- 博客(198)
- 收藏
- 关注
RSS订阅原创 ATT&CK实战系列--蓝队防御(七)
该靶场来源于互联网,免费收集,免费推广,平台上任何靶场都为免费下载。如需下架请联系VulnStack团队。
2025-12-08 11:39:13
600
原创 ATT&CK实战系列--蓝队防御(六)
该靶场来源于互联网,免费收集,免费推广,平台上任何靶场都为免费下载。如需下架请联系VulnStack团队。
2025-12-08 10:49:01
444
原创 ATT&CK实战系列--蓝队防御(五)
该靶场来源于互联网,免费收集,免费推广,平台上任何靶场都为免费下载。如需下架请联系VulnStack团队。
2025-12-07 22:01:02
770
原创 ATT&CK实战系列--蓝队防御(四)
该靶场来源于互联网,免费收集,免费推广,平台上任何靶场都为免费下载。如需下架请联系VulnStack团队。挑战内容-Linux1 前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
2025-12-07 17:08:50
440
原创 ATT&CK实战系列--蓝队防御(三)
该靶场来源于互联网,免费收集,免费推广,平台上任何靶场都为免费下载。如需下架请联系VulnStack团队。
2025-12-07 16:37:18
937
原创 ATT&CK实战系列--蓝队防御(二)
可以看到有一个3389,windows10中没有永恒之蓝,但是有一个永恒之黑,我不知道影响不影响,但是按照我渗透的思路来,fscan可以扫描到永恒之黑,那么就会先去尝试永恒之黑了,利用成功就直接渗透进来了,也不需要再去搞什么扫描web目录啥的了,所以我们暂时排除,去排查一下3389端口,其余的不知道啥端口就先放一放,分析的话,我们去放一个日志分析工具,去排查有没有对3389进行攻击,有没有4624和4625的日志。在第一题中就分析出来了,看的方式很多,看计算机管理、C盘中的用户文件夹、使用命令、注册表等。
2025-12-04 20:35:08
935
原创 ATT&CK实战系列--蓝队防御(一)
既然是挖矿程序,那么肯定是占用的系统资源很高,我们去排查一下,排查任务管理器,没有什么可疑的,然后排查计划任务看看呢,应该是有计划任务的,不然怎么做权限维持呢 也没有,后来想到黑客注册了一个用户,我们用黑客注册的用户去看看呢,hack168$需要密码,我们改一下密码。黑恶在一秒之内发动了很多的POST攻击,应该是爆破账号密码,我这里没有使用bp爆破。修复漏洞那么就要去分析什么漏洞了,去分析日志找到漏洞点,然后再去修复 1.删除挖矿 2.删除恶意用户 3.删除木马后门 4.排查漏洞,进行修复。
2025-12-04 17:36:50
748
原创 ATT&CK实战系列——红队实战(十二)
注册一个普通用户登录,然后上传头像的地方来上传一个木马试试,也不行,禁止了后缀为php等,.htaccess也不行,php.jpg上传后就被改名字了,文件上传行不通了,还是放在爆破后台账号上,这里网上意外找到了wp,因为题目有一个nasa,所以根据它也就是已知信息来生成一个字典去bp爆破,用户名就用nasa。wp说我们进入后台是通过社会工程爆破进入的,但是实际场景下,我们通过这个方式是很难进入的,爆破并不是一个好的办法,所以从网上找开源的代码,进行代码审计。
2025-12-02 21:24:25
1141
原创 ATT&CK实战系列-红队评估(九)(上)
是可以进行攻击利用成功的,但是我这里没有反弹shell,是因为我是用的是反向连接,这样是给大家演示一下,错误示范,因为走的是代理,目标主机如果反向连接我的话,是找不到我的,不走代理我也是找不到目标主机的,所以这里要用正向的payload。攻击成功,这里不懂正向和反向的我来稍微说一下,正向就是我去找你,和你建立连接,反向就是你来找我,和我建立连接,大概就是这个意思,我的msf走的代理,所以可以访问目标主机,但是目标主机访问不了我。
2025-12-01 21:57:59
1131
原创 Hackmyvm靶场之Always渗透
这里使用了好几个没有成功,所以就没有尝试了,看来wp,发现使用的是windows/local/always_install_elevated。查看网页源码看看有没有提示,结果看到了它是前端的校验,账号密码是admin:adminpass123。使用ftp来登录,有一个robots.txt,查看,然后访问给出的爬虫网页文件。没有什么可利用的信息,查看网页的源码,也没有什么信息,使用工具扫描。使用给的账号密码登录,给了一个提示信息,但是是base64加密的。运行后成功上线msf,检测可用提权方式,也可以直接。
2025-11-30 16:42:49
439
原创 2025年Solar应急响应公益月赛-11月
题目:部分数据丢失,好在运维之前做了备份,使用C:\Users\Solar\Desktop\工具\diskgenus恢复C:\Users\Solar\Desktop\工具\backup中的备份内:C:\Users\Solar\Desktop\flag.bak文件,提交其flag。- 题目:应急响应.com 找到此家族恢复工具进行恢复,提交C:\Users\Solar\Desktop\lSimulation_Desktop_Files\flag.txt文件中的flag。- 题目:此勒索家族名称是什么?
