- 博客(14)
- 收藏
- 关注
RSS订阅原创 Linux系统应急响应命令大全
在客户单位值守,难免会遇到需要我们排查Linux系统是否存在病毒的情况,网上临时搜的文章指令不是很全,自己笔记本又不太方便复制指令。于是决定总结一下常用指令,发布到博客方便随时使用。
2024-08-12 16:03:38
609
原创 玄机靶场 - 第二章 日志分析-apache日志分析
表示IPv6中的一个特殊地址,它被称为“回环地址”(loopback address),用于指向本机,类似于IPv4中的。可以看到最多的一个IP访问了6555次,这爆破用的字典还挺大,提取IP得到第一个flag。我先将日志提取到了自己的个人电脑,粗略查看了下访问内容,主要是目录爆破攻击。根据题目要求获取当天访问次数最多的IP,通过下面的指令可以快速筛选并统计。注意看题干,这一题统计的是指定时间内有几个IP访问,而不是有多少日志。就获取flag1时使用的那条指令,也可以统计IP访问次数。
2024-08-12 11:01:33
177
原创 玄机靶场 - 第一章 应急响应- Linux入侵排查
运行后门文件,然后再次查看网络连接,可以看到请求的黑客服务器地址和监听端口,如果是真实环境这一步应该在虚拟机或沙盒中进行,打靶场就暂时不讲究这么多了。文件,而elf文件是Linux系统的可执行文件,类似于Windows的exe,加上这个文件名可以判断这是个后门文件。其实这个文件不算不死马,不死马文件在下面这个flag的解题步骤里。,必须通过查看隐藏文件的指令才能发现,密码是加密的md5值。而在这个文件中,不死马对应的密码也是我们前面得到的md5值。是我们前面提到的隐藏后门文件,而这个后门文件实际是由。
2024-08-08 23:16:52
420
原创 玄机靶场 - 第一章 应急响应-webshell查杀
可以联想到是Godzilla的缩写,但是用哥斯拉生成的webshell就只是普通的一句话,而这个webshell的代码格式有点像冰蝎。黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}查看文件内容,发现确实是使用了字符串拼接进行免杀,代码中没有直接暴露的高危函数。根据flag的格式要求,对免杀马文件的绝对路径进行md5加密,就能得到flag。
2024-08-08 23:14:40
378
原创 玄机靶场 - 第一章 应急响应-Linux日志分析
通过手动拼接获取到了爆破的用户名,构成flag提交发现不对,然后还试了是不是对爆破的IP也有要求,又分别构造了几条试了也都不对。最后看了下别人的题解,要求是要统计重复次数并且按照重复次数进行降序排序,我的评价是多此一举,这个答案设计的有点死板。,并且是登陆后随后进行的操作,说明是用的黑客登录成功的Session进行的新增后门用户操作,登录环境没变。,并且是在之前的Session退出后操作的,应该是靶场搭建人员做的维护。后面发现不对,看了下别人的题解说是要获取“登录成功的IP共爆破了。爆破用户名字典是什么?
2024-08-08 23:10:56
633
原创 解决双网卡主机无法访问互联网问题
最近连续两次遇到了双网卡主机无法访问互联网的问题,主要是由于默认路由走的不是可以访问互联网的那张网卡所导致,下面是排查和解决过程
2024-07-31 17:08:32
303
原创 通过Edge自带IE模式解决IE网站渗透问题
在渗透测试中难免会遇到那种早年开发的网站,必须使用IE浏览器打开才能正常访问,而在Windows 11中已经将IE浏览器彻底移除,除非借助第三方IE插件,否则无法正常访问这类网站第三方插件终究是没那么稳定,由于之前安装的IE插件开始收费,经过研究发现Edge在91.0.864.64版本后内置了IE模式,我们只需要在设置中打开IE模式,便可以将网页以IE模式加载开始渗透工作了,下面介绍使用方法。
2024-07-17 09:26:25
227
原创 【内网渗透】深入认知Windows域环境架构
作为红队想要很好的开展内网渗透,首先便是要对Windows域环境的组成有一个基本的了解,这样才知道我们在实际内网横向时要获取哪些关键信息。在一个大型单位中,可能有成百上千台计算机互联组成局域网,如果不对其进行分组和同一管理,整个网络将十分混乱,进行计算机划分管理十分有必要,下面详细介绍一下Windows域环境的划分常见划分
2024-07-16 16:12:18
930
原创 单网卡配置路由实现内外网同时通信
Hvv和重保期间,难免要去客户现场进行技术支撑。由于客户基本都有严格网络配置,在连入内网的情况下无法访问外网,使用非常不便,因此想办法实现内外网互通十分必要实现非常简单,就是通过实体网线连接与互联网隔离的内网交换机,同时通过无线连接可以访问互联网的WIFI,再配置永久路由就能实现内外网同时通信互不干扰。
2024-07-16 15:07:37
369
原创 利用Nginx隐藏红队服务器Web应用指纹
攻防演练是一个对抗过程,攻防中红队几乎必定会用到的VPS用于远控或者扫描,为了避免被蓝队溯源反制,利用Nginx反向代理对VPS上的Web服务进行反溯源处理,可以避免被威胁感知平台监测,降低被溯源的风险。
2024-07-16 14:45:17
861
原创 三款工具便捷测试TCP或UDP端口是否开放
作为一名网管(并不是),有时候需要负责一些网络运维相关的工作,而判断端口是否开放是调试网路中经常用到的技术,下面简单介绍三款常用的端口连通性测试工具,其中Telnet和Tcping仅适用于TCP端口,而Netcat同时适用TCP和UDP。
2024-07-16 11:57:19
2048
原创 通过端口号快速定位应用程序和路径
不管是进程排查还是端口占用查看,都经常会要用到通过网络端口号查询对应程序的指令,每次要用到都得在网上找有点麻烦,因此决定将指令整理到这篇文章中,方便随时查阅。
2024-07-16 10:02:44
361
原创 快速解决VMware中360核晶模式无法开启问题
为了测试后门 Bypass 效果,在 VMware 虚拟机中安装了 360 安全卫士,开启晶核模式时发现无法开启核晶模式开启入口在 360 首页左下角安全防护中心右上角打开晶核模式,提示环境不支持,这是因为虚拟机硬件没有开启 VT 虚拟化(Intel-VT 和 AMD-V)
2023-11-01 10:57:53
1740
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人