应急响应web2

原创 已于 2024-04-10 16:57:48 修改 · 282 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #服务器

于 2024-03-19 21:06:59 首次发布
文章讲述了小李在驻场值守时遇到的黑客攻击,涉及追踪攻击者IP地址(192.168.126.135,192.168.126.129)、webshell文件(system.php)及其密码、伪QQ号、服务器端口、隐藏账户等信息,以及攻击方式为FTP攻击。

挑战内容

前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现全设备有告警,于是立刻停掉了机器开始排查。

这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?

2.攻击者的webshell文件名?

3.攻击者的webshell密码?

4.攻击者的伪QQ号?

5.攻击者的伪服务器IP地址?

6.攻击者的服务器端口?

7.攻击者是如何入侵的(选择题)?

8.攻击者的隐藏用户名?

 

结合这两个文件就可以发现其中的一个攻击者的ip是192.168.126.135

system.php,经查证,为webshell文件,在文件管理中找到

 webshell密码为hack6618

windows管理工具中找到事件查看器

搜索1149即可

查找隐藏的用户的时候,在设置里面是看不到了

这个时候我们需要去注册表里面看看

隐藏的用户就找到了   隐藏账户hack887$

在文档内发现Tencent Files文件夹,里面有使用工具,QQ号应该就是它了

777888999321

FileRecv文件夹内为接收的文件,frp(内网穿透工具)

