Yang-yudeyoushang

1.通过对数据包的分析确定所有被入侵的服务器的IP地址，将服务器IP地址作为Flag提交;IP地址从小到大排序提交;(格式:[192.168.10.1,192.168.20.1,192.168.30.1]) 192.168.117.1 这个 ip 在扫描网站目录，所以 192.168.117.3 是一台服务器 192.168.153.1 一直在请求 inde.php，所以 192.168.153.140是服务器的IP地址 flag{192.168.117.3,192.168.153.140} 2.通过对数据包的分析找到提示出现webshell爆破的服务器相关流量，统计webshell爆破攻击的数量:(格式:[123]) http.request.method == "POST" 可以看到在爆破密码 发现到这里密码爆破成功 运行Tshark命令，统计编号为28393 之前的所有HTTP POST请求数量： tshark -r <数据包文件> -Y “http.request.method == ‘POST’ and fra...

公司服务器被黑客入侵了,数据源码丢失,不过还好有混滑,希望黑客破解不了。 1.黑客看到的secret的文件名是?(答案参考格式:1.txt) 第一题，我们可以发现，根据pcap包前面的操作都是sql注入的探测，直到后面进行了命令执行，根据检索，发现攻击者执行了ls命令，并且数据包出现了我们想要的东西 flag{secret1687456.txt} 2.黑客窃取的源码中secret1的值(答案参考格式:b9adada3-7dc3-4b74-aa60-3dd254fd4fac) 解密如下<?php@error_reporting(0);session_start(); $key="05c1cc9c2deafb75"; $_SESSION['k']=$key; session_write_close(); $post=file_get_contents("php://input"); if(!extension_loaded('openssl')) { $t="b...

2022 年中职网络安全竞赛之“湖南省赛”数据包解析 中职网络安全竞赛之“湖南省赛”数据包解析_通过本地pc中的渗透测试平台kali2020下载靶机中的数据包-CSDN博客 1.通过WIRESHARK软件分析数据包内的数据，找到黑客攻击服务器所用的内网IP，将黑客使用的IP地址进行MD5加密后作为FLAG进行提交； 在扫目录 flag{d2aa2c49772d6dfe1923e62bee0fd91a} 2.通过WIRESHARK软件分析数据包内的数据，找到黑客在网站中下载的私钥文件，将黑客下载的私钥文件的文件名进行MD5加密后作为FLAG进行提交； flag{a9ca6351edddf67d4696f335a96cd188} 3.通过WIRESHARK软件分析数据包内的数据，找到黑客通过SQL注入攻击时的软件名称，将软件名称以及版本MD5加密后作为FLAG进行提交（如MD5加密前：sqli/2.1.1#stablest）； 随机找到一个 sql 注入的数据包 flag{2b8a20afe11f84648a1a4745b1bd0b25} 4.通过WIRE...

网络取证-Tomcat-简单_3、攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 web 服务器上的目录-CSDN博客 1.鉴于在 Web 服务器上检测到的可疑活动，pcap数据包显示服务存在跨端口请求，这表明存在潜在的扫描行为。您能否确定在我们的服务器上发起这些请求的源IP地址？ flag{10.0.0.112} 2.由于攻击者的活动扫描，检测到多个开放端口。这些端口中的哪一个提供对 Web 服务器管理面板的访问？ flag{8080} 3.在我们的服务器上发现开放端口后，攻击者似乎试图枚举和发现我们 Web 服务器上的目录和文件。您可以从分析中识别出哪些工具在此枚举过程中帮助攻击者？ flag{gobuster} 4.在他们努力枚举我们 Web 服务器上的目录之后，攻击者发出了大量请求，试图识别管理界面。攻击者能够发现与管理面板关联的哪个特定目录？ 状态码：401 是登录失败 flag{/manager/html} 5.访问管理面板后，攻击者试图暴力破解登录凭据。从数据中，您能否识别出攻击者成功用于授权的正确用户名和密...

流量分析 —— WriteUp_分析并提交被攻击的服务器的计算机名称-CSDN博客 1 分析并提交攻击者使用FTP 连接目标服务器时使用的密码。 在过滤地址栏输入ftp flag{Root123} 2 分析并提交攻击者登入目标服务器web 系统时使用的密码。 在过滤地址栏输入 http flag{rebeyond} 3 分析并提交攻击者传入目标系统的文件名。 C:\Users\Administrator\AppData\Local\Temp\php482.tmp是临时文件名 flag{shell.PHp} 4 分析并提交被攻击的服务器的计算机名称。 [AES在线加密解密工具 - AES在线加密 - AES加密 - AES解密 - AES算法原理 - MKLab在线工具](https://www.mklab.cn/utils/aes) flag{win-935bicnffvk\administrator}

任务4_数据分析_3.使用 wireshark 分析 capture.pcapng 数据流量包,telnet 服务器 -CSDN博客 1.从使用Wireshark分析数据包找出telnet服务器 （路由器）的用户名和密码，并将密码作为Flag值提交。flag格 式:flag{密码} tcp 数据流 823 flag{Cisc0} 2.使用Wireshark分析capture.pcapng数据流量包，telnet服务器是 一台路由器，找出此台路由器的特权密码，并将密码作为Flag值提交。flag格式:flag{密码} flag{cisco123} 3.使用Wireshark分析capture.pcapng数据流量包，telnet服务器是一台路由器，正在被192.168.181.141这台主机进行密码爆破，将此主机进行密码爆破的次数作为Flag值提交。flag格式:flag{爆破次数} 根据题意我们可以先过滤telnet协议，然后过滤出关于 ip 192.168.181.141的数据包即可统计。 telnet and ip.src == 192.168...

