- 博客(70)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 HackTheBox-Sherlocks系列之Operation Blackout 2025: Smoke & Mirrors
记录 PowerShell 会话的交互式事件。:记录 PowerShell 的内部操作和系统级别的事件。:记录系统级别的详细事件,包括进程、网络、文件和注册表操作。
2025-10-29 14:42:58
881
原创 Event Log Explorer,Windows事件查看器的替代工具的下载与安装。
Event Log Explorer 是一款用于查看、分析和监控记录在 Microsoft Windows 事件日志中的事件的有效软件解决方案。Event Log Explorer 大大简化并加快了对事件日志(安全、应用程序、系统、安装、目录服务、DNS 等)的分析。Event Log Explorer 扩展了标准 Windows 事件查看器的功能,并带来了许多新特性。使用过 Event Log Explorer 的用户认为它是一个优于 Windows 事件查看器的解决方案,能够使他们的工作效率提高一倍。
2025-10-29 14:41:28
732
原创 HackTheBox-Sherlocks系列之Operation Blackout 2025: Phantom Check
安全分析优先看:400、403、500、800、4104、4106(覆盖恶意脚本、执行策略变更、远程会话);运维排查优先看:400、403、800、10801、600(覆盖脚本执行、模块加载、进程启动);日志完整性验证:4105(确认脚本块日志启用)、4106(警惕日志被禁用)。通过上述事件 ID,可实现对 PowerShell 从“启动→执行脚本→加载模块→远程操作→退出”全流程的监控与排查。
2025-10-24 17:30:11
677
原创 HackTheBox-Sherlocks系列之CrownJewel-2
然而,你设法删除了转储的文件,将攻击者赶出了域控制器,并恢复了一个干净的快照。注意题干即然说到卷影副本服务的运行状态,我们需要去System的日志里找相关服务启停的日志,我们使用Windows自带的事件查看器筛选事件ID为7036的。首先我们这里是在域环境中,因此可以通过事件ID 4768来确定这个时间,这里一共有3条日志,其中前两条用户名都是 DC01$,不符合我们要找的对象,那就是第三条了。通过题目1得到转储的大概时间,然后我们通过AI搜索相关的事件ID来确定文件的创建日志。进程枚举了哪两个用户组?
2025-10-24 16:13:44
524
原创 HackTheBox-Sherlocks系列之Unit42
应用程序和服务日志/Microsoft/Windows/Sysmon/Operational),每个事件ID对应一类特定的系统行为,是安全分析、威胁狩猎和入侵溯源的关键数据来源。以下按Sysmon常见事件ID分类,详细讲解其含义、关键字段及典型应用场景。关联分析是核心:单一事件无意义,需结合多事件ID追踪完整攻击链。Event ID 1(进程创建:unknown.exe)→Event ID 11(文件创建:unknown.exe由explorer.exe释放)→。
2025-10-24 16:12:42
657
原创 HackTheBox-Sherlocks系列之SalineBreeze-1
故事的背景:你的经理刚刚通知你,由于最近的预算削减,你需要承担额外的威胁分析职责。作为一名网络安全公司的初级威胁情报分析师,你现在被指派调查与一个名为“Salt Typhoon”的组织相关的网络间谍活动。9. 2024年12月20日,Picus Security 发布了一篇关于 Salt Typhoon 的博客,详细介绍了与该威胁行为者相关的部分 CVE 编号。博客文章识别出与威胁行为者相关的其他恶意软件。与Salt Typhoon相关的多种自定义恶意软件中,与ID S1206相关的恶意软件名称是什么?
