应急响应靶场-Where-1S-tHe-Hacker-P2

最新推荐文章于 2025-05-18 22:06:26 发布
最新推荐文章于 2025-05-18 22:06:26 发布
阅读量1.5k 收藏 27
点赞数 25
CC 4.0 BY-SA版权
分类专栏: 应急响应 windows 文章标签: windows 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hide_in_darkness/article/details/139467481

文章目录

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

Where-1S-tHe-Hacker-P2

0.场景描述

​ 水哥是某公司的一名运维,某天他在日常巡检的过程中发现了异常,敏锐的他感觉到了事情的不妙,于是联系同事要到了你的电话,请你帮助他解决这个难题。

1.隐患排查

​ 本文的思路仅仅是按照靶场内容建设,并不与真实环境下的排查方案一致

靶机用户和密码
用户:admin
密码:Aa123456

在这里插入图片描述

1.1 webshell 后门查杀

​ 使用D盾、河马等查杀工具,对web目录下的文件进行查杀

在这里插入图片描述

在这里插入图片描述

​ 可以看到一大堆意思后门,且内容均为 eval($_POST[]);` 形式,打开文件对应位置,并且查看文件信息:创建时间、修改时间和访问时间,根据创建时间可以知道文件落地时间

在这里插入图片描述

1.2 后门查杀

​ 针对后门查杀,我们可以使用杀毒软件直接进行查杀,这里我使用的是火绒

在这里插入图片描述

​ 排除webshell的干扰,我们可以看到在 C:\windows\Temp 下存在一个可疑文件 huorong.exe</

最低0.47元/天 解锁文章

200万优质内容无限畅学
应急响应——靶场实践
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
应急响应靶场-Where-1S-tHe-Hacker-P1
hide_in_darkness的博客
06-05 1477
关注我们,咱们在安全的路上,扬帆起航。
应急响应靶场(近源渗透OS-1、挖矿事件)
weixin_64815500的博客
06-18 2476
知攻善防公众号应急相应靶场练习之 近源渗透os-1以及挖矿事件的题解随笔
应急响应(靶机:知攻善防web1
最新发布
2303_77130895的博客
05-18 559
笔者这里出现了,vmware由于版本不对(不匹配)靶场启动失败的情况,解决方法是将 Windows Server 2022.vmx文件内的版本调至与自己版本一致即可,另外记得将server的防火墙关掉,不然会将shell文件自动删除,导致没办法进一步溯源。 一个前车之鉴,减少大家走弯路的时间。这里要攻击者的shell密码 攻击ip 攻击者的隐藏账户 以及挖矿程序的矿池域名。在小皮的网站根目录内查找shell字段,直接找到一个可疑文件:记事本打开发现这个文件内部写有密码以及默认密码,根据他的密码规则对比发现,
应急响应靶场web1
一纸荒芜的博客
03-14 7306
本文记录一下自己的靶场解题过程 靶场来源:知攻善防实验室
应急响应靶场
weixin_44770698的博客
07-29 874
应急响应靶场
应急响应靶场 --web1 ---知攻善防实验室
m0_66663680的博客
03-06 2298
靶场下载地址:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统。
The-hacker-playbook3最新版PDF
11-03
The-hacker-playbook3最新版PDF,从某安全群里面分享得到,同步共享给大家
Windows应急响应靶机 - Web3
qq_48904485的博客
06-27 1436
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
hacker-news-api:官方Hacker News APIJavaScript包装器
04-29
$ npm install --save @moondef/hacker-news-api 或者 $ yarn add @moondef/hacker-news-api const hk = require ( '@moondef/hacker-news-api' ) ; ( async ( ) => { const popular = await hk . getPopular ( ) ;...
60G应急响应靶场分享
jxiang213的博客
11-18 1080
Java代码审计》《Web安全》今天给大家分享7大应急靶场应急响应靶场:包含安全溯源、webshell 分析、流量分析、日志分析、等保测评等多种场景。
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场应急响应教程参考链接:https://wxiaoge.blog.csdn.net/article/details/123897920?spm=1001.2014.3001.5502
应急响应靶场练习-Web1
m0_74631795的博客
03-17 819
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码。
Where-1S-tHe-Hacker-P1应急响应靶场
一纸荒芜的博客
11-21 954
Where-1S-tHe-Hacker-P1应急响应靶场WP
应急响应靶场web2
一纸荒芜的博客
03-15 2381
靶场来源:知攻善防实验室
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 9283
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
Where-1S-tHe-Hacker
shihui的博客
03-21 855
打开本地的网站,发现了id 发现了这个文件是来修改网站主页的,右键属性就看到了修改时间去下个应急工具包,用d盾扫描根目录 看创建时间 所以,第一个webshell名字就是SystemConfig.phpsyscon.php密码也就是passd盾可以查看隐藏的用户,但要管理员身份运行参考此处 发现了admin$用net user admin$来查看帐户的属性参考 发现了时间,2023/11/6 4:45:34看了wp知道,要用事件查看器去查看ID为4732的任务 2023/11/6 4:46:07从当天
应急响应靶场训练
m0_74402888的博客
07-03 1221
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名(仅域名)相关账户密码用户:administrator密码:[email protected]
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
W小哥
04-21 4923
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常链接,疑似被入侵。 ..
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值