白帽阿尔法-优快云博客

原创玄机靶场 - 第四章 windows实战-emlog

然后将字节码文件解析成源代码，在里面可以提取到访问的域名，这个挖矿程序倒是挺简单，就是获取CPU是几核，然后创建与CPU核心数相同数量的进程，再重复请求挖矿域名，可以看出来就一个示例代码，实际没有挖矿的功能。，沙箱看没查杀到病毒，百度上搜是正常程序，后来又看了两台电脑的计划任务，发现都有这个系统空闲进程且CPU占用很高，难不成这个进程是用来分配剩余CPU资源的？说是存在挖矿程序，习惯性的先从CPU占用情况进行排查，发现存在一个SYSTEM权限的进程占用内存将近100%，猜测是不是植入了僵尸线程。

2024-08-26 15:00:16 1197

原创逆向pyinstaller打包的exe程序获取源代码

由于 Python 程序使用简单，并且拥有丰富的第三方库，有很多人会用 Python 程序编写小工具或者恶意文件，偶尔会遇到需要对 Python 编译打包的 exe 程序进行逆向的需求，特此记录一下逆向过程。

2024-08-26 14:28:29 2512

原创通过Github用户名溯源个人邮箱

在攻防演练中，作为蓝队高级会有溯源反制的需求，在溯源的场景中比较常见的是获取到了红队的某个互联网昵称，以此昵称搜索到了他的Github仓库，在此基础上需要进一步进行溯源此时就可以通过我下面所演示的三种方法，如果对方安全意识不足，可以通过这些方法基于用户名检索到他的个人邮箱，以此更好地定位红队具体人员真实溯源环境下三种方法都可以试试，结合检索到的信息进行进一步排查。

2024-08-19 11:11:39 1661 1

原创玄机靶场 - 第三章权限维持-linux权限维持-隐藏

但是我在网上搜了个遍都没搜到这个说法的出处，目前对这个论点存疑，但是文章中提供的flag确实是正确的，我只能说出题人真行，为了提高所谓的“难度”给flag的描述弄得很复杂，难度全在理解出题人的表达上。，而这个文件我们前面也分析了，是创建子进程实现持续性反弹shell操作，执行后并不会有什么输出，问题在于这个Exec值到底代表什么。，再创建一个新的会话，用于运行守护进程，最后将文件创建掩码设为 0，这允许进程创建的文件具有最大的权限。，在这个文件中我们就可以看到反弹shell的IP和端口，获取flag。

2024-08-15 14:53:21 1019

原创玄机靶场 - 第二章日志分析-mysql应急响应

黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx。插件，该插件通常用于MySQL的UDF提权，可以判断黑客使用的也正是UDF提权。导出日志文件，可以看到请求参数里面有很多SQL语句，可以判断是SQL注入攻击。在日志的最后，可以看到用恶意函数执行了一段Base64加密的代码。，后者查看内容是黑客创建提权后门，这样就获取到了完整提权文件路径。就是黑客上传的Webshell，里面的内容是一句话木马。由于黑客使用的是插件提权，我们找到数据库的插件目录。

2024-08-15 14:48:17 613

原创 MSF与CS会话互相传递

作为C2工具，MSF和CS各有千秋，CS有着多种强大的自定义插件和易操作的图形化界面，而MSF集成了针对各类系统的Payload攻击代码，为了针对性的进行攻击，我们有时候会需要将MSF的会话转发到CS，或者相反。

2024-08-15 09:21:39 752

原创玄机靶场 - 第二章日志分析-redis应急响应

应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查。

2024-08-13 11:22:13 2010

原创 Linux系统应急响应命令大全

在客户单位值守，难免会遇到需要我们排查Linux系统是否存在病毒的情况，网上临时搜的文章指令不是很全，自己笔记本又不太方便复制指令。于是决定总结一下常用指令，发布到博客方便随时使用。

