知攻善防靶机应急响应近源渗透

最新推荐文章于 2024-07-15 11:22:04 发布
最新推荐文章于 2024-07-15 11:22:04 发布
阅读量450 收藏 6
点赞数 7
分类专栏: 应急响应靶机 靶场 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62467948/article/details/139116902
版权

挑战内容

前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。

1.攻击者的外网IP地址

2.攻击者的内网跳板IP地址

3.攻击者使用的限速软件的md5大写

4.攻击者的后门md5大写

5.攻击者留下的flag

解题:

运行桌面上"解题工具.exe"即可

相关账户密码

Administrator

zgsf@2024

解题步骤

我们需要先明确近源渗透测试是指测试人员靠近或位于测试目标建筑内部,利用各类无线通信技术、物理接口和智能设备进行渗透测试。在传统的网络测试中,各类防火墙、入侵检测工具等防护方案已经较为成熟,测试人员很难通过外网及其他有线网络入口突破企业的重要防御。而在近源渗透测试的场景中,测试人员位于目标企业附近甚至内部,这些地方往往可以发现大量被企业忽视的安全脆弱点。结合近源渗透的相关测试方法,测试人员可以轻易突破安全防线进入企业内网,威胁企业关键系统及敏感业务信息安全。所以来说近源一般都是由文件落地了,看那些日志也比较难看出什么,所以可以先从本机的文件看起。

我们先上机看看

image-20240522104317466

桌面上有很多文件,我们可以一个一个的排查,这里有很多的word和excle,可以用云沙箱看看有没有东西。

image-20240522105700710

第一个就出问题了,里面由http请求。找到了一个ip。8.129.200.130

image-20240522110013842

后续在检测其他几个文件,没有发现什么异常。

image-20240522110623339

桌面上有一个bat,php修复那个仔细一看是一个bat,然后编辑发现了跳板ip192.168.20.129

image-20240522110439612

限速软件在桌面上啥也没有,准备一个一个的文件夹看看有没有什么收获,这里我主要是想看看非系统文件夹没想到第一个就遇到了

image-20240522110928977

我不太了解这个软件

image-20240522111450803

应该是这个软件的问题,攻击把他藏在这么里面,如果正常使用的话不会藏在这么多的

我们用windows自带的md5计算器。

 windows cmd
 certutil.exe -hashfile p2pover.exe MD5

linux也有自带的

 linux shell
 md5sum ./cheshi.txt

我们用直接填入hash:2A5D8838BDB4D404EC632318C94ADC96

image-20240522111254131

接下来我们要找到另外一个后门,但是大该看了一下没有发现什么可疑的,就准备看看有无可以进程连接这些,这个有个3389外连,还以为是啥,结果一查是svchost.exe(是一个官方的程序)

image-20240522113118482

决定上pchunter,pchunter也没发现啥有价值的东西,这个最后的后门在没在进程中?进程和服务都没有可疑的。我的怀疑对象就是那些需要后续启动的例如shift程序替换(shift后门) 这里我选择使用火绒来查查看看能否扫出

也没有效果那么直接从shift这里查

在系统登录界面可以以特定方式运行系统程序,例如连续按shift五次即可运行 C:\WINDOWS\system32\sethc.exe,攻击者可以使用木马后门程序替换该文件。可以替换该程序为cmd.exe(名字还是需要设置为sethc.exe),则按5次shift之后会调用cmd窗口 C:\Windows\System32\utilman.exe 设置中心 快捷键:Windows+U 键 C:\Windows\System32\osk.exe 屏幕键盘 C:\Windows\System32\Magnify.exe 放大镜 快捷键:Windows+加减号

image-20240522121358328

这里看到这个一下子就变了,很可疑,先去查一查。这里我也想到了反编译,因为这个sechc肯定是不对劲的。没想到云沙箱这里的运行图里面发现了flag那么直接计算这个exe的MD5即可,云沙箱也有,可以不计算了。转化为大写即可

image-20240522121945265

image-20240522122215284

这里我们找到题解对结果进行验证,结果正确

总结

本次应急响应和之前的web不一样,也是我第一次知道近源渗透这个东西,排查的重点也有些许不同,从开始的日志转变成对于软件后门的摸查,也学到了很多东西。同时以下师傅的文章和工具也对我有了很大的帮助,希望同样能正在学习的的你有所帮助。

