应急响应靶场实战web1

已于 2024-05-26 11:42:46 修改
阅读量344 收藏 3
点赞数 7
文章标签: 安全 网络安全 web安全 安全架构 学习方法 系统安全 计算机网络
于 2024-05-26 11:37:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helloKittywz/article/details/139212271
版权

最近在学与应急响应相关的知识,然后也是做了这个比较简单的靶场吧,也是记录一下做的过程。

靶机描述:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

首先要理清楚思路,才好下手,思路是非常的关键,外面看这个提示,shell也就是攻击者传入的后门文件,然后ip地址也就是攻击者的IP,因为有攻击者是通过web进来的,所以我们的日志会记录的,我们找到是谁第一次访问这个文件也就是说他多半就是攻击者,隐藏用户的话也是攻击者留下来的后门,我们在cmd命令行中是看不见的net user,我们可以在控制面板的用户那去查看,也可以去注册表中去查看有没有影子用户等,然后矿池这个我们看cpu和gpu的比例,来确定哪个是挖矿的程序,我们在查看的时候就是没有看见程序运行,但是攻击者在创建了这个用户过后,在该用户的桌面有挖矿的程序,我们找到过后,发现是exe程序但是没有他的配置文件,因为挖矿程序会有一个配置文件,里面会记录矿池地址和钱包地址等信息,然后我们观察他是py的图标,我们使用工具来进行反编译变成pyc,然后进行在线的pyc反编译得到里面的源码。下面我们来看看实践

首先打开靶场,我们可以看网站的根目录下的文件有没有什么明显的文件,如果文件很多,我们直接使用工具(我使用的d盾来进行扫描),然后发现后门的文件

找到了后门文件,我们记录一下后门文件创建的时间以及查看里面的内容,仔细观察发现是冰蝎的后门文件密码是默认的

然后我们去找攻击者,看日志中谁第一次访问的这个文件

对应的ip地址也就是出来了,其实前面就是攻击者在进行攻击的操作了

对于那个隐藏用户我就不去控制面板看了

然后在这个用户的桌面找到了这个挖矿程序,我们在进行操作,从gihub上面下载工具来进行操作

https://github.com/extremecoders-re/pyinstxtractor

然后在进行操作,这点要注意要把文件exe转成pyc在命令行进行操作  

还有就是要放到同一个目录下面,记住记住记住这点很关键。

得到这个文件,在网上随便找一个网站,转成py然后看见里面的源码矿池就出来了

思路很重要,其实应急难就难在思路,因为我们不知道攻击者干了什么事情,我们要进行排查计划任务,启动项等等,这个挖矿病毒还要删除文件,文件删除不干净他会反复的出现,攻击者要进行权限维持,会有各种各样的进行操作,我们要排查干净,我们在进行操作的时候要一步一步来做好思路的先后顺序。后面还会有其他的应急实例,一起向前。加油!

