【玄机-应急平台】第七章 常见攻击事件分析--钓鱼邮件
前言:
一个不错的应急平台可以练习,感谢玄机应急平台,做点笔记记录一下。
玄机应急平台:https://xj.edisec.net/
[X] 🛰:ly3260344435
[X] 🐧:3260344435
[X] BiliBili:落寞的鱼丶
[X] 公众号:鱼影安全
[X] CSDN:落寞的魚丶
[X] 知识星球:中职-高职-CTF竞赛
[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等
欢迎师傅们交流学习~
1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag{11.22.33.44}
邮件在传输过程中会经过多个邮件服务器,每个邮件服务器都会向邮件头部的 "Received" 部分添加一条记录 直接搜索关键字一般看头和尾的IP 比较准确 这里很明显是最后一个。
可以使用Foxmail查看邮件或者别的文本编辑器都可以,怎么方便怎么来。
FLAG:121.204.224.15
2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}
通过安恒云沙盒,发现是高危的Cobalt Strike黑客工具,发现CS服务器ip
FLAG:107.16.111.57
3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}
通过D盾查杀发现 后门文件进行查看 发现连接密码 提交绝对路径即可。
FLAG:var/www/html/admin/ebak/ReData.php
4.黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}
攻击者修改my.conf文件 进行了socks5代理
FLAG:/var/tmp/proc/mysql
总结:
了解邮件服务的传输过程会被记录Received中,通过安恒、360、微步可以进行查询恶意进程,以及一些可以扫描木马文件的软件,如:D盾,360,火绒等(有些可能扫不出来,多尝试。)
2339
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
