- 博客(46)
- 收藏
- 关注
RSS订阅原创 关于勒索病毒应急演练剧本编写(模拟真实场景)
本文介绍了网络安全应急演练中勒索病毒场景的模拟方法。首先分析了直接使用旧样本的局限性,转而采用Python编写模拟程序:1)生成RSA密钥对实现非对称加密;2)针对常见办公文档进行递归加密并添加.enc后缀;3)通过弹窗警告、壁纸替换和勒索信生成增强真实感。配套开发了解密工具,完整还原了加密-勒索-恢复的应急响应流程。文章强调该方案仅用于演练,需配合钓鱼或漏洞利用等入侵场景模拟,并提供了可执行文件获取方式。
2025-12-10 16:10:01
477
原创 挖不出漏洞的时候但是非得要出报告的时候的漏洞(1)(
摘要:安服工程师在渗透测试中常遇到只有登录框的困境,为证明测试效果,常使用一些"水洞"凑数。文中介绍了两个常见漏洞:1) jQuery-XSS漏洞(低危),通过修改jQuery地址构造POC页面展示弹窗效果;2) Lodash原型污染漏洞(可包装为高危),在控制台运行特定代码检测漏洞。这些漏洞实际危害有限,但能增加报告内容,客户通常也不会要求整改。测试人员通过截图等方式将这些漏洞写入报告,以证明测试工作的存在。
2025-11-25 14:02:45
31
原创 用友NC 遇到的几个漏洞
用友NC-Cloud,大型企业数字化平台, 聚焦数字化管理、数字化经营、数字化商业,帮助大型企业实现人、财、物、客的 全面数字化,从而驱动业务创新与管理变革,与企业管理者一起重新定义未来的高度。该系统/uapws/soapFormat.ajax接口存在XXE漏洞,攻击者可以在xml中构造恶意命令,最终导致服务器被远控。构造数据包 curl直接复制Windows cmd运行 自行修改IP地址yakit数据包。
2025-11-07 09:41:26
441
原创 致远ucpclogin密码重置
致远 OA 作为常用的协同管理平台,其安全性直接关系到企业内部数据与服务器的稳定运行。然而,部分版本的致远 OA 存在一处高危的ucpcLogin密码重置漏洞,攻击者可利用该漏洞未授权重置系统默认管理员密码。
2025-11-04 10:45:13
333
原创 关于网站篡改应急演练剧本编写(模拟真实场景)
本文介绍了网络安全应急演练中模拟真实场景的实施方案。主要内容包括:1)使用HTTrackWebsiteCopier工具完整复制目标网站,解决简单保存造成的资源缺失问题;2)通过phpstudy搭建模拟环境,利用phpmyadmin漏洞植入webshell;3)提供详细的网站篡改代码模板,包含黑客入侵警告、倒计时威胁等逼真效果;4)建议演练流程:上传webshell→篡改首页→触发告警→启动应急响应。文章强调通过技术手段和场景设计,使演练尽可能接近真实攻击情况,提升应急响应能力。
2025-10-16 14:09:44
433
原创 记一次黑产团伙黑猫远控恶意程序应急响应
某客户网络检测到恶意域名sbido.com的DNS查询记录,溯源发现外包人员主机下载了伪装成Notepad++的恶意压缩包(NoteplusV2.0.25.0910.zip)。该压缩包释放M9OLUM4P.exe和libcef.dll文件,通过DLL劫持技术篡改系统记事本程序,实现持久化攻击。9月30日恶意程序首次执行后,向恶意域名发起网络连接进行C2通信。经分析,攻击载体可能通过非官方渠道传播,暂未发现业务数据泄露。处置措施包括主机隔离、全盘查杀及威胁情报分析。
2025-10-15 20:06:25
2413
14
原创 记一次银狐病毒应急响应工作
受害者通过点击了"某某放假通知"文件,电脑中了银狐病毒,银狐病毒为白加黑模式运行,通过无毒“smigpu.exe”程序调用 异常“libsmi.dll”文件尝试对杀毒软件进行绕过,但该遗留程序并未有网络及文件释放行为。在长时间没有电脑操作时通过被远控电脑进行创建OA群聊,发送诈骗二维码。
2025-07-07 14:16:28
1031
原创 记一次勒索病毒应急响应
此次事件,是勒索病毒通过客户服务器某服务器进行撒网,该服务器系统存在漏洞。被获取权限后上传勒索病毒并执行。因该服务器存在工控网,其他工控服务器均为Linux,该勒索病毒没有导致横向传播,由于客户的服务器属于重要资产,有数据恢复的需求,进而联系黑产方。后续害怕黑产房导致毁单,从淘宝上找到相关勒索病毒恢复人员进行数据恢复。(勒索病毒恢复人员和黑产方要价相差不多)后续客户上架防火墙产品,保证后续网络安全。
2025-07-07 11:52:03
944
