- 博客(4)
- 收藏
- 关注
原创 wireshark流量分析Unit 42测验,2023 年 2 月
我们直接将其导出 然后将.dat 后面没有头绪了 看了一下wp 要看文件的sha256哈希值。接下来我们从url中去寻找可疑的报文 查找http的请求 筛选框中选择http.request。惯例搜索 http.request or tls.handshake.type eq 1。Kerberos身份验证流量在用户登录时生成 那我们直接筛选kerberbos。然后查找受害主机信息 筛选框nbns or smb or smb2。刚进入打开pcap包 先做第二个受害者详细信息。到这四个需要的已经找出来了。
2024-04-08 20:16:57
295
1
原创 Unit 42 Wireshark流量分析 2023 年 1 月
直接找http请求的数据 四条 看到第一条的ip:192.168.1.27 计算机内部的ip 应该就是受害者的ip地址了 点开报文查看。这个一开始不知道怎么去找了,去看了wp提示 剩下的信息全都在未加密的smtp被盗数据里面那我们直接搜索smtp去寻找。在报文中发现了类似主机名字的东西 应该就是这个了DESKTOP-WIN11PC。5、受害者的 Windows 用户帐户名称是什么?7、受害者的主机使用什么类型的 CPU?1(2)、恶意流量什么时候开始的: (受害者的IP地址是什么?
2024-04-07 23:19:35
395
原创 雷池demo审计
明线特征:一般利用上传漏洞上传.ini .htaccess 或者图片码,再利用php文件里的包含漏洞去访问文件获得后门。明线特征:etc cat 等linux指令 抓取系统文件。明显特征:/script标签 alert弹窗。明线特征:union select。数据库语句拼接 试图查询数据库信息。明线特征:传入.php文件。明线特征:../../
2024-03-29 22:15:53
147
原创 【实景挑战 | 应急】应急靶机01: Where-1S-tHe-Hacker
3-5、这里应该用划水应急工具里面webshell查杀去杀的 但是我在翻找文件的时候翻到了 看到这两个文件的修改时间和别的文件有些大 并且符合黑客攻击网站的时间,找到两个webshell。2、打开phpstudy目录 看到主页文件最后修改时间 2023年11月6日,4:55:13。9、接着往下翻 将时间固定在4:30-5:00之间 接着往下翻可以看到找到黑客对密钥文件的操作。8、搜索ID 4732 加入管理组 时间为:2023/11/6 4:46:07。打开D-Eyes_直接扫描。
2024-03-29 22:01:27
564
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人