【应急靶场】Win Server Web3入侵排查
Windows Server Web3入侵排查前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
这是他的服务器,请你找出以下内容作为通关条件:
攻击者的两个IP地址
隐藏用户名称
黑客遗留下的flag【3个】
一、环境配置在网盘中下载该靶场,解压后在vm中选择【打开】,选择对应的.ovf 文件
随便设置一个名称,指定路径即可
二、后门用户排查1、命令简单的排查1net user
2、控制面板排查
发现隐藏用户hack6618$
3、本地用户和组管理排查
4、注册表排查
并无其他用户
三、端口、进程排查1、端口连接、进程排查
与多个IP 的80端口处于连接关闭状态,与104.208.16.88的443端口处于连接状态
每隔一段时间连接会发生变化
这里我们采用tcpview64.exe这个工具,来监听”心跳数据包”
可以看到111.6.232.54与223.109.1.97在进行连接,进程均为svchost.exe,直接判为异常连接
可以右击kill掉这两个进程
四、自启动后门排查1、计划任务排查
...
【蓝队应急】WebShell 流量特征
WebShell 流量特征一、蚁剑流量特征当我们在蚁剑中执行whomai命令,发送给靶机的流量长这样:
执行dir命令相关流量:
对前部分进行url 解码可获得如下:
1=@ini_set("display_errors", "0");@set_time_limit(0);$opdir=@ini_get("open_basedir");if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item)
总结蚁剑流量特征如下:
UA头可能会有antSword/版本号等字样
由木马连接密码开头(加密的话大都是_0x 开头)
明文中有@ini_set() 函数开头来隐藏错误信息(强特征)
有@set_time_limit(0) 函 ...
【其他经验】百度网盘小程序如何在网页中打开提取
【其他经验】百度网盘小程序如何在网页中打开提取一、在网页中打开小程序百度网盘资源当好友发了一个小程序版的百度网盘资源,却只能在小程序的百度网盘中打开保存,无法保存至其他网盘。
我们可以利用【举报】—>【版权投诉】机制获取该资源的链接
复制链接之后即可在网页中打开,但这个时候可能会需要提取码
二、获取该资源的提取码我们可以分享该资源到文件助手或自己的好友,再打开分享后的资源
点击上方的三个点,依然点击投诉
之后选择复制链接
再次发送到文件助手或好友,即可看到&pwd=提取码
【内网横向】内网渗透横向移动—委派攻击
【内网横向】内网渗透横向移动:委派攻击一、委派介绍1、委派简介在内网身份认证的Kerberos 认证中,需要经过两次票据认证,分别是TGT 和ST 认证。那么此时有一种服务,我们可以委托中间商帮我们进行票据认证,而不必我们亲自前往认证,那么这种服务就是委派。
但如果设置了不正确的委派,可能会被恶意利用,加速内网的沦陷。
2、委派的分类
非约束性委派:即没有服务访问限制的委派,委派了任何服务
约束性委派:有服务访问限制,只能访问指定的服务
基于资源的委派:在Windows Server 2012中引入,不需要域管理员权限就可以进行设置,可以将资源委派给受信任的账户。约束性委派不能跨域委派,而基于资源的约束性委派可以跨域和林
3、委派攻击的工作场景
此时就是web系统被赋予了委派,用户A去访问web系统的时候,KDC将会把用户A 的TGT给web,web就可以拿着A的TGT去访问文件服务器。如果用户A是域管的话,将会有很多的权限。
4、设置委派在域内只有主机账号和服务账号才有委派属性。
主机账号:活动目录中的computers组内的计算机,也被称为机器账号。(域委派只能给某个域机器或机 ...
【应急靶场】Win Server Web2入侵排查
Windows Server Web2入侵排查一、环境搭建前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
网盘下载压缩包,解压后,在高版本(大于17.5)的VM中扫描打开。获取所有权并开启靶机即可
二、后门用户排查1、命令简单的排查1net user
2、控制面板排查
3、本地用户和组管理排查
找到克隆后门用户hack897$
4、注册表排查
通过F键对比,该隐藏用户属于是克隆管理员后门用户
三、端口、进程排查1、端口连接排查
与某端口的443端口处于等待关闭的状态
2、进程排查
7136进程是由于我开了一个应急排查工具的原因,并非恶意进程
四、自启动后门排查1、计划任务排查【控制面板】搜索计划任务,正常任务,无后门
2、自启动服务排查
3、自启动文件夹排查
4、自启动注册表项排查有众多启动东注册表项,不一一展示了,均无后门存在
自启动均正常,并无后门存在
五、入侵日志排查1、Windows系统安全日志排查1234567891011124624:成功登录的账户。4625:登录失败的尝试。4672 ...