2025-11-29 20:00:00
1017
原创 格格巫和蓝精灵的内网靶场cyber-range1(全篇详解)
我们在探测内网存活主机虽然搭建了代理,但是也不能通过代理去探测,因为fscan和nmap探测都是通过icmp的,所以肯定会探测失败的,这里我是踩过坑的,上传fscan到靶机中扫描才是王道,我们之前的正向代理没有成功,因为目标是docker容器,虽然靶机启动了木马程序,并且监听了我们设置的端口,但是因为我们的kali只能够和目标的边缘服务器,也就是docker的宿主机通信,所以我们木马无法使用,现在配置kali的代理,就可以通过代理来上线了,我们先来试一下msf上线吧。
2025-11-29 14:10:27
747
原创 州弟学安全|学校挖矿病毒应急响应
我们做到这里发现攻击者上传了两个木马=-=,还有一个是70b86b64-ce15-46bf-8095-4764809e2ee5.jsp。这货上传了两次木马,第二次的木马文件名为70b86b64-ce15-46bf-8095-4764809e2ee5.jsp。攻击者访问最多的也就是这个70b86b64-ce15-46bf-8095-4764809e2ee5.jsp了。我们去找上传的接口,因为上传的接口就是攻击者的突破口,如下注册-登录-上传-访问webshell。
2025-11-25 15:23:57
307
原创 内网对抗-红日靶场5通关详解
🛡 内部安全攻防圈|专注技术·聚焦实战🔒 这是一个专为安全技术爱好者与实战者打造的内部圈子,聚焦真实攻防能力成长与高质量资源分享:🎓 EDUSRC / CERT等漏洞平台挖掘🚩 红蓝攻防对抗🛠️ 渗透测试全流程💣 漏洞情报追踪与POC/EXP分享🧪 攻防平台 / 靶场实战📦 实用安全工具推荐🧬 技术前沿探索🧨 应急响应与安全加固经验🔍 项目放送 + 工具脚本共享。
2025-08-28 16:19:16
367
原创 内网对抗-红日靶场4通关详解
🛡 内部安全攻防圈|专注技术·聚焦实战🔒 这是一个专为安全技术爱好者与实战者打造的内部圈子,聚焦真实攻防能力成长与高质量资源分享:🎓 EDUSRC / CERT等漏洞平台挖掘🚩 红蓝攻防对抗🛠️ 渗透测试全流程💣 漏洞情报追踪与POC/EXP分享🧪 攻防平台 / 靶场实战📦 实用安全工具推荐🧬 技术前沿探索🧨 应急响应与安全加固经验🔍 项目放送 + 工具脚本共享。
2025-08-28 14:52:28
715
原创 内网对抗-小迪vpc3渗透通关
🛡 内部安全攻防圈|专注技术·聚焦实战🔒 这是一个专为安全技术爱好者与实战者打造的内部圈子,聚焦真实攻防能力成长与高质量资源分享:🎓 EDUSRC / CERT等漏洞平台挖掘🚩 红蓝攻防对抗🛠️ 渗透测试全流程💣 漏洞情报追踪与POC/EXP分享🧪 攻防平台 / 靶场实战📦 实用安全工具推荐🧬 技术前沿探索🧨 应急响应与安全加固经验🔍 项目放送 + 工具脚本共享。
2025-08-27 16:04:22
891
原创 内网对抗-小迪vpc2渗透通关
1.通过http连接kali的msf,通过msf的代理不是很稳定,搭建完毕之后不可以使用nmap或者fscan去扫描,通过fscan扫描之后这个socks代理就会断开,可以通过curl测试是否搭建成功,使用nmap好像是问题不大,但是使用fscan -h 192.168.2.11这样子针对这个ip主机进行扫描之后,socks就不可以使用了使用如下的扫描之后,socks将不能够使用我们接着上边使用ms17 010和数据库搞它,试试行不行,使用永恒之蓝是不行的。
2025-08-26 22:12:40
1039
原创 内网对抗之红日靶场3
🛡 内部安全攻防圈|专注技术·聚焦实战🔒 这是一个专为安全技术爱好者与实战者打造的内部圈子,聚焦真实攻防能力成长与高质量资源分享:🎓 EDUSRC / CERT等漏洞平台挖掘🚩 红蓝攻防对抗🛠️ 渗透测试全流程💣 漏洞情报追踪与POC/EXP分享🧪 攻防平台 / 靶场实战📦 实用安全工具推荐🧬 技术前沿探索🧨 应急响应与安全加固经验🔍 项目放送 + 工具脚本共享。
