0xMouise

记录一次解决phpstudy启动数据库自动关闭的问题方法 问题一： MySQL无法启动可能是端口号被占用，可以进入配置文件进行修改端口号，D:\phpstudy_pro\Extensions\MySQL5.5.29的my.ini配置文件，修改你的端口号（不建议） 问题二若系统之前安装了mysql，则可能是phpStudy的服务与自己之前安装的mysql服务器方式冲突。 解决方法：先把PHPStudy的服务打开，其次关闭本身的mysql服务。 问题三 我们打开mysql日志文件在此路径下F:\phpstudy_pro\Extensions\MySQL5.7.26，找到data.err文件 根据提供的错误日志和证据，问题核心在于MySQL的InnoDB存储引擎无法初始化，原因是系统表空间文件 ibdata1 缺乏写入权限 定位ibdata1文件路径 默认路径可能是： Windows（phpStudy环境）：phpStudy安装目录\MySQL\data\ibdata1 Linux： 1/var/lib/mysql/ibdata1 或自定义的 1datad...

记录小白第一次配置kali的代理起因是我要配置去使用kali下载一些东西，用kali虚拟机配置物理机的clash verg代理，然后就翻阅网上找文章学习如何配置也踩了不少坑记录一下 1.物理机配置（Clash Verge） 在设置里面确保Clash Verge已开启局域网代理功能这个很重要不开启无法链接 给你们看一下开启前和开启后的对比 相比起之前的 **“Failed to connect”**现在已经能连上 192.168.1.102:7897 端口了（网络层是通的 ） 2.物理机端口设置（Clash Verge） 在不同的代理软件里面HTTP代理端口port和SOCKS5代理端口（socks-port）是不一样的 有的版本直接只显示 mixed-port（混合端口，支持 HTTP + SOCKS5，一般默认 7890）在这里我是7897 在代理软件里面的设置里面可以查看 port: 7890 # HTTP socks-port: 7891 # SOCKS5 mixed-port: 7890 # 有时只有这一项 12345678910111213...

日志分析-Tomcat日志分析1、Tomcat日志所在的绝对路径是？ 2、攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是？ 3、攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码从而构成了存储型XSS。已知攻击者试图盗取管理员cookie，并将其发送至其本地服务器上。请你判断其服务器上用于盗取cookie而监听的端口是？ 4、攻击者利用执行系统命令的参数是？ 5、攻击者通过某种手段遗留了后门文件，请你找到该文件并按需提交其文件中的flag 1、Tomcat日志所在的绝对路径是？在C盘打开就能看到一个server点进去就找到日志路径了 1flag{C:\server\apache-tomcat-11.0.5\logs} 2、攻击者对某网站进行了口令爆破。请你判断口令成功匹配的请求的响应码是？我们查看tomcat日志，找到这个最大的日志文件 拉倒最下面，看到黑客对网站爆破最后一条日志的请求状态码是302，就是这个了 1flag{302} 3、攻击者向admin.jsp的管理员留言板界面发送了恶意JS代码...

第一章 应急响应-Linux日志分析 https://threatbook.cn/next/product/sandbox) 1234567账号root密码linuxrzssh root@IP1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割3.爆破用户名字典是什么？如果有多个使用","分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户，用户名是多少 一、查找爆破 SSH 服务的 IP 第一个 Flag 的目标是查找爆破 SSH 服务 Root 账户的 IP，故这里我们需要分析 auth 日志，auth 日志常见于 Debian 系（这台靶机就是 Debian） 此外，Linux 下还有这些日志  这里 auth 日志有两条，分别是auth.log和auth.lo...

日志分析-ssh日志分析题目： 1、可以登录 SSH 的账号数量是多少 2、SSH日志中登录成功的日志条数是多少（去除自己登陆产生的两次） 3、SSH日志中登录成功次数最多的用户的用户名是什么 4、SSH日志中登录失败次数最多的用户以及登录使用的ip是什么(flag:flag{用户名,ip}) 1、可以登录 SSH 的账号数量是多少这里直接查看ssh的服务配置文件/etc/ssh/sshd_config 是 SSH 服务端配置文件，用于控制 SSH 服务（sshd）的各种行为。 1cat /etc/ssh/sshd_config AllowGroups SSHD_USER root：表示只有属于 SSHD_USER 组或 root 用户所在组的用户才可以登录 SSH。 其它用户 无论是否存在 shell，也无法登录 SSH，除非属于上面两个组之一 下一步我们查看所属组的用户 1cat /etc/group 可以看到只有两个用户属于SSHD_USER组一个是toor 另一个是root 所以flag{2} 常见配置...

