杂项

蜜罐的部署与节点部署 蜜罐其实有挺多的选择的，这次部署的是比较受欢迎的HFish蜜罐，这次主要是用于后面研究傀儡机的反击 部署完成图片：  部署方法 我选择的部署方式是在已有的宝塔环境下走docker部署，详细是在这里Docker下载部署 (hfish.net) 在部署好docker后使用 docker run -itd --name hfish \ -v /usr/share/hfish:/usr/share/hfish \ --network host \ --privileged=true \ threatbook/hfish-server:latest 基本上就自动完成部署，需要注意的就是各种防火墙记得放通，或者直接关闭 节点部署 Hfish的节点部署是通过拉取管理端的文件完成的，所以需要节点与管理服务器能够相互通信，节点我用了一台阿里云的轻量服务器，巨辣鸡，之前用它跑bt+博客基本是原地爆炸的状态，但是作为蜜罐节点绰绰有余 root权限运行就好，应该在几分钟内就能看到连接 后续 目前蜜罐总计已经捕获了近万个的ip，这周会在业余时间研究下hfish的api使用来导出攻击者ip与其他工具进行联动

redis 主从复制RCE 主从复制，指代将数据从主节点复制到其他的redis服务器，数据的复制是单向的，只能从主节点到从节点，一个主节点可以存在多个从节点，而从节点下还可以挂载多个从节点从而形成多层的嵌套的树状结构，所有的写操作都将发生在主节点，执行完成后被分发到从节点，如果存在多层则将逐层分发， 简单来说主从节点将镜像主节点的数据 在redis4之后redis新增了模块的功能通过引入外部组建可以在redis中引入新的redis命令，效果类似与mysql的udf 原理上需要两台redis，攻击者控制主机，在实际利用中可以用python模拟 复现 vulhub有redis4的镜像可以直接拉取来复现 但是在复现的时候会卡在runpayload的阶段，尝试其他脚本也是如此 后续也尝试了hareemca123/redis5:alpine镜像，一样的问题，是否有师父知道这是什么问题

windows实战-向日葵 这题涉及软件漏洞，经过查询发现漏洞应该是CNVD-2022-03672 这个漏洞我用过，也是接触最早的rce漏洞，虽然没有深入研究但是曾经用它拿下过学校超级多的电脑XD 猜测简单来说这个漏洞是因为向日葵在安装后会在高端口开放一个接口，这个接口存在cookie泄漏与命令执行 通 通 通 找 找 过 过 过 到 到 本 本 本 黑 黑 地 地 地 客 客 解 解 P P P 密 密 C C C D D R R R E E D D D C C P P P 到 到 到 文 文 服 服 服 件 件 务 务 务 , , 器 器 器 将 将 并 并 并 黑 黑 且 且 且 客 客 找 找 找 D D 到 到 到 E E 黑 黑 黑 C C 客 客 客 首 攻 托 文 文 次 击 管 件 件 攻 的 恶 的 的 击 意 成 I 程 m m 功 P 序 d d 的 5 5 时 为 I 间 多 P 作 作 为 少 为 为 , 为 为 将 , F F 多 黑 将 L L 少 客 黑 A A , 攻 客 G G 将 击 托 黑 管 提 提 客 I 恶 交 交 首 P 意 ; ; 次 程 通 攻 作 序 过 击 为 本 成 I 地 功 F P 的 L P 时 A 作 C 间 G 为 为 R 提 F D 作 交 L P 为 ; A 到 G 服 F 务 L 提 器 A 交 并 G ; 且 解 提 密 交 黑 ( 客 2 勒 0 索 2 软 8 件 - , 0 将 3 桌 - 面 2 加 6 密 文 0 件 8 中 : 关 1 键 1 信 : 息 2 作 5 为 . 1 F 2 L 3 A ) G ; 提 交 ; 这题现在似乎有点问题，本来有5问的，但是最后两问做不出来，因为群加满了，二群又没有文件 ...

windows 工具化日志分析 windows的日志与linux不同，linux以文本形式存放于/var/log下，而windows的日志是专有格式evtx遂分析方式也不同于常见linux日志常见由Windows日志查看器Eventvwr开启，也有其他的第三方日志分析工具 windows日志分析重点是事件id，一般分析也围绕着这些id展开，常见id 4624 失败登入 4625 成功登入 4634/4647 成功注销 4648 凭证登入 4672 超级用户登入 4720 用户创建 7036 服务状态更改 APT-Hunter 类似一种格式转化器，使用方式 APT-Hunter.exe -p 文件地址 https://github.com/ahmedkhlief/APT-Hunter 用不惯，但是可以通过他先看到一些基础信息 WELA (Windows Event Log Analyzer) ゑ羅 个人觉得相当好用的一个日志查看器，是一个ps脚本，能将log解析后图形化输出 快速事件统计 ./WELA.ps1 -LogFile .\Security.evtx -SecurityEventID_Statistics .\WELA.ps1 -logfile C:\Users\Administrator\Desktop\log\安全.evtx -SecurityLogonTimeline -OutputGUI -UTC 拿做过的一道响应题举例，这里对攻击者ip与所使用的账户定位都变得非常方便 hayabusa 这个工具应该也是开发ゑ羅的开发者开发的，相比其更加强大