windouws应急响应摸查

微步的云沙箱

官方题解

JaSun9
关注
  • 7
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
11.7. 近源渗透
Sumarua的博客
08-05 1859
文章目录11.7. 近源渗透11.7.1. USB攻击11.7.1.1. BadUSB11.7.1.2. AutoRUN11.7.1.3. USB Killer11.7.1.4. 侧信道11.7.2. Wi-Fi11.7.2.1. 密码爆破11.7.2.2. 信号压制11.7.3. 门禁11.7.3.1. 电磁脉冲11.7.3.2. IC卡11.7.4. 参考链接 11.7. 近源渗透 11.7.1. USB攻击 11.7.1.1. BadUSB 通过重新编程USB设备的内部微控制器,来执行恶意操作,例如注
知攻善防应急靶场-Linux(1)
m0_63138919的博客
03-24 1334
本文章参考qax的网络安全应急响应知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Hvv--知攻善防应急响应靶机--近源OS-1
GDL1411983801的博客
06-12 826
所有靶机均来自知攻善防实验室官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ恶意文件–沙箱检测恶意隐藏文件攻击痕迹—恶意文件存放路径很深粘滞键shift后门—连续按5下Shift账号:Administrator密码:zgsf@2024由于这个靶机装不聊vmtools,不好操作,分辨率对眼睛不太友好,文件也不能复制粘贴,所以直接物理机远程RDP靶机,我本机上靶机IP为调出RDP输入靶机IP跟用户名密码即可登录。
应急响应靶场(近源渗透OS-1、挖矿事件)
weixin_64815500的博客
06-18 945
知攻善防公众号应急相应靶场练习之 近源渗透os-1以及挖矿事件的题解随笔
应急响应靶机-Web1 (知攻善防实验室)
m0_57967573的博客
05-12 559
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容······
知攻善防应急响应练习靶机1-web1
qq_53152234的博客
06-29 323
1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名。
近源渗透测试
Scorpio_m7
01-28 3909
????写在前面 ????博客主页:Scorpio_m7 ????欢迎关注????点赞????收藏⭐️留言???? ????本文由 Scorpio_m7原创,CSDN首发! ????首发时间:????2022年1月28日???? ✉️坚持和努力一定能换来诗与远方! ????作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢! 文章目录????写在前面wifi渗透Wifi密码爆破WIFI钓鱼无线路由器漏洞利用badusb工具准备安装 arduino 的 IDE驱动安装配置环境CobaltStr
一次近源渗透
2301_80127209的博客
03-12 458
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
DVWA、MCIR、pikachu、Mutillidae、BWAPP靶机安装包
03-24
它提供了一个复杂的网络拓扑,包括多种操作系统、服务和漏洞,用户可以进行渗透测试、应急响应和取证分析的实践。 3. pikachu: pikachu靶场是一个适合初级到中级水平的安全学习平台,它包含了一些基础的Web安全...
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解、写入ssh公钥留后门、植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
近源渗透之红队视角WiFi.pdf
03-24
无线网络已经事实上成为了企业移动化办公的重 要基础设施,但由于普遍缺乏有效的管理,部署与 使用人员的安全意识和专业知识的不足,导致AP分 布混乱,设备安全性脆弱,无线网络也越来越多的 成为黑客入侵企业内网系统的突破口,由此给企业 带来新的安全威胁。
近源渗透之红队视角WiFi.pptx
09-09
近源渗透之红队视角WiFi
cisp-pte渗透测试资源下载 ,包括 考试环境、题目
08-05
9. **应急响应安全策略**:掌握安全事件的处理流程,制定有效的安全策略和预案。 10. **法规与标准**:了解国内外关于信息安全的相关法规,如ISO 27001、PCI-DSS等。 11. **实战模拟**:通过实际的渗透测试环境...
渗透测试模拟实战——暴力破解、留定时任务后门与shift粘贴键后门、植入WaKuang程序(对应靶场和wakuang样本)
03-24
渗透测试模拟实战——暴力破解、留定时任务后门与shift粘贴键后门、植入WaKuang程序(靶机系统:Windows2008)对应的靶场和wakuang样本,参考教程链接:...
9.7. 近源渗透
Sumarua的博客
07-31 854
文章目录9.7. 近源渗透9.7.1. Bad USB9.7.2. wifi9.7.3. 无线 9.7. 近源渗透 9.7.1. Bad USB WiFiDuck Keystroke injection attack plattform BadUSB code badusb的一些利用方式及代码 WHID WiFi HID Injector - An USB Rubberducky / BadUSB On Steroids BadUSB cable based on Attiny85 microcontro
近源渗透简介
最新发布
2301_80361487的博客
07-15 552
通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上报,由此证明企业安全防护存在漏洞。
红蓝对抗中的近源渗透
weixin_46236101的博客
09-24 4298
前言 近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。 19年的时候,笔者和朋友们就推出了漫画《黑客特战队·近源渗透》和出版书《黑客大揭秘:近源渗透测试》。作为近源渗透概念的主力“炒作者”之一,这篇文章和大家聊聊我对近源渗透的理解。 01 什么是红蓝对抗 红蓝对抗原本是一个军事概念,指在部队模拟对抗时,专门成立一个
近源渗透学习
tomyyyyy
05-07 1379
一、近源渗透 近源渗透测试是网络空间安全领域逐渐兴起的一种新的安全评估手段。 它是一种集常规网络攻防、物理接近、社会工程学及无线电通信攻防等能力于一体的高规格网络安全评估行动。网络安全评估小组在签订渗透测试授权协议后,通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上...
Zico2靶机渗透测试实战指南
"该文档是关于使用Zico2作为靶机进行渗透测试的实战指南,主要涵盖实验环境的设置、信息收集以及渗透测试的步骤。Zico2是一个用于安全研究和教育的虚拟机,适用于练习渗透测试技术。" 在渗透测试领域,Zico2靶机...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值