- 博客(152)
- 收藏
- 关注
RSS订阅原创 全国职业技能大赛_网络安全_中职A模块解析
A-2Web安全加固 1.数据库加固 a.为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固,将C:\Windows\System32\inetsrv\config\applicationHost配置文件中对应的部分截图;A-1登录安全加固 请对服务器Windows、Linux按要求进行相应设置,提高服务器的安全性 1.密码策略(windows,linux) a.最小密码长度不小于13个字符,将密码长度最小值的属性配置界面截图。b.将Web服务器开启审核策略 登录事件 成功/失败;
2025-03-28 19:58:16
1117
原创 中间件服务_IIS服务加固
或者说通过图形化,编辑网站或者直接浏览也可以看到站点的目录1.图形化查看排查是不是网站缓存,可以直接F12查看响应码是多少,是200则正常,是其它的说明是缓存 2.命令行检查1.命令检查方式和加固方式2.通过iis图形化加固和查看应该替换为自己设置的错误页,通过编辑修改即可通过设置继承,下面的目录网站 都会被继承到也可以使用图形化页面设置,最后打开基本身份证即可,如此访问会要求输入密码直接图形化 加固即可。
2025-03-27 10:11:34
314
原创 Windows系统加固思路笔记
通过禁用administrator就可以避免别人的爆破 检查administrator账号是否重命名。这个就是在创建共享文件夹之后,设置一个专门用来共享的账户。这里直接取消勾选了,还可以全部都选择为不执行操作。检查方式:msinfo32,dxdiag查看。需要单独创建一个用户来提供网络共享。
2025-03-27 09:02:18
372
原创 Linux系统加固笔记
在shadow文件中,*代表账户无法登录,是锁定状态,感叹号是密码为空 判断第七个字段是不是正常的,判断第二个字段是不是正常的。我们要删除UID为0的恶意用户的时候,我们需要先编辑/etc/passwd文件,改为普通用户,然后删除,否则会删除不了的。如果历史命令太多,黑客登录操作系统可以知道我们做了什么,会有信息泄露。umask 022 //如此设置即可。
2025-03-26 22:44:46
227
原创 SSRF服务器请求伪造攻击
Gopher协议是HTTP协议出现之前,在Internet上常见且常用的一个协议,Gopher协议支持多行,所以可以做很多事情,特别是在SSRF中可以发挥很多重要作用,利用此协议可以攻击内网FTP,internet,readis,Memcache,也可以进行GET,POST请求。很多web应用都提供了从其他服务器上获取数据的功能,使用用户指定的URL,web应用可以获取图片,下载图片,读取文件内容等。通过生成的phpshell在burp中,默认是编码了一次的,我们需要再次编码,进行发送利用。
2025-03-25 14:23:51
380
原创 CSRF跨站请求伪造攻击
CSRF,中文是跨站请求伪造,CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,比如:以你的名义发送邮件,发消息,盗取你的账号,添加系统管理员,甚至于购买商品,虚拟货币转账等,达到攻击者的目的。对于POST我们需要获取到别人的Cookie,POST请求无法通过管理员直接点击URL的方式来触发漏洞,所以需要攻击者构造POC,利用其他方式触发漏洞。这边我们抓包,通过修改请求头就可以修改管理员后台密码了。
2025-03-25 10:10:49
384
原创 电子取证方法
在一般的数据取证工作中,为了证据保证证据的完整性,在获取到证据介质后,首先要做的就是对介质数据 进行全盘镜像备份,在制作完镜像备份后,才会对镜像内的数据进行分析常见镜像后缀:DD镜像、E01镜像、VHD镜像FTK-Imager可以说是磁盘取证中最为常用且强大的镜像工具,它可以提供证据获取,哈希值计算,文件查看及提取,镜像文件挂载,数据恢复,特定数据提取等功能支持的数据来源类型物理磁盘、逻辑驱动器、镜像文件(E01,DD,SMART,VMDK,GHO),文件夹,物理内存。
2025-03-19 17:43:24
636
原创 web攻击事件取证讲解
漏洞原理:应用程序对用户上传文件类型不效验或者校验不严格,导致任意类型文件上传,攻击者可上传webshell。比如,WAF,日志服务器,安全网关,防火墙等。
2025-03-19 08:19:01
197
原创 Linux主机持久化技术
