0xMouise

第四章 windows实战-emlog wp1234567891011服务器场景操作系统 Windows服务器账号密码 administrator xj@123456题目来源公众号 知攻善防实验室 https://mp.weixin.qq.com/s/89IS3jPePjBHFKPXnGmKfA任务环境说明 注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！ 应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查开放题目 漏洞修复参考https://mp.weixin.qq.com/s/1gebC1OkDgtz4k4YtN10dg 题目 通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖...

冰蝎3.0-jsp流量分析题目： 1.黑客IP是什么？ 2.黑客上传的Webshell名是什么？ 3.黑客上传WebShell的时间是多少？（格式如：flag{YYYY-MM-DD HH:MM:SS}） 4.木马的解密key是什么? 5.黑客执行的第一个命令是什么? 6.黑客上传的文件内容是什么? 7.黑客下载的文件内容是什么? 8.服务器内的flag是什么？ 1.黑客IP是什么？根据靶场题目说找冰蝎的流量，我们可以看一下冰蝎流量包的特征 1234561. POST传参2. User-Agent: Mozilla/5.0(windows NT 6.1;Trident/7.0; rv:11.0)like Gecko3. Accept :text/html,application/xhtml+xml,application/xml;q=0.9,image/webp, image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.94. Accept-Language:h-CN,zh;q=0.9,en-US;q=0.8,en;q=...

哥斯拉ekp版本流量分析1.黑客上传的木马文件名是什么？根据这个靶场提示这里是用哥斯拉连接的 我们先复习一下哥斯拉链接webshell的流量特征是什么 12345678910111213141. 流量中可见`eval`、`base64_decode`、`strrev`等函数2. 强特征:链接失败情况下2个流量包，成功为 3个流量包3. 第一个请求总会发送大量数据，这是配置信息，且请求包内无 cookie，服务器响应包无内容，生成一个 session，后续请求会带上此session 到请求包中的 cookie中3、强特征:生成的 cookie 后面有个分号4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,* /*;q=0.85. Accept-Language : zh-CN,zh;q=0.8,zh-Tw;q=0.7,zh-HK;q=0.5,en-Us;q=0.3,en;q=0.26. 尝试利用默认密钥等解密 成功还原算法明文即可认定对应工具 我们打开靶场下载的流量包...

玄机——第六章 流量特征分析-小王公司收到的钓鱼邮件1. 下载数据包文件 hacker1.pacapng，分析恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么将该 URL作为 FLAG 提交 FLAG（形式：flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}） (无需 http、https)；步骤分析：如何分析数据包文件？ 过滤 HTTP/HTTPS 流量 根据题目知道，黑客是获取了 zip 压缩包，在 Wireshark 中，恶意程序通常通过 HTTP 或 HTTPS 协议访问 URL 以下载文件（如 zip 压缩包） 我们可以使用使用过滤器：http 或 tls（如果 HTTPS）来筛选相关流量 查找文件下载请求 恶意程序下载 zip 压缩包时，通常会发送 HTTP GET 或 POST 请求。在 Wireshark 中： 查找包含 .zip 扩展名的请求（例如，过滤 http.re quest.uri contains ".zip"） 或查找响应中包含...

h流量分析Ann-wireshark-001 流量包中最主要的渗透测试操作是什么？ 使用的端口扫描方式是什么？ 发起扫描的主机的ip是多少？ 扫描到了哪些端口？ 被扫描的主机的apache版本是多少？ 流量包中最主要的渗透测试操作是什么？ 在流量包（例如 .pcap 文件）中分析“最主要的渗透测试操作”通常指的是识别攻击者在渗透过程中实施的关键行为 1. 信息收集（Reconnaissance） 这是渗透测试的第一步，也是网络中最容易被检测到的行为之一： 主机扫描（Ping Sweep） 端口扫描（TCP SYN、TCP Connect、UDP） 工具：Nmap、Masscan 操作系统探测 TTL、窗口大小等特征分析 服务版本探测 如 GET / HTTP/1.0\r\n\r\n 请求抓取服务器 banner 🛠 典型特征： 多目标、多个端口短时间内被访问 SYN 包密集发送，无完整握手 🧪 2. 漏洞利用（Exploitation） 攻击者利用已知漏洞或弱点攻击目标系统： Web 攻击 SQL 注入：id=1' or '...

