应急响应web3靶场实战

最新推荐文章于 2024-07-17 14:39:25 发布
最新推荐文章于 2024-07-17 14:39:25 发布
阅读量617 收藏 8
点赞数 10
文章标签: 网络 网络安全 安全 web安全 系统安全 学习方法 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helloKittywz/article/details/139370325
版权

做了一个应急响应的靶场现在来总结一下我做题的思路

这个是我做题自己做题的时候的思路。

这个题我自己感觉只有第3个flag比较难找,其他的都是比较的简单,但是我做的时候没有找到第3个flag。

发现了后门文件,但是去看了过后跟我们想要的没有什么关系。然后看谁访问了这些文件,就说明是攻击者。

然后在查看开机启动项

看见2个可疑的东西,查看里面的内容,发现了是我们想要的flag。

看完了开机自启动项,然后看定时任务,因为攻击者要进行权限维持,会创建定时任务,在开机自启动项目这点来下功夫,所有我们在查看计划任务的时候发现了第2个flag以及第2个ip地址

我们在查看日志的时候,可疑去查看登录成功和失败的日志也就是id为4624和4625

还可以查看创建用户的事件id,删除用户的事件id

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

我发现了下面的这个,也就是第2个攻击者的IP地址

2024-03-12 11:41:57	hack6618$	DESKTOP-PESL5DR	%%2313	0xc000006a	NtLmSsp 	0x0	-	192.168.75.130	4625

然后在用工具查看到隐藏用户,也可以到控制面板或者注册表中去查看。

我做到这点过后,怎么都找不到最后一个flag,然后我就看创建的用户的那些文件,和桌面都没有找到有用的线索,服务那些,可疑的端口,建立的连接那些我都找了的,都没有想要的。

然后我看wp才发现,最后一个flag是在网站里面的

然后进行登录到后台,我先开始想到的是使用万能密码进行登录或者是暴力破解进行登录,然后都要不行,后面我想到了这个不是我自己的服务器吗,我想干什么就干什么,然后就重置了管理员的密码,也就是进入到网站后台,查看到了hack这个隐藏用户留下的第3个flag

在我登录失败的时候出现了这个,管理员忘记密码怎么办????

我们就下载然后重置密码

下载下来移动到根目录进行浏览器打开

打开重置密码

进行登录操作

在用户管理的地方找到了第三个flag这个是我没有想到的地方

也是让我积累了排查的时候多一点的思路。多做做实践才慢慢掌握思路。也是收获了一些。

helloKittywz
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多啦集成式靶场环境 正式版 V1.0.zip
01-25
7. **应急响应计划**:预先制定应对安全事件的计划,包括如何隔离问题、收集证据、修复漏洞和通知相关人员。 8. **持续学习和更新**:网络安全领域不断发展,新的攻击技术和漏洞不断涌现,因此保持学习和了解最新...
开源靶场zsbdzsbd
04-19
7. **应急响应与漏洞管理**:理解漏洞生命周期,学习如何发现、报告、修复和跟踪漏洞,以及制定应急响应计划。 8. **法律与合规**:了解在进行渗透测试时需遵守的相关法律法规,如不损害他人系统、获取授权等。 ...
Windows应急响应靶机 - Web3
qq_48904485的博客
06-27 728
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
知攻善防应急响应靶机训练-Web3
tmyzxy1314的博客
05-23 930
本次应急响应靶机采用的是知攻善防实验室的Web-3应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:xj@123456xj@123456。一步一步找下去就找到了(记得给administrator用户完全控制SAM目录的权限)flag怎么找我的习惯是先去看看隐藏用户的目录下有没有藏东西。经过我的火眼金睛最后还是让我找到两个攻击者ip地址了吧。最后在用户编辑这里找到了最后一个flag。
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
知攻善防靶机应急响应web3
来而不往非礼也
05-09 317
应急响应靶机
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
W小哥
04-02 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.226.132、无WEB服务 二、应急响应过程 2.1 排查网络连接 2.2 排查历史命令 2.3 排查后门账户 2.4 排查crontab后门 2.5 排查是否有命令被替换 三、应急响应溯源 3.1 查看后门 3.2 排查安全日志 3.2 溯源总结 至此,应急响
应急响应靶场练习-Web篇(知攻善防实验室)
weixin_64815500的博客
06-03 1194
出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具排查异常账户,控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾,中间件日志分析,工具远程登录日志分析等排查查看计划任务taskschd.msc,如果有找到执行的程序/路径去网站网页下面寻找信息。
pikachu靶场环境
02-12
8. **应急响应与取证**:了解网络安全事件的应对流程,学习如何收集证据,进行数字取证。 9. **安全编程**:理解安全编码的最佳实践,减少软件开发中的安全风险。 10. **实战演练**:通过模拟真实的攻防对抗,提高...
2018先知白帽大会PPT汇总(12份).zip - 攻防靶场
01-02
11_WEB2.0启发式爬虫实战_猪猪侠.pdf 12_如何利用Ryuk分析和挖掘macOS&iOS内核驱动漏洞_白小龙&蒸米.pdf 1_先知白帽大会-开场演讲_猪猪侠.pdf 2_macOS 上的逻辑提权漏洞_菜丝.pdf 3_弑君者Kingslayer-供应链攻击前餐...
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
海贼王等靶场详细解题步骤资料
08-30
它不仅可以提升个人的网络安全技能,还可以在实践中增强风险识别和应急响应的能力。在学习过程中,读者应该结合理论知识和实际操作,反复练习,以达到最佳的学习效果。同时,参与网络安全靶场的挑战也是对理论知识的...
记一次应急靶场实战--web1
weixin_72543266的博客
03-07 1467
前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,没打广告,大学生不骗大学生,下面是挑战地址,这是一个应急响应靶场的练习
应急响应靶场Where-1S-tHe-Hacker
m0_75046593的博客
04-18 270
应急响应实战靶场 打开靶机,发现有两个用户,admin和admin$,一个是隐藏用户 admin用户的密码是Aa123456 杀软查杀 进入主机,我们直接使用D盾和D-eyes杀软进行后台扫描,节省时间 这边附上绿盟科技的D-Eyes的使用参数说明 #### Windows 请以管理员身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。 #...
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
W小哥
04-21 4085
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常链接,疑似被入侵。 ..
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门——事件复现(含靶场环境)
W小哥
03-10 7718
一、事件背景 某天客户反馈:服务器疑似被入侵,一直反弹shell到恶意IP(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.184.142、无WEB服务 二、应急响应过程 2.1 排查异常并清除病毒 2.1.1 使用命令 alias 查看是否异常别名 ...
渗透测试模拟实战(含靶场环境)——暴力破解、留crontab隐藏后men
W小哥
04-20 1494
本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆 一、环境搭建 目标服务器无WEB网站, 访问目标发现只有默认的一个apache的默认页面 IP地址:192.168.184.142 靶场环境、使用的工具,放在了 知识星球 中。 二、模拟攻击 2.1 扫描端口 使用nmap扫描 因为没有WEB网站,使用 nmap 扫描是否有开放的端口 nmap -sS 192.168.184.142 通过扫描结果发现,目标服务器开放了22与3306端口,其中22号端口是远程登录链接的可以进行暴
SpringBoot整合SSE,实现后端主动推送DEMO
最新发布
zjy660358的专栏
07-17 138
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值