- 博客(42)
- 收藏
- 关注
RSS订阅原创 记一次银狐病毒应急响应工作
受害者通过点击了"某某放假通知"文件,电脑中了银狐病毒,银狐病毒为白加黑模式运行,通过无毒“smigpu.exe”程序调用 异常“libsmi.dll”文件尝试对杀毒软件进行绕过,但该遗留程序并未有网络及文件释放行为。在长时间没有电脑操作时通过被远控电脑进行创建OA群聊,发送诈骗二维码。
2025-07-07 14:16:28
346
原创 记一次勒索病毒应急响应
此次事件,是勒索病毒通过客户服务器某服务器进行撒网,该服务器系统存在漏洞。被获取权限后上传勒索病毒并执行。因该服务器存在工控网,其他工控服务器均为Linux,该勒索病毒没有导致横向传播,由于客户的服务器属于重要资产,有数据恢复的需求,进而联系黑产方。后续害怕黑产房导致毁单,从淘宝上找到相关勒索病毒恢复人员进行数据恢复。(勒索病毒恢复人员和黑产方要价相差不多)后续客户上架防火墙产品,保证后续网络安全。
2025-07-07 11:52:03
840
原创 Vulfocus靶场-代码执行(JBoss)-4
Jboss漏洞是在HttpInvoker组件中的ReadOnlyAccessFilter过滤器没有对反序列化操作进行任何安全检查,攻击者可以构造序列化代码传入服务器进行反序列化,从而执行任意代码。/invoker/readonly(有500报错页面→构造payload--编译并生成序列化数据--存入文件并在请求包指向这个文件,让目标读取并反序列化。2./jbossmq-httpil/HTTPServerILServlet(回显This is the Jboss)
2025-07-04 15:11:13
519
原创 Vulfocus靶场-代码执行(struts2)-3
Struts2默认的content-type解析器会把用户传来的数据直接当成代码执行,造成rce。流量特征在请求头中存在OGNL表达式;memberaccess字段 url:xxx.action、xxx.do结尾就是struts框架;struts2一些常见的关键字:memberAcecess,getRuntime,println,双引号,单引号,等号,括号之类的符号。
2025-07-04 14:52:06
228
原创 Vulfocus靶场-代码执行(Shiro)-2
shiro支持将持久化信息序列化并加密后保存再Cookie的rememberMe字段中,下次读取时进行解密再反序列化。但是再Shiro1.2.4版本之前内置了一个默认且固定的加密Key导致攻击者可以伪造任意的rememberMe Cookie,进而触发反序列化漏洞。序列化→AES加密→base64加密→rememberMe cookie →base64解码→AES解密(加密密钥硬编码)→反序列化shiro550(DES)与shiro721(AES)的区别:550:aes的密钥硬编码在程序中,可以爆破。
2025-07-03 10:41:40
144
原创 Vulfocus靶场-代码执行(Weblogic)-1
xml反序列化:wls security组件对外提供的webserver页面,通过xmlDecoder功能来解析用户的xml数据导致的任意字符串被当作代码去执行。特征:服务器开放7001端口、传递xml数到wls-wsat、数据包内容有bash或dnslog字段权限绕过:./绕过Weblogic7001端口,默认会开启T3协议服务,T3协议触发的WeblogicServer WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意的T3协议数据,获取目标服务器权限。
2025-07-03 09:12:33
919
原创 ATT&CK实战系列——红队实战(二)-hongrisec-红日靶场
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSXBypass UACWindows系统NTLM获取(理论知识:Windows认证)Access Token利用(MSSQL利用)WMI利用。
2025-07-02 14:48:19
227
原创 帕鲁杯应急响应赛题:知攻善防实验室
某政企单位,作为一艘驶向未来 的巨轮,对数据的把控丝毫不敢松懈。这趟旅程的目的是遍访我们的信息系统每一个角落,探寻隐藏在暗处的风险海怪,提升船员们对数据宝 藏的守护意识,确保我们的珍贵资讯宝藏不被外界窥见,不受损害,随时准备发挥其价值。37.提交监控服务器上恶意用户的上一次登录时间 格式为:[xx/xx/xx/xx:xx:xx]20.请提交对博客系统的第一次扫描时间 格式为:[2024/00/00/00:00:00]22.请提交攻击者第一次下载的时间 格式为:[xx/Apr/2024:xx:xx:xx]
2025-07-01 16:59:48
885
原创 ATT&CK实战系列——红队实战(一)-hongrisec-红日靶场
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。
2025-07-01 15:05:39
663
原创 Vulfocus靶场-文件上传-3
WSO2是一家成立于 2005 年的开源技术提供商。它提供了一个企业平台,用于在本地和整个 Internet 上 集成应用程序编程接口(API)、应用程序和 Web 服务。某些 WSO2 产品允许无限制的文件上传和远程代码执行。攻击者必须使用带有 Content-Disposition 目录遍历序列的 /fileupload 端点来到达 Web 根目录下的目录,例如 ../../../../repository/deployment/server/webapps 目录。
