得到flag,找ai分析了这串字符,发现这个PK开头头很大猫腻,PK表明是一个ZIP格式的压缩文件,然后使用支持从二进制中提取zip内容的工具010editor,发现没用,查找一番发现点击save bin。打开居然是这样的,有点花里胡哨,然后在csdn上一看是图像的隐写,要用工具stegslove,然后安装该软件,在找到用法,操作图片就得到了一下图片。关于LSB隐写的基本概念可以参考LSB隐写在做题时,如果遇到图片是png或bmp格式,就有可能是LSB隐写,大多数情况下,可以用zsteg。
2025-02-25 23:09:23
486
原创 ctfshow misc入门练习(misc16-34 + misc 41)
Png 前四位是宽,后四位是高,jpg 前四位是高,后四位是宽,bmp 前四位是宽,后四位是高,但是是倒着写的,如03 B6—>B6 03。但是用binwalk -e misc22.jpg以及foremost都分离不出图片,然后在这里发现了黄色的字,但是点击图片打开又没有了,放大,可是放大了却看不清,找到个工具magicexif。了解了一下知识点,用tweakpng打开如果发现CRC校验错误,那就要改宽和高了,修改png,JPG,GIF,bmp四种图片文件的宽高。
2025-02-25 23:03:27
2066
原创 ctfshow misc入门题目练习(misc1-15)
用010editor打开时,发现文件头49 49 2A 00,了解了发现是.tif的文件头,然后将.txt修改为.tif后,再用010editor打开文件,搜索一下ctf就发现flag了。用010editor打开这个文件,看到这个89 50 4E 47 了解了发现是.png文件的文件头,然后我就把原本的.txt文件改为了.png文件,然后再打开就发现可以看到flag了。根据提示图片中的图片,就在kali中用foremost分离图片,然后再output中打开找到flag。
2025-02-25 22:44:36
588
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人