1.攻击者使用什么攻击工具进行信息收集 flag{BloodHound} 2.攻击者冒充哪个用户! flag{whoami.exe} 3.攻击者使用Unquoted Service Path进行提权,存在漏洞的服务的名称是什么! flag{Automate-Basic-Monitoring.exe} 4.fun.exe的原名是什么 flag{mimikatz.exe} 5.发起DCSync攻击的命令是什么(无双引号) flag{lsadump::dcsync /user:Abdullah-work\Administrator} 6.攻击者利用什么服务以管理员身份访问Client03机器 flag{Rubeus.exe} 7.受感染机器的名称 flag{Client02} 8.攻击者远程登录时，Client03 机器产生了一个新进程。提交进程名 flag{wsmprovhost.exe} 过程 1和7题、 登录进这个环境的网站 发现是splunk 于是我们可以在搜索框内进行搜索 我们可以搜索事件ID为4104的事件，410...

练习地址：挑战 · 玄机 - EDISEC 场景描述： 韩一是划水通信公司的一名安服，某天在日常巡检的过程中发现客户网站被入侵并挂了黑页，他意识到自己需要应急哥的帮助，于是他毫不犹豫地给你打电话。 请你找出攻击痕迹并还原攻击链。服务器已经处于网络隔离状态，排查出并清理攻击者留存的恶意文件，将web服务恢复正常，保证服务器不存在安全问题，在做应急处置、溯源的过程中请给发现存在的脆弱点加固建议。 靶机用户和密码用户：admin密码：Aa123456 WEB启动需进入靶机桌面后运行phpstudy开启相关服务，关闭实时保护即可。 #环境编号：应急靶机01#环境名称：Where-1S-tHe-Hacker 通过本地 PC RDP到服务器并且找到黑客ID 为多少,将黑客ID 作为 FLAG 提交; flag{X123567X} 通过本地 PC RDP到服务器并且找到黑客在什么时间修改了网站主页,将黑客修改了网站主页的时间 作FLAG 提交（y-m-d-4:22:33）; flag{2023‎年‎11‎月‎6‎日，‏‎4:55:13} 通过本地 PC RDP到服务器并且找到...

1.分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是：[答案格式：8888] 拿到一个服务器镜像个人做题习惯：看history，看端口情况，配置网络，查看进程服务情况 这个im服务器相对正常，网络配置，ssh端口都正常操作。仿真起来，就正常开始做题了。 服务器安装docker服务  查看docker容器情况就可以直接看到通讯的端口8065 这里还可以通过登录嫌疑人pc端通讯软件查看到端口情况。 2.分析内部IM服务器检材，该内部IM平台使用的数据库版本是 接上题  服务器当中只有一个docker容器    docker inspect  查看容器的配置情况   通过这里可以确定服务器用的是PostgreSQL  对应的版本号为12.18-1 3.分析内部IM服务器检材，该内部IM平台中数据库的名称是： docker  inspect可以看到数据库的名称为mattermost_test 4.分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表 这里需要注意的是PostgreSQL 没有做外部端口的映射，需要通过ssh通道来连接...

Win10提示病毒和威胁防护由你的组织管理怎么办-百度经验 (baidu.com) 场景描述： 水哥是某公司的一名运维，某天他在日常巡检的过程中发现了异常，敏锐的他感觉到了事情的不妙，于是联系同事要到了你的电话，请你帮助他解决这个难题。 靶机用户和密码用户：admin密码：Aa123456 进入靶机桌面后运行phpstudy即可开启相关服务。 #环境编号：应急靶机02#环境名称：Where-1s-tHe-Hacker-P2 1.最早的WebShell落地时间是？（时间题统一格式：2022/12/12/2:22:22） flag{2023/11/11/0:30:07} 2.上题WebShell的连接密码是？ flag{pass} 3.CobaltStrike远程控制木马的文件名与落地时间是？（格式：ABC.exe,2022/12/12/2:22:22） flag{huorong.exe,2023/11/15/7:45:47} 4.启用并添加进管理员组的用户与时间是？（格式：Username,2022/12/...

