目录
第三章:Linux的权限维持
1.黑客隐藏的隐藏的文件 完整路径md5
2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}
3.黑客提权所用的命令 完整路径的md5 flag{md5}
4.黑客尝试注入恶意代码的工具完整路径md5
5.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}
第四章Windows日志分析:
1、审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
2、审计相关日志,提交rdp被爆破失败次数
3、审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
4、提交黑客创建的隐藏账号
5、提交黑客创建的影子账号
6、提交远程shell程序的连接IP+端口,以IP:port方式提交
7、黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字
8、黑客使用了计划任务来定时执行某shell程序,提交此程序名字
第三章:Linux的权限维持
一些隐藏方式:
1.SSH后门,反弹shell,webshell后门。
2.Rootkit
3.修改启动脚本,定时任务
4.隐藏目录,文件名伪装
5.端口重定向,加密通信
6.修改.bash_history 文件,修改日志
7.注入到合法进程
开启环境,连上Xshell
1.黑客隐藏的隐藏的文件 完整路径md5
题目让找隐藏文件,在Linux中,文件以.开头的为隐藏文件,直接查找一下
find / -name ".*"
也是在最后在临时目录中查到了一个.git,感觉很可疑,直接先进入这个目录
cd /tmp/.temp/libprocesshider/
ls -la
直接看到了有两个py文件,先看1.py
cat 1.py
发现这是一个一直循环的反弹shell
接着看第二个py文件
cat shell.py
这也是一个反弹shell,但是题目让交的是隐藏的,这里可以对1.py和shell.py这两个的路径一个个试,反正也没有次数限制。
其实这里面还有一个processhider.c,分析一下
cat processhider.c
在这里发现了1.py,这个程序通过动态链接库技术拦截了 readdir 函数调用,在 /proc 目录下过滤出指定进程名的目录项,从而隐藏指定进程,使其在进程列表中不可见。这是一种常见的进程隐藏技术,通常用于恶意软件以隐藏自身,所以“1.py”就是题目让我们找的黑客隐藏文件。
那么将这个路径MD5加密:/tmp/.temp/libprocesshider/1.py
MD5 在线加密工具 | 菜鸟工具 (jyshare.com)
flag{109ccb5768c70638e24fb46ee7957e37}2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}
其实在做第一题的时候已经分析出来了
flag{114.114.114.121:9999}
3.黑客提权所用的命令 完整路径的md5 flag{md5}
一般这种就是要查找被过度授权的特殊命令
查找系统上设置了SUID的文件:
find / -perm -u=s -type f 2>/dev/null
发现了一个经常被用于提权所使用的命令find
那么查看一下find的权限
cd /usr/bin
ls -la
不难看出,find被赋予了root权限
其他高危命令:nmap、vim、find、awk、perl
所以完整路径:/usr/bin/find
加密过后
flag{7fd5884f493f4aaf96abee286ee04120}
4.黑客尝试注入恶意代码的工具完整路径md5
常见的注入工具:SQLMap、Havij、SQLNinja、JSQL Injection、Burp Suite、Commix、Metasploit、Cymothoa、BeEF、W3af
一般来说/opt 目录用于存放可选的、占用空间较大的第三方软件和应用程序。这些程序不是自带的,也不是install和yum下载的。最有肯能存放黑客工具
cd /opt
ls -la
毫无疑问,这个就是要找的工具
完整路径:/opt/.cymothoa-1-beta/cymothoa
加密后
flag{087c267368ece4fcf422ff733b51aed9}
5.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}
Exec:就是Linux系统中的 Exec 相关字段,通常用于查看程序执行时的权限设置。这些字段通常可以在文件系统的详细信息(如 ls -l 命令的输出)中找到
先运行程序:
python3 /tmp/.temp/libprocesshider/1.py
查看网络连接:
