jklove9的博客

完美解决kali安装Volatility2报错的问题

Q1:服务器自带的后门文件是什么？查看第一个POST请求，发现关键点（备注：file_put_contents内置函数，用于将字符串写入文件）然后通过一句话木马文件d00r.php执行whoami,ls等一系列系统命令。因此服务器自带的后门文件是Q2:服务器的内网IP是什么？如下所示：第22251个流，追踪http数据流，查看ipconfig的回显，发现内网ip地址为：192.168.101.132Q3:攻击者往服务器中写入的key是什么？

XX大赛内存取证

在内网渗透过程中，通常会遇到工作组的环境，而工作组环境事实上是一个逻辑上的网络环境（工作区），隶属于此工作组的机器之间是无法互相建立一个完美的信任机制的，只能点对点（认证方式较为落后）的方式，没有第三方可信机构。其实哈希传递本质上就是利用用户名对应的NTLM Hash将服务器给出的Challenge加密，生成一个Response,来完成认证，（没有用户名，就不会有Challenge，那么NTLM hash就无用武之地）哈希传递攻击的前提：有管理员的 NTLM Hash ，并且目标机器开放445端口。

通常情况下会通过未授权访问漏洞，弱口令（口令爆破）等方式，具体是什么方式，还需要看被入侵的服务器具体开放了哪些端口或者服务？挖矿程序主要是利用GPU等资源进行挖矿操作，最直接的现象就是CPU拉满，消耗电力等。下述可以清楚看到，运行挖矿程序之后，查看CPU状态是拉满的，即100%。经过上述分析，基本确认是挖矿，确认挖矿之后，需要进一步探究挖矿程序是如何被上传？挖矿程序通常会有相应的配置文件，如下config.json所示，可以看到钱包地址，挖矿域名等。依据挖矿程序，全盘搜索，发现下述两个路径均存在挖矿程序。

由于目前获取的机器是Administrator权限，因此可以直接运行getsystem获取机器的system权限，到目前为止，机器192.168.111.80机器完全被控制。通过访问weblogic登录页面可知，weblogic目前的版本是10.3.6.0，上网搜索当前weblogic版本历史上爆出过哪些漏洞？只能通过192.168.111.80开放80，7001端口进行入手。直接访问80端口发现没什么可以利用的点。7001通常是weblogic的默认端口，直接访问weblogic默认登录界面，

访问172.16.12.129 80端口，获得phpstudy探针页面，探针页面通常会泄露一些服务器的敏感信息，例如网站路径等，具体如下图所示。利用扫描 工具针对192.168.111.0/24C段开展扫描，发现存活主机192.168.111.130。针对phpAdmin平台，可以通过SQL语句写入webshell后门，从而对服务器远程执行命令。直接访问访问网址：http://192.168.111.130/phpMyAdmin/尝试利用mysql弱口令root/root进行连接测试，发现可以连接。

因为很简单 MSF不可能有你想要的所有功能或者工具，这个时候需要从MSF跳出来利用Kali上的工具，再或者利用个人PC Windows机器完成对目标机器2的访问进而实施攻击。访问http://192.168.76.148发现该网站是thinkphp框架，而且是V5版本，直接拿thinkphp漏洞利用工具，漏洞利用成功，此刻，可以和192.168.22.0/24网段进⾏通信，但只能在msf会话上操作，也就是目前这个连通仅仅是存在MSF 中？假如控制端是公⽹，被控是内⽹，直接去找在内⽹被控的是⽆法找到的。

对比第5个流和第7个流发现，同样的目录下 多出了6666.jpg。猜测是由攻击者上传，直接在请求包里搜索FFD8--FFD9 保存为1.jpg。继续追踪TCP数据流，在第9个数据流发现压缩包，导出压缩包（注意一定是转换成原始数据）利用foremost工具对1.jpg进行分离 得到下述图片。压缩包带密码，其密码就是上述图片中给出的密码。分析流量包，过滤http数据流。

信息收集等常用工具集合

推荐三款内网渗透神器---fscan kscan RequestTemplate

钓鱼木马伪装系列汇总

Centos7-快速部署Postfix邮件发送服务器

稀疏数组

思考： 为什么需要重写？ 1：父类的功能，子类不一定需要，或者不一定满足，所以就存在一个需求：子类重写父类的方法。

面向对象的三大特性：封装+继承+多态

静态方法，也就是带有static关键字的，例如上面示例，对于静态方法，可以直接通过类名.方法名的方式直接调用，例如Student.say(),而非静态方法就无法直接通过类名.方法名的方式调用，会报错。 那么非静态方法怎么去调用？ 非静态方法：就需要将这个类首先先实例化，也就是new一个对象出来，然后在对象.方法名去调用。具体如下所示

在一个类中，具有相同的方法名，但是具有不同的参数列表（什么是方法重载，3个条件）什么是不同的参数列表？例如参数个数不同，类型不同，参数排列顺序不同等）重载的方法必须拥有不同的参数列表。不能仅仅依据修饰符或者返回类型的不同来重载方法。那么有个隐含的条件在这里，就是这个修饰符和返回类型可以一样。Java编译器根据参数列表的差异性进而判断哪个方法应该被调用。方法重载有什么好处？可以让程序更清晰易读。执行密切相关任务的方法应该使用相同的名字代码示例：pub...

1. 用户交互Scanner1.1 Scanner对象： Java提供的一个工具类，利用Scanner类可以获取用户的输入。 java.util.Scanner是java5新特性1.2 基本语法 Scanner scanner = new Scanner(System.in); 类 对象名（随便）1.3 注意 通过Scanner类的next()和nextLine()方法获取输入的字符串，在读取前通常会使用hashNext()与hashN...

说明：下述来源于狂神JAVASE学习记录目录1. 注释、标识符、关键字2. 数据类型3. 类型转换4.变量和常量5. 运算符6. 包机制、JavaDoc1.1 注释（扫一眼就行） 注释本质上就是对代码的解释说明，很多代码，尤其是当年项目结构变得很复杂的时候，对代码做适当的标注，记录，有助于查...