- 博客(27)
- 收藏
- 关注
RSS订阅原创 玄机-应急响应- Linux入侵排查
能看出是index.php生成的shell.php。查看黑客服务器地址和端口。1.php看到密码 1。被md5加密的木马密码。到web目录进行搜索。
2024-10-30 16:43:07
408
原创 玄机-流量特征分析-小王公司收到的钓鱼邮件
压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序。解压上面的压缩包里面有js文件用Notepad打开进行查看,内容含有很多注释。在当前位置右键导出分组字节流另存为后缀名为zip的文件。往下拉发现o457607380后有https,出现地址。访问了内嵌的URL能看到Host为域名。响应包有PK开头为zip文件。将1.zip进行md5加密。打开powershell。用工具把注释去掉进行查看。
2024-10-29 22:12:10
287
原创 玄机-哥斯拉4.0流量分析
首先要了解哥斯拉的特征弱特征:pass字段(哥斯拉必须通过某个参数来传入数据,默认为pass)、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)强特征:1.首次请求的固定三个数据包,不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大,响应包空并设置sessionid;第二个与第三个请求都会携带cookie且有响应数据);2.cookie后分号;
2024-10-29 16:07:52
1339
原创 玄机-流量特征分析-常见攻击事件 tomcat
而Bearer Token方案通常用于OAuth 2.0,服务器返回一个访问令牌给客户端,客户端随后在所有请求中将该令牌作为。crontab -l 用于列出当前用户的 crontab 文件内容,即显示当前用户设置的所有定时任务,过滤get请求打开攻击者对服务器扫描目录任意一个数据包能看到User-Agent用的是哪个工具。目录是一个非常重要的目录,它包含了系统的基本命令和可执行文件。字段是一个请求头,用于提供服务器验证用户代理身份的凭据。字段的值发送,以证明其已获得对受保护资源的访问权。
2024-10-28 17:25:52
453
原创 玄机-流量特征分析-waf 上的截获的黑客攻击流量
简介:应急响应工程师小徐在 waf 上下载了一段黑客的攻击流量,请你分析黑客的攻击流量,并且找到对应的关键信息提供给应急小组协助修复漏洞。
2024-10-28 15:44:05
452
原创 扫描工具xary
目的是可以从bp清晰的看到访问的流量包,发到xray后会这些流量包进行扫描,鼠标点击目标哪个功能就会进行功能点的扫描。浏览器将流量传给bp8080端口,再从bp传给xray7777端口,最后到服务器。设置完成后就可以点网页上的功能点,就可以出根据功能点扫描出结果。选择对应的漏洞有详细的数据分析并回到目标网站进行验证。需要xray证书先去目录下删除原证书。退出后自动生成出结果。
2024-05-13 15:47:17
809
原创 Linux 用户和组
用户名]、[密码口令]、[上次更改密码时间]、[最小修改密码时间间隙]、[密码有效期]、[密码需要变更前的警告天数]、[密码有效期]、[密码过期后的宽限天数]、[账户失效时间]、[保留][用户名]、[口令]、[uid]、[组id]、[备注]、[家目录]、[登录shell]x 是密码标识,组密码默认保存在 /etc/gshadow 文件中。该文件每一行记录一个用户的密码信息,并且以。该文件的每一行记录了每一个组的信息,并且以。sha-512 HASH 散列算法。记录了系统中用户的密码信息。
2024-04-19 16:09:13
902
1
原创 PHP 基础
变量在任何一门语言中都处于核心地位。变量名变量值数据类型内存空间PHP 脚本语言是一种弱数据类型语言,变量或常量的数据类型由程序的上下文决定,给一个变量赋予什么样的值,就是什么数据类型。常量的命名与变量类似,也遵循PHP 标识符的名称规则,按照惯例常量标识符总是大写的。变量一般由$ 符号起头,常量一般大写。PHP 已经定义好了,可以直接使用的常量,一般代表特殊的含义。魔术常量是预定义常量中比较特殊的一类。常量名常量值__FILE__当前的文件名,完整的路径。__LINE__
2024-04-15 16:08:36
2455
1
原创 MYSQL快速入门
MySQL 是关系型数据库系统,其中存储了大量的数据,通过SQL 管理数据库配置和数据。结构化查询语言(SQL),对数据库进行操作的语句。数据定义语句(Data Definition Language,DDL),通过这类语言可以对数据库、表、列等元数据进行创建、删除、更改。数据操纵语句(Data Manipulation Language,DML),用于添加(增)、删除(删)、更新(改)和查询(查)数据库记录并检查数据完整性。数据控制语句(Data Control Language,DCL),通过此类语句可
2024-04-08 16:17:22
2181
原创 应急响应练习
使用D盾对主机进行检测,发现隐藏账户。安装火绒,在安全工具里有火绒剑。检查启动项、计划任务和服务。查看当前登录系统的用户信息。找到攻击者用户目录文件。Web shell查杀。统计系统登录失败的账号。使用D盾进行端口查看。
2024-04-07 09:01:52
534
2
原创 sharo反序列化漏洞
1.用bp抓包响应报文存在set cookie2.查看是否有登录框rememberme。输入docker虚拟机地址打开靶机sharo框架。打开yaki监听端口可以设置为6666。返回工具填写靶机ip和端口。打开工具目录在终端中打开。如何判定是sharo框架。启动docker 服务。