2025-10-23 15:08:47
1332
原创 HackTheBox-Sherlocks系列之RomCom
她的电脑收到了一条Microsoft Defender警报,她还提到在从收到的文件中提取文档时,出现了大量错误,但文档最终还是成功打开了。在 Windows 系统中,$MFT(Master File Table,主文件表)是一个非常重要的系统文件,用于存储 NTFS 文件系统中的文件和文件夹的元数据信息。这个题我是挨个试的,比如这个利用rar的漏洞释放文件,还有可能通过钓鱼收到这个附件,还有就是持久化利用啊。将文件下载后会得到一个vhdx的文件,我们在Windows系统上直接双击该文件即可挂载。
2025-10-23 13:31:03
823
原创 HackTheBox-Sherlocks系列之Brutus
需要注意time.localtime这个函数,它的作用是将时间戳转化为本地的时间,注意这个函数是有时区限制的,也就是说我在同一时间我在中国执行和在小日子执行结果是不同的,因为中国是东八区,而日本是东九区,由于hackthebox是外国的,所以我们这里要改成。这里我们需要返回auth.log找,通过问题2中的时间定位到下方的日志,然后会有一个 New session xxx的东西,这里的那个数字就是会话编号。注意,下载的压缩包是有密码的,密码在Download Files按钮右侧的小钥匙,点击一下即可。
2025-10-22 17:37:03
620
原创 HackTheBox-Sherlocks系列之PhishNet
你的任务是分析邮件头,并揭露攻击者的图谋。解压失败,可能数据有问题,通过macOs自带的邮件app打开附件也是解压不了,于是我想到了使用7zip进行预览,来查看压缩包中的内容。zip中的想要知道文件名我们需要将base64编码的文件转化为zip文件。首先我们把 PhishNet.zip 文件下载下来,然后解压,得到了一个邮件格式的文件。该主题的内容还是很简单的,主要考查的是你识别钓鱼邮件的能力。10. ZIP附件中包含的恶意文件的文件名是什么?8. 邮件中包含的附件名称是什么?
2025-10-22 17:35:03
326
原创 RedTail系列分析,一个名为rondo.wyu.sh的shell马
本文分析了一个恶意Shell脚本的攻击行为。该脚本从IP地址74.194.191.52下载执行文件,首先通过终止特定目录下的可疑进程来清除系统环境,然后关闭SELinux和AppArmor安全模块。脚本会删除/dev、/tmp等多个目录下的特定架构可执行文件,并创建lib目录下载恶意程序rondo.armv6l。攻击者邮箱bang2012@protonmail.com被注释在代码中,可能指向脚本作者。该脚本表现出典型的Linux恶意软件行为特征,包括环境清理、安全机制绕过和持久化部署。
2025-09-22 10:02:30
1289
原创 《银月女巫:中世纪治愈传说》
《银月女巫》讲述了14世纪欧洲黑死病肆虐时期,拥有治愈能力的少女艾莉丝的故事。被村民误解为女巫追杀的艾莉丝,在德鲁伊长老莫瑞甘的指导下学会运用自然之力。她发现瘟疫背后隐藏着宗教审判所的黑暗阴谋,最终牺牲自己净化了村庄。故事展现了治愈与救赎、信仰与魔法的交织,艾莉丝从恐惧到接受使命的成长历程,以及自然与人类命运的深刻联系。
2025-09-22 10:00:51
180
原创 一条龙拆解 RedTail 挖矿蠕虫:利用 N day漏洞、dropper 脚本、竞品屠杀与无痕持久化全链路分析
2025年深夜安全运维现场,系统遭遇教科书级路径穿越攻击,攻击者试图通过POST请求执行恶意脚本,但被WAF拦截。攻击载荷包含下载执行挖矿木马的一连串指令,包括切换目录、下载脚本、赋权执行等步骤。分析发现,该样本属于RedTail木马家族,采用多通道下载技术,能适配不同CPU架构,并会伪装文件名躲避检测。虽然攻击链被WAF在初始阶段阻断,但完整攻击流程揭示了当前恶意软件的高度自动化特征。
2025-09-19 15:14:40
1187
原创 《月光邮差与失忆的云》
每当夜幕降临,月亮升起,他便骑着一辆会飞的旧自行车,在银色的月光下投递信件。”猫头鹰低声说,“那朵云忘了自己是谁,也忘了回家的路。夜空中,月亮比以往更亮,星星也眨着眼睛,好像在庆祝什么。”米洛轻声说,“我不是来抢走月亮的,我只是想帮你找回自己。”云说,“我会继续搬运梦,但这一次,我不会再忘记自己。他飞过森林、湖泊、沉睡的城市,终于在一座高山的背后,找到了那朵云。”米洛说,“没有月亮,信就投递不了了。,它正抱着月亮,像抱着一颗发光的球,眼神迷茫又孤独。这时,一只会说话的猫头鹰从树梢飞下,落在车把上。
2025-09-19 15:13:26
590
原创 VMware给Windows安装vmware tools提示无法在64位Windows上运行32位安装程序的解决办法
在右侧有一个选择版本的配置,我们选择 Windows 10 x64,因为之前我选择的是不带x64的即32位版本,但是我安装的是64位版本的Windows10,所以才会报错。先关闭当前的虚拟机,然后找到”菜单栏-虚拟机-设置“,或者直接在下方界面点击”编辑虚拟机设置“我们在创建虚拟机时所选择的Windows版本与安装的Windows版本不一致导致。保存完成后再打开虚拟机,安装vmware tools即可正常恢复正常。找到”选项“中的”常规“
2025-09-08 17:22:26
1970
3
原创 如何下载免费的vmware workstation pro 17版本?
