应急响应靶场(近源渗透OS-1、挖矿事件)

最新推荐文章于 2024-07-15 11:22:04 发布
最新推荐文章于 2024-07-15 11:22:04 发布
阅读量945 收藏 12
点赞数 23
文章标签: 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64815500/article/details/139779576
版权

声明:1.实验靶场均来自知攻善防公众号,需要练习的同学自行去下载

           2.虚拟机需要编辑.ovf文件,与虚拟机版本号相对应方可启动

           3.需要配合知攻善防公众号的蓝队应急响应工具完成题解

本次实验为作者随笔,仅供参考!

一、近源渗透OS-1

1.题目要求

2.RDP远程桌面连接

  先获取虚拟机Ip地址,在本机远程桌面连接,输入ip,密钥凭证(虚拟机账号密码)

这样就可以成功登录

3.奇安信沙箱分析

将桌面上的学校放假通知.docx拿去沙箱中分析,这里百度找的qax沙箱

跑出来ip地址:8.219.200.130,确定为外网攻击地址

4.寻找隐藏文件

在phpstudy修复下面看到有一个隐藏文件地址

文件夹设置一下下面显示一下隐藏文件

根据路径找到这个.bat文件

得到内网跳板ip地址:192.168.20.129

5.寻找劫持工具(限速软件)

已知是ARP劫持,我们需要寻找是什么工具劫持

找到c盘的如下路径:

C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666

P2P终结者4.34,我们去百度一下

计算一下这个exe文件的hash

这里是知攻善防的蓝队应急响应工具计算hash工具,得到md5值:

2A5D8838BDB4D404EC632318C94ADC96

6.后门查找

最后一个后门,我们连点5次shift,跳出如下窗口

flag{zgsf@shift666}

找到C:\Windows\System32下面后门软件

放到hash工具中分析md5值:

58A3FF82A1AFF927809C529EB1385DA1

7.提交题解

最后把上面标蓝的答案填入题解.exe中

二、挖矿事件

1.题目要求

2.端口开放

  我们用远程桌面可以连接到此靶场,猜测为3389端口开放。(cmd输入ipconfig查看靶场ip,在物理机远程连接输入密钥即可。本题不用连接在虚拟机也可以完成)

3.查找挖矿木马并计算hash

任务管理器查看是哪个程序造成的cpu飙升

基本可以确定他是个挖矿木马

拉到我们有应急工具(知攻善防蓝队应急包)的地方,计算它的hash值。

挖矿程序md5值:

A79D49F425F95E70DDF0C68C18ABC564

4.火绒剑查找异常

上传火绒剑查看异常,不知道为什么我的应急响应工具不支持打开火绒剑,一直提示版本异常要求重启。但是重启还是没有效果。

找到如下脚本,编辑查看:

记录一下钱包地址待会需要输入:

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

破解systems.bat的hash值

挖矿脚本(后门程序)的hash:8414900F4C896964497C2CF6552EC4B9

在上述编辑中找到的这个网址c3pool.org,弹出如下网页

根据上述找到的钱包地址登陆进去查看:

