Windows靶机应急响应(三)

最新推荐文章于 2024-07-25 23:51:24 发布
最新推荐文章于 2024-07-25 23:51:24 发布
阅读量552 收藏 9
点赞数 10
分类专栏: 应急响应 文章标签: 网络安全 web安全 安全 系统安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W13680336969/article/details/137505175
版权

靶机地址

前来挑战!应急响应靶机训练-Web3_前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备-CSDN博客

响应背景

(1)攻击者的两个IP

(2)攻击者隐藏用户名称

(3)攻击者留下的flag

响应流程总结

(1)工具查杀webshell——文件名

(2)日志分析——攻击者IP地址

(3)系统用户排查——隐藏用户名

(4)系统操作排查——计划任务

(5)网站排查——攻击者遗留信息

响应流程

启动靶机,账号密码:administrator/xj@123456(运行exe,拿到解题背景)

一、后门查杀

(1)D盾webshell查杀

(2)webshell(404.php)

(3)webshell(post-safe.php)

二、日志分析

(1)apache日志

(2)日志分析工具分析

三、系统用户排查

(1)C盘用户组

(2)控制面板

(3)D盾排查

四、系统操作排查

(1)分析工具LastActivityView

        工具连接:https://www.nirsoft.net/utils/computer_activity_view.html

        查找webshell

(2)排查webshell上传过后系统所进行的操作

(3)Hacker执行计划任务

(4)计划任务管理器(找到可疑计划任务)

(5)排查可疑任务执行的程序

(6)根据路径找到执行程序

五、网站排查

(1)小皮启动网站

(2)进入网站

(3)后台登录

(4)尝试弱口令,失败

(5)搜寻Z-Blog忘记密码解决办法

(官方解决方案:将重置文件上传至网站根目录下,直接访问即可修改密码)

(6)下载重置文件(下载完成后放到网站根目录下)

重置文件连接:https://update.zblogcn.com/tools/nologin.zip

(7)路径访问重置文件

(8)登录Hacker用户(排查各个功能点,观察是否有遗留信息)