helloKittywz
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
多啦集成式靶场环境 正式版 V1.0.zip
01-25
7. **应急响应计划**:预先制定应对安全事件的计划,包括如何隔离问题、收集证据、修复漏洞和通知相关人员。 8. **持续学习和更新**:网络安全领域不断发展,新的攻击技术和漏洞不断涌现,因此保持学习和了解最新...
应急--内存查杀演示(极简)
m0_58355451的博客
08-30 2498
由客户端发起的Web请求后,中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作,内存就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件,插入恶意的shellcode,达到持久化控制服务器的目的。以java为例,客户端发起的web请求会依次经过Listener、Filter、Servlet三个组件,我们只要在这个请求的过程中做手脚,在内存中修改已有的组件或者动态注册一个新的组件,插入恶意的shellcode,就可以达到我们的目的。
应急响应实践课程(全新升级)—分享下载
W小哥
04-22 792
应急响应视频课程-课程目录 应急响应视频教程 放在了 知X星球 与 我的资源中 csdn我的资源: 以下是应急响应视频课程-部分课程目录 更多资源: 1、web安全工具、渗透测试工具 2、存在漏洞的网站源码与代码审计+漏洞复现教程、 3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频 4、应急响应真实案例复现靶场应急响应教程 收集整理在知识星球,可加入知识星球进行查看。 ...
Windows应急响应靶机 - Web1
qq_48904485的博客
06-20 593
应急响应靶机训练-Web1前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码。
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门——事件复现(含靶场环境)
W小哥
03-10 7782
一、事件背景 某天客户反馈:服务器疑似被入侵,一直反弹shell到恶意IP(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.184.142、无WEB服务 二、应急响应过程 2.1 排查异常并清除病毒 2.1.1 使用命令 alias 查看是否异常别名 ...
开源靶场zsbdzsbd
04-19
7. **应急响应与漏洞管理**:理解漏洞生命周期,学习如何发现、报告、修复和跟踪漏洞,以及制定应急响应计划。 8. **法律与合规**:了解在进行渗透测试时需遵守的相关法律法规,如不损害他人系统、获取授权等。 ...
pikachu靶场环境
02-12
8. **应急响应与取证**:了解网络安全事件的应对流程,学习如何收集证据,进行数字取证。 9. **安全编程**:理解安全编码的最佳实践,减少软件开发中的安全风险。 10. **实战演练**:通过模拟真实的攻防对抗,提高...
2018先知白帽大会PPT汇总(12份).zip - 攻防靶场
01-02
11_WEB2.0启发式爬虫实战_猪猪侠.pdf 12_如何利用Ryuk分析和挖掘macOS&iOS内核驱动漏洞_白小龙&蒸米.pdf 1_先知白帽大会-开场演讲_猪猪侠.pdf 2_macOS 上的逻辑提权漏洞_菜丝.pdf 3_弑君者Kingslayer-供应链攻击前餐...
海贼王等靶场详细解题步骤资料
08-30
1. **基础知识讲解**:可能涵盖网络基础、操作系统原理、Web安全、密码学等,这些都是解决靶场问题的基础。 2. **漏洞分析**:对于每个靶场任务,资料可能会详细解析其背后的漏洞类型,如SQL注入、XSS跨站脚本、...
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 811
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
防火墙--内容安全
banliyaoguai的博客
07-20 1250
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
气膜建筑的逃生通道设计与安全保障—轻空间
Skansi的博客
07-25 296
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
探究大语言模型(LLM)漏洞和安全优秀实践
java_cjkl的博客
07-21 1150
你可能已听说过LLM强势亮相,至少ChatGPT就是代表。大语言模型(LLM)指语言处理模型。这类模型经过训练,可以执行各种各样的语言任务:翻译、文本生成和问题回答等。有几个LLM家族和架构,最著名的是GPT(生成式预训练Transformer)。每种 LLM都有各自的特定功能,但本文侧重介绍LLM普遍固有的安全问题。随着越来越多的公司集成LLM以增强用户体验或简化和加速内部流程,这种类型的集成特有的新漏洞随之出现。
Docker 安全及日志管理(包含SSL证书)
最新发布
weixin_62922268的博客
07-25 1397
目前常用的 Docker 版本都支持 Docker Daemon 管理宿主机 iptables 的,而且一旦启动进程加上 -p host_port:guest_port 的端口映射,Docker Daemon 会直接增加对应的 FORWARD Chain 并且 -j ACCEPT,而默认的 DROP 规则是在 INPUT 链做的,对 docker 没法限制,这就留下了很严重的安全隐患。3)客户端收到服务端证书后,会先用本地的CA证书校验证书的有效性,如果证书有效,则继续下一步操作,证书无效则显示告警信息。
网站被浏览器提示“不安全”的解决办法
ABCDEFK1234的博客
07-23 378
免费申请HTTPS证书
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 572
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
如何避免蓝屏?轻量部署,安全和业务连续性才能两不误
亚信安全官方账号的博客
07-23 582
轻量部署,安全和业务连续性才能两不误
数据传输安全--IPSEC
banliyaoguai的博客
07-23 912
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值