伪IP以及伪端口

IP1:192.168.126.135

IP2:192.168.126.129

伪QQID:777888999321

伪服务器地址:256.256.66.88

伪端口:65536

隐藏用户名:hack887$

webshell密码:hack6618

webshell名称:system.php

攻击方式:ftp攻击

服务器自动监测的扫站攻击ip黑名单
勤劳的执着的运维农民工
12-24 3万+
119.5.124.223 103.228.209.4 220.181.51.86 113.143.182.84 223.104.48.178 124.235.146.98 171.215.103.132 199.229.249.162 52.82.81.162 123.185.108.134 124.235.146.97 123.245.25.146 60.205.219.53 61.134.3...
近期网站被攻击攻击ip及地区整理(第一批)
weixin_65279640的博客
08-30 1994
蜜罐网站获取的攻击ip
应急响应-Web2
qq_45427131的博客
03-20 965
通过phpstudy查看日志,发现192.168.126.135这个IP一直在404访问 , 并且在日志的最后几条一直在访问system.php ,从这可以推断 该IP可能在扫描网站目录,至于system.php的内容需要进去看代码分析查看system.php发现是木马文件,因此确定攻击者的第一个IP另外一个IP可以通过日志查看器 ——> 远程桌面登录成功日志 查看登录IP
应急响应-web2
风依旧的博客
12-03 1171
**学习靶机来自**​**知攻善防实验室****公众号,有兴趣的师傅可以关注一下,如涉及侵权马上删除文章** **笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人无关,切勿触碰法律底线,否则后果自负!!!!**
知攻善防靶机应急响应web2
来而不往非礼也
05-09 678
在本次靶机中通过查看web日志和ftp日志找到了一个恶意ip对目标主机进行扫描,通过d盾对网站根目录进行扫描发现后门shell,根据shell文件的文件名同步反查文件名,找到了失陷时间,观察到了用户连接ip。利用系统注册表可以查到隐藏的用户名后这个就可以利用windouws系统日志按照敏感事件id去反查。
应急响应 web2(知攻善防hvv)
katniss688的博客
06-26 500
第一次做应急响应的题,还有很多不懂的。
应急响应靶场-web2
weixin_44770698的博客
07-28 657
应急响应靶场练习
Windows应急响应靶机 - Web2
qq_48904485的博客
06-21 1961
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的IP地址(两个)?2.攻击者的webshell文件名?3.攻击者的webshell密码?4.攻击者的伪QQ号?5.攻击者的伪服务器IP地址?6.攻击者的服务器端口?7.攻击者是如何入侵的(选择题)?8.攻击者的隐藏用户名?用户:administrator密码:Zgsf@qq.com。
知攻善防应急响应靶机训练-Web2
tmyzxy1314的博客
05-23 1532
本次应急响应靶机采用的是知攻善防实验室的Web-2应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:Zgsf@qq.com。ftp服务日志有很多内容记录,可以观察到有许多登陆失败的日志,很明显是在做口令暴力破解,攻击IP也是一样的。二、攻击者的webshell文件名?三、攻击者的webshell密码?七、攻击者是如何入侵的(选择题)?一、攻击者的IP地址(两个)?五、攻击者的伪服务器IP地址
应急响应靶场web1
gj204106的博客
02-19 339
在C:\Users\hack168$\Desktop目录下发现了后缀为.exe的可疑程序,可以把这个文件丢到威胁感知平台去分析下是否为危险程序,或者进行反编译。看到了可疑文件shell.php且状态码为200,可以去网站找该框架爆出的漏洞进行复现,看看漏洞地址是否一致,一致则可以认为是通过该漏洞入侵的。打开系统日志,先找找事件ID为1102的日志,看看入侵者是否有对日志进行清除。发现并没有清除日志的行为,这也能让我们进行下一步排查:查看事件ID为4720的事件,发现添加了hack 168$的可疑用户。
知攻善防-应急响应靶机-web2.z35
12-26
知攻善防-应急响应靶机-web2.z35
知攻善防-应急响应靶机-web2.z25
12-26
知攻善防-应急响应靶机-web2.z25
知攻善防-应急响应靶机-web2.z01
12-26
知攻善防-应急响应靶机-web2.z01
一带一路(金砖)--网络安全防护治理赛项
金灰的博客
12-20 970
懂的多,很简单,就好了。
用 AI 做联动:当应用层出现问题,网络如何被“自动拉入决策回路”
oQianYuan的博客
12-20 728
我想聊聊在几次生产事故的“毒打”后,我们是如何真正让 AI 像个有经验的专家一样,在应用出事时,冷静地判断网络该不该动、怎么动。在这个系统上线后,我们最欣慰的不是它自动修复了几次故障,而是它在无数次应用波动中,客观地为网络“洗清了嫌疑”。其实,这套系统的本质并不是要取代人的意志,而是要把那些资深工程师在排障时“拍脑门”的直觉,转化为可量化、可审计的科学。搞了十几年网络,我最怕的不是设备宕机,而是凌晨两点会议室里那句小心翼翼又带点埋怨的:“应用慢了,网络那边拉个监控看看?“网络指标看起来都挺正常的。
OSI与TCP/IP网络协议栈深度解析
m0_62928331的博客
12-23 570
【代码】OSI与TCP/IP网络协议栈深度解析。
做了一块可以调用百度云语音识别api和tts api的esp32 s3开发板,支持跑ai小智机器人的源码,基于idf5.5.1库编译,分享下
最新发布
net3m33的专栏
12-25 150
做了一块可以调用百度云语音识别api和语音合成tts接口的esp32 s3开发板,支持跑ai小智机器人的源码,基于idf5.5.1库编译,分享
锐捷RGSE | MPLS V*N跨域互通OptionA方案
深耕信创・网络・云原生领域
12-21 264
OptionA方案又叫背靠背的VRF对接方案(Back-to-Back VRF)。ASBR之间采用PE-CE间路由协议模式,ASBR使用VRF的接口与对端ASBR进行互联。用来接收本自治区域的VPN路由VRF与另外一个自治域上的VRF建立EBPG连接,交互IPv4路由其实OptionA就是将ASBR相互看作是对端MPLS/VPN网络的CE路由器OptionA的技术优势原理简单、部署方便、便于理解只需要ASBR路由器支持基本的PE功能即可OptionA的技术劣势。
无响应的状态码分析
Vincent0sen的博客
12-24 386
Langflow 处理某些 Flow 时,如果调用了底层的 C++ 库(如向量数据库 Chroma、Faiss 或某些 Transformer 算子),由于版本不兼容或内存非法访问,Python 解释器会直接**“闪崩”**。如果你的请求体(Payload)非常大,或者包含了某些可能被误认为攻击的特殊字符,本地的防火墙或安全软件可能会在连接中途强制注入一个 RST 包断开连接。如果 postgres 容器响应极慢,或者 SQLAlchemy 在某些极端并发下导致主线程挂起并超时断开连接,也可能出现此错误。
web应急响应工具
03-24
### Web 应急响应工具推荐 在面对网络安全事件时,尤其是涉及 Web 安全的场景下,选择合适的应急响应工具有助于快速定位问题并采取有效措施。以下是几类常用的 Web 应急响应工具及其功能介绍: #### 1. **Webshell 检测工具** - Webshell 是一种常见的恶意脚本文件,通常被黑客用来控制服务器。为了检测这些隐藏的威胁,可以使用专门设计的 Webshell 扫描器。 - 推荐工具:`Sangfor EDR` 提供了一个集成化的 Webshell 检测模块[^1],能够扫描网站目录中的可疑脚本文件,并提供详细的分析报告。 - 开源选项:`Linux Malware Detect (LMD)` 和 `WebShell Scanner` 都是非常流行的开源解决方案。 #### 2. **日志分析工具** - 日志是追踪入侵行为的重要线索之一。通过解析访问日志、错误日志以及系统日志,可以帮助识别异常活动。 - 推荐工具:`ELK Stack`(Elasticsearch, Logstash, Kibana)是一个强大的组合方案,支持大规模的日志收集与可视化展示[^2]。 ```bash sudo apt-get install elasticsearch logstash kibana ``` - 另外还有轻量级的选择如 `GoAccess` 或者专用的安全信息管理平台 `Splunk`。 #### 3. **漏洞扫描工具** - 主动发现潜在漏洞有助于减少未来发生安全事故的风险。 - 常见商业产品有 `Nessus`, `Qualys`, 而对于开发人员来说更灵活的是基于命令行操作的应用程序比如 `nikto`. ```python import subprocess def run_nikto_scan(target_url): result = subprocess.run(['nikto', '-h', target_url], capture_output=True, text=True) return result.stdout print(run_nikto_scan('http://example.com')) ``` #### 4. **网络流量监控工具** - 实时捕获和审查进出的数据包可能揭示未授权连接或者敏感数据泄露的情况。 - Wireshark 是图形界面友好型抓包软件;tcpdump 则适合自动化脚本调用。 ```bash tcpdump -i eth0 port 80 -w output.pcap ``` #### 5. **反向代理防护工具** - 当前很多攻击都是针对公开暴露的服务接口发起的,部署 WAF (Web Application Firewall)能起到很好的防御作用。 - ModSecurity 结合 Apache/Nginx 使用可自定义规则集来过滤掉大部分已知类型的恶意请求。 --- ### 总结说明 上述列举了几种不同方向上的技术手段应对 web 方面可能出现的各种状况。每款具体产品的选型还需考虑实际环境需求、预算限制等因素综合评估决定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值