- 博客(12)
- 收藏
- 关注
RSS订阅原创 应急响应靶机联系-近源OS1
某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。进入后发现有个phpstudy-修复还是exe文件,明明有个phpstudy,还要有个修复有点可疑,发现属性中还有个隐藏bat文件。把4个文件上传,使用沙箱进行扫描,之后发现学校放假通知-练习.doc是恶意文件。靶场:https://pan.quark.cn/s/4b6dffd0c51a。最后按5次shift,发现flag,是shilt后门,还找到后门文件。沙箱扫描网站:https://s.threatbook.com/
2025-04-15 23:55:14
392
原创 应急响应练习-Linux2
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?提交第一次Webshell的连接URL:index.php?看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!发现存放密码是用modifyUserPassword加密。在kaoshi数据库的第二页发现了x2_user用户表。登录phpmyadmin,发现了kaoshi的数据库。5,提交攻击者使用的后续上传的木马文件名称。
2025-04-15 23:54:14
694
原创 应急响应靶场练习-linux1
etc/rc.d/rc.local 是启动时自动执行的脚本。2.三个flag(flag格式flag{xxxxx})发现攻击者IP地址 192.168.75.129。发现第一个flag{thisismyboby}用户:defend/defend。查看网络连接,没有发现可疑ip。查看用户时发现redis用户。查看所有用户登录时间。查看该用户的配置文件。
2025-04-15 23:52:56
85
原创 应急响应靶场练习-web3
发现flag, system.bat一运行就会生成404.php,内容为一句话木马,黑客应该是在上传木马读取系统文件。可以看到在登录用户,但响应值为500说明该用户名错误,攻击者可能在爆破。可以看到处了本机之外还有两个ip地址,怀疑是攻击者的两个IP地址。在该任务的操作中看到在启动system.bat程序。在用户管理中,看到hacker用户并且查看编辑。在Z-Blog官网找到密码找到免密登录的工具。在计划任务中找到一个名为flag的任务。\3. 黑客遗留下的flag【3个】在计算机管理中找到隐藏用户。
2025-04-15 23:52:12
164
原创 应急响应靶机练习-Web2
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。在Apache的日志文件中找到攻击者的IP地址 192.168.126.135。找到攻击者的伪服务器IP地址256.256.66.88和服务器端口65536。没有在Apache的日志文件中找到webshell上传特征。在克隆检测中找到攻击者的隐藏用户名 hack887$在FileRecv文件中找到攻击者上传的文件。3.攻击者的webshell密码?5.攻击者的伪服务器IP地址?
2025-04-15 23:51:06
161
原创 应急响应靶场练习-web1
在Apache中找到日志文件,发现攻击者的IP地址192.168.126.1。用户:administrator 密码Zgsf@admin.com。运行后发现非常卡,cpu飙升,应该是挖矿程序。下载pyinstxtractor进行反编译。该图标为pyinstaller。使用pyc反编译工具,得到源码。4.攻击者挖矿程序的矿池域名。得到攻击者挖矿程序的矿池域名。1.攻击者的shell密码。3.攻击者的隐藏账户名称。2.攻击者的IP地址a。
2025-04-15 23:50:20
260
原创 应急响应学习
分析如何攻击,加强防护定时更新杀毒软件Windows:依赖图形化工具和注册表,排查重点是服务、进程、日志和网络连接。Linux:以命令行和配置文件为核心,需关注日志、权限、定时任务和文件完整性。
2025-04-15 23:47:40
659
原创 利用limit和offset进行sql注入
不能用GROUP_CONCAT() 所以只能用limit和offset。传入参数,发现只有32以上才有内容,进行sql注入。第二个字段名为username。第三个字段名为password。使用二分法发现只有15条列。第一个字段名为userid。第6条没有只有5条数据。发现第8个才是用户表。
2025-04-08 11:22:24
173
原创 拿到Mysql账号后利用phpmyadmin进入系统目录
报错内容: ERROR 1290 (HY000): The MySQL server is running with the --secure-file-priv option so it can...在phpstudy中mysql目录中找到my.ini加入secure_file_priv=""改为 $cfg['Servers'][$i]['host'] = '127.0.0.1';把 $cfg['Servers'][$i]['host'] = 'localhost';再次输入sql语句发现可以使用。
2025-04-05 15:19:09
259
原创 div css学习
decimal-leading-zero: 十进制数,不足两位的补齐前导0,例如: 01, 02, 03, ..., 98, 99。georgian: 乔治亚数字,例如: an, ban, gan, ..., he, tan, in, in-an, ...georgian: 乔治亚数字,例如: an, ban, gan, ..., he, tan, in, in-an, ...lower-greek: 小写希腊字母,例如: α(alpha), β(beta), γ(gamma), ...
2025-03-03 19:19:56
1430
原创 html学习
csdn</a> 直接在原网页打开。<meta name="选项" content="关键字" /> 使用。<a name="h">锚点
2025-03-03 19:13:09
1266
原创 XXE漏洞
XXE漏洞就是攻击者通过向服务器注入指定的xml内容,从而让服务器按照指定的配置进行执行,导致问题,也就是服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部注入。/proc/net/arp 每个网络接口的arp表中dev包(没理解是什么意思,但感觉像IP地址的)通过/proc/net/fib_trie发现10.244.166.228的ip地址。/proc/net/fib_trie 访问内网里面的主机。通过/proc/net/arp发现有两个IP地址。
2025-03-03 19:12:30
608
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人