首先 最新版的vmware已经被放到了https://www.broadcom.com/这个网站,用户需要注册登录后进行下载。,跟之前的链接区别就是多了一个freeDownloads=true参数,你说恶不恶心。这里提供了Windows和Linux两个系统的版本文件。你是否还在为在哪里找到免费的vmware workstation而烦恼?跳转到下载页面发现没有东西,并且通过搜索也没找到,,如下图所示。那么我们该如何下载呢,去哪里找呢?访问下面这个链接就可以找到了。接下来你就可以愉快地下载了。
2025-09-03 22:05:45
1096
翻译 【TryHackMe翻译】Offensive Security Intro(进攻性安全简介)
你的屏幕应该被分成两半,左侧显示当前内容,右侧显示刚刚启动的虚拟机。作为一名道德黑客,你应在获得许可的情况下发现其应用程序中的漏洞,并在黑客利用之前将漏洞报告给银行,以便他们及时修复。在本房间中,我们为你准备了一个名为 Fakebank 的虚假银行应用,你可以安全地进行攻击。在问题后的文本框中输入你的答案,然后点击“Submit”按钮。在这间 TryHackMe 房间里,你将在一个合法且安全的环境中,被引导完成第一次网站黑客攻击。在你的账户余额上方,现在应该会显示一条消息,其中包含本题所需的答案。
2025-08-15 13:30:50
246
翻译 【TryHackMe翻译】Passive Reconnaissance(被动侦察)
欢迎来到网络安全模块的第一个房间。被动侦察主动侦察Nmap 存活主机发现Nmap 基础端口扫描Nmap 高级端口扫描Nmap 端口扫描后续协议与服务协议与服务 2网络安全挑战在本房间中,我们将先定义被动侦察和主动侦察,随后重点讲解与被动侦察相关的核心工具。whois:查询 WHOIS 服务器nslookup:查询 DNS 服务器dig:查询 DNS 服务器我们使用 whois 查询 WHOIS 记录,使用 nslookup 和 dig 查询 DNS 数据库记录。
2025-08-15 13:10:27
148
原创 windows安装Docker Desktop报错One prerequisite is not fulfilled.
我们在windows10下安装Docker Desktop可能会遇到下面的问题错误信息如下通过报错信息我们可以知道 Docker Desktop要求系统版本为 windows10 专业版、企业版或家庭版的版本号大于等于19044那么我们如何确定当前自己系统的版本号呢?首先,打开,再打开,找到最下方的,下面有一个。
2025-08-08 11:58:35
1581
原创 使用docker-java调loadImageCmd报java.lang.RuntimeException: java.net.SocketException: 你的主机中的软件中止了一个已建立的连接
以下内容为本人遇到的问题,仅作参考。
2025-07-27 12:07:24
533
翻译 【TryHackMe翻译】Active Reconnaissance(主动侦察)
在网络安全模块的第一个房间中,我们专注于被动侦察。在这个第二个房间中,我们关注主动侦察以及与之相关的必要工具。我们学习如何使用网络浏览器来收集有关目标的更多信息。此外,我们还讨论使用像pingtraceroutetelnet和nc这样简单的工具来收集有关网络、系统和服务的信息。正如我们在前一个房间中学到的,被动侦察允许你在没有任何直接接触或连接的情况下收集有关目标的信息。你只是在远处观察,或者查看公开可用的信息。主动侦察需要你与目标建立某种形式的联系。
2025-06-24 20:54:25
168
翻译 【TryHackMe翻译】Red Team Engagements(红队行动)