2025-05-16 16:01:01
769
原创 Vulfocus靶场-文件上传-2
Monstra 是一个现代化的轻量级内容管理系统。它易于安装、升级和使用。Monstra CMS 3.0.4版本中存在着一处安全漏洞,该漏洞源于程序没有正确验证文件扩展名。攻击者可以上传特殊后缀的文件执行任意PHP代码。打开页面 安装好页面进行登录登录后台上传文件 这里说能上传的特殊文件后缀是phar的后缀文件上传成功后直接命令执行。
2025-05-09 15:40:50
1083
原创 应急响应靶机练习 - Linux应急响应训练-WhereIS:知攻善防实验室
一个风雨交加的夜晚,安服仔小唐,突然发现公司分配给自己的测试。欢迎使用知攻善防实验室解题系统 公众号:知攻善防实验室。【6】攻击者的提权方式(输入程序名称即可)【1】在此之前,你需要获得以下答案。到底是道德的沦丧还是人性的扭曲?不正常了,似乎有什么不对劲?【2】攻击者的ip地址,两个。【3】flag1和flag2。服务器为何频繁数据外带?24岁小唐竟然无从下手!【4】后门程序进程名称。
2025-05-09 14:36:34
286
原创 应急响应靶机训练-挖矿事件:知攻善防实验室
前景需要:机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。攻击者是如何攻击进入的。攻击者开始攻击的时间。
2025-05-09 13:39:18
227
原创 Vulfocus靶场-文件上传-1
描述: Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。此漏洞的出现是由于 apache 在修复第一个后缀名解析漏洞时,用正则来匹配后缀。在解析 php 时 xxx.php\x0A 将被按照 php 后缀进行解析,导致绕过一些服务器的安全策略打开页面为空白页面 尝试上传一个php文件发现为bad file 有做限制上传一个phpphp文件 发现可以上传。
2025-05-08 15:28:44
1521
原创 应急响应靶机训练-近源渗透OS-1:知攻善防实验室
前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。3.攻击者使用的限速软件的md5大写。2.攻击者的内网跳板IP地址。4.攻击者的后门md5大写。1.攻击者的外网IP地址。5.攻击者留下的flag。
2025-05-08 13:53:29
318
原创 应急响应靶机-Linux(2):知攻善防实验室
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!5,提交攻击者使用的后续上传的木马文件名称。2,提交攻击者修改的管理员密码(明文)3,提交Webshell连接密码。6,提交攻击者隐藏的flag2。7,提交攻击者隐藏的flag3。4,提交数据包的flag1。
2025-05-08 11:17:27
238
原创 应急响应靶机-Linux(1):知攻善防实验室
前景需要:小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!遗留下的三个flag。
2025-05-07 16:58:52
164
原创 应急响应靶场web3:知攻善防实验室
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。黑客遗留下的flag【3个】攻击者的两个IP地址。
2025-05-07 16:09:29
205
原创 应急响应靶场web2:知攻善防实验室
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。2.攻击者的webshell文件名?3.攻击者的webshell密码?1.攻击者的IP地址(两个)?5.攻击者的伪服务器IP地址?6.攻击者的服务器端口?7.攻击者是如何入侵的?8.攻击者的隐藏用户名?4.攻击者的伪QQ号?
2025-05-07 13:53:14
290
原创 Vulfocus靶场-初级-JAVA-命令执行-1
XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的API接口没有配置认证措施,未授权的攻击者可构造恶意请求,触发反序列化,造成远程执行命令,直接控制服务器。打开界面发现也可以用工具直接进行测试反弹shell监听反弹shell。
2025-04-17 11:07:25
760
原创 CISP-PTE CMS 文章管理系统靶场练习
点击后台管理 发现要登录账号密码 抓包 然后用burp跑一下弱口令 找到了两个账号admin/Admin 密码都是123456。登录账号成功后 点击留言管理 果然有xss窗口弹出 xss漏洞可以借助xss平台获取到管理员cookie。然后用order by 进行猜数 猜到order by 15的时候回显是正常的 说明列数为15。使用xss语句 发现成功弹出 这里存在一个xss漏洞 但是在这个地方的xss漏洞好像没什么用。这里存在xss漏洞那么这个留言板肯定也存在xss漏洞了 于是在留言版测试一下。
2024-08-15 15:30:05
576
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人