【玄机-应急平台】第七章 常见攻击事件分析--钓鱼邮件

已于 2024-07-19 14:35:54 修改
阅读量2.9k 收藏 25
点赞数 31
分类专栏: CTF # 玄机应急靶场 文章标签: 玄机-应急平台 钓鱼邮件分析 沙盒 Webshell
于 2024-06-19 14:58:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aluxian_/article/details/139736449
版权

【玄机-应急平台】第七章 常见攻击事件分析--钓鱼邮件

前言:

一个不错的应急平台可以练习,感谢玄机应急平台,做点笔记记录一下。

玄机应急平台:https://xj.edisec.net/

流量分析学习专栏学习!

[X] 🛰:ly3260344435
[X] 🐧:3260344435
[X] BiliBili:鱼影安全
[X] 公众号:鱼影安全
[X] CSDN:落寞的魚丶
[X] 知识星球:中职-高职-CTF竞赛
[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等
欢迎师傅们交流学习~

1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag{11.22.33.44}

邮件在传输过程中会经过多个邮件服务器,每个邮件服务器都会向邮件头部的 "Received" 部分添加一条记录 直接搜索关键字一般看头和尾的IP 比较准确 这里很明显是最后一个。

可以使用Foxmail查看邮件或者别的文本编辑器都可以,怎么方便怎么来。

在这里插入图片描述

FLAG:121.204.224.15

2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}

通过安恒云沙盒,发现是高危的Cobalt Strike黑客工具,发现CS服务器ip

在这里插入图片描述
在这里插入图片描述

FLAG:107.16.111.57

3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}

通过D盾查杀发现 后门文件进行查看 发现连接密码 提交绝对路径即可。

在这里插入图片描述

在这里插入图片描述

FLAG:var/www/html/admin/ebak/ReData.php

4.黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}

攻击者修改my.conf文件 进行了socks5代理

在这里插入图片描述

FLAG:/var/tmp/proc/mysql

总结:

了解邮件服务的传输过程会被记录Received中,通过安恒、360、微步可以进行查询恶意进程,以及一些可以扫描木马文件的软件,如:D盾,360,火绒等(有些可能扫不出来,多尝试。)