第六章 流量特征分析-蚁剑流量分析1234561.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容，提交文件绝对路径4.黑客上传了什么文件到服务器，提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件，提交文件绝对路径 1.木马的连接密码是多少webshell链接工具是用post传输的我们直接在wireshark里面输入命令 1http.request.method =="POST" 来定位用post传输的流量 在未启用编码器或使用默认配置时，木马密码直接作为POST请求的第一个参数名出现。 打开第一个就能看到链接密码 1flag{1} 2.黑客执行的第一个命令是什么上一题我们知道1.php为黑客上传的shell了这里我们对这个文件进行搜索 1http contains "1.php" 打开长度为894的流量包 右键 追踪http流 作 在蚁剑流量中，黑客执行的命令隐藏在 POST请求的特定参数值 中，需关注以下特征： 参数命名规则： 参数名格式为 ma[16位随机字...

第六章-哥斯拉4.0流量分析1、黑客的IP是什么？我们打开wireshark，哥斯拉的流量都是用POST的传输的，所以什么直接抓取post流量包 1http.request.method=="POST" 发现post的流量包都集中在hello.jsp这个文件,我们再搜索一下这个文件 1http contains "/hello.jsp" 这里有个hello.jsp的文件打开看看 典型的哥斯拉流量包的特征至此我们确认黑客ip 1flag{192.168.31.190} 2.黑客是通过什么漏洞进入服务器的？（提交CVE编号）我们继续分析流量包 在这个流量包的末尾这里发现了中间件为Apache Tomcat/8.5.19，这里又是用的put方式讲文件上传，所以我猜黑客是使用了Tomcat/8.5.19文件上传漏洞 1flag{CVE-2017-12615} 3.黑客上传的木马文件名是什么？(提交文件名)根据前面第一题可以知道文件名为hello.jsp 1flag
...

第六章 流量特征分析-常见攻击事件 Tomcat1. 在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式：flag{ip}，如：flag{127.0.0.1}分析黑客的扫描行为这里我们要识别恶意扫描特征 恶意扫描通常表现为大量SYN请求（TCP半连接扫描），这是Nmap等工具常用的扫描方式。攻击者会向目标服务器多个端口发送SYN包，探测开放端口 我们使用命令tcp.flags.syn == 1 && tcp.flags.ack == 0过滤流量包 tcp.flags.syn == 1：筛选TCP协议中 SYN标志位（Synchronize）被置位（值为1） 的数据包。SYN标志用于建立TCP连接的初始握手（第一次握手）。 tcp.flags.ack == 0：筛选 ACK标志位（Acknowledgment）未被置位（值为0） 的数据包。ACK标志用于确认数据接收（第二次握手后出现）。 组合逻辑：该命令捕获 仅包含SYN请求而无ACK响应的TCP包，即TCP连接的第一次握手包。...

第六章 流量特征分析-蚂蚁爱上树题目 1231. 管理员Admin账号的密码是什么？2. LSASS.exe的程序进程ID是多少？3. 用户WIN101的密码是什么? 1. 管理员Admin账号的密码是什么？题目告诉我们管理员账户，我首先在wireshark里面搜索与Admin相关的关键字在4079这里追踪http流 发现了蚁剑相关的流量特征，并且确定了黑客的内网ip地址和上传的shell，但是这里没有我相要的密码 我们对黑客的上传的shell进行关键搜索,按照长度大小排序在长度为4146这里对这里进行base64解码得到黑客的操作信息 1http.request.method =="POST" && http contains "product2.php" 条命令在 Windows 系统上执行了一系列操作，包括导航到特定目录并添加一个名为 admin 的用户，同时设置密码 1flag{Password1} 2. LSASS.exe的程序进程ID是多少？在前面分析流量的时候在长度为4172...

Agent Sudo | Writeup | TryHackMe、一、信息收集使用nmap对ip地址的端口进行探测 1nmap -sS -sV -A <ip> 可以看到上面80端口开放这一个web服务器我们看看 这里提示了R作为user-agent来进行访问，使用curl命令看看 1curl -A "R" -L 10.10.12.116 这里又给了我们一段提示告诉我们这里不是R但是是26个英文字母之一，然后我去从A开始尝试，到C这里找到了我想要的 二、哈希破解和暴力破解 这里给了我们一个用户名chris但是不知道这个用户是FTP的还是SSH的我们使用hydra来爆破看看 1hydra -l chris -P /usr/share/wordlists/rockyou.txt 10.10.12.116 ftp 成功爆破出了密码，我们登录看看 下面有一个写给J的文件和两张图片我们全部下载下来 查看写给J的文件其中解释说密码在假图像中 我们使用binwalk来查看文件 binwalk 是一个 二进制...