应急响应-Web2

最新推荐文章于 2024-07-28 22:45:18 发布
最新推荐文章于 2024-07-28 22:45:18 发布
阅读量774 收藏 11
点赞数 5
分类专栏: 补笔记 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45427131/article/details/136890360
版权

应急响应-Web2

1.攻击者的IP地址(两个)?

192.168.126.135
192.168.126.129

通过phpstudy查看日志,发现192.168.126.135这个IP一直在404访问 , 并且在日志的最后几条一直在访问system.php ,从这可以推断 该IP可能在扫描网站目录,至于system.php的内容需要进去看代码分析

在这里插入图片描述
在这里插入图片描述

查看system.php发现是木马文件,因此确定攻击者的第一个IP 192.168.126.135
在这里插入图片描述

另外一个IP可以通过日志查看器 ——> 远程桌面登录成功日志 查看登录IP

192.168.126.129

在这里插入图片描述

2.攻击者的webshell文件名?

system.php,答案同上,此处也可以使用d盾扫描

在这里插入图片描述

3.攻击者的webshell密码?

hack6618 密码在system.php文件中可见

在这里插入图片描述

4.攻击者的伪QQ号?

777888999321

思路:涉及到QQ号,首先是找到QQ文件的位置,QQ为每个账号都设置了文件夹 因此只要找到该目录就能找到攻击者的伪QQ号

通过翻阅文件,可以看到Tencent Files文件,同时也可以借助文件分析工具LastActivityView查看近期修改的文件

在这里插入图片描述

在这里插入图片描述

5.攻击者的伪服务器IP地址?

256.256.66.88

在上个问题中可以看到frpc.ini.txt文件被修改过 ,frpc是用来内网穿透的,配置文件中存放服务器的IP和端口,可以看到伪服务器的地址 256.256.66.88(是伪地址!)

在这里插入图片描述

6.攻击者的服务器端口?

答案同上:65536

7.攻击者是如何入侵的(选择题)?

ftp:通过日志可以判断,虽然ftp的日志很多 但是我们只要过滤出状态码为230的记录就行了 (230表示ftp用户登录),往下判断可以看到 黑客上传了一个system.php

在这里插入图片描述

8.攻击者的隐藏用户名?