在Linux中,bash提供了一个环境变量PROMPT_COMMAND,这个环境变量的内容会在每条shell中的命令执行结束后,下一个shell返回前执行,通常情况下,运维人员会用该环境变量来记录每个用户执行命令的时间,IP等信息 在攻击者的工作中,则可以利用该环境变量的特性,进行权限维持 第一个是一次性,第二个是持久化的,第二个写入到/etc/profile中即可实现。pam模块,在/etc/pam.d下,与服务名称相对应的文件即为该服务的pam验证文件,比如sshd为sshd服务的验证规则。
2025-03-18 21:31:23
848
原创 windows主机持久化技术
比如我们通过Userinit项的值添加上想要执行的程序或者脚本,比如添加上notepad.exe,当用户登录时,则会触发该程序,如果攻击者将其设置为木马程序等,就能够在用户登录成功时触发,需要注意的是,触发的应用程序的权限与登录用户的权限相同,比如以普通用户登录,则触发后的程序也是普通用户的权限 这里测试,添加一个notepad.exe。例如,我们在注册表中新建一个notepad.exe项,然后把它的值设置为cmd.exe,当我们打开记事本的时候就会打开cmd.exe 新建字符串值。
2025-03-18 20:13:04
548
原创 windows入侵排查_应急响应
h或者查看注册表 2.排查用户组,主要排查administartor组,其中发现了Attack这个恶意隐藏用户。点开看到是CC.exe 然后排查其他的项的run 然后排查组策略的启动脚本和服务即可。查看它的操作,发现它在运行一个CC.exe 找到CC.exe,然后通过沙箱进行分析。2.掌握windows系统中持久化操作方法以排查方法。4.排查启动项,在本地组策略中排查或者注册表。1.掌握windows系统中信息收集方法。3.掌握windows系统中入侵排查思路。
2025-03-18 18:02:19
244
原创 linux入侵排查_应急响应
因为是ssh爆破,所以我们去看ssh的日志,看secure日志,secure日志记录了用户登录成功和失败的日志 1.进入日志目录/var/log/ 2.确定攻击者的ip地址 通过命令cat secure | grep "Failed" | cut -d " " -f 12 | sort | uniq -c //统计失败次数和字段12,字段12就是攻击者的ip地址,判断攻击者爆破的ip地址。排查guest用户是否存在计划任务,也有一个计划任务,记录计划任务的创建修改时间。可以发现命令的属性发生了变化。
2025-03-18 18:01:36
734
原创 linux入侵排查-综合日志分析
2.分析攻击者首次成功登录web管理后台的时间 还可以知道攻击者可能是通过10.2.4.11这个跳板服务器跳过来的,然后我们继续排查,可以发现日志中POST请求大多都是1047字节,然后往后大多是300字节,POST请求的响应状态码有200和302这两个,其中的302是爆破成功后持续爆破产生的日志,再1047字节和300字节中间夹着一个978字节,就是200响应和302响应的中间。7.分析攻击者留下的持久化后门的时间和后门执行情况 排查计划任务,发现有一个计划任务还是被加密的,应该是反弹shell的。
2025-03-18 10:19:42
357
原创 流量分析实践
到此我们可以知道flag5:文件上传,黑客通过文件上传来获取了权限, 然后flag6,webshell是:202005081648075663.php、 flag7上传接收到的参数是fff,还有cmd还有lang,也就是木马的密码,命令执行使用的变量名 flag8的这个黑客ip地址是在最后一条流量中,是120.79.139.46。我们还需要继续排查,这里这个index.php也是一个木马文件,在13522这个报中有一个很长的值,我们解码发现是一个篡改网页的base64加密的php代码。
2025-03-17 17:46:21
1090
原创 Polar靶场的Easy_ShellCode
在start中我们看到一个read和一个puts,read函数是存在缓冲区溢出的,这里生命的字符串是最大104位,但是read读取的是100个字节,我们找不到/bin/bash,所以查看str的bss,传入到bss中一个shellcode然后使用第二个read进行溢出。打开题目之后,我们下载附件,去检查文件是32还是64,这个是一个32的程序,然后我们来进行checksec来分析,分析出来没有任何的保护,使用IDA工具静态调试。打开后我们这里可以看到两个函数,我们通过分析两个函数找到漏洞利用的点。