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

不理解这个干嘛用的

5.日志分析

查看桌面上的表格

密码都是一样的,说明可能是攻击者在拿到一台的密码后进行的密码喷洒

右键双击Windows日志一键分析,上传至服务器

发现有暴力破解的痕迹。其中还有记录的时间和ip地址

2024-05-21 20:25:22         192.168.115.131 

6.提交题解

根据上述标蓝答案提交题解

伶祈漫
关注
  • 23
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
11.7. 近源渗透
Sumarua的博客
08-05 1859
文章目录11.7. 近源渗透11.7.1. USB攻击11.7.1.1. BadUSB11.7.1.2. AutoRUN11.7.1.3. USB Killer11.7.1.4. 侧信道11.7.2. Wi-Fi11.7.2.1. 密码爆破11.7.2.2. 信号压制11.7.3. 门禁11.7.3.1. 电磁脉冲11.7.3.2. IC卡11.7.4. 参考链接 11.7. 近源渗透 11.7.1. USB攻击 11.7.1.1. BadUSB 通过重新编程USB设备的内部微控制器,来执行恶意操作,例如注
9.7. 近源渗透
Sumarua的博客
07-31 854
文章目录9.7. 近源渗透9.7.1. Bad USB9.7.2. wifi9.7.3. 无线 9.7. 近源渗透 9.7.1. Bad USB WiFiDuck Keystroke injection attack plattform BadUSB code badusb的一些利用方式及代码 WHID WiFi HID Injector - An USB Rubberducky / BadUSB On Steroids BadUSB cable based on Attiny85 microcontro
近源渗透测试
Scorpio_m7
01-28 3909
????写在前面 ????博客主页:Scorpio_m7 ????欢迎关注????点赞????收藏⭐️留言???? ????本文由 Scorpio_m7原创,CSDN首发! ????首发时间:????2022年1月28日???? ✉️坚持和努力一定能换来诗与远方! ????作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢! 文章目录????写在前面wifi渗透Wifi密码爆破WIFI钓鱼无线路由器漏洞利用badusb工具准备安装 arduino 的 IDE驱动安装配置环境CobaltStr
应急响应靶机训练-近源渗透OS-1
Liyu_6618的博客
05-07 1171
应急响应靶机训练-近源渗透OS-1
一次近源渗透
2301_80127209的博客
03-12 458
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。
近源渗透简介
最新发布
2301_80361487的博客
07-15 552
通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上报,由此证明企业安全防护存在漏洞。
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场应急响应教程参考链接:...
WEB渗透学习-upload-labs靶场
04-20
**WEB渗透学习-upload-labs靶场详解** 在网络安全领域,特别是Web渗透测试中,了解和掌握文件上传漏洞是至关重要的技能。"upload-labs"靶场是一个专为学习和实践文件上传漏洞设计的平台,它提供了21个关卡,从基础...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
近源渗透之红队视角WiFi.pdf
03-24
无线网络已经事实上成为了企业移动化办公的重 要基础设施,但由于普遍缺乏有效的管理,部署与 使用人员的安全意识和专业知识的不足,导致AP分 布混乱,设备安全性脆弱,无线网络也越来越多的 成为黑客入侵企业内网系统的突破口,由此给企业 带来新的安全威胁。
近源渗透之红队视角WiFi.pptx
09-09
近源渗透之红队视角WiFi
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
vuInhub靶场实战系列-bulldog-1
06-03
vuInhub靶场实战系列-bulldog-1
红蓝对抗中的近源渗透
weixin_46236101的博客
09-24 4298
前言 近源渗透是这两年常被安全业内人员谈起的热门话题。不同于其他虚无缥缈的安全概念,近源渗透涉及到的无线安全、物理安全、社会工程学都十分容易落地实践,许多企业内部的攻防对抗演练也都出现了看上去“很过分”的近源渗透攻击手法,给防守方团队上了生动的一课。 19年的时候,笔者和朋友们就推出了漫画《黑客特战队·近源渗透》和出版书《黑客大揭秘:近源渗透测试》。作为近源渗透概念的主力“炒作者”之一,这篇文章和大家聊聊我对近源渗透的理解。 01 什么是红蓝对抗 红蓝对抗原本是一个军事概念,指在部队模拟对抗时,专门成立一个
近源渗透学习
tomyyyyy
05-07 1378
一、近源渗透 近源渗透测试是网络空间安全领域逐渐兴起的一种新的安全评估手段。 它是一种集常规网络攻防、物理接近、社会工程学及无线电通信攻防等能力于一体的高规格网络安全评估行动。网络安全评估小组在签订渗透测试授权协议后,通过乔装、社工等方式实地物理侵入企业办公区域,通过其内部各种潜在攻击面(如Wi-Fi网络、RFID门禁、暴露的有线网口、USB接口等)获得“战果”,最后以隐秘的方式将评估结果带出上...
近源渗透从监控系统到机房再到教育局网络安全
2301_79475922的博客
09-02 404
监控室的位置居花某所知是在1楼的位置,每次放学都会路过,但是记不清是几号了,微机室的位置是在2楼,同样记不清号是20几了,而1楼和2楼同样分布有大量的教室和办公室,所以网络分布还是很杂的,但同时这两个也是比较好分辨的,办公室的计算机通常来说没人用会关机,教室里就更不用说了上面花某也说过每个教室联网的可能就只有一个电子黑板了,而放学后会关机下网,所以说除去办公室和教室放假已下网的设备,像监控室和服务器这类上网设备还是比较简单扫出来的。没胆量也违法,所以只能搞近源。也是最麻烦的,也是我拖了这么久的主要原因。
linux服务器应急响应靶场
09-12
Linux服务器应急响应靶场是一个模拟真实环境下的网络攻击和安全事件的训练场所。靶场通过构建一系列复杂的网络攻击场景,帮助安全团队和系统管理员提升应对攻击事件的能力,增强服务器应急响应的能力。 首先,靶场可以提供各种类型的漏洞和安全事件,包括网络入侵、恶意代码传播、黑客攻击等。参与者可以在模拟网络环境中面对这些攻击,并学习如何快速识别和应对。该过程可以提供丰富的实践经验,以及对恶意行为的理解。 其次,靶场为参与者提供了一个安全的环境,在不会影响正式网络的前提下,尝试各种应急响应策略和工具。通过实践,可以了解,并纠正自身在应对攻击事件时可能存在的漏洞。同时,由于是靶场环境,不论是成功还是失败,都没有真实环境中的风险。 最后,靶场为安全团队提供了一个协同工作的平台。通过在实际的靶场中进行协作,团队成员可以共同面对攻击,共享经验,提高团队协作和响应能力。通过实战环境的训练,可以更好地锻炼团队的配合能力。 总之,Linux服务器应急响应靶场是一种非常有用的培训和演练工具。通过参与靶场培训,安全团队和系统管理员可以有效提升应急响应的能力,更好地保护服务器和网络的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值