vulntarget-n 分析攻击事件是如何发生的，请给出攻击画像 解密勒索 恢复原来的index.jsp页面，恢复正常的web服务 找到隐藏在其中的3个flag 入侵事件，先备份命令历史 cat .bash_history >> bash_hi.bak 第一个flag flag{vulntarget_very_G00d} 但没够继续翻日志 跟踪log可以看到服务器这里是tomcat的服务端位于/opt/tomcat/root这里在备份index后又新建了一个，接着跟踪 在根目录创建了一个.vulntarget文件夹，用python生成了一对密钥对，然后拷贝了公钥到根目录用py脚本进行了加密，跟踪来到生成密钥的位置 可以看到私钥没有删除，根据log文件信息也只做了rsa,那只需要写一个脚本解密就好，然后截至到这里遇到了卡住我的第一个点 flag解密是正常的，但相对较长的index与404文件无法正常解密，后续是使用python解决的 import base64 import os import rsa # 定义目标后缀 TARGET_EXTENSIONS = ['.vulntarget'] def load_private_key(key_path): """加载RSA私钥""" with open(key_path, mode="rb") as file: priv_key = file.read() return rsa.PrivateKey.load_pkcs1(priv_key) def rsa_decrypt(file_name, priv_key): """对文件进行RSA解密""" with open(file_name, mode="rb") as file: encoded_data = file.read() try:xin xi data = base64.b64decode(encoded_data) except Exception as e: print(f"Base64 decode error for file {file_name}: {e}") return # 打印解密前的数据块信息 print(f"Decrypting file: {file_name}") print(f"Encoded data length: {len(encoded_data)}") print(f"Decoded data length: {len(data)}") # 存储解密后的数据块 res = [] # 设置每次解密的数据块大小为128字节 chunk_size = 128 # 128大小 关键flag{https://github.com/crow821/vulntarget} for i in range(0, len(data), chunk_size): chunk = data[i:i + chunk_size] print(f"Decrypting chunk {i // chunk_size}: {chunk.hex()[:60]}...") try: decrypted_chunk = rsa.decrypt(chunk, priv_key) res.append(decrypted_chunk) except rsa.pkcs1.DecryptionError as e: # 如果解密过程中出现错误，则打印错误信息并跳过当前数据块 print(f"Decryption failed for chunk {i // chunk_size}: {e}") continue # 跳过失败的块 decrypted_data = b''.join(res) os.remove(file_name) # 去掉后缀 new_file_name = file_name.replace(".vulntarget", "") with open(new_file_name, mode="wb") as file: file.write(decrypted_data) print(f"[+] Decrypt success: {new_file_name}") def decrypt_files_in_directory(directory_path, priv_key): """递归解密目录下的所有文件""" for root, _, files in os.walk(directory_path): for file in files: file_path = os.path.join(root, file) if any(file_path.endswith(ext) for ext in TARGET_EXTENSIONS): rsa_decrypt(file_path, priv_key) def main(target_path, key_path): """主函数""" priv_key = load_private_key(key_path) if os.path.isdir(target_path): decrypt_files_in_directory(target_path, priv_key) else: if any(target_path.endswith(ext) for ext in TARGET_EXTENSIONS): rsa_decrypt(target_path, priv_key) if __name__ == '__main__': target_path = './' # 替换为实际路径 key_path = './key.pem' # 替换为私钥路径 main(target_path, key_path) 使用了分块解密 ...

windows实战-emlog 基于xp面板的windows应急响应 找 分 分 分 到 析 析 析 黑 黑 黑 黑 客 客 客 客 植 攻 的 的 入 击 隐 挖 成 藏 矿 s 功 账 程 h 的 户 序 e 名 的 l I 称 矿 l P , 池 , 将 域 将 为 黑 名 黑 多 客 , 客 少 隐 将 植 , 藏 黑 入 将 账 客 黑 户 挖 s 客 名 矿 h 称 程 e I 作 序 l P 为 的 l 矿 作 F 池 的 为 L 域 密 A 名 码 F G 称 L 作 作 A 提 为 为 G 交 ( ; 仅 F 提 域 L 交 名 A ; ) G F L 提 A 交 G ; 提 交 ; 找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交; 登入服务器，可以看到xp面板，打开xp面板可以找到网站的根目录位于C:\phpstudy_pro\WWW\WWW ...

