应急响应靶场练习-Web篇(知攻善防实验室)

最新推荐文章于 2024-06-15 17:56:42 发布
最新推荐文章于 2024-06-15 17:56:42 发布
阅读量1k 收藏 29
点赞数 13
文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64815500/article/details/139418571
版权

仅供参考,作者的随笔记录

一、Web 1

1.要求

2.网站扫描

开机界面如下,先启动一下Phpstudy

在phpstudy打开根目录,寻找相关web目录

直接上D盾扫描

查看文件,获得第一个提示:$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。rebeyond可以确认为冰蝎后门!!

3.网站日志文件排查

这里的apache日志里面发现大量的POST请求,ip地址为192.168.126.1,即攻击者ip。

访问一下他爆破的ip地址

是一个登录界面,说明有可能POAT请求暴力破解账号,日志后面状态码200说明很有可能存在弱口令被破解了。

看图很有可能被破解并且传了shell进去,后面是攻击者的连接日志。

4.查找攻击者的隐藏账户

  注册表sam排查影子用户

这里不知道是不是注册表出问题了,我们直接去控制面板查看用户情况

存在一个hack168$,百分之90是黑客账户

或者利用工具箱查看

也可以确定username

5.寻找挖矿矿池

查找这个用户的文件

认准这个图标!!该图标为pyinstaller打包,使用pyinstxtractor进行反编译

工具:GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor

把python环境下载好,运行

在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析

找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.

我这里网上随便搜的一个python在线反编译工具,解得如下

http://wakuang.zhigongshanfang.top

6.遇到的问题:

  1. D盾查杀检测到防火墙自动给我把shell清除了,需要手动还原
  2. 打开虚拟机前修改vmx配置文件与虚拟机版本相对应
  3. 给的虚拟机没有python环境需要自己下载配置,不要点开kuang.exe!!
  4. 上面的D盾和日志扫描都是从虚拟机上下载知攻善防实验室配套蓝队工具箱(有点麻烦)
  5. 以上标蓝色的即为本题解

二、Web 2

1.题目要求

靶机用户:administrator 密码:Zgsf@qq.com

2.跑应急工具箱

一键日志分析查看

爆出hack887$(或者注册表sam影子账户排查,ip 192.168.126.129

查看apache下面的log日志文件,发现如下

推测另一个攻击者ip 192.168.126.135

3.D盾扫描路径

打开system.php

这样攻击者webshell文件名和密码都知道了

$pass='hack6618';

$payloadName='payload';

$key='7813d1590d28a7dd';

4.QQ号查看分析

这里有个腾讯文件,猜测存在qq账号等信息

qq号:777888999321  

其中看到frp(内网穿透工具)

在frpc.ini的配置文件中找到伪IP 256.256.66.88以及伪端口65536

5.提交题解

成功攻克靶机!!

6.总结web1\2做题思路:

  1. 出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。
  2. 如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具
  3. 排查异常账户,控制页面、net user、注册表sam排查影子用户
  4. 其shell文件或者log查找关键信息如连接密码等

三、Web 3

1.要求

2个ip,隐藏用户,3个flag

2.日志分析

查看apache日志:

发现192.168.75.129192.168.75.130对我们有大量的请求访问

上日志文件扫描一下远程登录成功的用户

给出一个hack6618$和溯源的ip192.168.75.130

3.上D盾对目标路径进行扫描

检查文件其中有两个是一句话木马,直接被查出来

4.flag1 & flag2

没什么思路,排查一下计划任务:taskschd.msc

发现第一个flag{zgsfsys@sec},而且创建者刚好是我们检查出的异常用户

点进去看他执行了哪个程序

找到并打开,发现第二个flag{888666abc}

5.flag3

第三个没有思路,直接从Web入手:

访问80端口,进去后点后台登陆

Z-blogphp,不知道密码,直接去百度搜索忘记密码怎么操作。提示我们用到以下工具nologin

下载好并放在网页路径下面,访问

点重置admin的密码,然后登录进去

找到用户管理,点击编辑hack用户

拿下第三个flag{H@Ck@sec}

最后提交答案,上述标蓝色字体即为题解

6.总结:

  1. 常规D盾,中间件日志分析,工具远程登录日志分析等排查
  2. 查看计划任务taskschd.msc,如果有找到执行的程序/路径
  3. 去网站网页下面寻找信息
伶祈漫
关注
  • 13
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应靶机训练-Web2
2201_75316477的博客
03-18 571
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。到这里还差一个攻击者的另一个ip,我是没找到,看了一下解题思路,另一个IP是使用蓝队工具箱的日志分析工具找到的。打开QQ号文件下的FileRecv文件夹,看到了黑客上传的frp工具,查看配置文件frpc.ini文件。查看apache日志文件可以发现攻击者的一个ip为192.168.126.135,在启动靶机时,如果你的vm版本为16,请将虚拟机的vmx文件改一下。
知攻善防应急靶场-Linux(1)
m0_63138919的博客
03-24 1199
本文章参考qax的网络安全应急响应知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Windows靶机应急响应(三)
流水不争先,争的是滔滔不绝
04-08 503
windows靶机应急响应
Hvv--知攻善防应急响应靶机--Web2
GDL1411983801的博客
06-12 636
所有靶机均来自知攻善防实验室官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQApache、FTP日志Log Parser 远程登录日志QQ文件默认存放位置账号:Administrator密码:Zgsf@qq.com。
应急响应靶场web2】
一纸荒芜的博客
03-15 1270
靶场来源:知攻善防实验室
应急响应靶场web1】
一纸荒芜的博客
03-14 2695
本文记录一下自己的靶场解题过程 靶场来源:知攻善防实验室
应急响应靶机训练-Web3题解
Liyu_6618的博客
03-20 846
应急响应靶机训练-Web3题解
应急响应靶机训练-Web2【题解】
Liyu_6618的博客
03-04 774
应急响应靶机训练-Web2【题解】
修仙秘境-Web安全靶场 练习web安全漏洞的平台.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场应急响应教程参考链接:...
sqli-labs靶场练习笔记
11-09
sqli-labs靶场练习笔记,里面有2关 3关 4关 5关 4关 7关 8关 9关 11关 12关 13关 14关 15关 16关 17关 18关 19关 20关 21关 22关 23关 24关 的练习内容,可以供给初学sql注入的学者参考
网络靶场体系结构与关键技术---鹏程实验室国家级网络靶场.pdf
08-08
鹏城实验室介绍 网络靶场概念、背景意义与需求 网络靶场定义和业务流程 科学问题和关键技术 已有基础及研究进展 网安人才实训探索
知攻善防应急响应靶机训练-Web2
tmyzxy1314的博客
05-23 421
本次应急响应靶机采用的是知攻善防实验室Web-2应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:Zgsf@qq.com。ftp服务日志有很多内容记录,可以观察到有许多登陆失败的日志,很明显是在做口令暴力破解,攻击者IP也是一样的。二、攻击者的webshell文件名?三、攻击者的webshell密码?七、攻击者是如何入侵的(选择题)?一、攻击者的IP地址(两个)?五、攻击者的伪服务器IP地址?
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8295
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全攻防基础入门笔记--操作系统&名词解释&文件下载&反弹shell&防火墙绕过
最新发布
谜语人的博客
06-15 1122
全程Proof of Concept,中文"概念验证",常指一段漏洞证明的代码。
网络安全(补充)
m0_62207482的博客
06-15 585
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值