成功行动的关键在于所有参与方之间协调良好的规划和沟通。本课程将重点关注红队行动的各个组成部分以及为红队行动规划和记录一场行动。桌面推演对手模拟物理评估了解红队行动的组成部分和功能。学习如何根据需求、可用资源以及战术、技术、程序(TTPs)来合理规划行动。理解如何根据客户目标撰写行动文档。本课程无需任何先决条件或知识。行动可能会非常复杂且官僚化。成功行动的关键是清晰定义的客户目标。客户目标应该在客户和红队之间进行讨论,以在双方之间建立对期望内容和提供内容的共同理解。
2025-06-21 22:47:03
116
翻译 【TryHackMe翻译】Red Team Fundamentals(红队基础)
网络安全是白帽黑客与黑帽黑客之间永无止境的竞赛。随着网络世界的威胁不断演变,企业对能够使其尽可能为真实攻击做好准备的更专业服务的需求也在增加。传统的安全服务,如漏洞评估和渗透测试可以,很好地概述企业的技术安全状况,但可能会忽略真实攻击者可以利用的其他方面。从这个意义上说,我们可以认为传统的渗透测试擅长揭示漏洞,以便企业采取主动措施,但可能无法教会企业如何应对一个有动机的对手正在进行的实际攻击。我们在讨论的所有内容在执行红队行动时都会整合在一起。
2025-06-21 22:26:55
174
翻译 【TryHackMe】Pentesting Fundamentals(渗透测试基础)
在教你进行道德黑客攻击的实际操作之前,你需要更多地了解渗透测试员的工作职责以及在进行渗透测试(查找客户应用程序或系统的漏洞)时所遵循的流程。网络安全的重要性与相关性不断增加,它与现代生活的方方面面都息息相关。新闻头条不断报道又一起黑客攻击或数据泄露事件。网络安全与现代世界中的所有人都息息相关,无论是个人需要通过强密码策略来保护自己的电子邮件,还是企业和其他组织需要保护设备和数据免受损害。渗透测试(pentest)是一种以道德为驱动的尝试,旨在测试和分析保护这些资产和信息的安全防御措施。
2025-06-08 22:05:04
208
翻译 【TryHackMe翻译】Network Services 2(网络服务 2)
NFS代表“网络文件系统”,它允许一个系统通过网络与其他系统共享目录和文件。通过使用NFS,用户和程序可以几乎像访问本地文件一样访问远程系统上的文件。它通过在服务器上挂载整个文件系统或其一部分来实现这一点。被挂载的文件系统部分可以根据分配给每个文件的权限被客户端访问。信息收集被定义为“建立与目标主机的活动连接,以发现系统中的潜在攻击向量,这些信息可以用于进一步利用系统。在考虑如何对远程机器进行信息收集和利用时,这是一个关键阶段,因为攻击所需的信息将来自这一阶段。
2025-06-08 21:25:36
379
翻译 【TryHackMe翻译】Cyber Kill Chain(网络杀伤链)
摘要 洛克希德·马丁公司提出的网络杀伤链(Cyber Kill Chain)框架揭示了网络攻击的7个关键阶段:侦察、武器化、投递、利用、安装、命令控制和目标行动。攻击者通过情报收集(如OSINT工具和社交媒体)锁定目标,通过武器化(如定制恶意软件)制作攻击载荷,采用网络钓鱼或水坑攻击等方式投递,利用系统漏洞(包括零日漏洞)实施入侵。理解这一模型有助于安全人员识别攻击模式,在早期阶段阻断攻击链。该框架为防御勒索软件、APT等高级威胁提供了系统化的分析工具。
2025-05-31 21:04:03
533
翻译 【TryHackMe翻译】Governance & Regulation(治理与监管)
网络安全是一个迅速演变的领域,在这个领域中,恶意行为者不断努力利用高度敏感系统的漏洞,其目的通常是造成严重破坏、干扰以及窃取敏感企业数据。为了应对这一不断演变的威胁,需要采取全面的信息安全治理与监管方法。这种方法要求建立健全的政策和指导方针,并实施严格的监控和执行机制以确保合规。通过采取主动和战略性的网络安全态势,组织可以降低恶意行为者带来的风险,并保护其敏感系统免受可能造成灾难性破坏的入侵。学习目标了解治理与监管在网络安全中的角色和重要性理解相关的国际法律、法规、政策、标准和指导方针。
2025-05-30 22:16:00
212
翻译 【TryHackMe翻译】What is Networking?(什么是网络?)