玄机应急响应-Linux日志分析
qq_40923603的博客
02-23 4939
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。3.爆破用户名字典是什么?如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户,用户名是多少。4.登陆成功的IP共爆破了多少次。
玄机-第二章-日志分析-MySQL应急响应
lin__ying的博客
08-04 346
find ./ -name "*.php" | xargs grep "@eval(" #在当前目录下查找@eval字符串。黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx。#搜索当前目录及其子目录下所有 .php 文件中的 "root" 字符串,并输出包含该字符串的行。cd /var/log/mysql 切换到linux系统中的日志目录的MySQL目录下。#列出MySQL服务器级别的全局系统变量,与“secure”相关的所有变量。
玄机——第七章 常见攻击事件分析--钓鱼邮件 wp
焦虑的焦虑
07-04 3542
第七章 常见攻击事件分析--钓鱼邮件
玄机第七章 常见攻击事件分析--钓鱼邮件
最新发布
m0_59028058的博客
03-20 302
简介小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统,请对钓鱼邮件样本和内网被攻陷的系统进行溯源分析,请根据小张备份的数据样本分析 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本!!!!!
玄机第七章 常见攻击事件分析--钓鱼邮件
weixin_68416970的博客
09-28 597
玄机靶场:第七章 常见攻击事件分析--钓鱼邮件的详解
玄机常见攻击事件分析--钓鱼邮件,BAT常见的20道网络安全面试题详解
2401_84240554的博客
04-11 445
2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}4.flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}
钓鱼邮件攻击分析
Ms08067安全实验室
05-26 3010
北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)研究发布了《2022年全球邮件威胁报告》(以下简称“报告”),报告数据显示:在2022年,全球每1000个邮箱,平均每月遭受的邮件攻击数量为299.27次(不含垃圾邮件),同比增加12.36%。钓鱼邮件攻击占比近7成。钓鱼邮件主要通过伪造发件人地址、发件内容,诱使被攻击者访问特定页面输入密码等信息,或者诱使被攻击者打开附...
2024年网络安全最全【玄机常见攻击事件分析--钓鱼邮件,网络相关+网络安全三方库的源码分析+数据结构与算法
2401_84302583的博客
05-11 566
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
玄机-Wordpress-应急响应-WP
weixin_42467891的博客
02-23 1888
前言,日志分析题目我们要先查看攻击者特征和 ip 等,靶场环境是 nginx 的,我们去找 nginx的日志。通过分析可以得出以下日志可均为攻击日志的特征,该日志使用 webshell 执行了系统命令,以该日志为基准完成改题目。
玄机-第六章 流量特征分析-小王公司收到的钓鱼邮件
weixin_62457642的博客
09-29 559
玄机靶场详解
玄机-第一章 应急响应-Linux日志分析
WTT001的博客
12-24 407
【代码】玄机-第一章 应急响应-Linux日志分析
玄机常见攻击事件分析--钓鱼邮件(1),做了6年的网络安全
2401_84240554的博客
04-11 1370
1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag{11.22.33.44}2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}
玄机-----应急响应
m0_63138919的博客
05-13 6126
玄机应急响应 题解 一起学习
邮件攻击案例系列三:动态 IP 池爆破员工邮箱钓鱼重要客户
sdexcel的专栏
07-27 1358
本系列主要介绍邮件攻击常见手法
应急靶场(8):【玄机常见攻击事件分析--钓鱼邮件
OneMoreThink
07-21 1157
靶场地址:https://xj.edisec.net/challenges/52靶场背景:小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统。请根据小张备份的数据样本,对钓鱼邮件和内网被攻陷的系统进行溯源分析。一、请分析获取黑客发送钓鱼邮件时使用的IP在钓鱼邮件的eml文件中搜索from,最后一个from就是黑客发送钓鱼邮件时使用的IP地址:121.204.224.15。...
【真实案例】无痕制作钓鱼邮件
zkaqlaoniao的博客
01-17 4594
进入后台后,左边的栏目即代表各个功能,分别是Dashboard仪表板Campaigns钓鱼事件Users & Groups用户和组Email Templates邮件模板Landing Pages钓鱼页面Sending Profiles发件策略六大功能,接下来逐一介绍此功能。整个钓鱼邮件就搭建好了,这里和以往其他文章不一样的地方在于新增了https协议让其看起来更真实,使用了cdn让蓝队增加溯源难度,更加贴合红队以及常见钓鱼攻击者的攻击手法。
钓鱼邮件真相追踪:XDR见招拆招!
Eaglecloud的博客
09-06 620
堆叠的安全产品往往无法有效联动,让团队成员不得不“各自为战”,在多个控制台和警报系统之间频繁切换,手动整合碎片化信息,的邮件,由于内容与其实际工作情况相符,小张打开了邮件中的附件,并点击了附件里的下载链接,却不知这链接指向一个。联动ZTNA、XDLP等模块进行动态决策,实时评估终端安全状态,阻止病毒终端连接内网,造成病毒横向传播。的局面,IT团队/安全团队在老板的“灵魂拷问”之下,每个人都变成了“压力山大”的化身。小张并未发现端倪,出于信任运行了钓鱼邮件中的恶意文件,导致木马入侵终端,可能包括。
搜狐的钓鱼邮件,骗了5万!
程序员若风的博客
05-29 304
因为现如今像样点的公司都配有防火墙、邮件安全检测、文件分析箱之类的产品,邮件、附件中的这些个链接都会被这些安全产品进行分析,一旦自己的链接被拉黑了,马上就能同步到全网,那不完犊子了。可能有不少员工在看到“工资补贴”四个大字后,平日里教导的信息安全意识早就抛到九霄云外去了,在0.1s的时间里,点开了附件。根据奇安信提供的威胁情报,这个团伙背后注册了几百个这样的域名,并拥有多个IP地址,不断变换,从去年十二月开始就一直在钓鱼。我们顺着他来,继续,进入填写信息的页面,注意看,要搜集敏感信息了。
玄机linux应急第一章
01-23
### Linux应急处理 第一章 内容 #### 1. 环境介绍 在进行Linux应急响应时,首先要确认当前系统的环境。对于Debian系统而言,可以通过命令`lsb_release -a`来查看发行版的具体信息[^1]。 ```bash root@ip-10-0-10-2...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落寞的魚丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值