- 博客(101)
- 收藏
- 关注
RSS订阅原创 日志文件分析溯源(做扫描攻击的IP地址)
扫描攻击应该会有大量的连接请求,应该会有404即服务器无法回应请求的情况发生用nodepad++打开,搜索404发现ip,并发现带有HEAD的文件头查询,HEAD请求只请求页面的首部,可以判断页面是都存在,跟get返回http头和一些数据(html等)相比更节约资源这种方法应该回给扫描攻击节约大量时间,搜索HEAD请求的ip 输入ip得到key...
2019-09-06 09:02:27
1542
原创 日志文件分析溯源(境外IP)
用excel打开log查找news.html发现163.125.211.156和137.112.214.191数量差不多查ip归属地输入137.112.214.191得到key
2019-09-06 09:01:45
1009
原创 日志文件分析溯源(更改管理员密码IP地址)
因为更改了admin账户的密码,所以输入update查找在accesslog查找post请求,看看有没有什么注入的痕迹,结果发现有人上传了木马xiaoma.php猜测可能是通过webshell更改的,输入上传木马的ip得到key...
2019-09-06 08:59:14
558
原创 二维码文件分析
将二维码保存,进行解码进行base64解码,网址:https://www.sojson.com/base64.html。第一次解码:6L+Z5Liq5bCx5piv6aqM6K+B56CB77yaQkozNVVCNVNZNg==第二次解码:这个就是验证码:BJ35UB5SY6得到key...
2019-09-06 08:58:23
439
1
原创 日志文件分析溯源(连接过此路径的IP地址)
记事本打开log文件根据提示搜索/admin_G71kDa199wQ/login.php,得到IP 输入IP得到key
2019-09-06 08:57:34
476
原创 身份认证失效漏洞实战
越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可控制全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查询时对客户端请求的数据过分相信而遗漏了权限的判定。先用test/test登陆,查看源代码,发现json,里面是一些用户信息。打开开发者工具,修改重发json,图片id替换card_id,发送得到用户名和密...
2019-09-06 08:55:14
681
原创 日志文件分析溯源(SQL注入IP地址2)
记事本打开accesslog,查找pass关键字,或者information,column,union等。发现sql注入输入ip,得到key
2019-09-06 08:54:22
412
原创 小学生加解密练习
因为是字母加密,不是md5也不是base64,其他的加密类型也不太符合小学生加密,猜测应该是字母表直接按26个字母A-Z排列,得出mozheyes输入得到key:
2019-09-06 08:53:35
209
原创 密码学加解密实训(Zip伪加密)
根据提示,需要利用十六进制查看压缩包,所以用winhex打开havekey压缩包根据zip文件协议,00 00:全局方式位标记(有无加密,00 00进行伪加密,改为09 00表示有密码)所以需要把0900的文件头改为0000伪加密这样就没密码了解压成功得到key...
2019-09-06 08:52:26
335
原创 网络数据分析溯源(新增账户的用户名)
wireshark打开数据包因为有人用webshell操作了数据库,所以应该会有上传木马,用http.request.method ==“POST” && http contains "php"过滤发现新增了一行users,在下一个包发现base64编码的字符串,猜测可能是sql语句解码得到显然用户名是zhangfei.9233,输入得到key...
2019-09-06 08:51:20
550
原创 密码学加解密实训(JavaScript分析)
根据提示查看页面源代码获取文本框输入的值,if语句表示只有moon才能成功跳转。输入moon得到key
2019-09-05 09:40:15
157
原创 日志文件分析溯源(脱裤的IP地址)
所谓“拖库”,是指黑客入侵有价值的网络站点,盗走用户资料数据库的行为,资料主要指注册用户的用户名和密码,因为谐音,也经常被称作“脱裤”。被拖库的网站一般是小网站,这些网站的后台服务器通常存在漏洞,安全措施也不到位,容易遭受黑客入侵,拖出数据库。首先打开access.log,查找php,发现sql.php有多次post请求,怀疑是注入操作在T-2601.log查找日期Sep 27,发现有sql...
