- 博客(11)
- 收藏
- 关注
RSS订阅原创 docker容器逃逸学习篇
本文对常见docker逃逸漏洞做了总结,包含漏洞环境的搭建,原理说明,利用方式,以及cdk工具的简单介绍等将cdk传入你拿下的容器将cdk工具丢到你的公网服务器,并且监听端口CDK包括三个功能模块Evaluate: 容器内部信息收集,以发现潜在的弱点便于后续利用。Exploit: 提供容器逃逸、持久化、横向移动等利用方式。Tool: 修复渗透过程中常用的linux命令以及与Docker/K8s API交互的命令。# 容器内部信息收集# 查看可利用的payload# 利用Exploit 模块。
2024-09-10 14:20:15
1016
原创 【玄机】第六章 流量特征分析-蚂蚁爱上树
这个 DLL 文件中的 MiniDump 函数可以用来创建内存转储文件(memory dump),这些文件包含了系统内存的快照,可能包括敏感信息,如用户凭证。dmp文件的特征之一就是文件较大,直接选47MB的查看,打开文件后也能看到dmp文件特征,对比常规dmp文件发现文件头多了e1c1709这几个字符,删除后文件恢复正常。Ctrl+F 查找admin关键词,查找到第一个数据包看到执行dir命令的返回结果,大概为黑客命令执行返回的结果,查看一下追踪流。
2024-08-28 17:30:51
748
原创 【玄机】第六章 流量特征分析-蚁剑流量分析
可见t41ffbc5fb0c04 key传入的值会被读取,也就是config.php文件会被读取,到客户端之后再进行处理,变相的实现了文件下载的效果。知道数数据包中的value生成逻辑就不用再看代码了,直接去掉value的前两位后进行base64解密。将数据包追踪流中的数据进行url解码,在找php在线美化网站查看php代码数据。对于抓到的数据包使用 右键 – 追踪流功能进行查看数据包详情。筛选http数据包,查看第一个数据包的追踪流。查看第六个http数据包:查看追踪流中的代码。
2024-08-28 17:04:39
712
原创 【玄机】第二章日志分析-redis应急响应
4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交。这个脚本替换了原本的ps命令,用户输入ps命令,会调用ps_,正常显示进程,并且过滤掉包含threadd字符串的行。5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;注:样本请勿在本地运行!样本请勿在本地运行!样本请勿在本地运行!
2024-08-20 16:06:01
586
原创 【玄机】第二章日志分析-apache日志分析
access.log.1文件,是因为系统的一个日志轮换机制,当日志文件达到一定大小或满足特定的时间条件时,access.log文件会轮转,旧的文件会被重命名为access.log.1。注意这里日志中还存在形如__index.php 这样的文件,所以查找时要加上斜杠。所以需要从access.log和access.log.1两个文件中获取内容。跟进去查看发现存在access.log和access.log.1文件。根据前置知识查看/var/log路径,发现存在apache2文件夹。观察日志可知:ip在第一列。
2024-08-13 11:06:56
311
原创 【玄机】第二章日志分析-mysql应急响应
udf是mysql得一个拓展接口,也称为用户自定义函数,用户通过自定义函数来实现在mysql中无法方便实现得功能当攻击者已知root账号和密码,就可以利用root权限,创建带有调用cmd函数的“udf.dll”。当我们把udf.dll导出指定文件夹引入mysql时候,其中的调用函数拿出来当作mysql函数来使用。
2024-08-13 10:59:56
638
原创 【玄机】第一章 应急响应- Linux入侵排查
php不死马/内存马原理:php不死马/内存马是将不死马启动后删除本身,在内存中执行死循环,使管理员无法删除木马文件。
2024-08-13 10:37:09
861
1
原创 【玄机】第一章 应急响应-webshell查杀
隐藏shell就是.xxx文件,用ls -al可以查看该隐藏文件,此处就是/var/www/html/include/Db/.Mysqli.php。3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}将找到的马丢沙箱看看,大概率是常规工具,蚁剑,冰蝎,天蝎,哥斯拉之类的。挨个查看一下马子中的文件内容,在gz.php中发现flag。
2024-08-12 11:06:02
861
原创 cnvd证书获取新思路—通过fofa自带的fid参数获取通用系统
现在现存的cnvd挖掘脚本判断逻辑都较为简陋,都是通过公司名称搜索,之后获取一个标题进行判断是否为通用系统,存在较大的误报情况,此脚本在此基础上增加通过fofa自带的参数fid进行搜索获取,进一步精准获取符合条件的通用系统,方便挖掘cnvdZS。(FID(FeatureID)是FOFA自己设定的指纹信息)
2024-08-07 11:06:47
434
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人