知攻善防实验室 Linux 应急响应-Where IS?题目一个风雨交加的夜晚,安服仔小唐,突然发现公司分配给自己的测试服务器不正常了,似乎有什么不对劲?小唐为何频繁流汗?服务器为何频繁数据外带?24 岁小唐竟然无从下手!到底是道德的沦丧还是人性的扭曲? 应急响应攻击者的两个 IP 地址
知攻善防实验室 Windows 应急响应——Web 3题目小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了 应急响应攻击者的 IP 地址(RDP 溯源)分析 Windows 安全日志拿到攻击 IP 隐藏用户名称(Windows 隐藏用户)BLA 工具一把梭哈 CTF黑客遗留下的 3 个 flag(可疑文件查找 + 任务计划程序 + 数据库)翻一下 hack6118$ 的家目录,找到一个名为 system.bat 的批处理文件 改个名打开拿到 flag 查看任务计划拿到第二个 flag 最后一个在数据库中
Empire:LupinOne项目地址:https://download.vulnhub.com/empire/01-Empire-Lupin-One.zip 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 弱口令SSH访问 80 端口只有一张图片,查看页面源代码找到注释 访问 /robots.txt 拿到线索 访问 /~myfiles 回显 404,页面源代码有注释 扫描目录找到一个 /~secret,得到如下信息 用户名为 icex64 存在一个隐藏的 SSH 私钥文件 继续 FUZZ 这个目录找到
知攻善防实验室 Windows 应急响应——Web 2题目小李在某单位驻场值守,深夜 12 点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查 应急响应攻击者的两个 IP 地址(Apache 日志 + RDP 溯源)桌面看到 PHPStudy,分析其 Apache 日志拿到第一个 IP 地址 工具:https://github.com/duckpigdog/blueteam-log-analyzer 排查安全日志拿到第二个 IP,同时发现的隐藏用户 hack887$ 攻击者的 WebShell 文件名(WebShell 查杀)用 BLA 找一个访问 sys
出题——你的魔王护一般前言这次出题考察越权漏洞 + 信息收集 + JWT + Crypto JavaScript 接口泄露/static/js/打开主页是一个三角洲陪玩主题的官网 逛了一圈没有太多的功能点去测试,于是去注册一个账号 注册一个打手进去没发现啥东西 当以普通用户登录时会多出一个下单功能 在 BP 中发现我们的登录是有做加密的,并且返回了两个 Token 观察到 /api/order/available-boosters 接口返回的是所有打手的信息,里面包含了 username,可惜是加密的 使用插件 XMCVE-WebRecon 进行信息收
The Planets:Earth项目地址:https://download.vulnhub.com/theplanets/Earth.ova 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本,发现有两个域名 更新到 /etc/hosts 文件中 CTF异或解密访问域名的 80 端口来到 Web 页面 80 端口的话两个域名访问的页面相同 给第一个站点换成 443 端口可以正常访问 但是第二个变成了另外一个页面 分别对这四个页面进行目录扫描 访问过去拿到提示 后缀为 *,我们换成 txt 访问找到了用户名 t
知攻善防实验室 Windows 应急响应——Web 1题目小李在值守的过程中,发现有 CPU 占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的 hxd 帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件 应急响应攻击者的 Shell 密码还是那句话,有 Web 找 Web,没 Web 看系统服务 打开虚拟机发现有 PHPStudy 打开网站是 EMLOG 找到一个 NDay 复现博客:https://blog.csdn.net/W13680336969/article/details/137267677 定位到具体的上传路径 使用 D 盾查杀到木马 打开文件发现
某电竞小程序后台接管前言本次测试属于公益类型的 SRC 弱口令小程序正常抓包,但是测了一圈下来没找到任何洞(越权有 Cookie 鉴权,支付也没啥问题) 索性搜索这个小程序的域名找找资产,还真找到几个站点 弱口令 admin/admin 直接登录进去了 第一个站点回显没有权限,应该是没用了,毕竟 Hunter 上标明了是云厂商 第二个站点成功接管
知攻善防实验室 Windows 应急响应——挖矿事件题目机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因 应急响应攻击者的 IP 地址(RDP 溯源)在桌面上没有看到部署网站类的软件,所以先排除掉 Web 查看开放端口情况发现有开启 445 以及 3389 找事件 ID 为 4625 的登录成功日志,成功拿到 IP 攻击者开始攻击的时间(RDP 溯源)攻击者开始攻击的时间即为 RDP 爆破开始的时间 这里我用自己二开的 BLA 扫描出时间戳 12024-05-21 20:25:22 攻击者攻击的端口(RDP 溯源)RDP 默认端口为 3389 挖矿程序的
Empire:Breakout项目地址:https://download.vulnhub.com/empire/02-Breakout.zip 是一个打包好的镜像文件 注意:导入 vmx 时一定要选择我已移动,否则没网 使用 Nmap 扫描出开放服务及操作系统版本 80、10000、20000 都是 Web 服务 敏感信息泄露Apache2 Debian Default Page: It works在 80 端口首页中发现注释 SMB 用户枚举前面扫描发现一个开放的 SMB 端口,使用 enum4linux 进行用户枚举 找到用户 cyber CTFBrainfuck 解密前面的注释一