2025-08-23 19:50:43
1087
原创 ATT&CK实战系列之红日靶场2
🛡 内部安全攻防圈|专注技术·聚焦实战🔒 这是一个专为安全技术爱好者与实战者打造的内部圈子,聚焦真实攻防能力成长与高质量资源分享:🎓 EDUSRC / CERT等漏洞平台挖掘🚩 红蓝攻防对抗🛠️ 渗透测试全流程💣 漏洞情报追踪与POC/EXP分享🧪 攻防平台 / 靶场实战📦 实用安全工具推荐🧬 技术前沿探索🧨 应急响应与安全加固经验🔍 项目放送 + 工具脚本共享。
2025-08-22 13:35:12
360
原创 内网渗透之权限维持(黄金白银钻石蓝宝石票据)
🛡 内部安全攻防圈|专注技术·聚焦实战🔒 这是一个专为安全技术爱好者与实战者打造的内部圈子,聚焦真实攻防能力成长与高质量资源分享:🎓 EDUSRC / CERT等漏洞平台挖掘🚩 红蓝攻防对抗🛠️ 渗透测试全流程💣 漏洞情报追踪与POC/EXP分享🧪 攻防平台 / 靶场实战📦 实用安全工具推荐🧬 技术前沿探索🧨 应急响应与安全加固经验🔍 项目放送 + 工具脚本共享。
2025-08-18 15:17:26
386
原创 WebShell工具流量识别分析&&特征提取
第一个请求总会发送大量数据,这是配置信息,且请求包内无cookie,服务器响应包无内容,生成一个session,后续请求会带上比session到请求包中的cookie中。蚁剑 和 冰蝎 都是极为常见的 WebShell 工具,蚁剑带有明显的标识,而冰蝎则通过 AES 加密 增加隐蔽性。:更轻量的 WebShell,通过代理隐藏请求,可以通过 Web 后门 执行命令、上传文件,并提供特定的控制界面。请求和响应的数据都是加密的,这使得 WebShell 的行为变得更加隐蔽,难以通过常规的流量分析发现。
2025-07-20 11:14:43
891
原创 几款开源的安全监控与防御工具分享
安全监控与防御工具概述 在现代网络安全架构中,合理选择和部署一系列的安全监控、检测、响应工具至关重要。下面我们将介绍一些常见的安全工具,包括 Elkeid、Wazuh、Caldera、ELK、Snort、Suricata、OpenHFW、OSSEC、GScan 和 Sysom,并详细介绍它们的下载链接、用处、使用方式、特点、作用和应用场景。
2025-07-18 13:27:08
921
原创 [特殊字符]️ Snort 与 Suricata 入侵检测系统详解
Suricata是由 OISF(开放信息安全基金会)开发的高性能多线程 IDS/IPS/NSM 系统,兼容 Snort 规则格式,并扩展了 HTTP/TLS/DNS 字段解析、文件提取、Lua 支持等功能,适用于高负载环境。项目SnortSuricata开发维护CiscoOISF(开放信息安全基金会)规则语法Snort 规则兼容 Snort,支持更多字段多线程❌(Snort 2 不支持)✅ 原生多线程TLS/HTTP/DNS 字段解析❌ 基础支持✅ 支持字段级协议解析(如。
2025-07-16 22:20:25
1125
原创 Linux应急Rootkit后门查杀&&病毒查杀软件
生产环境中建议错峰安排扫描任务,避免同时运行多个全盘扫描工具。检测rootkit、后门程序和可疑文件,通过校验和验证系统命令的完整性。检测常见rootkit和系统后门,包括隐藏进程、内核模块恶意修改等。检测隐藏进程、TCP/UDP端口和文件系统隐藏技术。开源反病毒引擎,检测恶意软件、特洛伊木马和恶意脚本。高级系统工具集(进程/内核/网络/注册表分析)企业级端点防护,提供实时威胁防护和EDR功能。支持检测wtmp/utmp日志篡改。三合一检测(进程/端口/文件系统)企业级防护方案,支持服务器和工作站。
