- 博客(100)
- 资源 (4)
- 收藏
- 关注
RSS订阅原创 在线靶场-墨者-电子数据取证1星-日志文件分析溯源(爆破者的IP地址)
打开靶场网页,下载文件并解压。根据题意发现有人对网站进行爆破,分析日志找到这个人的IP地址。使用记事本打开7.log文件。(如果记事本打开文件,加载内容过慢或内容混乱可以使用Notepad++.7.7.1软件),根据网站爆破这个信息,网站爆破是要连续不断的访问,并以POST请求方式提交。分析日志找到了符合条件的ip地址。并且还看到不断访问login.php。其中有一条数据和其他数据不一样,大...
2019-08-10 11:05:14
472
原创 在线靶场-墨者-电子数据取证1星-日志文件分析溯源(连接过此路径的IP地址)
打开靶场网页,下载文件并解压。根据题意有一个IP连接过/admin_G71kDa199wQ/login.php文件,请找到这个ip地址。使用记事本打开3.log文件。(如果记事本打开文件,加载内容过慢或内容混乱可以使用Notepad++.7.7.1软件),打开后,寻找含有/admin_G71kDa199wQ/login.php的记录。使用记事本的查找功能,按Ctrl + F搜索/admin_...
2019-08-10 11:03:58
385
原创 在线靶场-墨者-电子数据取证1星-日志文件分析溯源(下载压缩包的IP地址)
打开靶场网页,下载文件并解压。根据题意一个IP下载走一个DB.ZIP 的压缩包,请找到下载压缩包的IP地址。使用记事本打开2.log文件。(如果记事本打开文件,加载内容过慢或内容混乱可以使用Notepad++.7.7.1软件),打开后,寻找含有DB.ZIP的记录。使用记事本的查找功能,按Ctrl + F搜索DB.ZIP。发现只有一条含有DB.ZIP的记录,而且是get类型请求方式。说明...
2019-08-10 11:02:59
418
原创 在线靶场-墨者-电子数据取证2星-日志文件分析溯源(境外IP)
打开靶场网页,下载文件并解压。、根据题意网站遭到境外ip攻击,请通过log,找到找到访问news.html最多的境外IP地址。(使用记事本打开文件,界面太乱,不方便分析,而且打开后等待内容出现需要一段时间。)使用Notepad++.7.7.1软件打开8.log文件,使用Ctrl + F搜索news.html。搜索出来后发现137.112.214.191这个ip访问news.html最多。...
2019-08-10 11:01:23
686
原创 在线靶场-墨者-电子数据取证2星-日志文件分析溯源(SQL注入IP地址2)
打开靶场网页,下载文件并解压。根据题目有人对网站进行了SQL注入,分析日志找到该IP地址。(使用记事本打开文件,界面太乱,不方便分析,而且打开后等待内容出现需要一段时间。)使用Notepad++.7.7.1软件打开SQL.log文件,按Ctrl + F搜索union和order by。发现了在180927 14:56:59这个时间里,多次出现union和order by匹配查询。于是使...
2019-08-10 10:59:43
401
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(查找邮件地址)
打开靶场网页,下载文件并解压。根据题意有终端給境外protonmail@qq.com发过邮件,请找到这个发件人的邮件地址。使用Wireshark打开15.pcapng文件,由于是邮件发送。过滤smtp、imap、pop3协议的数据包,文件中只有smtp协议数据包,其他两种没有。过滤出smtp数据包后,按Ctrl + F 搜索protonmail@qq.com。搜索出来有相应的数据包。或输入s...
2019-08-10 10:58:00
1145
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(邮箱密码)
打开靶场网页,下载文件并解压。根据题意发现某人从内网登录了邮箱xxx@126.com,找到这个邮箱的登录密码。使用Wireshark打开1.pcapng文件。知道是登录邮箱,于是我们可以搜索imap、smtp、pop3这些协议。smtp和pop3协议数据包在文件中没有。只有imap协议,于是过滤出imap协议的数据包。分析数据包直接获得这个邮箱的登录密码。如果过滤出的imap包太多,那...