【基础知识】计算机网络TTL值详解
【基础知识】计算机网络TTL值详解一、TTL介绍TTL:数据报文的生存周期
当我们发送一个数据包时,该数据包每经过一个路由节点,TTL 值将会减一,如果TTL减少到零,数据包依然没有送达到目标地点,就会返回Time to live exceeded(超过生存时间),导致计算机不能正常上网
二、Linux 中的TTL 值linux操作系统默认的ttl 值为64,相关文件位于:/proc/sys/net/ipv4/ip_default_ttl
修改linux 的ttl 值 为128,伪造windows系统
1echo "128" > /proc/sys/net/ipv4/ip_default_ttl
三、Windows 中的TTL 值windows中默认的ttl值通常是128
1、命令修改ttl值1netsh interface ipv4 set global defaultcurhoplimit=<新TTL值>
2、注册表修改ttl值1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tc ...
【流量分析】流量抓包工具WireShark的基本使用
流量抓包工具WireShark的基本使用一、WireShark 简介官网:www.wireshark.org
是一个网络包分析工具,使用WinPCAP作为接口,直接与网卡进行数据报文交互,抓取网卡上的流量数据包,对网络数据包进行详细的刨析分析。
可以用WireShark 来检测网络连接问题,也可以用WireShark 来抓取网络上的敏感信息,窃取数据。WireShark 默认情况下,使用混杂模式,即抓取流经本地的数据包;那么普通模式下,只会抓取流入本地的数据包。
二、WireShark 快速定位数据包1、常见的协议APR、ICMP、TCP、UDP、DNS、HTTP
2、选择网卡接口1、双击进去网卡接口
2、使用接口过滤器
12345678910111213141、仅捕获与10.1.159.86 进行交互的流量host 10.1.159.862、获取10.1.159.86 为源IP的数据包src host 10.1.159.863、获取10.1.159.86 为目标IP的数据包dst host 10.1.159.864、获取目标为10.1.159.86 且端口为80dst host 1 ...
【堡垒机】JumpServer 堡垒机搭建和使用
JumpServer 堡垒机搭建和使用一、堡垒机介绍堡垒机(Bastion Host)是一种网络安全设备,它在一个特定的网络环境下,为了保障网络和数据不受外部和内部用户的入侵和破坏,运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为。堡垒机的核心功能通常包括4A:身份验证(Authentication)、账号管理(Account)、授权控制(Authorization)和安全审计(Audit)。它帮助企业实现对IT资源的集中管理和安全控制,确保只有授权用户才能访问特定的系统资源,并且所有操作都会被记录和审计,以便于事后分析和责任追踪。
二、JumpServer 堡垒机官网:JumpServer - 开源堡垒机 - 官网Github:JumpServer 是广受欢迎的开源堡垒机
JumpServer 是全球首款完全开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统,提供身份验证、授权控制、账号管理、安全审计等功能支持。采用分布式架构设计,支持容器化部署,能够支持多种资产类型和大规模资产纳管,适用于金融、 ...
【应急靶场】Win Server Web1入侵排查
Windows Server Web1入侵排查一、环境搭建小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
攻击者的shell密码
攻击者的IP地址
攻击者的隐藏账户名称
攻击者挖矿程序的矿池域名(仅域名)
有实力的可以尝试着修复漏洞
网盘下载压缩包,解压后,在高版本(大于17.5)的VM中扫描打开
获取所有权并开启靶机
二、排查后门账户先简单用命令查看一下
1net user
没有可疑用户,查看账户管理,发现隐藏用户 hack168$
注册表中未发现更多的克隆用户
查看本地用户和组管理:
查看用户
查看管理员组
可以确定hack168$这个用户是一个隐藏的后门用户
三、检查端口、进程1、端口检查1netstat -ano
可以看到与某IP的80端口已经建立了连接
可以通过如下将与此IP 的所有链接切除
1tasklist | findstr "7712"
2、进程排查为了进一步上述端口连接是恶意连接,我们可以通过端口连接的 ...
【漏洞复现】Apache Log4j系列漏洞复现
【漏洞复现】Apache Log4j系列漏洞复现一、Log4j反序列化命令执行漏洞(CVE-2017-5645)1、漏洞原因影响版本:Apache Log4j 2.x 版本(2.8.2之前的2.x版本)
Log4j 是一个广泛应用的Java 日志库,用来记录程序日志,并且支持远程服务器。是一个由Apache软件基金会维护的开源日志框架,它为Java应用程序提供了灵活的日志记录功能。该框架允许开发者通过配置文件来控制日志的输出目的地、输出格式、日志级别等,而无需修改应用程序代码。这使得日志管理变得更加灵活和高效。一些著名的开源项目,如sprint、hibernate、struts 都是使用该日志框架。
攻击者可以通过发送一个特别制作的2进制payload,在该组件将字节反序列化为对象时,触发并执行构造的payload代码。该漏洞主要是由于在处理ObjectInputStream时,接收函数对于不可靠来源的input没有过滤。可以通过给TcpSocketServer和UdpSocketServer添加可配置的过滤功能以及一些相关设置,可以有效的解决该漏洞。
2、环境搭建vulhub 的CV ...