2019-09-05 09:35:07
1551
原创 日志文件分析溯源(爆破者的IP地址)
由于不知道是哪种爆破,尝试查找php,发现157.18.85.67经常访问login.php。发现login.php有大量post请求,猜测黑客对login.php进行了爆破输入ip:157.18.85.67,得到key...
2019-09-05 09:33:12
811
原创 某防火墙默认口令
打开源代码发现是搜索天清韩马usg防火墙发现用户名密码依次尝试admin,venus.usg失败,audit,venus.audit是审计账号最终发现useradmin,venus.user可以登陆进去得到key...
2019-09-05 09:32:21
1182
原创 互联网足迹探查
qq搜索改号码,发现一个WYH的账户,猜测是名字缩写于是在各类社交账号上查找这个用户,如微信豆瓣知乎等最终在微博找到了输入姓名得到key
2019-09-05 09:29:37
1267
原创 密码学加解密实训(摩斯密码第2题)
摩斯密码是用点".“和横”-"来表示数字和字母,用停顿来表示不同的单词和句子。听音乐,画一下图大概是这样…/…/…/—— ——/…/—— ——/.——对照图得出…/…/…/—— ——/…/—— ——/.——转换SHIMIMA输入得到key...
2019-09-05 09:19:38
1040
原创 WebShell文件上传漏洞分析溯源(第5题)
弱口令admin,admin登陆新建文章,上传带有一句话asp木马的图片,上传成功记住上传的地址备份数据库,上传地址作为当前数据库的地址,备份数据库为asp图片木马,改后缀为.asp连接菜刀http://219.153.49.228:43284/admin/Databackup/a.asp,连接成功查看key.txt...
2019-09-05 09:13:36
257
原创 CMS系统漏洞分析溯源(第2题)
访问robots.txt,发现admin.php登陆,进入管理员界面,界面–模板管理–模板风格–search–index.html。插入php一句话木马,保存。菜刀连接,http://219.153.49.228:45662/index.php?m=search,连接成功,得到key...
2019-09-05 09:13:01
191
原创 CMS系统漏洞分析溯源(第3题)
打开注册页面,其他任意填,在密码问题注入一句话木马<%execute(raquest(“a”))%>要经过Unicode加密:┼攠數畣整爠煥敵瑳∨≡┩愾上传成功,打开菜刀由于默认数据库是/data/ask_newasp.asa,菜刀连接http://219.153.49.228:41809/data/ask_newasp.asa成功连接,查看key...
2019-09-05 09:03:47
375
原创 Apache Struts2远程代码执行漏洞(S2-009)复现
漏洞原理:ognl提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过parametersinterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。parametersinterceptor中的正则表达式将top [‘foo’](0)作为有效的表达式匹配,ognl将其作为(top [‘foo’])(0)处理,并将“foo”...
2019-09-05 09:02:47
1157
原创 PHP代码分析溯源(第4题)
出现一串php代码,输出查看结果获取表单a的内容,在f.php后面直接加?a=ls查看目录发现key的php文件,直接a=cat key_228162644911001.php发现显示不出来查看源代码得到key查阅资料后发现tac替换cat就看的到了,tac是cat相反命令,也就是倒过来输出...
2019-09-05 09:02:03
152
原创 Apache Struts2远程代码执行漏洞(S2-008)复现
漏洞原理:主要是利用对传入参数没有严格限制,导致多个地方可以执行恶意代码,传入?debug=command&expression=即可执行OGNL表达式寻找poc:debug=command&expression=%23context%5b%22xwork.MethodAccessor.denyMethodExecution%22%5d%3dfalse%2c%23f%3d%23_...
2019-09-05 08:59:53
1324
原创 网络数据分析溯源(发布文章的IP地址)
下载文件,用wireshark打开因为有人从内网发布一篇文章到“www.xwast.org”所以过滤此域名和post请求http.host==“www.xwast.org”&&http.request.method==“POST”输入ip:172.16.129.49得到key...