2025-03-01 18:08:23
147
原创 Polar靶场-x64题目解析-wp
我们继续去找可利用的参数,然后通过拼接的方式,和system函数进行拼接,最后在shift+f12中找到了一个/bin/bash,它没有做任何的引用,然后我们可以通过它来拼接为一个完整的system(/bin/bash)f5查看main的伪c代码,看到有两个函数,一个函数是init,一个是function,我们查看函数的内部代码内容,看到在function中有一个read函数,这个函数是存在漏洞的,缓冲区溢出漏洞,我们还可以从上图看到距离rbp的距离是80字节,继续审计代码,看system函数,如下。
2025-03-01 17:36:01
285
原创 小狗汪汪汪-Polar靶场
然后使用IDA静态分析,进入之后按f5进入伪代码模式,在main函数中有一个init和一个dog函数,双击进去函数内部,查看函数中是否存在漏洞,在dog函数中有一个gets是存在缓冲区的。下载之后我们使用kali的file工具进行分析,然后是一个32位的elf文件,是一个linux的可执行文件,我们可以看到使用linux来编写的程序。运行脚本之后我们就已经获取到了/bin/bash,然后就可以执行任意linux的命令了。1.在Polar上找到小狗汪汪汪,然后申请实例,下载woof文件。
2025-02-28 19:44:23
142
原创 Blueshark 解题思路
我们看到了一个压缩包,唯一提取方法就是复制十六进制,然后使用010来新建十六进制文件来恢复,我也试过使用binwalk和foremost分离不出来,但是binwalk可以检测到有一个7z压缩包。筛选之后如下,这个蓝牙流量没有追踪流,只可以通过右下角的十六进制来分析,还有每条流量包后的info信息来判断。使用查找,用分组列表,查找PIN,找了之后再左边找到了配对使用的PIN,这个就是解压密码,解压得到flag。我们打开流量包如下,是蓝牙的流量,第一次分析不太懂,筛选obex流量,
2025-02-26 14:59:10
353
原创 4.3MISC流量分析练习-wireshark-https
然后分析流量,最后再导出http对象的时候发现有一个zip格式的文件,我们保存出来,是一个flag.txt,然后base64解密,然后是一段乱码使用随波逐流的一键解码和rot13,rot47也不行,猜测是xor。然后解压压缩包之后是一个日志文件,是一个ssl的log文件,我们把这个文件使用wireshark的编辑--首选项--协议--TLS导入,然后成功解密了包加载了出来。如果的解释,这个题因为ascii是有顺序的,所以我们可以和i+64来从64往后一直和key的i异或,直到key结束位置,我们脚本如下。
2025-02-26 14:28:41
361
原创 Alice与Bob-素数分解密码学
有一个大的整数,98554799767,请分解为两个素数,分解后,小的放前面,大的放后面,合成一个新的数字,进行md5的32位小写哈希。
2025-02-22 18:31:35
265
原创 应急演练实验-应急响应
通过部署WAF NGFW等web防火墙来对s02-016漏洞进行防御,或者升级更换struts2版本,手动替换strtus.jar包中的文件,实际上网站使用的框架都有一些漏洞,最好是都升级更换一下,guest是弱密码,应该改一个较复杂的密码,然后再root中修改sudoers文件,设定guest的sudo权限设置一个范围,防止攻击者通过guest用户提权到管理员权限。没有爆破记录,登录时间也是不对应,说明不是通过ssh爆破入侵的,去排查web日志,排查之前先把源码打包,看是否存在木马后门。
2025-02-22 15:18:23
943
原创 挖矿病毒实战分析
根据目前的信息,可以得到如下结论1.在2018-12-30-02:32:53对服务器的22端口进行爆破,在02:33:02分爆破成功登录系统2.在2018-12-30-02:43:04上传了一个mservice.sh脚本,执行了脚本,这个是自动化安装挖矿服务的脚本3.2018-12-30-02:47:53时,挖矿程序已经被成功安装并操作4.在最后清空了crontab中的自启命令攻击者ip地址为172.16.251.157清除病毒crontab 被入侵者自己清除了,我们不用做了。
2025-02-21 22:08:08
740
原创 主机入侵实战分析-ssh日志分析