(9)在用户管理处,找到了Hacker遗留的信息

Yeah_0day
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
应急响应靶机训练-Web2
2201_75316477的博客
03-18 649
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。到这里还差一个攻击者的另一个ip,我是没找到,看了一下解题思路,另一个IP是使用蓝队工具箱的日志分析工具找到的。打开QQ号文件下的FileRecv文件夹,看到了黑客上传的frp工具,查看配置文件frpc.ini文件。查看apache日志文件可以发现攻击者的一个ip为192.168.126.135,在启动靶机时,如果你的vm版本为16,请将虚拟机的vmx文件改一下。
应急响应靶机训练-Web3题解
Liyu_6618的博客
03-20 932
应急响应靶机训练-Web3题解
应急响应靶场练习-Web篇(知攻善防实验室)
weixin_64815500的博客
06-03 1237
出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具排查异常账户,控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾,中间件日志分析,工具远程登录日志分析等排查查看计划任务taskschd.msc,如果有找到执行的程序/路径去网站网页下面寻找信息。
Windows靶机应急响应(一)
流水不争先,争的是滔滔不绝
04-02 1829
Windows靶机应急响应
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
Metasploitable_ubuntu-book.zip
07-14
6. **应急响应**:了解一旦系统被攻陷,如何进行有效的应急响应和恢复工作。 7. **合规性检查**:模拟合规性审计,确保系统符合安全标准和最佳实践。 8. **提升技能**:通过实际操作,提升你的渗透测试技巧,了解...
CISP-PTE靶场(win+centos).zip
03-13
CISP-PTE靶场是一个针对信息安全专业人员进行渗透测试与应急响应能力训练的平台,它涵盖了Windows和Linux两种操作系统环境。这个压缩包包含了两个不同系统的靶场环境:win2003和CentOS,以及一个关于如何搭建CISP-...
网络攻防实验指导书,实验一平台搭建 实验二网络信息收集 实验TCP/IP网络协议攻击 实验四系统攻防实验 实验五
05-15
【网络攻防实验指导书】是一份针对信息安全或网络空间安全专业学生的实验...通过这些实验,学生能够深入理解网络攻防的理论知识,并在实践中提升安全防护和应急响应能力。这些技能对于未来从事网络安全工作至关重要。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全之初始访问阶段攻防手段(
子非渔
07-25 980
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
中小企业常见的网络安全问题及防范措施
w651428055的博客
07-22 690
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
网络安全相关竞赛比赛
黑战士的博客
07-18 1043
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
2024春秋杯网络安全联赛夏季赛Crypto(AK)解题思路及用到的软件
符啸九天的博客
07-22 1074
2024春秋杯网络安全联赛夏季赛Crypto解题思路以及用到的软件1.vm(虚拟机kali)和Ubuntu,正常配置即可B站有很多。2.Visual Studio Code(里面要配置python,crypto库和Sagemath数学软件系统Sagemath)。3.随波逐流工作室 (1o1o.xyz)ctf工具。2024春秋竞赛ezzzecc视频解题思路2024春秋竞赛happy2024视频解析2024春秋竞赛夏季赛Signature解题思路
企业产品网络安全建设日志0725
最新发布
KD的疯狂实验室
07-25 308
显然,这种说法是安全工作中的一个挑战。因为推动时间也蛮长了,做出了:只要升级一部分,易升级的组件即可。前天遇到的挑战是某后端部门排期出现问题,本应该做漏洞提升的时间被其他工作插入。测试团队需要进一步支持,因为组件升级,许可证升级以及后续的编码安全建立都是一串蚂蚱。基础的安全种子显然已经埋下。团队有人A提出,是否有必要按照某软件报的漏洞信息实施安全提升工作。我们的信息安全策略就是通过覆盖防组件风险,降低我们产品自身的风险。特别是搬出来A之前在,其他企业的经验,即。安全宣讲和必要的沟通是无法回避的。
网络安全入门教程(非常详细)从零基础入门到精通_网路安全 教程
2401_85023708的博客
07-25 1943
1.入行网络安全这是一条坚持的道路,分钟的热情可以放弃往下看了。2.多练多想,不要离开了教程什么都不会了,最好看完教程自己独立完成技术方面的开发。3.有时多百度,我们往往都遇不到好心的大神,谁会无聊天天给你做解答。4.遇到实在搞不懂的,可以先放放,以后再来解决。先科普划分一下级别(全部按小白基础,会写个表格word就行的这种)**1级:脚本小子;难度:无,**达到“黑客新闻”的部分水准(一分钱买iphone、黑掉母校官网挂女神照片什么的)网络安全工程师;
速盾:网络安全和 CDN 之间的关系是怎样的?
zhuguowang01的博客
07-25 392
首先,CDN可以提供分布式的网络基础架构,帮助分散用户的请求并减少对源服务器的负载。网络安全主要涉及保护网络和系统免受各种威胁和攻击,而CDN是一种用于提供更快速、高效和可靠的内容交付服务的技术。在当今数字化和云计算时代,网络安全和CDN之间的关系变得更加紧密,共同为用户提供更好的网络体验和保护。在当今数字化和云计算的时代,网络安全和CDN的结合对于提供更好的网络体验和保护用户的信息安全至关重要。CDN可以使用身份认证和加密技术来确保用户和服务器之间的通信安全,并检测和阻止任何中间人攻击的尝试。
“微软蓝屏“事件暴露了网络安全哪些问题?
程序员-张师傅
07-23 814
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
windows提权靶机
09-12
Windows提权靶机是用于学习和实践Windows系统提权技术的虚拟机或实体机。它模拟了一个具有已知漏洞或弱点的Windows系统,让安全研究人员、渗透测试人员或学习者能够探索和实践提权攻击技术。 有一些常见的Windows提权靶机可供使用,比如: 1. Metasploitable:这是一个常用的漏洞测试靶机,其中包含了多个已知漏洞,包括Windows系统的一些弱点。 2. VulnHub:这是一个提供多种漏洞靶机的平台,你可以在上面找到适合你学习和实践的Windows提权靶机。 3. HackTheBox:这是一个在线渗透测试实验平台,提供了一系列具有各种漏洞和挑战的虚拟机。 请注意,在使用任何靶机之前,请确保你已经获得了合法的授权,并遵守法律和道德准则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值