- 博客(6)
- 收藏
- 关注
RSS订阅原创 记一次黑客入侵(攻击)的应急响应
记一次黑客入侵(攻击)溯源分析管理员说感觉服务器被入侵了,没有特别明显的表象,所以思路比较简单:流量分析–>日志审计–>用户信息–>计划任务、开机启动项–>文件痕迹排查。拿到的服务器基本情况:1、没有部署安全设备(waf、IPS、IDS、防火墙以及安全狗等)是裸奔的服务器。2、windons 2008R2系统3、有流量监听软件,可获取数据流量。一、流量分析1、使用wireshark打开抓取到的数据流量通过观察数据包发现存在大量的SMB协议流量,因为是windos 20
2021-04-04 22:33:43
1069
2
原创 永恒之蓝漏洞复现
永恒之蓝漏洞复现清明节闲得无聊,突然想起2017年差不多这时候爆发的利用永恒之蓝漏洞进行传播的雷索病毒,今天又重现了一下,顺便记录一下。概述:永恒之蓝漏洞有多危险,只要开着机,且开启445端口(文件共享端口)攻击者可以获得计算机的权限,能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。复现场景:攻击机:Linux kali(IP:192.168.114.131)靶机:Windows 2008R2 (IP:192.168.114.147)复现流程大致是这样的:MSF框架--
2021-04-03 23:42:40
833
原创 CTF之SSH密钥泄露实验
CTF之SSH密钥泄露实验实验目的: 获取目标主机上的flag目标主机: 未知攻 击 机: kali 192.168.114.130分析: 目前没有任何目标主机的任何信息,此时该做什么呢?思路:探测信息——构造畸形数据包——异常回应——get shell——提权拿到最高权限1、探测目标主机的IP地址(与攻击机在同一网段内):netdiscover -r 192.168.114.1/24 —— 在该地址段内探测存活的主机,识别到靶场。继续用nmap探测靶场开启的服务以及版本:nmap
2021-02-04 15:03:21
440
原创 介绍几个网络攻击中溯源的实用工具
介绍几个网络攻击中溯源的实用工具1、Rootkit 查杀:http://www.chkrootkit.orgRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。rootkit介绍Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉。换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦
2020-12-18 00:17:00
4097
原创 SSH暴力破解的应急响应实战案例
SSH暴力破解的应急响应实战案例事件的起因:在管理员的某次巡查时发现,22端口存在异常连接的IP。使用命令查看22端口的连接情况:netsatat -anpl | grep 22跟踪排查思路:一、排除系统账户情况1、除了root之外是否还有其它具有特权的的用户(uid为0):awk -F: ‘$3==0{print $1}’ /etc/passwd2、可以远程登录的账户awk ‘/$1|$6/{print $1}’ /etc/shadow普通用户是没有权限的二、确认攻击情况1、
2020-12-17 22:31:18
1497
1
原创 SQL注入之数字型注入实战案例详解
SQL注入之数字型注入实战案例详解 ———— 97℃oldboySQL注入种类多种多样,此文将通过一个实例详细讲解数字型注入。在我们拿到一个网页时,首先判断它是否存在注入漏洞最简单粗暴的方法就是在参数后面加一个单引号,如果网页报错,那么说明有可能存在注入漏洞了。请看下面的网页操作:上面是一个正常的网页,我们先检测网页是否有参数,在网址后面加上:?id=1 即http://192.168.114.147/sqli-labs-master/Less
2020-12-15 15:03:42
1462
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人