原创 Vulfocus靶场-代码执行(JBoss)-4
Jboss漏洞是在HttpInvoker组件中的ReadOnlyAccessFilter过滤器没有对反序列化操作进行任何安全检查,攻击者可以构造序列化代码传入服务器进行反序列化,从而执行任意代码。/invoker/readonly(有500报错页面→构造payload--编译并生成序列化数据--存入文件并在请求包指向这个文件,让目标读取并反序列化。2./jbossmq-httpil/HTTPServerILServlet(回显This is the Jboss)
2025-07-04 15:11:13
569
原创 Vulfocus靶场-代码执行(struts2)-3
Struts2默认的content-type解析器会把用户传来的数据直接当成代码执行,造成rce。流量特征在请求头中存在OGNL表达式;memberaccess字段 url:xxx.action、xxx.do结尾就是struts框架;struts2一些常见的关键字:memberAcecess,getRuntime,println,双引号,单引号,等号,括号之类的符号。
2025-07-04 14:52:06
284
原创 Vulfocus靶场-代码执行(Shiro)-2
shiro支持将持久化信息序列化并加密后保存再Cookie的rememberMe字段中,下次读取时进行解密再反序列化。但是再Shiro1.2.4版本之前内置了一个默认且固定的加密Key导致攻击者可以伪造任意的rememberMe Cookie,进而触发反序列化漏洞。序列化→AES加密→base64加密→rememberMe cookie →base64解码→AES解密(加密密钥硬编码)→反序列化shiro550(DES)与shiro721(AES)的区别:550:aes的密钥硬编码在程序中,可以爆破。
2025-07-03 10:41:40
250
原创 Vulfocus靶场-代码执行(Weblogic)-1
xml反序列化:wls security组件对外提供的webserver页面,通过xmlDecoder功能来解析用户的xml数据导致的任意字符串被当作代码去执行。特征:服务器开放7001端口、传递xml数到wls-wsat、数据包内容有bash或dnslog字段权限绕过:./绕过Weblogic7001端口,默认会开启T3协议服务,T3协议触发的WeblogicServer WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意的T3协议数据,获取目标服务器权限。
2025-07-03 09:12:33
1031
原创 ATT&CK实战系列——红队实战(二)-hongrisec-红日靶场
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSXBypass UACWindows系统NTLM获取(理论知识:Windows认证)Access Token利用(MSSQL利用)WMI利用。
2025-07-02 14:48:19
263
原创 帕鲁杯应急响应赛题:知攻善防实验室
某政企单位,作为一艘驶向未来 的巨轮,对数据的把控丝毫不敢松懈。这趟旅程的目的是遍访我们的信息系统每一个角落,探寻隐藏在暗处的风险海怪,提升船员们对数据宝 藏的守护意识,确保我们的珍贵资讯宝藏不被外界窥见,不受损害,随时准备发挥其价值。37.提交监控服务器上恶意用户的上一次登录时间 格式为:[xx/xx/xx/xx:xx:xx]20.请提交对博客系统的第一次扫描时间 格式为:[2024/00/00/00:00:00]22.请提交攻击者第一次下载的时间 格式为:[xx/Apr/2024:xx:xx:xx]
2025-07-01 16:59:48
975
原创 Vulfocus靶场-文件上传-3
WSO2是一家成立于 2005 年的开源技术提供商。它提供了一个企业平台,用于在本地和整个 Internet 上 集成应用程序编程接口(API)、应用程序和 Web 服务。某些 WSO2 产品允许无限制的文件上传和远程代码执行。攻击者必须使用带有 Content-Disposition 目录遍历序列的 /fileupload 端点来到达 Web 根目录下的目录,例如 ../../../../repository/deployment/server/webapps 目录。
2025-05-16 16:01:01
898
原创 Vulfocus靶场-文件上传-2
