玄机-第七章 常见攻击事件分析--钓鱼邮件

于 2024-09-29 11:05:33 发布
阅读量561 收藏 13
点赞数 15
分类专栏: 玄机 文章标签: 网络安全 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62457642/article/details/142630939
版权

下载相关附件,得到一个zip文件

解压zip文件

发现有一个eml文件

使用记事本打开看看

1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag{11.22.33.44}

对邮件头中的几个关键字段的逐步解析:

:::info
Received:from mail.ffcs.cn (unknown[61.154.14.126])

by rmmx-cloud_rmmx_9_04-12063 (RichMail) with SMTP id 2f1f61512e47e91-1c7b5;

Mon, 27 Sep 2021 10:36:55 +0800 (CST)

这条记录表示邮件从IP地址61.154.14.126的服务器mail.ffcs.cn传输到rmmx-cloud_rmmx_9_04-12063服务器。时间为2021年9月27日10:36:55(CST)

:::

:::info
Received: (qmail 191289 invoked by uid 0); 27 Sep 2021 02:36:54 -0000

Received: from 127.0.0.1 by mail.ffcs.cn (envelope-from ffnic@ffcs.cn, uid 0) with qmail-scanner-1.24

(clamdscan: 0.98.4/26074.

Clear:RC:1(127.0.0.1):.

Processed in 0.248744 secs); 27 Sep 2021 02:36:54 -0000

这条记录表示邮件从本地地址127.0.0.1通过qmail-scanner传输到mail.ffcs.cn服务器。时间为2021年9月27日02:36:54(UTC)

:::

:::info
Received: from unknown (HELO localhost) (ffnic@[127.0.0.1])

        (envelope-sender <ffnic@ffcs.cn>)

        by 0 (magicmail) with SMTP

        for <139xxxx7085@139.com>; 27 Sep 2021 02:36:54 -0000

这条记录表示邮件从本地地址127.0.0.1通过magicmail传输,邮件发件人为ffnic@ffcs.cn。时间为2021年9月27日02:36:54(UTC)

:::

:::info
X-Mailer: MagicMail WebMail (from: 121.204.224.15)

这一行表示邮件是通过IP地址121.204.224.15使用MagicMail WebMail发送的。这通常是发送邮件的客户端的IP地址,表示邮件是在该IP地址上通过MagicMail发送的

:::

经过分析确认黑客ip为121.204.224.15

flag{121.204.224.15}

2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}

把这个eml文件丢到安恒云沙箱进行分析安恒云沙箱-下一代沙箱的领航者 (dbappsecurity.com.cn)

得到木马程序的控制端IP

flag{107.16.111.57}

3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}

使用D盾工具

在网站根目录(/var/www/html)进行搜索

发现一个php文件很可疑,查看一下

确认这就是我们要找的php文件

flag{/var/www/html/admin/ebak/ReData.php}

4.flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}

我们可以去临时目录查看一下配置文件进行分析,在这里也就是“\var\tmp\proc\”目录下的文件“my.conf”;

:::info
配置项分析

[common]:

这个部分表明配置文件的通用设置。

server_addr=178.102.115.17:52329:

服务器地址和端口号。这个配置指向外部服务器(IP 地址 178.102.115.17,端口 52329),可能是黑客用来控制或接管服务器的地址。

conn_type=tcp:

连接类型为 TCP。

vkey=6bHW7m4SMvy:

验证密钥或访问密钥,用于验证连接请求。

auto_reconnection=true:

自动重连设置为 true,表示断线后会自动重连。

max_conn=1000:

最大连接数为 1000,表示最多可以建立 1000 个连接。

flow_limit=1000 和 rate_limit=1000:

流量限制和速率限制,均为 1000。这些限制可能用于控制带宽使用。

crypt=true 和 compress=true:

数据加密和压缩设置为 true,表示传输的数据会被加密和压缩,以提高安全性和效率。

username and password of http and socks5 proxy:

注释部分,提到 HTTP 和 SOCKS5 代理的用户名和密码配置(已被注释掉)。

:::