2019-08-10 10:56:05
792
原创 在线靶场-墨者-命令执行2星-Bash漏洞分析溯源
打开靶场网页。根据解题方向:找到poc.cgi文件。查询资料的得知poc.cgi文件在/cgi-bin/路径下。bash详细分析后得知bash在处理含有函数定义诸如”() { :;};”的环境变量赋值的代码上存在设计缺陷,错误地将函数定义后面的字符串作为命令执行。设法让系统接受一个含有"(函数定义)+(任意命令)“的环境变量赋值则可触发”(任意命令)"部分所表示的代码执行。用() { :; ...
2019-08-09 17:12:38
330
原创 在线靶场-墨者-命令执行2星-PHPMailer远程命令执行漏洞溯源
打开靶场网页,根据题意管理员留下的邮件测试页面。于是寻找邮件测试页面。打开邮件测试页面。使用邮件注入木马You name:mozhe(随便输入)Your email:“abc”. -OQueueDirectory=/tmp/. -X/var/www/html/abc.php @abc.com(abc可更改)You message:<?php @eval($_POST[abc])...
2019-08-09 17:11:19
410
原创 在线靶场-墨者-电子数据取证4星-网络数据分析溯源(数据库密码)
打开靶场网页,下载文件并解压。根据题目,知道发现有人操作了数据库,请找到连接数据库的密码。于是使用Wireshark打开22.pcapng文件。开始查询连接数据库的密码。我们知道数据库常用端口号是:mysql的默认端口是3306、sqlserver默认端口号为:1433、oracle 默认端口号为:1521、DB2 默认端口号为:5000、PostgreSQL默认端口号为:5432。但是查询...
2019-08-09 17:08:58
581
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(端口扫描的IP地址)
打开靶场网页,下载文件并解压。根据题意得知有一个IP在扫描445端口,利用MS17-010漏洞批量扫描服务器,找到这个IP地址。(Eternalblue通过TCP端口445和139来利用S MBv1和NBT中的远程代码执行漏洞,恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意...
2019-08-09 17:07:21
591
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(发送邮件的IP地址)
打开靶场网页,下载文件并解压。根据题意:有人在内网給admin@qq.com发送过邮件,请找到这个IP终端。使用Wireshark打开13.pcapng这个文件。因为是发送QQ邮件信息,所以过滤出smtp协议的数据。过滤出来后,使用Ctrl + f搜索admin@qq.com。即可得出172.16.212.247这个ip向admin@qq.com发送过邮件。把该ip地址输入靶场网页即可得到本...
2019-08-09 17:04:15
395
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(DNS服务器地址)
打开靶场网页,下载文件并解压。根据题意找出这个DNS服务器IP地址。使用Wireshark打开12.pcapng这个文件。(当应用过程需要将一个主机域名映射为IP地址时,就调用域名解析函数,解析函数将待转换的域名放在DNS请求中,以UDP报文方式发给本地域名服务器。本地的域名服务器查到域名后,将对应的IP地址放在应答报文中返回。)要找到DNS服务器,在Wireshark中过滤出DNS协议...
2019-08-09 17:02:06
675
原创 在线靶场-墨者-电子数据取证3星-网络数据分析溯源(查找邮件内容)
打开靶场网页,下载文件并解压。根据题目得知有终端給gmail@qq.com发过邮件,请找到邮件内容中的电话号码。于是我们使用Wireshark打开16.pcapng文件。因为QQ邮箱使用的协议有:电子邮件读取协议(POP3和IMAP)、简单邮件传输协议(s mtp),所以我们先过滤s mtp协议内容。再按Ctrl + F搜索gmail@qq.com。得到一条数据。(标识邮件的收件人以 RCP...