网络就是相互连接的事物。例如,你的朋友圈:你们因为相似的兴趣、爱好、技能等而相互连接。城市的公共交通系统基础设施,如国家电力网与邻居见面打招呼用于发送信件和包裹的邮政系统但更具体地说,在计算领域,网络的概念是相同的,只是分散到了技术设备上。以你的手机为例,你拥有它的原因是为了访问各种内容。我们将介绍这些设备如何相互通信以及遵循的规则。在计算领域,网络可以由 2 台设备到数十亿台设备组成。这些设备包括从你的笔记本电脑和手机到安全摄像头、交通信号灯甚至农业设备!网络已经融入了我们的日常生活。
2025-03-16 20:17:32
177
翻译 【TryHackMe翻译】Linux Fundamentals Part 1(Linux基础第一部分)
欢迎来到“Linux基础”系列房间的第一部分。你很可能使用的是Windows或Mac机器,两者在视觉设计和操作方式上都有所不同。就像Windows、iOS和MacOS一样,Linux只是另一种操作系统,并且是全球最流行的操作系统之一,驱动着智能汽车、安卓设备、超级计算机、家用电器、企业服务器等等。我们将介绍Linux背后的一些历史,然后最终开始你成为Linux高手的旅程!在浏览器中的交互式Linux机器上运行你的第一个命令教你一些用于与文件系统交互的基本命令演示如何搜索文件并介绍shell操作符。
2025-03-14 19:53:44
212
翻译 【TryHackMe翻译】Common Attacks(常见的一些攻击)
恶意攻击者有许多不同的选择来针对个人和广泛的群体;然而,每种攻击都有相应的防御措施。完成这个房间后,你应该对这些常见攻击及其防御措施有了更多的了解。你不需要成为计算机或网络安全专家来保持在线安全:解决方案很简单,值得在你的个人和职业在线互动中采用。
2025-03-11 21:00:39
260
翻译 【TryHackMe翻译】Security Principles(安全原则)
安全已经成为一个流行词;每家公司都声称其产品或服务是安全的。但真的是这样吗?在我们开始讨论不同的安全原则之前,了解我们保护资产所面对的对手至关重要。你是想阻止一个婴儿访问你的笔记本电脑,还是想保护一台包含价值数百万美元技术设计的笔记本电脑?对幼儿和工业间谍行为者使用完全相同的保护机制是荒谬的。因此,了解我们的对手是必须的,这样我们才能了解他们的攻击方式,并开始实施适当的安全控制。
2025-03-08 20:18:06
375
翻译 【TryHackMe翻译】Web Hacking Fundamentals之OWASP Top 10 - 2021
本房间将每个OWASP主题逐一拆解,详细介绍了各种漏洞、它们是如何产生的,以及如何利用这些漏洞。你将通过完成相关的挑战任务,将理论知识付诸实践。
2025-03-05 21:27:38
405
翻译 【TryHackMe翻译】Careers in Cyber(网络空间领域的职业)
本文介绍了几种网络安全相关的职业,可以根据自己的喜好选择对应的学习路线。
2025-02-21 20:52:50
253
翻译 【TryHackMe翻译】How The Web Works之 Putting it all together(综上所述)
总结其他的组件负载均衡(Load Balancers)CDN(内容分发网络)数据库(Database)WAF(Web应用防火墙Web Application Firewall)Web服务器的工作原理小测验本篇内容是对Web Fundamentals 下的How The Web Works模块的一个总结。从前面的模块中,你已经了解到,当你在浏览器中请求一个网页时,背后会发生很多事情。总结来说,当你请求一个网站时,你的计算机需要知道它需要与之通信的服务器的 IP 地址;为此,它使用 DNS。
2025-02-17 21:54:15
150
翻译 【TryHackMe翻译】How Websites Work(网站是如何工作的?)
TryHackMe翻译 How Websites Work以及问答答案
2025-02-15 20:59:46
190
JToggleButton开关图标
2022-10-08
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人