Lusen的小窝

【Vulnhub系列靶场】Vulnhub Connect-The-Dots靶场渗透一、主机发现 二、端口扫描 12345678910111213141516171819202122232425262728293031323334353637383940414243444546PORT STATE SERVICE VERSION21/tcp open ftp vsftpd 2.0.8 or later80/tcp open http Apache httpd 2.4.38 ((Debian))|_http-server-header: Apache/2.4.38 (Debian)|_http-title: Landing Page111/tcp open rpcbind 2-4 (RPC #100000)| rpcinfo:| program version port/proto service| 100000 2,3,4 111/tcp rpcbind| 100000 2,3,4 ...

【Vulnhub系列靶场】Vulnhub Lampiao-1靶场渗透一、主机发现 二、端口扫描 三、web框架 四、web渗透1、信息收集 2、目录扫描 获得版本信息7.56 3、获取shell查找版本信息漏洞 五、提权1、提权至普通用户找drupal 数据库的配置文件： 提权到普通用户tiago 2、提权到root脏牛提权： 上传到靶机获取root 密码

知攻善防Linux Web2靶场入侵排查前景需要：看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！ 1,提交攻击者IP 2,提交攻击者修改的管理员密码(明文) 3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg) 3,提交Webshell连接密码 4,提交数据包的flag1 5,提交攻击者使用的后续上传的木马文件名称 6,提交攻击者隐藏的flag2 7,提交攻击者隐藏的flag3 一、环境配置靶场来自知攻善防实验室公众号：回复靶机Linux2 打开即可，靶机的启动界面如下，使用了多种方法无法进入桌面，根据该靶机的文件大小推测，该靶机没有安装图形界面 二、账户安全检查/etc/passwd和/etc/shadow文件： 12cat /etc/passwd | grep -v nologin #查看可以登陆的用户awk '/\$1|\$6/{print $1}' /etc/shadow #查看 ...

知攻善防Linux Web1靶场入侵排查前景需要：小王急匆匆地找到小张，小王说”李哥，我dev服务器被黑了”,快救救我！！ 挑战内容： 黑客的IP地址 遗留下的三个flag 一、账户安全检查/etc/passwd和/etc/shadow文件： 12cat /etc/passwd | grep -v nologin #查看可以登陆的用户awk '/\$1|\$6/{print $1}' /etc/shadow #查看可以远程登陆的用户 正常，只存在root和一个普通用户defend 二、历史命令排查12history #查看root历史命令cat /home/defend/.bash_history #查看普通用户defend 的历史命令 在root 中排查到了相当可疑的操作，发现了flag{thisismybaby}，并发现了对/etc/rc.d/rc.local开机启动文件编辑的可疑行为，同小王商议过后，一致认为属于黑客的操作行为 查看该文件的内容 1cat /etc/rc. ...

雷池WAF防火墙的安装和使用一、环境配置1、Docker 环境卸载旧版的docker 12345678sudo yum remove docker \ docker-client \ docker-client-latest \ docker-common \ docker-latest \ docker-latest-logrotate \ docker-logrotate \ docker-engine 安装依赖包 123sudo yum install -y yum-utils \ device-mapper-persistent-data \ lvm2 设置docker 仓库 1sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo 安装docke ...

Windows Server Web3入侵排查前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。 这是他的服务器，请你找出以下内容作为通关条件： 攻击者的两个IP地址 隐藏用户名称 黑客遗留下的flag【3个】 一、环境配置在网盘中下载该靶场，解压后在vm中选择【打开】，选择对应的.ovf 文件 随便设置一个名称，指定路径即可 二、后门用户排查1、命令简单的排查1net user 2、控制面板排查 发现隐藏用户hack6618$ 3、本地用户和组管理排查 4、注册表排查 并无其他用户 三、端口、进程排查1、端口连接、进程排查 与多个IP 的80端口处于连接关闭状态，与104.208.16.88的443端口处于连接状态 每隔一段时间连接会发生变化 这里我们采用tcpview64.exe这个工具，来监听”心跳数据包” 可以看到111.6.232.54与223.109.1.97在进行连接，进程均为svchost.exe，直接判为异常连接 可以右击kill掉这两个进程 四、自启动后门排查1、计划任务排查 ...

WebShell 流量特征一、蚁剑流量特征当我们在蚁剑中执行whomai命令，发送给靶机的流量长这样： 执行dir命令相关流量： 对前部分进行url 解码可获得如下： 1=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item) 总结蚁剑流量特征如下： UA头可能会有antSword/版本号等字样 由木马连接密码开头（加密的话大都是_0x 开头） 明文中有@ini_set() 函数开头来隐藏错误信息（强特征） 有@set_time_limit(0) 函 ...

【其他经验】百度网盘小程序如何在网页中打开提取一、在网页中打开小程序百度网盘资源当好友发了一个小程序版的百度网盘资源，却只能在小程序的百度网盘中打开保存，无法保存至其他网盘。 我们可以利用【举报】—>【版权投诉】机制获取该资源的链接 复制链接之后即可在网页中打开，但这个时候可能会需要提取码 二、获取该资源的提取码我们可以分享该资源到文件助手或自己的好友，再打开分享后的资源 点击上方的三个点，依然点击投诉 之后选择复制链接 再次发送到文件助手或好友，即可看到&pwd=提取码

【内网横向】内网渗透横向移动：委派攻击一、委派介绍1、委派简介在内网身份认证的Kerberos 认证中，需要经过两次票据认证，分别是TGT 和ST 认证。那么此时有一种服务，我们可以委托中间商帮我们进行票据认证，而不必我们亲自前往认证，那么这种服务就是委派。 但如果设置了不正确的委派，可能会被恶意利用，加速内网的沦陷。 2、委派的分类 非约束性委派：即没有服务访问限制的委派，委派了任何服务 约束性委派：有服务访问限制，只能访问指定的服务 基于资源的委派：在Windows Server 2012中引入，不需要域管理员权限就可以进行设置，可以将资源委派给受信任的账户。约束性委派不能跨域委派，而基于资源的约束性委派可以跨域和林 3、委派攻击的工作场景 此时就是web系统被赋予了委派，用户A去访问web系统的时候，KDC将会把用户A 的TGT给web，web就可以拿着A的TGT去访问文件服务器。如果用户A是域管的话，将会有很多的权限。 4、设置委派在域内只有主机账号和服务账号才有委派属性。 主机账号：活动目录中的computers组内的计算机，也被称为机器账号。（域委派只能给某个域机器或机 ...

Windows Server Web2入侵排查一、环境搭建前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。 网盘下载压缩包，解压后，在高版本（大于17.5）的VM中扫描打开。获取所有权并开启靶机即可 二、后门用户排查1、命令简单的排查1net user 2、控制面板排查 3、本地用户和组管理排查 找到克隆后门用户hack897$ 4、注册表排查 通过F键对比，该隐藏用户属于是克隆管理员后门用户 三、端口、进程排查1、端口连接排查 与某端口的443端口处于等待关闭的状态 2、进程排查 7136进程是由于我开了一个应急排查工具的原因，并非恶意进程 四、自启动后门排查1、计划任务排查【控制面板】搜索计划任务，正常任务，无后门 2、自启动服务排查 3、自启动文件夹排查 4、自启动注册表项排查有众多启动东注册表项，不一一展示了，均无后门存在 自启动均正常，并无后门存在 五、入侵日志排查1、Windows系统安全日志排查1234567891011124624：成功登录的账户。4625：登录失败的尝试。4672 ...