2019-08-09 17:00:36
1027
原创 在线靶场-墨者-电子数据取证5星-网络数据分析溯源(上传WebShell的IP地址)
打开靶场网页,下载文件并压缩根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传...
2019-08-09 16:59:07
650
原创 在线靶场-墨者-电子数据取证1星-日志文件分析溯源(做扫描攻击的IP地址)
打开靶场网页,下载文件解压并打开。根据题目得知有人对服务器进行扫描攻击。于是我们打开日志文件进行分析,发现了一个ip连续不断的访问多个不同的文件,同时出现大量的404,而且采用了HEAD的请求方式。根据这三个条件,我们可以得知118.24.15.241这个ip就是对服务器进行扫描攻击的ip。把此ip输入靶场网页即可得到key。...
2019-08-09 16:56:28
527
原创 在线靶场-墨者-电子数据取证3星-日志文件分析溯源(时区时差)
根据题目意思。我们可以知道服务器位于拉斯维加斯,服务器日志上显示在9月26日20点18分54秒被访问过。([26/Sep/2018:20:18:54 -0700])题目要我们找出北京时间为某某时间左右时间访问hackshell.php的人。于是我们要进行时间的转换。将拉斯维加斯时区转换为北京时区。经查询北京和拉斯维加斯相差16小时。因为题目所说拉斯维加斯时间是夏时制。夏时制提前一个小时。...
2019-08-09 16:54:45
388
原创 在线靶场-墨者-WEB安全2星-表单暴力破解实训(第2题)
点开靶场网页,输入用户名admin,密码123,验证码照着网页的输入。打开浏览器代理。开启Burp Suite,点击网页Login,开始抓包。由于验证码在Cookie中,不刷新验证码的话,短时间内验证码不会改变。于是把抓到的数据包右键send to Intruder。先点击Clear清楚变量。然后选择password后面的123再点击Add,是123变成变量。然后选择Payloads。根据...
2019-08-09 16:52:06
862
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-008)复现
S2-008漏洞原理:为了防止攻击者在参数中调用任意方法,标志xwork.MethodAccessor.denyMethodExecution被设置为true,并且SecurityMemberAccess字段默认allowStaticMethodAccess设置为false。打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。方法一:Struts...
2019-08-09 16:50:02
445
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-013)复现
S2-013漏洞原理:struts2的标签中 < s:a > 和 < s:url > 都有一个 includeParams 属性,可以设置成值none或get或all ,当includeParams=all的时候,会将本次请求的GET和POST参数都放在URL的GET参数上。此时< s:a > 或< s:url >尝试去解析原始请求参数时,会导致OG...
2019-08-09 11:23:05
585
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-019)复现
S2-019漏洞原因:动态方法调用是一种已知会施加可能的安全漏洞的机制,但到目前为止,它默认启用,警告用户应尽可能将其关闭。打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。Struts2漏洞检查工具2017版下载地址:https://www.jb51.net/softs/574358.html。打开Struts2漏洞检查工具2017版。将靶...
2019-08-09 11:13:33
784
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-009)复现
S2-009漏洞原因:OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。在S2-003和S2-005中已经解决了类似的行为,但事实证明,基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。ParametersIntercept...
2019-08-09 11:04:31
272
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-015)复现
s2-015漏洞的原理:Struts 2允许基于通配符定义动作映射,如果一个请求与任何其他定义的操作不匹配,它将被匹配,*并且所请求的操作名称将用于以操作名称加载JSP文件。并且,1作为OGNL表达式的威胁值,{ }可以在服务器端执行任意的Java代码。打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。方法一:Struts2漏洞检查工具2017...
2019-08-09 10:56:53
1208
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-029)复现
这个漏洞的原理Struts框架被强制执行时,对分配给某些标签的属性值进行双重评估,因此可以传入一个值,当一个标签的属性将被渲染时,该值将被再次评估。打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。Struts2漏洞检查工具2017版下载地址:https://www.jb51.net/softs/574358.html。打开Struts2漏洞...