2024-08-12 16:03:38 1291

原创玄机靶场 - 第二章日志分析-apache日志分析

表示IPv6中的一个特殊地址，它被称为“回环地址”（loopback address），用于指向本机，类似于IPv4中的。可以看到最多的一个IP访问了6555次，这爆破用的字典还挺大，提取IP得到第一个flag。我先将日志提取到了自己的个人电脑，粗略查看了下访问内容，主要是目录爆破攻击。根据题目要求获取当天访问次数最多的IP，通过下面的指令可以快速筛选并统计。注意看题干，这一题统计的是指定时间内有几个IP访问，而不是有多少日志。就获取flag1时使用的那条指令，也可以统计IP访问次数。

2024-08-12 11:01:33 467

原创玄机靶场 - 第一章应急响应- Linux入侵排查

运行后门文件，然后再次查看网络连接，可以看到请求的黑客服务器地址和监听端口，如果是真实环境这一步应该在虚拟机或沙盒中进行，打靶场就暂时不讲究这么多了。文件，而elf文件是Linux系统的可执行文件，类似于Windows的exe，加上这个文件名可以判断这是个后门文件。其实这个文件不算不死马，不死马文件在下面这个flag的解题步骤里。，必须通过查看隐藏文件的指令才能发现，密码是加密的md5值。而在这个文件中，不死马对应的密码也是我们前面得到的md5值。是我们前面提到的隐藏后门文件，而这个后门文件实际是由。

2024-08-08 23:16:52 699

原创玄机靶场 - 第一章应急响应-webshell查杀

可以联想到是Godzilla的缩写，但是用哥斯拉生成的webshell就只是普通的一句话，而这个webshell的代码格式有点像冰蝎。黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}查看文件内容，发现确实是使用了字符串拼接进行免杀，代码中没有直接暴露的高危函数。根据flag的格式要求，对免杀马文件的绝对路径进行md5加密，就能得到flag。

2024-08-08 23:14:40 700

原创玄机靶场 - 第一章应急响应-Linux日志分析

通过手动拼接获取到了爆破的用户名，构成flag提交发现不对，然后还试了是不是对爆破的IP也有要求，又分别构造了几条试了也都不对。最后看了下别人的题解，要求是要统计重复次数并且按照重复次数进行降序排序，我的评价是多此一举，这个答案设计的有点死板。，并且是登陆后随后进行的操作，说明是用的黑客登录成功的Session进行的新增后门用户操作，登录环境没变。，并且是在之前的Session退出后操作的，应该是靶场搭建人员做的维护。后面发现不对，看了下别人的题解说是要获取“登录成功的IP共爆破了。爆破用户名字典是什么？

2024-08-08 23:10:56 957

fishfishfishman的博客

原创玄机靶场 - 第四章 windows实战-emlog

原创逆向pyinstaller打包的exe程序获取源代码

原创通过Github用户名溯源个人邮箱

原创玄机靶场 - 第三章权限维持-linux权限维持-隐藏

原创玄机靶场 - 第二章日志分析-mysql应急响应

原创 MSF与CS会话互相传递

原创玄机靶场 - 第二章日志分析-redis应急响应

原创 Linux系统应急响应命令大全

原创玄机靶场 - 第二章日志分析-apache日志分析

原创玄机靶场 - 第一章应急响应- Linux入侵排查

原创玄机靶场 - 第一章应急响应-webshell查杀

原创玄机靶场 - 第一章应急响应-Linux日志分析

原创解决双网卡主机无法访问互联网问题

原创通过Edge自带IE模式解决IE网站渗透问题

原创【内网渗透】深入认知Windows域环境架构

原创单网卡配置路由实现内外网同时通信

原创利用Nginx隐藏红队服务器Web应用指纹

原创三款工具便捷测试TCP或UDP端口是否开放

原创通过端口号快速定位应用程序和路径

原创快速解决VMware中360核晶模式无法开启问题

空空如也

空空如也