2025-07-16 15:03:35
1271
原创 安装搭建KubeSphere环境&&Kubernetes环境
Kubernetes的默认dashboard功能有限,Kubesphere集成了很多套件,功能强大,但是集群要求较高KubeSphere是一款开源项目,在目前主流容器调度平台Kukernetes之上构建的企业级分布式多租户容器管理平台,提供简单易用的操作界面以及向导式操作方式,在降低用户使用容器调度平台学习成本的同时,极大降低开发调试、测试、运维的日常工作的复杂度KubeShpere官网:https://kubesphere.io/
2025-07-09 21:15:40
1545
原创 Kubernetes安装部署详细教程
在vmware中安装三台Centos7的虚拟机,配置如下2.修改hosts设置(所有节点执行)3.修改源(所有节点执行)4.修改主机名字(所有节点执行)5.配置ssh免密登录(master执行)先生成密钥,然后复制到其他节点6.关闭swap分区(所有节点执行)kubelet要求必须禁用交换分区,所以kubeadm初始化时回检测swap是否关闭,如果没有关闭会报错,如果不想关闭安装时命令行可以指定-ignore-preflight-errors=S
2025-07-08 18:09:44
1251
原创 Linux系统权限维持篇
PAM是一种认证模块,PAM可以作为Linux登录验证和各类基础服务的人认证,简单来说就是一种用于Linux系统上的用户身份验证机制,进行验证时首先 确定是什么服务,然后加载对应的PAM配置文件,最后调用认证文件进行安全认证,简易利用的PAM后门也是通过修改PAM源码中的认证的逻辑来达到权限维持的。本地有下载过,可以去看一下 在安装这个工具的时候可以选择参数,然后可以设置隐藏的文件名,然后文件只要开头是我设置的文件名,就会隐藏。然后可以写一个脚本发送log到我的服务器,就可以一直知道服务器的密码了。
2025-07-02 13:48:14
580
1原创 横向移动02
(高权限,需要NTLM)利用获取的NTLM生成的新的票据尝试认证因为当前主机肯定之前与其他主机连接过,所以本地应该生成了一些票据,我们可以导出这些票据,然后再导入票据,利用该方法类似于cookie欺骗。WinRM代表windows远程管理,是一种允许管理员远程执行系统管理任务的服务,WinRS是内置的命令行工具,用于远程连接执行运行WinRM的服务器并执行大多数cmd命令。1.win2012之前利用需要手动开启winRM,在win2012之后包括win2012的版本是默认开启的。
2025-06-29 19:27:28
347
原创 2023国赛linux的应急响应-wp
由于没有给出linux服务器的用户名和密码,我们先用kali扫一下端口和ip,然后看到有一个ssh开放,我们就通过ssh进行爆破对137进行爆破通过账号密码登陆进去,然后开ssh远程,用windows命令连接,因为linux命令行看的东西不能上下移动2023 年国赛模拟题-linux 应急响应。
2025-06-28 20:01:41
468
原创 2023国赛windows内存取证
进入查看,看到了一个os.system(写入到了hilyary.txt),说明这个恶意进程写入的文件名称是hilyary.txt。这里提取hash的时候想到可以通过lsadump直接看,但是这里没有,所以就开始爆破吧。看到有一个powershe11.exe这个东西很可疑,就是恶意进程,这俩都是恶意进程。这个通过hashdump可以看到所有的用户,然后我们还需要看一下注册表来确定。需要恶意进程写入的文件的名称,可以通过进程提取插件,memdump下来。如果显示一下,说明是镜像的版本没有弄错。
2025-06-28 19:56:51
384
原创 Linux内存取证
