2026年2月3日
常见webshell加解密流
摘要: 哥斯拉 php php_eval_xor_base64 <?php eval($_POST["pass"]); 解密流: 请求包(分成两部分进行解密pass&key): pass: import base64 import urllib.parse # URL 编码字符串 encoded_strin 阅读全文
posted @ 2026-02-03 17:14 如此蹉跎 阅读(1) 评论(0) 推荐(0)
2025年12月31日
玄机蓝队靶场_应急响应_76:2024铁人三项决赛应急响应
摘要: 题目预览 2024铁人三项决赛应急响应 您的同事李白在运维一台部署了移动应用服务端的linux服务器时发现了异常,好像被黑客攻 击了。小李通过简单分析,发现可能是由于公司的移动应用和其服务端程序都存在安全问题导致 的。小李将当天可能与攻击相关的流量导出,并与移动应用一起打包压缩,你可以下载分析。 1 阅读全文
posted @ 2025-12-31 00:38 如此蹉跎 阅读(53) 评论(0) 推荐(0)
2025年10月13日
玄机蓝队靶场_应急响应_198:实战Live勒索病毒溯源排查
摘要: 前言: 版权作者:思而听(山东)网络科技有限公司、solar应急响应团队、州弟学安全 特别注意:环境中的勒索家族全版本加密器已被 solar应急响应团队 破解 系统:Windows server 2016 账号密码:administrator/Sierting789@ 防勒索官网:http://应急 阅读全文
posted @ 2025-10-13 23:23 如此蹉跎 阅读(287) 评论(0) 推荐(0)
2025年8月4日
玄机蓝队靶场_应急响应_114:CobaltStrike流量分析
摘要: 1.溯源反制,提交黑客CS服务器的flag.txt内容 用工具对ip进行端口扫描,发现开放了2375端口,是docker的api未授权漏洞,进行写入ssh公钥利用 利用方式可参考:https://blog.csdn.net/qq_45746286/article/details/128927573 阅读全文
posted @ 2025-08-04 22:58 如此蹉跎 阅读(632) 评论(0) 推荐(0)
2024年10月22日
玄机蓝队靶场_应急响应_61:windows实战-emlog
摘要: win+r mstsc连接 不能联网,不然直接河马查杀一下 把www文件夹压缩下载下来用河马在线网站也是直接得到冰蝎木马文件: /WWW/content/plugins/tips/shell.php 在www文件夹直接搜索shell文件(盲猜) 找到连接密码flag{rebeyond} 直接找apa 阅读全文
posted @ 2024-10-22 22:37 如此蹉跎 阅读(109) 评论(0) 推荐(0)
玄机蓝队靶场_应急响应_25:webshell查杀
摘要: 参考:https://blog.csdn.net/administratorlws/article/details/139521078 Xterm连接之后看到/var/www有网站,直接下载下来用工具扫扫木马。 客户端太拉了,下次直接用河马在线网站扫。 找shell.php. 提交flag{1}发现 阅读全文
posted @ 2024-10-22 20:41 如此蹉跎 阅读(96) 评论(0) 推荐(0)
玄机蓝队靶场_应急响应_71:实战evtx-文件分析
摘要: windows日志排查工具: https://www.cnblogs.com/starrys/p/17129993.html windows日志事件ID,参考文章:https://peterpan.blog.csdn.net/article/details/139887217 下载日志分析工具Ful 阅读全文
posted @ 2024-10-22 16:41 如此蹉跎 阅读(290) 评论(0) 推荐(0)
2024年10月6日
玄机蓝队靶场_应急响应_48:第五章 linux实战-挖矿(未作出)
摘要: 参考: https://blog.csdn.net/administratorlws/article/details/139995863 有机会会再做一次。 一些想法: 黑客利用web服务入侵成功站点后,一般除了留下web木马外,还会留有系统后门和病毒比如可能的挖矿病毒。 检查web渗透入口的木马, 阅读全文
posted @ 2024-10-06 18:06 如此蹉跎 阅读(129) 评论(0) 推荐(0)
2024年9月29日
哥斯拉流量特征
摘要: .php: eval_xor_base64加密格式下连接时会发送三个数据包: 首包post数据挺大,返回包内容为空。且包中的eval函数和base64加密函数挺明显 剩下两个包请求体小,一个返回数据为加密后的ok,最后一个是返回加密后目标的基本环境信息。 发送的数据包请求体特征为两个参数pass=和 阅读全文
posted @ 2024-09-29 13:40 如此蹉跎 阅读(714) 评论(0) 推荐(0)
2024年9月19日
基础靶机(CentOS7)自测练习WP
摘要: 1信息收集 192.168.5.141:8090 open 192.168.5.141:8009 open 192.168.5.141:22 open 192.168.5.141:3306 open 192.168.5.141:6379 open 192.168.5.141:8080 open 19 阅读全文
posted @ 2024-09-19 21:45 如此蹉跎 阅读(287) 评论(0) 推荐(0)
下一页