2019-08-09 10:49:59
373
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-037)复现
该漏洞原理是在使用REST插件时,可以传递可用于在服务器端执行任意代码的恶意表达式。打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。方法一:Struts2漏洞检查工具2017版下载地址:https://www.jb51.net/softs/574358.html。打开Struts2漏洞检查工具2017版。将靶场网址输入进去,数据提交方式更改...
2019-08-09 10:43:19
429
原创 在线靶场-墨者-命令执行2星-Apache Struts2远程代码执行漏洞(S2-032)复现
产生漏洞的原因为:当启用动态方法调用时,可以传递可用于在服务器端执行任意代码的恶意表达式。method: < name > Action 前缀去调用声明为 public 的函数,但是在低版本 的Strtus2中并不会对 name 方法值做 OGNL 计算,反而在高版本中会进行计算。打开靶场网页,等网页加载完。如果没有加载完(靶场环境可能没有完全部署好),可能会影响工具检测结果。...
2019-08-09 10:30:44
539
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(查找下载文件的内容)
打开靶场网页,下载文件,解压后用wireshark打开。根据题意我们知道某人从xxx.com网站上下载一压缩包,请找到压缩包内容。从网站上下载走的是http协议,我们先过滤出http协议的数据来。然后再使用Ctrl + F搜索zip。搜索中有一个1.zip和key.zip。看到key.zip我们便知道这个压缩包应该是题目中要查看内容的压缩包。在wireshark中点击file>...
2019-08-09 10:19:28
483
原创 在线靶场-墨者-电子数据取证4星-网络数据分析溯源(新增用户的身份证号)
打开靶场网页,下载文件并解压。使用Wireshark打开20.pcapng文件。根据题目得知利用WebShell操作了数据库,于是我们可以过滤出http协议的数据。然后点击crtl + f,搜索php。搜索出来后发现有xiaoma.php。证明是通过xiaoma.php文件来操作数据库的。搜索出来的信息中,找到数据库新增用户的身份证号的数据,使用base64解码(解码网站:http:/...
2019-08-09 10:15:15
665
原创 在线靶场-墨者-电子数据取证1星-网络数据分析溯源(发布文章的IP地址)
打开靶场网页,下载文件,解压并使用Wireshark打开。根据题意得知有人从内网发布一篇文章到www.xwast.org上,请找出发布文章的IP。发布一篇文章到www.xwast.org上应该是走http协议,于是我们过滤出http协议的数据,但是搜索http数据的时候发现了很多http的协议。因为数据太多,我们分析起来还是挺困难的。发布文章的方式应该是POST请求方式。于是我们可以输入...
2019-08-09 10:10:42
290
原创 在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(远程登录的IP地址)
打开靶场网页,下载文件并解压。使用AccessData FTK Imager软件挂载镜像。下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742寻找远程登录的ip,根据路径:本地磁盘D>Documents and Settings>lihua>Recent。找到Default.rdp这个文件。打开这个文件...
2019-08-09 10:04:10
421
原创 在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(登陆用户的用户名)
打开靶场网页,下载文件并解压。、使用AccessData FTK Imager软件打开镜像。、下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742寻找登录过www.laifudao.com这个网站的用户名。按照步骤:点击([root]>Documents and Settings>lihua>Cooki...
2019-08-09 10:00:57
302
原创 在线靶场-墨者-电子数据取证1星-远程电子数据取证-服务器分析(第5题)
打开靶场环境,使用远程桌面连接。方法一:进入主机后开始找寻key,最终发现key文本文件在C:WINDOWS路径下。方法二:进入主机后,点击我的电脑>搜索>输入key进行搜索>搜索出来一个key文本文档,点开就是本题的key。...