Windows evtx 日志文件分析 又是玄机靶场的日志分析题目，这次是windows的evtx的日志 1 2 3 4 5 . . . . . 黑 黑 黑 黑 黑 客 客 客 客 客 的 成 成 成 成 i 功 功 功 功 p 登 登 登 登 录 录 录 录 系 系 系 系 统 统 统 统 后 后 后 后 修 成 重 修 改 功 启 改 了 访 过 了 登 问 几 登 录 了 次 录 用 一 数 用 户 个 据 户 的 关 库 的 用 键 服 用 户 位 务 户 名 置 ， 名 的 将 并 文 最 对 件 后 系 ， 一 统 将 次 执 该 重 行 文 启 了 件 数 多 名 据 次 称 库 重 （ 服 启 文 务 操 件 后 作 名 数 ， 称 据 将 不 库 黑 包 服 客 含 务 使 后 的 用 缀 进 修 ） 程 改 作 I 后 为 D 的 F 号 用 l 作 户 a 为 重 g F 启 值 l 系 提 a 统 交 g 的 值 次 提 数 交 作 为 F l a g 值 提 交 。 evtx不同于linux的日志，他是微软的专有格式，在虚拟机中双击后是以事件查看器的形式打开的 ...

mysql UDF提权 上次做题的时候遇到了各UDF提权没有做出来，遂补习，建立在已经获得基础权限需要提权到mysql的情况下 权限获取 简单罗列一些，这次主要研究UDF提权的手段。 1.sqlmap -os-shell 2.手工dumpfile 3.NDAY webshell 知道网站根目录 有mysqlroot权限 secure_file_priv 为空，无限制 secure_file_priv可以通过show global variables like '%secure_file_priv%';来查询，NULL不允许写入 V s a e r c i u a r b e l _ e f _ i n l a e m _ e p r i v V a l u e SELECT '<?php phpinfo(); ?>' INTO DUMPFILE '/www/wwwroot/192.168.56.102_8083/phpinfo.php'; 手动UDF UDF（User Defined Function）顾名思义用户自定义函数，一般形式是用c语言编写的动态链接库，windows为dll，linux为so，所以不准确的说UDF是一种C代码执行 ...

考的是对mysql下渗透方式的熟悉程度 1.黑客第一次写入的shell flag{关键字符串} 2.黑客反弹shell的ip flag{ip} 3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx 4.黑客获取的权限 flag{whoami后的值} 黑客反弹shell的ip mysql的渗透我能想到的方法无非是注入，和弱口令接管，先找到日志 root@xuanji:~# find / -name mysql /etc/init.d/mysql /etc/mysql /usr/bin/mysql /usr/lib/perl5/auto/DBD/mysql /usr/lib/perl5/DBD/mysql /usr/lib/mysql /usr/share/mysql /usr/share/php5/mysql /var/lib/mysql /var/lib/mysql/mysql /var/lib/php5/modules/apache2/enabled_by_maint/mysql /var/lib/php5/modules/cli/enabled_by_maint/mysql /var/lib/php5/modules/registry/mysql /var/log/mysql cat以后值得注意的内容是 sh: 1: curl: not found --2023-08-01 02:14:11-- http://192.168.100.13:771/ Connecting to 192.168.100.13:771... connected. HTTP request sent, awaiting response... 200 No headers, assuming HTTP/0.9 Length: unspecified Saving to: 'index.html' 0K 2.46 =2.0s 2023-08-01 02:14:13 (2.46 B/s) - 'index.html' saved [5] /tmp/1.sh: line 1: --2023-08-01: command not found /tmp/1.sh: line 2: Connecting: command not found /tmp/1.sh: line 3: HTTP: command not found /tmp/1.sh: line 4: Length:: command not found /tmp/1.sh: line 5: Saving: command not found /tmp/1.sh: line 7: 0K: command not found /tmp/1.sh: line 9: syntax error near unexpected token `(' /tmp/1.sh: line 9: `2023-08-01 02:16:35 (5.01 MB/s) - '1.sh' saved [43/43]' 服务器从192.168.100.13下载了一个脚本并运行了cat一下脚本 ...

1 2 3 4 5 . . . . . w 服 不 黑 黑 e 务 死 客 客 b 器 马 留 留 目 疑 是 下 下 录 似 通 了 了 存 存 过 木 木 在 在 哪 马 马 木 不 个 文 文 马 死 文 件 件 ， 马 件 ， ， 请 ， 生 请 请 找 请 成 找 找 到 找 的 出 出 木 到 ， 黑 黑 马 不 请 客 客 的 死 提 的 服 密 马 交 服 务 码 的 文 务 器 提 密 件 器 开 交 码 名 i 启 提 p 的 交 提 监 交 端 口 提 交 查找文件目录可以通过find / -name www来找 ...