hack887$:在C盘用户下可见,也可以去注册表查看

在这里插入图片描述

chin”
关注
专栏目录
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
03-02
73 应急响应-WEB+日志分析php&javaweb&自动化工具-附件资源
前来挑战!应急响应靶机训练-Web2
Liyu_6618的博客
03-01 1210
应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-web1,此系列后期会长期更新,关注本公众号,被动学习。前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上。3.攻击者的webshell密码?7.攻击者是如何入侵的(选择题)?1.攻击者的IP地址(两个)?5.攻击者的伪服务器IP地址?4.攻击者的伪QQ号?
查找攻击者ip的方法
weixin_34071713的博客
07-22 5414
最近服务器被攻击,带宽一直满的。。 记录下查找攻击者ip的方法 首先抓流量包 tcpdump -i any -n tcp -l >log.txt any是所有网卡端口。可以设置成对应的网卡编号eth0或其他 通过awk统计每个Ip访问的次数 cat log|perl -lne ' print $1 if ( /((\d{1,3}\.){3}\d{1,3})/...
Web应急响应0基础讲解国赛信安管理与评估二阶段
Geek极安云科-致力于网络安全事业
10-22 2222
针对信安评估这个赛项来讲,应急响应部分基本上都是基于Win/Linux的,包括但不限于各类服务 中间件 操作系统等,一般来讲,遇到的比较多的还是Web的日志比较多,很多省赛以及22 23国赛都是Web的日志赛题还是老几样,无非就是:提交攻击者的IP地址,者首次攻击成功的时间,操作系统版本,后门路径,可以进程等,那么大致方向确定了,其实也可以进行练习了。常见的三种备赛练习方式:1.自己/他人打自己靶机溯源:常见的攻击手法进行攻击后看靶机的日志等进行溯源。
应急响应靶场web2】
一纸荒芜的博客
03-15 1803
靶场来源:知攻善防实验室
应急响应靶场-web2
weixin_44770698的博客
07-28 354
应急响应靶场练习
Web安全事件应急响应分析.pdf
07-14
来源自绿盟科技 2019年11月的Web安全事件应急响应分析总结,owasp里的问题基本都有涉及,比较全面,适合初学者
应急响应-取证,通过给出的config文件,查找用户名及密码
05-31
在IT安全领域,应急响应是一项至关重要的工作,它涉及到对网络安全事件的快速识别、评估、控制和恢复。在这个场景中,我们关注的是“取证”过程,即在发生安全事件后,收集并分析证据来理解攻击的性质、范围以及如何...
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
Windows应急响应靶机 - Web2
qq_48904485的博客
06-21 1329
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的IP地址(两个)?2.攻击者的webshell文件名?3.攻击者的webshell密码?4.攻击者的伪QQ号?5.攻击者的伪服务器IP地址?6.攻击者的服务器端口?7.攻击者是如何入侵的(选择题)?8.攻击者的隐藏用户名?用户:administrator密码:Zgsf@qq.com。
linux查看攻击者ip
Jingged的博客
03-20 1149
在Linux系统中,可以使用多种方法来查看攻击者的IP地址。这些方法可以帮助你识别可疑的网络活动和登录尝试,从而确定攻击者的IP地址。记得根据实际情况选择合适的命令和日志文件。4.查看安全信息和事件日志(如/var/log/auth.log或/var/log/secure)。5.使用fail2ban服务,它可以监视登录尝试并记录IP地址。3.分析网络连接情况,可以使用netstat或ss命令。1.使用last命令查看登录日志,寻找异常的登录尝试。2.使用who命令查看当前登录用户的IP地址。
服务器被入侵后如何查询连接IP以及防护措施
HoewDec的博客
12-29 805
支持多重防护规则,增强远程桌面安全。检查服务器的进程是不是有恶意的进程,以及管理员账号是否被恶意增加,对服务器的端口进行查看,有没有开启多余的端口,再一个对服务器的登陆日志进行检查,服务器的默认开启启动项,服务以及计划任务,检查网站是否存在木马后门,以及服务器系统是否中病毒。目前越来越多的服务器被入侵,以及攻击事件频频的发生,像数据被窃取,数据库被篡改,网站被强制跳转到恶意网站上,网站在百度的快照被劫持等等的攻击症状层出不穷,在这些问题中,如何有效、准确地追踪到访问服务器的外部IP是一个重要的方向。
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6520
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
【java毕业设计】美容院管理系统源码(ssm+mysql+说明文档+LW).zip
11-17