开放了ssh端口,其中192.168.3.27是我自己主机连接的,只开放了22端口,所以我们猜测可能是通过ssh进行入侵的,去看ssh日志,ssh的日志文件目录是/var/log/auth.log,auth是系统日志,因为是通过ssh登录系统,所以会记录到auth中。对文件进行排查,发现这个.ssh文件是在入侵的时间里创建的,通常是存放公钥私钥,验证公钥私钥进行ssh登录的文件,我们去看里面的内容。开始时间是2020-5-13-12:56:26,结束时间是2020-5-13-12:59:23。
2025-02-21 15:51:59
425
原创 数据泄露分析实战-信息泄露类应急处置2
在2018-11-29T07:01:47登陆了mysql,查看了版本,然后退出了,然后有链接过来了。题目说是2018-11-29 06:55:01产生的日志,所以我们要去看这一个时间的日志。1.进入数据库,然后看数据库是否开启记录日志的功能,和记录的日志目录。直到2018-11-29 07:04:02脱库完毕,退出登录了。先把日志整体打包出来,然后使用windows进行分析。我们找到了暴力破解的日志,获取到了攻击者的ip地址。继续排查日志,后面的日志没有危险操作了。
2025-02-21 13:43:23
200
原创 MYSQL-数据库-DDL-DML-DQL-DCL-基础学习
设置表字符集alter table 表名 default character set utf8;修改需要插入中文字段的属性alter table 表名 change 列名 列名 varchar(255) character set utf8;修改数据库字符集编辑配置文件my.cnfclient下mysqld下重启mysqlSQL分类DDL数据库定义语言,用来定义数据库对象(数据库,表,字段)DML数据库操作语言,用来定义对数据库表中的数据进行增删改。
2025-02-21 08:32:58
1337
原创 Web入侵实战分析-常见web攻击类应急处置实验2
从结果来看,确实有一个shell.php,但是所在的目录是在/shell.php,并不是在html/shell.php,而且前面还有shell.php说明shell.php并不是在2020-05-13-18:32:36这个时间创建的,而是在此之前就先上传了shell.php到/shell.php下,然后又通过手段放到html/shell.php中的。首页文件的修改时间为18:34:16日志上的这个时间使用的是/shell.php所以使用的就是一句话木马修改的首页文件。
2025-02-19 22:49:09
808
原创 web入侵实战分析-常见web攻击类应急处置实验1
到此我们基本可以确实攻击者使用了s2-016漏洞进行攻击,然后通过文件上传来上传文件a.jsp连接菜刀了,由于web日志中没有记录POST请求的数据,我们就不知道攻击者执行了哪些命令,做了什么事情了。1.结合a.jsp的创建时间为2018-10-20-17-14-00来搜索日志,发现有一条路径是和a.jsp时间吻合的。排查在访问a.jsp之上的,攻击者ip地址访问网站的记录,找到可疑的路径,带有攻击参数的路径。在它的家目录中,发现了两个可以的文件,a*和a.c*比较可疑。
2025-02-19 16:45:18
1133
原创 Windows日志分析
有时,我们在部署了一个程序之后,虽然程序记载了log日志,但有些类似503这样的错误在程序里面是无法记载的,所以我们需要通过查看IIS日志来查找问题。进入之后,IIS日志文件夹下又包含有几个文件,这些文件夹是系统根据你站点多少而创建的,例如电脑只有两个站点,IIS日志文件如下。windows下我们可以通过时间查看器来查看windows系统下服务,应用,系统等产生的事件以及日志。找到日志文件的目录,进行查看。
2025-02-18 21:08:34
128
原创 linux开机自动挂载
接下来,我们需要修改 /etc/fstab 文件来配置自动挂载。该文件用于管理 Linux 系统的文件系统挂载点,配置得当可以让硬盘在系统启动时自动挂载。如果看到 /mnt/mydisk 出现在列表中,表示自动挂载配置成功。如果没有报错,说明自动挂载配置已经生效。
2025-02-17 16:18:06
145
华为ensp的安装包,需要先下载wireshark-winpacp-VirtualBox最后安装ensp即可
2024-02-01
mysql面试题文档,主要讲述了一些数据库的基本理论
2024-02-01
主要是关于linux的一些学习笔记
2024-02-01
这是一个关于python爬虫的一个小案例,可以帮助读者了解python爬虫
2024-02-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人