具体知识参考：fastjson反序列化漏洞演示加详细讲解加原理_哔哩哔哩_bilibili 靶场搭建： Fastjson 1.2.24反序列化漏洞（Vulhub）使用方法_vulhub的fastjson环境-CSDN博客 Fastjson【RCE1.2.47】漏洞复现_fastjson 1.2.47 漏洞-CSDN博客 详细内容参考： Yihsiwei.pptx 靶机 ip：27.25.151.38 攻击机 ip：8.130.55.42 需要 java 和 javac 环境，版本版本保持一致，都是 1.8 过程： 首先，确保你的系统已经安装了Docker和Git。然后，通过Git克隆Vulhub的仓库到本地：‘git clone [https://github.com/vulhub/vulhub.git](https://github.com/vulhub/vulhub.git)’（或者自己下载文件） 下载 vulhub 靶场，然后进入 Fastjson 目录，去 1.2.24 目录，然后使用 ‘docker-compose up’开启靶场 访问靶机 ip:端口，像这样就搭...

参考链接： 管理工具和登录类型参考 - Windows Server **题目描述：** **某台Windows服务器遭到攻击者入侵，管理员查看发现存在大量rdp爆破的请求，攻击者使用了不同位置的IP(此处模拟)，进行爆破并成功，并成功进入了系统，进入系统后又做了其它危害性操作，请根据各题目完成填写** 账号/密码: winlog/winlog123注意: 远控软件内IP为虚拟IP，如在进行进程中没有找到相关外连，应该是由于连接超时造成的断开了，重启环境服务器或软件即可继续对外发起请求，请见谅 注意: 按照题目提示可以根据系统功能分析，或桌面工具进行辅助分析 注意: winlog用户在操作关于系统权限功能时，一定要使用管理员权限打开工具再去执行如: cmd直接打开则可能无法进行操作系统权限性操作，需右击cmd-使用管理员权限打开，才可以，其它工具也如此 注意: 题目中shell如需在本地分析，提前关闭杀毒软件，会被杀掉，非免杀 题目: 1. 审计桌面的logs日志，定位所有扫描IP，并提交扫描次数 扫描ip就是：192.168.150.33；1...

某变异Webshell流量分析 - 测试 > 简介 > > 用户名：root 密码：xj@byshell ssh root@ip -p 222 > 1、黑客上传的木马文件名是什么？ 统计IP，先看这两个次数最多的IP 在后面发现上传了 hello.jsp 文件，分析为木马文件，故 flag{hello.jsp} ‍ 2、黑客上传的木马连接密码是什么？ 将 data 数组的值 base64 -> gzip 解密一下得到一个class文件 用 jadx 反编译，可以看到连接密码，或者直接看后面 POST 连接的键，故 flag{SjIHRC7oSVIE} ‍ 3、分析黑客上传的木马,找到木马通信key是什么？ 可以看到有 k( ) 函数，即木马通信的key ，故 flag{oszXCfTeXHpIkMS3} ‍ ‍ 4、黑客连接webshell后执行的第一条命令是什么？ webshell 首先用base64 和 gzip解码 后面的反编译部分，由于webshell进行了混淆，jadx 无法反编译关键函数，改用 CFR 反编译可看...

练习地址：https://xj.edisec.net/ 应急响应工程师在内网服务器发现有台主机 cpu 占用过高，猜测可能是中了挖矿病毒，请溯源分析，提交对应的报告给应急小组虚拟机账号密码 root websecyjxy web 端口为 8081 1、黑客的IP是？ flag格式：flag{黑客的ip地址}，如：flag{127.0.0.1} flag{192.168.10.135} 2、黑客攻陷网站的具体时间是？ flag格式：flag{年-月-日 时:分:秒}，如：flag{2023-12-24 22:23:24} flag{2023-12-22 19:08:34} 3、黑客上传webshell的名称及密码是？ flag格式：flag{黑客上传的webshell名称-webshell密码}，如：flag{webshell.php-pass} flag{404.php-cmd} 4、黑客提权后设置的后门文件名称是？ flag格式：flag{后门文件绝对路径加上名称}，如：flag{/etc/passwd} flag{/usr/bin/find} 5、对黑客上传的挖矿病毒...

练习地址：挑战 · 玄机 - EDISEC 可以采用本地搭建或者是云端调度搭建链接 https://mp.weixin.qq.com/s/p1KNDU84PXOv-fqo8TfHNQ账户 root 密码 nopteama请启动禅道服务 /opt/zbox/zbox -ap 8081 && /opt/zbox/zbox start 禅道项目管理系统RCE漏洞复现+利用_禅道漏洞-CSDN博客 1、请提交禅道的版本号，格式: flag{xx.xxx.xxxx} flag{18.0.beta1} 2、分析攻击者使用了什么工具对内网环境进行了信息收集，将该工具名称提交 flag{xxxx} flag{fscan} 3、攻击者攻击服务器得到shell以后，是处于哪个用户下做的操作，将该用户名提交 flag{xxxx} flag{nobody} 4、攻击者扫描到内网 DMZ-B机器的账户密码为多少格式 flag{root:root} flag{admin:123456} 过程： 先启动禅道...