Lusen的小窝

【玄机应急】第七章 常见攻击事件分析–钓鱼邮件一、附件下载下载好流量数据包附件 二、步骤一：请分析获取黑客发送钓鱼邮件时使用的IP 先整体浏览下附件内容，有www的网站源文件和log的日志目录 这里有钓鱼的邮件，直接记事本打开。看最后一个Received内部的from的地址 前面的Received内部的from地址大都是其他邮件服务器的代理转发地址 三、步骤二：获取黑客钓鱼邮件中使用的木马程序的控制端IP 1、过沙箱 四、步骤三：请分析获取webshell的文件名 1、D盾扫一下 五、步骤四：隧道程序的文件名 观察其他路径的文件 疑似mysql 的配置文件my.conf怎么会出现在这里。过沙箱

【玄机应急】第六章 流量特征分析-蚂蚁爱上树一、附件下载下载附件，在Wireshark中打开 二、步骤一：管理员Admin账号的密码是什么？ 1、发现蚁剑流量特征先大致浏览一下整体的数据包，这两个端口通讯频繁 找几个流量包来看一看，发现蚁剑流量特征 2、找管理员的密码找木马product2.php ，做标记 123http.request.uri contains "/product2.php"//ctrl a 全选，然后ctrl m 做标记 之后重新回归http，看木马的响应包 追踪http流，是数据库的配置文件，搜索一下 找个md5解密下 flag不对，并不是真的密码 3、真实的Admin密码继续查看蚁剑的响应包。在3414这个包中可以看到此时并没有Admin用户。因此推测Admin是黑客权限维持的一个用户 那这有点麻烦了，如果Admin是黑客新增用户做的权限维持的话，是没有返回结果的，我们需要破解蚁剑的流量。蚁剑的流量特征还是很好鉴别的，如果不懂，还请移步到【蓝队应急】WebShell 流量特征 文章查看。 我们找没有回显或回显较少的包，对请 ...

【玄机应急】第六章特征分析—waf上截获的黑客攻击流量一、附件下载下载好流量数据包.pcap，在WireShark中打开 二、步骤一：黑客登陆系统的密码 1、筛选POST请求1http.request.method == "POST" 登陆的地址在/admin/login.php?rec=login 2、筛选全部的登陆请求1http.request.method == "POST" && http.request.uri contains "rec=login" 直接找最后几条 三、步骤二：黑客发现的关键字符串题目中xxx的数量有32个，那么字符串也既有可能就是32位 1、蚁剑流量特征查看http流量的时候，发现很多对a.php文件发起访问 仔细查看流量发现是蚁剑的流量特征 2、筛选蚁剑的响应数据包我们筛选所有蚁剑的请求包，之后做上标记 1http.request.uri contains "/a.php" 回到http中，看蚁剑的响应包 四、步骤三：黑客找到的数据库密 ...

【红队入侵】文件钓鱼—RLO构造后缀一、前景需求当我们想发送一个木马给身边凌晨两点还在计划打团的室友，帮助他戒网瘾，早睡早起养好身体。我们需要做的准备： 公网服务器 免杀的exe木马 监听的服务端 Resource Hacker winrar 压缩包程序 如下所示： 但是单单的exe 难免让人起疑心，搞不好会挨室友的大拳头。 二、木马图标修改这里用Resource Hacker工具，给exe木马上上图标。当然，也有其他相关工具可以使用，这里只是一个示例 另外从网上找来一个类似word 的ico 图标，当然了，这个图标并不是真的，各位可以动手自己制作一个。 打开Resource Hacker工具，在File中加载exe木马文件，选择Icon Group，快捷键Ctrl + R打开替换图标 选中word 图标进行替换 ctrl + s 保存就可以了，它替换之后可能还是原样，多刷新，或者尝试修改文件名。 再尝试下是否还能连接，没有问题 三、木马后缀修改既然要伪装成word ，我们需要把木马的名称和后缀都改了 先改名称，如关于评选2024年校级优秀应届大学毕业生的通知.exe ...

【Python武器库】取代netcat（过杀软）一、netcat 简介简称nc，被称为“瑞士军刀”，在网络安全中是一位不可或缺的角色。但如果拿到一太新的服务器，却没有nc，也不具备上网的能力，此时总归是让人有些抓耳的。但如果有python环境的话，却是可以替代nc。此也是一个不错的练习。 二、实现效果1、连接 2、命令执行1、创建文件 2、删除文件 三、免杀效果同样的路径，只扫描出来nc 四、实战效果 五、代码实现由于工具危害性较大，这里只展示代码部分片段 更详细的内容，请前往Python笔记中的项目2

【OSCP系列】OSCP靶机—Katana一、主机发现 二、端口扫描1、快速扫描1nmap.exe -F 192.168.31.57 2、全端口扫描 3、服务版本识别1nmap.exe -sV -sT -sC -O -p21,22,80,139,445,7080,8715,8088 192.168.31.57 21、22、80都是常见的服务，139、445是Samba服务，版本号在3.x-4.x，7080 是一个https服务，8715也是一个http服务 4、漏洞探测1nmap.exe --script=vuln -p21,22,80,139,445,7080,8715,8088 192.168.31.57 三、FTP信息收集刚才nmap 信息收集的时候，ftp并未显示未授权 用hydra 进行简单的弱口令爆破，爆破失败 四、HTTP信息收集1、80端口首页是一个武士军刀 2、目录扫描啥也没有 上其他字典，扫到ebook 有其他东西了 看起来像是一个CMS类型网站，继续扫 3、admin.php像是后台登陆页 4、info.phpphpinfo页面 5、 ...