功能说明: (a) 管理员;进入系统可以实现主页、个人中心、用户管理、医生管理、美容师管理、项目部门管理、项目类型管理、产品分类管理、产品信息管理、医美项目管理、美容项目管理、预约美容管理、预约医美管理、系统管理等功能。 (b) 用户;进入系统可以实现主页、个人中心、 预约美容管理、预约医美管理等功能。 (c) 医生;进入系统可以实现主页、个人中心、医美项目管理、预约医美管理等功能。 (d) 美容师;进入系统可以实现主页、个人中心、美容项目管理、预约美容管理等功能。 环境说明: 开发语言:Java 框架:ssm,mybatis JDK版本:JDK1.8 数据库:mysql 5.7及以上 数据库工具:Navicat11及以上 开发软件:eclipse/idea Maven包:Maven3.3及以上 服务器:tomcat7及以上
pgmagick-0.7.5-cp27-cp27m-win32.whl.rar
11-17
python whl离线安装包 pip安装失败可以尝试使用whl离线安装包安装 第一步 下载whl文件,注意需要与python版本配套 python版本号、32位64位、arm或amd64均有区别 第二步 使用pip install XXXXX.whl 命令安装,如果whl路径不在cmd窗口当前目录下,需要带上路径 WHL文件是以Wheel格式保存的Python安装包, Wheel是Python发行版的标准内置包格式。 在本质上是一个压缩包,WHL文件中包含了Python安装的py文件和元数据,以及经过编译的pyd文件, 这样就使得它可以在不具备编译环境的条件下,安装适合自己python版本的库文件。 如果要查看WHL文件的内容,可以把.whl后缀名改成.zip,使用解压软件(如WinRAR、WinZIP)解压打开即可查看。 为什么会用到whl文件来安装python库文件呢? 在python的使用过程中,我们免不了要经常通过pip来安装自己所需要的包, 大部分的包基本都能正常安装,但是总会遇到有那么一些包因为各种各样的问题导致安装不了的。 这时我们就可以通过尝试去Python安装包大全中(whl包下载)下载whl包来安装解决问题。
param-1.12.2-py2.py3-none-any.whl.rar
11-17
PartSegCore_compiled_backend-0.12.0a0-cp36-cp36m-win_amd64.whl.rar
中国劳动统计年鉴面板数据(2000-2020年)-就业、工资、消费等.zip
最新发布
11-17
中国劳动统计年鉴面板数据(2000-2020年)-就业、工资、消费等.zip
springboot135林业产品推荐系统.zip
11-17
论文描述:该论文研究了某一特定领域的问题,并提出了新的解决方案。论文首先对问题进行了详细的分析和理解,并对已有的研究成果进行了综述。然后,论文提出了一种全新的解决方案,包括算法、模型或方法。在整个研究过程中,论文使用了合适的实验设计和数据集,并进行了充分的实验验证。最后,论文对解决方案的性能进行了全面的评估和分析,并提出了进一步的研究方向。 源码内容描述:该源码实现了论文中提出的新的解决方案。源码中包含了算法、模型或方法的具体实现代码,以及相关的数据预处理、实验设计和性能评估代码。源码中还包括了合适的注释和文档,以方便其他研究者理解和使用。源码的实现应该具有可读性、可维护性和高效性,并能够复现论文中的实验结果。此外,源码还应该尽可能具有通用性,以便在其他类似问题上进行进一步的应用和扩展。
protobuf-3.9.2-cp35-cp35m-win32.whl.rar
11-17
python whl离线安装包 pip安装失败可以尝试使用whl离线安装包安装 第一步 下载whl文件,注意需要与python版本配套 python版本号、32位64位、arm或amd64均有区别 第二步 使用pip install XXXXX.whl 命令安装,如果whl路径不在cmd窗口当前目录下,需要带上路径 WHL文件是以Wheel格式保存的Python安装包, Wheel是Python发行版的标准内置包格式。 在本质上是一个压缩包,WHL文件中包含了Python安装的py文件和元数据,以及经过编译的pyd文件, 这样就使得它可以在不具备编译环境的条件下,安装适合自己python版本的库文件。 如果要查看WHL文件的内容,可以把.whl后缀名改成.zip,使用解压软件(如WinRAR、WinZIP)解压打开即可查看。 为什么会用到whl文件来安装python库文件呢? 在python的使用过程中,我们免不了要经常通过pip来安装自己所需要的包, 大部分的包基本都能正常安装,但是总会遇到有那么一些包因为各种各样的问题导致安装不了的。 这时我们就可以通过尝试去Python安装包大全中(whl包下载)下载whl包来安装解决问题。
应急响应WEB安全:CTF学习大纲
"CTF-web学习大纲,应急响应WEB,VSRC应急响应中心,基础概念,注意事项,事件了解,WEB攻击溯源" CTF(Capture The Flag)是一种网络安全竞赛,通常涉及攻防演练,其中“WEB”部分主要关注Web应用程序的安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值