2024-04-06 22:01:32
435
1
原创 hydra九头蛇
Hydra是一款非常强大的暴力破解工具,它是由著名的黑客组织THC开发的一款开源暴力破解工具。展示安全研究人员从远程获取一个系统认证权限。
2024-04-06 21:54:17
1054
1
原创 metasploit工具(msf)
Metasploit是一个广泛使用的开源渗透测试框架,它提供了大量的工具和模块,用于模拟各种安全攻击,帮助安全专业人员评估和增强系统的安全性。它由Rapid7公司的H.D. Moore在2003年创立,并且由一个庞大的社区支持。Metasploit包含了一个漏洞数据库,用户可以通过它来搜索和利用已知的安全漏洞。此外,Metasploit还具备生成后门、漏洞利用代码、木马、蠕虫等多种类型的恶意软件的能力。
2024-04-03 14:39:10
1870
2
原创 linux环境变量提权
在Linux系统中的PATH是一个环境变量,它指定了存储所有可执行程序的 bin 和 sbin 目录。当用户在终端运行任何命令时,系统会根据环境变量来查找可执行文件以及用户执行的命令。
2024-03-31 23:03:38
864
1
原创 mimikatz_trunk(猕猴桃)
Mimikatz是一款由法国安全研究员Benjamin Delpy(网名为gentilkiwi)开发的工具,主要用于从Windows操作系统提取加密的密码和其他凭证信息。该工具最初设计用于安全测试和审计,帮助专业人员理解系统的安全状况,并发现潜在的安全漏洞。提取内存中的明文密码和加密的凭证,包括NTLM和LSA散列。执行密码破解,通过暴力破解或者字典攻击获取密码。提升进程权限,模拟具有更高权限的用户行为。注入代码到其他进程中,实现远程代码执行。模拟Kerberos认证,生成假冒的服务票据。
2024-03-30 08:55:08
956
1
原创 中国蚁剑流量特征
php // 使用时请删除此行, 连接密码: 777?在蚁剑打开虚拟终端执行whoami命令再用bp截取进行验证。将请求包进行URL解码发现初始化不了(原因多了其他的参数)创建一个php文件将生成的webshell粘贴到该文件内。将后面的值进行base64解码,发现没有解开,再查看代码。在里面寻找在虚拟终端执行的whoami命令位置。将c84b进行base64解码截取前两个字符。将第二个值进行URL解码再base64解码。进行base64解码截取前两个字符cmd。将内容复制下来粘贴到文件进行初始化。
2024-03-29 21:29:24
1106
3
原创 Windows日志审计练习
n1选项指定了只显示文件末尾的一行为数。这个命令常用于快速查看正在更新的日志文件的最新记录。事件ID4672为新登录分配特殊权限,记录登录用户名,登录用户权限。事件ID 4624登录成功登陆类型2,在本地键盘上进行的登录。将flag.jpg以Notepad++方式打开。http另存为jpg图片文件。一共有174658次请求。
2024-03-29 15:18:49
900
2
原创 永恒之蓝漏洞
利用漏洞ms17-010漏洞 攻击对方主机进行文件数据的修改需要2台主机 server2008 ,kali第一步,打开两台主机 先要知道被攻击者的ip地址第二步, 打开kali对其ip地址进行扫描扫描ip地址的全部端口 nmap -sV -p- +ip地址nmap -sV -O +ip地址 查看对方系统的版本信息-O识别系统版本-sV 识别具体服务版本扫描到永恒之蓝第三步 ,找到漏洞 利用漏洞启动msf使用ms17_010攻击成功 ps 查看对方开启的进程查看对方主机界面。
2024-03-26 17:30:00
832
原创 漏洞复现 CVE-2007-6750
CVE-2007-6750是Apache HTTP服务器的一个拒绝服务(DoS)漏洞,影响Apache HTTP服务器,它允许远程攻击者发送特制的部分HTTP请求来耗尽服务器的资源,从而导致拒绝服务(DoS)。这个问题主要出现在Apache HTTP服务器的1.x和2.x版本中,尤其是在2.2.15版本之前的版本。保持与目标web服务器的许多连接处于打开状态,并尽可能长时间地保持它们处于打开状态。它通过打开与目标web服务器的连接并发送一个部分请求来实现这一点。
2024-03-25 19:20:59
1473
1
原创 windows系统提权—内核提权
内核提权只需要拿到受害者主机的系统信息, 用脚本在本地去检测,将提权的exp上传到受害者主机上就可以提权成功。
2024-03-22 13:23:33
738
1
原创 VulnHub之JANGOW-01-1.0.1渗透
1.了解命令执行漏洞2.一句话木马,反弹shell3.中国蚁剑的使用4.Ubuntu 4.4.0-31漏洞利用。
2024-03-06 00:19:43
447
1
原创 VulnHub之DARKHOLE: 1渗透
1.了解越权漏洞2.bp的基本用法3.了解上传文件漏洞4.中国蚁剑的基本用法5.了解环境变量提权最后分享一个自动生成反弹shell的网站。
2024-02-26 20:52:55
1235
1
原创 VulnHub之FUNBOX: SCRIPTKIDDIE渗透
1.需要收集信息,根据扫描出的结果做分析。2.了解使用msf渗透需要的步骤3.了解FTP的ProFTPD 1.3.3c漏洞利用。
2024-02-25 17:54:15
1172
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人