我们先把linux取证文件放到kali中,然后这里的Ubuntu18.04-5.4.0-84-generic.zip需要不解压直接放到vol工具中然后把Ubuntu18.04-5.4.0-84-generic放到vol工具中,然后开始去这个,使用vol工具查看linux的版本信息这个LinuxUbuntu18_04-5_4_0-84-genericx64是有用的,是linux的版本信息,复制出来需要用。
2025-06-28 19:52:48
500
原创 2023国赛数字取证-流量分析
请 您根据捕捉到的流量包,搜寻出⽹络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的⾏为。这个要筛选的是udp的流量,刚开始从http追踪流追踪半天没结果,后来看wp是筛选udp的流量,然后这个后面的info信息就是计算机的名称了 flag{WIN-935BICNFFVK}登入web系统,那么我们就筛选http的流量,找到是md5加密的,后面的注释是解密flag{rebeyond}可以看出来是文件上传文件上传内容是一句话木马,然后文件名字是shell.PHp。
2025-06-28 19:46:30
349
原创 某省赛题-windows内存取证
查看网络连接情况,然后 可以看到54.36.109.161:2222比较可疑,怀疑是挖矿地址,然后它的pid是2588,记下来,可能用到,它的服务名是svchost.exe这个本身是系统的进程服务名,伪装了。然后我们来使用svcscan来查看服务,因为题目要的是注册了什么服务,我们看到最后的一个pid是3036,是挖矿地址的pid,这个就是恶意注册的服务类。7.病毒在自我删除时执行的命令是什么?这里我们要找病毒再自我删除执行的命令,那么我们就需要去看病毒的源码,我们memdump下来loader这个进程。
2025-06-28 19:41:51
483
原创 内网对抗之信息收集篇
主要用在内网中个人用机的比较多 4.信息收集工具总结 https://github.com/guchangan1/All-Defense-Tool。1.Template启发式内网扫描,对于域信息收集很不错,内网域扫描高级工具,本地kali机器上或者本地win就可以运行使用。https://github.com/lucky-ecat/wechat_info_collect //另一个微信收集工具。3.Pillager适用于后渗透期间的信息收集工具,可以收集目标机器上的敏感信息。这个项目中有微信信息收集工具。
2025-06-28 19:38:44
530
原创 隧道技术篇2&&frp代理&&nps代理&&shisel代理
nps是一款轻量级,高性能,功能强大的内网穿透代理服务器,目前支持udp,tcp流量转发,可支持任何tcp,udp上层协议访问内网网站本地支付接口,ssh访问,远程桌面,dns解析等,此外还支持内网http代理,外网socks5代理,p2p等,并带有功能强大的web管理端。然后和之前一样使用两个监听器,一个监听器是6666的公网服务器端口,一个是本地的5555端口,kali机做攻击机的的话就可以通过隧道建立连接了。1.下载nps,然后上传到服务端口,直接运行,然后访问服务端的ip地址加端口8080。
2025-06-28 15:59:44
1092
这是一个关于python爬虫的一个小案例,可以帮助读者了解python爬虫
2024-02-01
mysql面试题文档,主要讲述了一些数据库的基本理论
2024-02-01
主要是关于linux的一些学习笔记
2024-02-01
华为ensp的安装包,需要先下载wireshark-winpacp-VirtualBox最后安装ensp即可
2024-02-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人