经过分析,可以猜测这个mysql为代理文件

flag{/var/tmp/proc/mysql}
秋妤.
关注
专栏目录
玄机-应急平台】第七章 常见攻击事件分析--钓鱼邮件
Aluxian_的博客
06-19 2166
流量分析学习专栏学习!了解邮件服务的传输过程会被记录Received中,通过安恒、360D盾,360,火绒等(有些可能扫不出来,多尝试。
玄机——第七章 常见攻击事件分析--钓鱼邮件 wp
焦虑的焦虑
07-04 2786
第七章 常见攻击事件分析--钓鱼邮件
玄机常见攻击事件分析--钓鱼邮件,BAT常见的20道网络安全面试题详解
2401_84240554的博客
04-11 396
2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}4.flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}
玄机第七章 常见攻击事件分析--钓鱼邮件
weixin_68416970的博客
09-28 320
玄机靶场:第七章 常见攻击事件分析--钓鱼邮件的详解
玄机——第六章 流量特征分析-小王公司收到的钓鱼邮件 wp
焦虑的焦虑
06-19 2622
第六章 流量特征分析-小王公司收到的钓鱼邮件
玄机——第五章 linux实战-挖矿 wp
焦虑的焦虑
06-26 3408
第五章 linux实战-挖矿
玄机】-----应急响应
m0_63138919的博客
05-13 4282
玄机应急响应 题解 一起学习
玄机——第九章-查杀linux挖矿病毒 kswapd0(应急响应) wp
焦虑的焦虑
07-12 2384
第九章-kswapd0挖矿
玄机——第九章-Where-1S-tHe-Hacker-part2 wp
焦虑的焦虑
08-24 2442
第九章-Where-1S-tHe-Hacker-part2(免费送一批玄机注册邀请码)
透过细点识读玄机- 工业数字相机系统在工厂内部物流系统中的应用
10-26
许多客户都要求使用二维数据矩阵代码,而对于生产商来说,使用这种代码对包装商品进行识别也更为方便。 生产自动化在食品行业的应用可谓由来已久,尤其在外包装方面,客户的要求也越来越高,这就要求制造商不断采用...
行业-A股外资行为分析暨转型牛系列之四-从消费到制造,外资动向有何玄机?.rar
09-14
标题中的“行业-A股外资行为分析暨转型牛系列之四-从消费到制造,外资动向有何玄机?”暗示了这个文档可能是一个深入探讨中国A股市场中外资投资行为的报告,特别是关注外资如何从消费领域转向制造业的投资趋势。这份...
20210420-东北证券-A股外资行为分析暨转型牛系列之四:从消费到制造,外资动向有何玄机?.pdf
04-21
分析这份报告《***-东北证券-A股外资行为分析暨转型牛系列之四:从消费到制造,外资动向有何玄机?》之前,我们需要了解以下知识点: 1. 陆股通的概念:陆股通是指通过沪深股通机制,香港和境外其他地区的投资者...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8478
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于事件总线的C/C++嵌入式开发框架轻量级设计源码
09-28
该项目是一款基于事件总线的C/C++嵌入式开发框架,其设计源码总计112个文件,涵盖43个头文件、39个源文件、9个Markdown文档、4个源代码文件、3个工程文件、3个配置文件、2个Python脚本以及1个Git忽略文件。框架最低占用ROM 1.5KB,RAM 172字节,具有极低的资源消耗。核心技术采用事件总线,支持Reactor和状态机两种模式,并具备协作式内核,确保极高的可靠性。框架支持深度裁剪,便于移植,适用于对资源敏感的嵌入式系统开发需求。
基于JavaScript的化妆品网站HTML+CSS全栈设计源码
最新发布
09-28
本项目为全栈式化妆品网站设计源码,采用JavaScript进行开发,包含90个文件,涵盖40个SCSS样式文件、22个JavaScript脚本文件、8个HTML模板文件、6个PNG图片资源、5个CSS样式文件、3个JSON配置文件以及其他类型文件。该网站旨在提供专业的化妆品展示和购物体验。
基于HTML和Java的2021年NBA球星信息管理系统设计源码
09-28
本项目是一款基于HTML和Java开发的NBA球星信息管理系统源码,共包含84个文件,涵盖23个Java源文件、23个JPG图片文件、10个ICO图标文件、9个HTML页面文件、5个属性文件、4个PNG图片文件、2个XML配置文件、2个SQL数据库文件、1个Git忽略文件和1个JAR库文件。该系统专注于管理2021年NBA球星的相关信息,旨在提供高效的信息管理解决方案。
Python标准库(Python Standard Library)
09-28
1. 核心模块 o 1.1. 介绍 o 1.2. _ _builtin_ _ 模块 o 1.3. exceptions 模块 o 1.4. os 模块 o 1.5. os.path 模块 o 1.6. stat 模块 o 1.7. string 模块 o 1.8. re 模块 o 1.9. math 模块 o 1.10. cmath 模块 o 1.11. operator 模块 o 1.12. copy 模块 o 1.13. sys 模块 o 1.14. atexit 模块 o 1.15. time 模块 o 1.16. types 模块 o 1.17. gc 模块 2. 更多标准模块 o 2.1. 概览 o 2.2. fileinput 模块 o 2.3. shutil 模块 o 2.4. tempfile 模块 o 2.5. StringIO 模块 o 2.6. cStringIO 模块 o 2.7. mmap 模块 3. 线程和进程 o 3.1. 概览 o 3.2. threading 模块 o 3.3. Queue 模块 o 3.4. thread 模块 o 3.5. comm
7-14 房号的玄机 (5 分pta
04-06
这句话的意思是:7-14房号的玄机(神秘)是5分钱(指价值很小)。 注:这句话来自中国传统的风水学,认为每个房间都有一定的玄机,即因地制宜、遵循自然规律的布局方式,能够带来吉祥和好运。而5分钱的比喻,则是指这个玄机不太实用或者价值不高。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值