2019-09-05 08:58:47
584
1
原创 网络数据分析溯源(查找下载文件的内容)
wireshark打开下载的包先用http过滤,因为是压缩包,所以搜索关键字zip把这个key.zip压缩文件导出来解压得到图片
2019-09-05 08:57:59
710
原创 网络数据分析溯源(上传WebShell的IP地址)
wireshark打开下载的包因为webshell被上传了,所以需要过滤POST请求,并搜索字符串upload追踪TCP流发现有php一句话木马,应该是这个了,输入ip,得到key...
2019-09-05 08:56:59
633
原创 网络数据分析溯源(端口扫描的IP地址)
wireshark打开下载的包根据提示,有一个ip在扫描445端口,所以对目的端口445过滤tcp.dstport == 445发现172.16.1.100一直通过445端口建立tcp连接输入ip得到key
2019-09-05 08:55:54
648
原创 网络数据分析溯源(WebShell密码)
用wireshark打开数据包有题目提示,有人连接过一句话的webshell,猜想可能是asp、php之类的木马用http.request.method ==“POST” && http contains "php"尝试过滤,发现xiaoma.php查看发现d76R3478就是webshell的密码输入密码,得到key...
2019-09-05 08:54:29
1610
原创 网络数据分析溯源(DNS服务器地址)
用wireshark打开包,用dns协议过滤DNS服务器进行域名(domain name)和与之相对应的IP地址 (IP address)转换。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。所以只需要观察哪个ip接收到大量的域名解析的请求就可以判断了输入172.16.200.101,得到key...
2019-09-05 08:53:52
935
原创 网络数据分析溯源(数据库密码)
wireshark打开数据包用http.request.method ==“POST” && http contains "php"过滤,发现有人上传了木马发现数据库密码,是c6cc716e15FA,输入得到key
2019-09-05 08:52:21
628
原创 网络数据分析溯源(新增用户的身份证号)
用wireshark打开数据包根据提示,有人利用了webshell操纵了数据库,所以用http.request.method ==“POST” && http contains "php"过滤发现xiaoma.php,按长度降序排列,依次查看猜测ZGVsZXRlIGZyb20gY2FyZGlkIHdoZXJlIHVzZXJpZCA9IDQyMDEwMjE5ODUwMzA3Mj...
2019-09-05 08:51:30
730
原创 网络数据分析溯源(邮箱密码)
wireshark打开包用pop3,s’mtp过滤发现都不行,查了一下还有imap协议过滤imap,搜索login字符串输入密码714825936,得到key
2019-09-05 08:50:59
754
原创 网络数据分析溯源(查找邮件地址)
用wireshark打开数据包用电子邮件协议过滤,如(Simple Mail Transfer Protocol),然后搜索protonmail@qq.com发现protonmail@qq.com接收数据的包追踪tcp流,发现来源的邮箱输入得到key...
2019-09-05 08:50:15
1800
1
原创 网络数据分析溯源(查找QQ号)
用wireshark打开数据包在尝试用oicq过滤无果后,用http.request.uri contains "qq"过滤请求uri包含字符串qq的数据包经过测试,最终发现qq是1225028874,得到key
2019-09-05 08:49:34
1423
原创 网络数据分析溯源(HTTPS证书信息)
用wireshark打开数据包因为是加密,用ssl过滤要找公司的所属名称,所以搜索字段org找到数据包,往下查看,公司的名称被编码成了utf8字符串复制到任意网站搜索框里,显示是重庆xxxxx有限责任公司,输入得到key...
2019-09-05 08:48:54
631
1
原创 日志文件分析溯源(时区时差)
查阅资料,拉斯维加斯是西八区,北京是东八区北京比拉斯维加斯要快15个小时,执行夏令时,调快了一个小时所以北京时间是[27/Sep/2018:11:18:54 +0800]输入得到key...
2019-09-05 08:48:09
269
原创 Apache Struts2远程代码执行漏洞(S2-004)复现
查看源代码,有个参考链接,是S2-004的漏洞原理翻译了一下大概是:Struts2 Dispatcher Logic by Design允许为请求URI的Web应用程序类路径中的某些静态资源提供服务,请求URI的上下文相关路径以“/struts/”开头。filterDispatcher(在2.0中)和defaultStaticContentLoader(在2.1中)存在安全漏洞,允许攻击者使用...
2019-09-05 08:47:39
335
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人