第一章日志分析-apache日志分析123451、提交当天访问次数最多的IP，即黑客IP：2、黑客使用的浏览器指纹是什么，提交指纹的md5：3、查看包含index.php页面被访问的次数，提交次数：4、查看黑客IP访问了多少次，提交次数：5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数: 1、提交当天访问次数最多的IP，即黑客IP：*已知中间件是Linux上的Apache，常见日志路径一般是： /var/log/apache/ /var/log/apache2/ /var/log/httpd/ 通过命令 ls -lah 查看文件大小 判断日志文件是 access.log 使用命令 cat access.log.1 | awk ‘{print $1}’ | sort |uniq -c | sort -nr 判断访问次数最多的IP地址是：192.168.200.2。 awk 从 access.log 文件中提取每行的第一个字段（即客户端...

第一章 应急响应-webshell查杀前置知识什么是应急响应？ 简单官方一点：WebShell应急响应是指在检测到WebShell（恶意Web脚本）攻击后，采取一系列措施来控制、消除威胁，并恢复受影响的系统和服务。WebShell是一种常见的攻击手段，攻击者通过上传或注入恶意脚本到Web服务器上，从而获得对服务器的远程控制权限，而我们需要做的就是找到问题所在根源并且解决掉它 一、手动排查webshell 静态检测 我们可以查找一些特殊后缀结尾的文件。例如：.asp、.php、.jsp、.aspx。然后再从这类文件中查找后门的特征码，特征值，危险函数来查找webshell，例如查找内容含有exec()、eval()、system()的文件。 优点：快速方便，对已知的webshell查找准确率高，部署方便，一个脚本就能搞定。 缺点：漏报率、误报率高，无法查找0day型webshell，而且容易被绕过。 动态检测 webshell执行时刻表现出来的特征，我们称为动态特征。只要我们把webshell特有的HTTP请求/响应做成特征库，加到IDS里面去检测所有的H...

应急响应常用命令Findfind 是 Linux 中非常强大且常用的命令行工具，用于在目录树中查找文件或目录。它支持按文件名、类型、时间、权限、大小等多种条件查找。 find 基本语法：1find [查找路径] [查找条件] [查找动作] 常用示例：1. 按文件名查找1find /path/to/dir -name "filename.txt" 精确匹配文件名（区分大小写） 1find . -iname "readme.md" 不区分大小写查找 readme.md 文件 2. 查找目录1find . -type d -name "log" 查找当前目录下名为 log 的目录 3. 查找普通文件1find /etc -type f -name "*.conf" 查找 /etc 下所有以 .conf 结尾的配置文件 4. 按修改时间查找1find . -mtime -3 查找3天内修改过的文件（-mtime 单位是天） 1find . -mmin -30 查找3...

第九章-blueteam 的小心思1234567服务器场景操作系统 Linux服务器账号密码 root qi5qaz任务环境说明 注：进去后执行 sed -i 's/Listen 80/Listen 9999/' /etc/apache2/ports.conf && service apache2 restart开放题目 漏洞修复 题目； 1、攻击者通过什么密码成功登录了网站的后台？提交密码字符串的小写md5值，格式flag{md5}。 2、攻击者在哪个PHP页面中成功上传了后门文件？例如upload.php页面，上传字符串”upload.php”的小写md5值，格式flag{md5}。 3、找到攻击者上传的webshell文件，提交该文件的小写md5值，格式flag{md5}。 4、攻击者后续又下载了一个可执行的后门程序，提交该文件的小写md5值，格式flag{md5}。 5、攻击者创建了后门用户的名称是？例如attack恶意用户，上传字符串”attack”的小写md5值，格式flag{md5}。 6、攻击者创建了一个持久化的...

第五章 Windows 实战-evtx 文件分析1234567服务器场景操作系统 None点击下载附件获取附件任务环境说明 注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！ 应急响应工程师在收到设备告警后，在受到攻击的服务器保存了一份log 请你协助分析 LOG 文件提交对应的 FLAG开放题目 漏洞修复 .evtx 文件是 Windows 系统的事件日志文件格式，用于记录操作系统中各种事件（如用户登录、程序崩溃、安全操作、系统错误等），是应急响应、运维监控、取证分析中非常重要的证据来源。 如何打开 .evtx 文件？使用系统自带事件查看器 打开方式：按 Win + R → 输入 eventvwr.msc 或直接双击 .evtx 文件，默认会用“事件查看器”打开 第一题将黑客成功登录系统所使用的IP地址作为Flag值提交； 这里告诉我们找成功登录，关于登录这两个，我们筛选一下事件 ID 4624进行分析即可； 当 某个用户成功登录系统（本地、远程、RDP、网络等），Windows 就会在安全日志中记录一个 ID 为 4624 ...