2025年8月4日
玄机蓝队靶场_应急响应_114:CobaltStrike流量分析
摘要: 1.溯源反制,提交黑客CS服务器的flag.txt内容 用工具对ip进行端口扫描,发现开放了2375端口,是docker的api未授权漏洞,进行写入ssh公钥利用 利用方式可参考:https://blog.csdn.net/qq_45746286/article/details/128927573 阅读全文
posted @ 2025-08-04 22:58 蓝尽红出 阅读(113) 评论(0) 推荐(0)
2024年10月22日
玄机蓝队靶场_应急响应_61:windows实战-emlog
摘要: win+r mstsc连接 不能联网,不然直接河马查杀一下 把www文件夹压缩下载下来用河马在线网站也是直接得到冰蝎木马文件: /WWW/content/plugins/tips/shell.php 在www文件夹直接搜索shell文件(盲猜) 找到连接密码flag{rebeyond} 直接找apa 阅读全文
posted @ 2024-10-22 22:37 蓝尽红出 阅读(75) 评论(0) 推荐(0)
玄机蓝队靶场_应急响应_25:webshell查杀
摘要: 参考:https://blog.csdn.net/administratorlws/article/details/139521078 Xterm连接之后看到/var/www有网站,直接下载下来用工具扫扫木马。 客户端太拉了,下次直接用河马在线网站扫。 找shell.php. 提交flag{1}发现 阅读全文
posted @ 2024-10-22 20:41 蓝尽红出 阅读(62) 评论(0) 推荐(0)
玄机蓝队靶场_应急响应_71:实战evtx-文件分析
摘要: windows日志排查工具: https://www.cnblogs.com/starrys/p/17129993.html windows日志事件ID,参考文章:https://peterpan.blog.csdn.net/article/details/139887217 下载日志分析工具Ful 阅读全文
posted @ 2024-10-22 16:41 蓝尽红出 阅读(200) 评论(0) 推荐(0)
2024年10月6日
玄机蓝队靶场_应急响应_48:第五章 linux实战-挖矿(未作出)
摘要: 参考: https://blog.csdn.net/administratorlws/article/details/139995863 有机会会再做一次。 一些想法: 黑客利用web服务入侵成功站点后,一般除了留下web木马外,还会留有系统后门和病毒比如可能的挖矿病毒。 检查web渗透入口的木马, 阅读全文
posted @ 2024-10-06 18:06 蓝尽红出 阅读(90) 评论(0) 推荐(0)
2024年9月29日
哥斯拉流量特征
摘要: .php: eval_xor_base64加密格式下连接时会发送三个数据包: 首包post数据挺大,返回包内容为空。且包中的eval函数和base64加密函数挺明显 剩下两个包请求体小,一个返回数据为加密后的ok,最后一个是返回加密后目标的基本环境信息。 发送的数据包请求体特征为两个参数pass=和 阅读全文
posted @ 2024-09-29 13:40 蓝尽红出 阅读(573) 评论(0) 推荐(0)
2024年9月19日
基础靶机(CentOS7)自测练习WP
摘要: 1信息收集 192.168.5.141:8090 open 192.168.5.141:8009 open 192.168.5.141:22 open 192.168.5.141:3306 open 192.168.5.141:6379 open 192.168.5.141:8080 open 19 阅读全文
posted @ 2024-09-19 21:45 蓝尽红出 阅读(191) 评论(0) 推荐(0)
2024年9月15日
2024_长城杯_漏洞探踪,流量解密/最安全的加密方式
摘要: 漏洞探踪,流量解密 解题 (1): 先对第一阶段的oa.access.log进行过滤: cat ./oa.access.log |awk '{print $1}'|sort -nr |uniq -c 得到的结果就几个,每个都试一下得到:192.168.30.234 (2): 第二阶段,先进行过滤: 阅读全文
posted @ 2024-09-15 11:23 蓝尽红出 阅读(289) 评论(0) 推荐(0)
2024年9月5日
玄机蓝队靶场_应急响应_44:流量分析-蚂蚁爱上树
摘要: 分析: 1,现在有一段被getshell的流量,需要找出黑客都做了些什么。流量大概可以分成两种,http和tcp。先看http。 2,发现蚁剑流量,所以先把蚁剑的执行命令先全部找出来。 蚁剑流量过滤: ##(过滤请求包) http.request.uri matches "product2.php. 阅读全文
posted @ 2024-09-05 10:04 蓝尽红出 阅读(280) 评论(0) 推荐(0)
2024年9月2日
玄机蓝队靶场_应急响应_03:流量特征分析-蚁剑流量
摘要: 感觉拿到流量先自行分析,分析完了再去跟着步骤提示提交flag,这样练习效果比较好。 分析: 因为包的数量比较少,大多是,只有六对http报文,过滤一下 把POST请求的主要内容复制下来: 并且自己生成了一下中国蚁剑的shell,发现和样本格式不太一样。我没看出连接密码,不熟悉蚁剑流量,自己生成一个, 阅读全文
posted @ 2024-09-02 10:46 蓝尽红出 阅读(311) 评论(0) 推荐(0)