Monstra 是一个现代化的轻量级内容管理系统。它易于安装、升级和使用。Monstra CMS 3.0.4版本中存在着一处安全漏洞,该漏洞源于程序没有正确验证文件扩展名。攻击者可以上传特殊后缀的文件执行任意PHP代码。打开页面 安装好页面进行登录登录后台上传文件 这里说能上传的特殊文件后缀是phar的后缀文件上传成功后直接命令执行。
2025-05-09 15:40:50
1143
原创 应急响应靶机练习 - Linux应急响应训练-WhereIS:知攻善防实验室
一个风雨交加的夜晚,安服仔小唐,突然发现公司分配给自己的测试。欢迎使用知攻善防实验室解题系统 公众号:知攻善防实验室。【6】攻击者的提权方式(输入程序名称即可)【1】在此之前,你需要获得以下答案。到底是道德的沦丧还是人性的扭曲?不正常了,似乎有什么不对劲?【2】攻击者的ip地址,两个。【3】flag1和flag2。服务器为何频繁数据外带?24岁小唐竟然无从下手!【4】后门程序进程名称。
2025-05-09 14:36:34
423
原创 应急响应靶机训练-挖矿事件:知攻善防实验室
前景需要:机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。攻击者是如何攻击进入的。攻击者开始攻击的时间。
2025-05-09 13:39:18
285
原创 Vulfocus靶场-文件上传-1
描述: Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。此漏洞的出现是由于 apache 在修复第一个后缀名解析漏洞时,用正则来匹配后缀。在解析 php 时 xxx.php\x0A 将被按照 php 后缀进行解析,导致绕过一些服务器的安全策略打开页面为空白页面 尝试上传一个php文件发现为bad file 有做限制上传一个phpphp文件 发现可以上传。
2025-05-08 15:28:44
1590
原创 应急响应靶机训练-近源渗透OS-1:知攻善防实验室
前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。3.攻击者使用的限速软件的md5大写。2.攻击者的内网跳板IP地址。4.攻击者的后门md5大写。1.攻击者的外网IP地址。5.攻击者留下的flag。
2025-05-08 13:53:29
363
原创 应急响应靶机-Linux(2):知攻善防实验室
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!5,提交攻击者使用的后续上传的木马文件名称。2,提交攻击者修改的管理员密码(明文)3,提交Webshell连接密码。6,提交攻击者隐藏的flag2。7,提交攻击者隐藏的flag3。4,提交数据包的flag1。
2025-05-08 11:17:27
273
原创 应急响应靶机-Linux(1):知攻善防实验室
前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!遗留下的三个flag。
2025-05-07 16:58:52
181
原创 应急响应靶场web3:知攻善防实验室
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。黑客遗留下的flag【3个】攻击者的两个IP地址。
2025-05-07 16:09:29
233
原创 应急响应靶场web2:知攻善防实验室
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。2.攻击者的webshell文件名?3.攻击者的webshell密码?1.攻击者的IP地址(两个)?5.攻击者的伪服务器IP地址?6.攻击者的服务器端口?7.攻击者是如何入侵的?8.攻击者的隐藏用户名?4.攻击者的伪QQ号?
2025-05-07 13:53:14
320
原创 Vulfocus靶场-初级-JAVA-命令执行-1
XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的API接口没有配置认证措施,未授权的攻击者可构造恶意请求,触发反序列化,造成远程执行命令,直接控制服务器。打开界面发现也可以用工具直接进行测试反弹shell监听反弹shell。
2025-04-17 11:07:25
1077
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人