OSCP系列靶机—InfosecPrep一、主机发现 二、端口扫描1、快速扫描1nmap.exe -F 192.168.31.56 2、全端口扫描 3、服务版本识别1nmap.exe -sV -sT -sC -O -p 22,80,33060 192.168.31.56 22端口采用OpenSSH 8.1版本，80端口使用Apache/2.4.41，发现secret.txt 文件，33060使用mysql的某个版本。 整个机器使用Ubuntu，系统版本在4.15 - 5.8 4、漏洞探测1nmap.exe --script=vuln -p22,80,33060 192.168.31.56 80端口使用wordpress框架，发现用户名admin，发现一些csrf 漏洞和进行了一些目录扫描 三、HTTP 信息收集1、首页一个wordpress 网站 2、robots.txt 文件 3、secret.txt 文件这个东西，有点像RSA密钥，但是好像被base64加密了 base64解密一下 这下正宗了，确认是某个用户的RSA密钥，保存起来 四、Getshell后面收集了很 ...

OSCP系列靶机—CyberSploit2一、主机发现 二、端口扫描1、快速扫描1nmap.exe -F 192.168.31.55 2、全端口扫描 3、服务版本识别 22端口使用OpenSSH 8.0版本，80端口使用Apache服务，推测为centos系统 4、漏洞探测 80端口探测到一个icons目录 三、HTTP 信息收集1、首页首页似乎给了几个账户名和密码，收集起来 2、页面源代码给了一个ROT47的提示 推测账号密码中D92:=6?5C2 4J36CDA=@:E是一组被编码的数值，解码成功 四、获取SHELL对收集的账号密码做成字典，进行ssh爆破 成功获取shailendra用户的权限 五、权限提升1、查看/etc/passwd除了shailendra用户之外，还存在一个centos用户 2、hint.txt这个提示给的是深处docker当中吗 查看根目录下是否有.dockerenv文件 虽然并未身处docker当中，但是这个机器却有docker环境，甚至还有几个容器存在 3、提权至root直接利用docker一句话提权

Windows Server 2008近源应急OS-1前景需要：小王从某安全大厂被优化掉后，来到了某私立小学当起了计算机老师。某一天上课的时候，发现鼠标在自己动弹，又发现除了某台电脑，其他电脑连不上网络。感觉肯定有学生捣乱，于是开启了应急。 攻击者的外网IP地址 攻击者的内网跳板IP地址 攻击者使用的限速软件的md5大写 攻击者的后门md5大写 攻击者留下的flag 一、环境配置在网盘中下载该靶场，解压后在vm中选择【扫描虚拟机】，选择对应的文件夹打开即可 二、攻击者的外网IP地址这是一个被近源的主机，因此可能想到的是被钓鱼了 作为一名老师，桌面上的学校放假通知.doc确是诱惑的一批 在沙箱中跑一下，出来外网IP 三、攻击者的内网跳板IP地址桌面上存在一个phpstudy 修复的bat 文件，但是其目标居然是另一个bat 找到其位置居然啥也没有，打开如下两个选项 查看其内容，内网IP192.168.20.129，端口801 四、攻击者使用的限速软件的md5大写在如下的位置 对该工具的简述：限制别人网速 在线网站计算给工具的MD5，后面转成大写即可 五、攻击者的后 ...

【漏洞复现】Tomcat 系列漏洞复现一、任意文件上传（tomcat8）1、漏洞原因Tomcat支持在后台部署war文件，可以直接将webshell部署到web目录下。其中，欲访问后台，需要对应用户有相应权限。Tomcat7+权限分为： 12345678- manager（后台管理） - manager-gui 拥有html页面权限 - manager-status 拥有查看status的权限 - manager-script 拥有text接口的权限，和status权限 - manager-jmx 拥有jmx权限，和status权限- host-manager（虚拟主机管理） - admin-gui 拥有html页面权限 - admin-script 拥有text接口权限 正常安装的情况下，tomcat8中默认没有任何用户，且manager页面只允许本地IP访问。只有管理员手动修改了这些属性的情况下，才可以进行攻击。 2、漏洞复现1、弱口令tomcat:tomcat访问后台 2、上传webshell 将如下shell.jsp 压缩成zip，再修改后缀为war 12345 ...