2019-08-09 09:58:57
260
原创 在线靶场-墨者-电子数据取证1星-电子数据取证-日志分析(第1题)
打开靶场网页,下载文件并解压。直接用记事本打开,界面比较乱,而且打开后要等很久才能显示内容,拖动会有卡顿要等一会才显示,不方便分析。下载Notepad++软件。使用Notepad++软件打开日志文件。根据题目得知网站被上传木马,上传文件所在文件夹为uploads。既然是上传就应该是POST的请求方式,而且上传文件夹为uploads。所以我们可以搜索POST /uploads(post...
2019-08-09 09:56:44
590
原创 在线靶场-墨者-电子数据取证1星-远程电子数据取证-服务器分析(第2题)
开启靶场环境,得到ip地址,用户名和密码在远程主机上(连接远程桌面时,需要加上端口号)。按步骤进行:点击开始>管理工具>事件查看器>系统>选择administrator用户操作的事件(ID:1074)>可以看到是事件描述是关机和注释>注释中拿到key。...
2019-08-09 09:54:03
226
原创 在线靶场-墨者-电子数据取证1星-远程电子数据取证-服务器分析(第1题)
开启靶场环境发现只给了地址端口和用户名密码 :于是我们打开远程桌面连接,连接进去。根据解题方向,显示隐藏文件。找到所在分区的Recycler文件夹。使用搜索功能,搜索Recycler文件夹。搜索出来后,点进去看到key文本文件,打开即可获得key。...
2019-08-09 09:46:13
278
原创 在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(连接过的FTP地址)
打开靶场网页,下载文件并解压。使用AccessData FTK Imager软件打开镜像。下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742按照路径寻找index.dat文件([root]>Documents and Settings>lihua>Local Settings>History>H...
2019-08-09 09:42:12
266
原创 在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(访问的网站地址)
打开靶场网页,下载文件。并解压。使用AccessData FTK Imager软件打开镜像。按照路径寻找index.dat文件([root]>Documents and Settings>lihua>Local Settings>History>History.IE5>MSHist012018110120181102>index.dat)。里面记录了...
2019-08-09 09:40:10
285
原创 在线靶场-墨者-电子数据取证1星-Linux硬盘文件分析取证(MySQL连接密码)
打开靶场网站,下载文件。使用AccessData FTK Imager。下载地址:https://download.youkuaiyun.com/download/sunwen551/10839742挂载磁盘。找到[root]里的root文件下的.ash_history文件里面即可找到mysql的登录信息以及root密码。把该密码输入靶场网页,即可得到本题的key。或者通过镜像中MySQL的数据...
2019-08-09 09:37:58
269
原创 在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(恢复删除文件)
打开靶场网页,下在文件,发现是img文件。解压。下载DiskGenus工具,下载地址http://www.diskgenius.cn/download.php使用DiskGenius工具,点击磁盘,打开虚拟硬盘文件,根据题意,我们需要恢复文件。点击恢复文件。恢复文件后,找到了一个存放数据的文本,将其输入靶场发现得不到key。将这个文本里的内容使用md5解密,得到xiaoming。将...
2019-08-09 09:35:04
497
原创 在线靶场-墨者-电子数据取证1星-Windows硬盘文件分析取证(新建的用户名)
打开靶场网页,下载文件。使用accessdata ftk imager挂载windows分区,找到sam文件。将sam文件复制到kail虚拟机处,使用chntpw工具。kail linux 输入chntpw -l sam。即可得到用户名。或者使用ntpwedit软件,直接查看sam文件里的内容。查看到有几个用户名,根据id可以看出momo的id是最大的。所以momo是新建的用户名,...
2019-08-09 09:31:17
390
Stegsolve.zip
2019-09-05
winhexCn.rar
2019-09-05
Struts2漏洞检查工具2017版.zip
2019-07-24
Burp Suite Pro Loader Keygen.zip
2019-07-18
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人