- 博客(11)
- 收藏
- 关注
RSS订阅原创 应急响应总结小tips
etc/cron.hourly、/etc/cron.daily、/etc/cron.weekly、/etc/cron.monthly :按周期执行的脚本目录。3、web服务器日志(/var/log/apache2/access.log)或(/var/log/nginx/access.log)单独执行last命令,它会读取/var/log/wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来;6、内核日志(/var/log/dmesg 或 /var/log/kern.log)
2025-04-09 15:32:06
741
原创 Linux文件排查
ls -alt/tmp/usr/bin/usr/sbin(2) 查看开机启动项 ls -alt /etc/init.d/(3) 针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。(4)当前用户home目录查看历史命令cat ~/.bash_history**ps、先查看/etc/passwd 文件最后一列如果不是nologin,就切换到这个用户,然后查看历史命令。
2025-03-24 22:24:02
403
原创 Linux进程排查
STAT表示进程的状态,进程的状态有很多种:用“R”表示正在运行中的进程,用“S”表示处于休眠状态的进程,用“Z”表示僵死进程,用“<”表示优先级高的进程,用“N”表示优先级较低的进程,用“s”表示父进程,用“+”表示位于后台的进程。START表示启动进程的时间。,比如: 普通文件,目录,特殊的块文件,管道,socket套接字,设备,Unix域套接字等等,同时,它还可以结合 grep 以及 ps 命令进行更多的高级搜索。进程动态监控,默认根据cpu的占用情况进行排序的,按b可根据内存使用情况排序。
2025-03-23 12:07:18
977
原创 Linux SUID提权
GTFOBins 是一个专注于 Unix/Linux 系统提权(Privilege Escalation)和权限绕过(Bypass) 的权威开源项目,它收集了大量常见系统程序(如 find、vim、nmap 等)的利用方法,帮助安全研究人员和 CTF 选手快速识别和利用配置不当的程序获取更高权限。
2025-03-23 12:02:16
420
原创 Linux安全配置①——用户密码设置
最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:保留。passwd -l user #锁定账户密码。由若干个字段组成,字段之间用“:”隔开。由若干个字段组成,字段之间用“:”隔开。
2025-03-06 21:25:23
255
原创 ctf中常见路径
Apache默认Web根目录(存放PHP/HTML源码、配置文件)。:Apache主配置(可能暴露目录遍历或错误日志路径)。:全局可写目录(常用于上传Webshell或共享文件)。:上传恶意文件、编译提权工具(如脏牛漏洞利用)。:环境变量(可能含数据库密码、API密钥)。:Nginx主配置(可能泄露反向代理规则)。:Apache访问日志(用于日志注入攻击)。:Apache缓存文件(可能泄露敏感内容)。:SSH登录日志(可能泄露登录尝试信息)。:当前进程环境变量(可能泄露敏感信息)。
2025-03-06 11:41:47
600
转载 CTF出题思路
八、open_basedir、disable_functions花式绕过技巧,包括dl、mail、imagick、bash漏洞、DirectoryIterator及各种二进制选手插足的方法。五、各种找源码技巧,包括git、svn、xxx.php.swp、*www*.(zip|tar.gz|rar|7z)、xxx.php.bak、三、花式玩弄几个PHP特性,包括弱类型,strpos和===,反序列化 destruct、\0截断、iconv截断、十、社工,包括花式查社工库、微博、QQ签名、whois。
2025-03-03 15:30:49
9
原创 ctfshow web入门1-17 一些简单的信息搜集 git见的多
CDN通过在全球范围内部署多个边缘服务器,将网站内容缓存到离用户最近的服务器上,从而缩短用户到内容的物理距离,加快内容加载速度,提升用户体验。Cookie是由浏览器保存在本地记录用户信息的一个文件,前端可以设置,也可以通过response响应头的set-cookie字段进行设置。使用vim时意外退出,会在目录下生成一个备份文件,格式为 .文件名.swp,访问/index.php.swp下载备份文件。网页存在的电话邮箱等,可能是账户的密码或者什么的,是属于社工的范畴了吗。
2025-03-03 09:52:17
408
原创 Bugku简单web①
简称XFF头,它代表客户端,也就是HTTP的 请求端真实的IP ,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含。代码审计对cookies可能有限制,通过hackBar或者bp改cookies(linux应该用nc)操作:抓包以后增加一行+请求ip。
2025-03-03 09:49:23
167
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人