- 博客(12)
- 收藏
- 关注
RSS订阅原创 Malware流量分析
将下载下来的流量包放进VT检查一下,没有发现什么可以标签。开头是DNS包,一个发送包,一个响应包,因为看到了response。去网上搜了DNS包的格式,,找到了有answer下一个ip地址,应该有用。ok,接下来是一堆TCP包,来搞一下含义。这里有个TLS1.3协议,具体学习的文章链接在这里。,感觉下面这个很重要。再往下翻就是application data包,加密通话。突然出现了一个POST包,不知道在干嘛,里面一大堆base64,解密了之后发现是一个json。
2024-04-05 01:35:19
349
1
原创 应急靶场web1
这里有个小插曲,就是我原来是没找到这两个文件的,后来说是已经被windows defence发现并且放进隔离区了,去隔离区还原才能被fs找到。tips:这里注册表一开始没有管理员权限无法查看sam表下的目录,要改一下权限然后刷新一下。这里有几个工具包里的文件也符合webshell或者木马规范的也被找出来了。打开注册表里,这边有个隐藏用户“admin$”,这个在登陆界面也能看到。已知用户创建是2023/11/6/4:45:34,所以从这里开始筛选。打开小皮根目录/www/index.php,发现有黑客痕迹。
2024-03-21 17:24:48
259
1
原创 RESULTS流量分析
攻击者将shell删除并放到了其他web目录,文件名被改变了,找出他的绝对路径及文件名。通过流量及日志审计,攻击者上传shell的时访问web使用IP地址是多少?攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径。审计流量日志,攻击者反弹shell的地址及端口?这么一大堆爆破的东西我觉得是Burp。攻击者使用的提权方式及工具是什么?至于工具是什么我不知道,你硬要问。但是他.1和.2都传了,不懂。攻击者使用的端口扫描工具是?然后用的这个,为什么呢。攻击者创建的新用户名是?
2024-03-20 22:36:12
259
1
原创 Wireshark(流量分析题)WP
一个pcap包,一个hink。要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。发现带有base64编码,追踪流拿出来用工具解码一下。没解出来,发现带着个png。下载下来发现里面看着像私钥。用ocr识别完,再纠正一下,用hink里的套一下。然后搜一下http传输内容,追踪一下流,发现flag。
2024-03-11 20:10:39
515
原创 瑞士军刀 NC
侦听模式/传输模式telnet/获取 banner信息(当作telnet工具使用,甚至更好用)传输文本信息(可以作为聊天工具)传输文件/目录加密传输文件远程控制/木马(一般来说,不会被查杀)加密所有流量流媒体服务器远程克隆硬盘(一般用作电子取证)
2024-02-12 11:55:24
436
原创 记第二次面向wp的FirstLeaks靶场实操
1.图片马我原来用的是get方法是传参,但是bash去reshell的时候一直不行,就想着用post,结果还是不行,后来用的python一下就好了,不知道咋回事。2.linux系统还是不太熟,有些时候代码真不知道怎么写。3.还是没有养成记笔记的好习惯。总的来说这个靶场虽然和打起来和ctf差不多,但是费神,也是第一次接触到反弹shell这个东西,还得学吧只能说。
2024-02-10 15:40:44
1335
1
原创 记一次面向WP的TIKI靶机渗透
寒假闲着无聊就像找个靶机先打起来。刚入门,所以就先面向wp,熟悉一下渗透测试的整个流程。这里都是用root终端打的靶,但是看过红队笔记的渗透,说是不要用root终端,还是要养成打sudo的习惯,说是在正式的红蓝攻防里会吃亏,咱们没打过,也不知道吃亏在哪,有机会去问问大佬。
2024-02-09 08:39:59
639
原创 POP链构造
call方法中又需要序列化首项的数组首元素POC=0.o才能给cl中的无定义项赋值。基本思路就是Ha.destruct-->Rd.call-->Er.set。最后要触发Er里的set方法,所以向flag赋值,最后将其序列化。使得destruct时触发Love(start)由于love非定义,所以触发call方法。
2024-02-02 02:19:56
207
原创 Upload靶场实操
代码审计发现js前端检测文件后缀。1.f12禁用网页js。传一句话木马脚本成功。法2.抓包传1.php.png文件上去,然后burp改后缀,最后蚁剑连。
2024-01-28 03:53:09
1062
原创 DVWA靶场实操
审计一下发现啥也没有,也没别的过滤,就只是和数据库比对。也就是说只要字典够大,就能够爆。那就抓个包爆破,看length。然后发现我字典太大了,爆出来很多。应该是爆出来这两个。还爆出来两个万能密码。通过了。
2024-01-23 08:52:50
1766
1
原创 关于PHP反序列化的笔记
多态(Polymorphism):指可以使用一个父类类型的变量来引用不同子类类型的对象,从而实现对不同对象的统一操作。继承(Inheritance):指可以创建一个新的类,该类继承了父类的属性和方法,并且可以添加自己的属性和方法。通过继承,可以避免重复编写相似的代码,并且可以实现代码的重用。封装(Encapsulation):指将对象的属性和方法封装在一起,使得外部无法直接访问和修改对象的内部状态。类名后的一对大括号({})内可以定义变量和方法。)来限制属性和方法的访问权限,从而实现封装。
2024-01-15 02:47:05
356
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人