![](https://img-blog.csdnimg.cn/20201014180756738.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
补笔记
文章平均质量分 64
chin”
成为像Y4师傅一样厉害 思维灵活的人
展开
-
应急响应-Linux(1)
一般系统中马之后会有进程连接黑客的主机,可以使用查看下当前进程的连接,此处查看到没有后 ,可以从系统服务开始查找,系统的服务日志一般都会保存相关访问信息,主要是分析日志SSH首先从ssh日志开始排查,因为这个服务比较重要 ,日志位置**/var/log/secure**,通过关键字failed可以看到服务报错,可能是黑客在爆破密码,从日志可以获取黑客IP。原创 2024-03-21 10:04:22 · 233 阅读 · 0 评论 -
应急响应-Web2
通过phpstudy查看日志,发现192.168.126.135这个IP一直在404访问 , 并且在日志的最后几条一直在访问system.php ,从这可以推断 该IP可能在扫描网站目录,至于system.php的内容需要进去看代码分析查看system.php发现是木马文件,因此确定攻击者的第一个IP另外一个IP可以通过日志查看器 ——> 远程桌面登录成功日志 查看登录IP。原创 2024-03-20 22:14:04 · 706 阅读 · 0 评论 -
应急响应靶机-Web1
进入隐藏用户的文件夹,发现名为Kuang的exe程序,程序的logo表明该程序是pyinstaller打包的,所以使用pyinstxtractor反编译,随后使用pyc反编译查看源码。涉及到shell 肯定是web方向,恰好桌面上又有phpstudy,我的思路是先查看日志 日志中会记录很多信息,例如shell的密码(红队攻击后肯定会访问 无非是加密或者未加密 )运气挺好 ,题目也简单 一打开就看到一堆shell的访问日志 左边是用户,此时可以根据日志找文件,同时第二个问题的答案也出现了。原创 2024-03-20 17:35:20 · 394 阅读 · 0 评论