netstat -anlpt
查找Python3路径:
which python3
让我们提交Exec值,用ls -la 查询:
ls -la /usr/bin/python3
得到flag
flag{/usr/bin/python3.4}
第四章Windows日志分析:
这里用本地的3389连接
Windows日志事件的ID:
4624:用户成功登录,
4625:用户失败登录,
4634 - 用户注销事件,
4672 - 特权账户登录事件,
4776 - NTLM 认证失败事件,
4719 - 审计策略更改事件,
4688 - 新进程创建事件,
4648-凭据登录,
4720-新建账户,
4738-用户账户更改
系统日志关键ID:
6005 - 事件日志服务启动(系统启动),
6006 - 事件日志服务停止(系统关闭),
6008 - 非正常关机事件,
7045 - 服务安装事件
应用程序日志相关事件ID
1000 - 应用程序崩溃事件,
4621 - 应用程序挂起事件
防火墙规则
4946-防火墙添加策略
4947-防火墙修改
安全策略
4670-权限服务状态变更
4719-系统审计策略已更改
文件访问
4663-访问对象
1、审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
先找到需要审计的logs日志
在桌面,直接打开,找最大的log日志
题目让我们提交次数,那肯定不能一个一个找,直接把它拖到kali里面进行查找
awk '{print $1}' access.log | sort | uniq -c | sort -nr
这里需要我们定位所有扫描的IP,第一个肯定是,第三个本地IP肯定不是,那么还有其余三个IP
那么想想,最后一个IP是1次,扫描肯定不会扫描一次,最后一个排除,那么就剩两个了,那么查看日志分析一下
第二个IP,发现后面的内容是get请求,并且是一个站点,不是扫描的IP
那么就剩最后一个了,肯定是扫描的IP,这里就可以加起来提交了,但是分析一下
可以发现,后面有一个nmap,nmap是一个扫描器,无疑,这是一个扫描IP
flag{6385}
2、审计相关日志,提交rdp被爆破失败次数
在Windows中的事件查看器中的日志中的安全,筛选4625事件ID
flag{2594}
3、审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
筛选4624事件ID,导出桌面分析,或者筛选4648
4648-显示凭据登录
4648:Windows 事件日志中代表 “使用显式凭据登录”,这意味着用户在登录时手动输入了用户名和密码,而不是通过自动登录或凭据缓存来进行身份验证。筛选 4648 事件通常是为了获取有关使用特定账户显式登录的信息,尤其是远程桌面协议 (RDP) 场景下。
这里我使用4648筛选
发现
逐个进行分析即可
第二个:
第三个:
排序提交即可
flag{192.168.150.1&192.168.150.128&192.168.150.178}
4、提交黑客创建的隐藏账号
第一种:筛选4720,第一个打开就是
第二个:
第二种:cmd输入:lusrmgr(查看所有本地账户信息)
第三种,直接查看所有账户名称:wmic useraccount get Name
其实有两个,一个个试就行
flag{hacker$}
5、提交黑客创建的影子账号
介绍:
影子用户,也叫隐藏用户,是在操作系统中存在但不会出现在常规用户管理工具中的账户。这类账户通常是为了在不被发现的情况下维持对系统的访问权限而创建的。它们不会显示在 Windows 的常规用户界面中(例如
lusrmgr.msc或者控制面板的用户管理界面),因此更难被发现。
其实第四题就已经得到答案了,但是还是来分析一下
我们还可以通过查看注册表,来查看隐藏账户
查看注册表:regedit
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
flag{hackers$}
6、提交远程shell程序的连接IP+端口,以IP:port方式提交
这个要提交远程连接的IP和端口,那直接查看端口连接情况
cmd: netstat -ano
直接发现了一个,直接提交,发现不对。我靠,那怎么办
没事,看看计划任务程序
这是啥,发现了一个.exxe可执行程序,先放着
再查看注册表:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
也是发现了,顺着路径找过去
找到恶意程序丢到沙箱分析:奇安信情报沙箱
flag{185.117.118.21:4444}
7、黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字
这个就是第六题在注册表中的自启动服务找到的
直接提交即可
flag{xiaowei.exe}
8、黑客使用了计划任务来定时执行某shell程序,提交此程序名字
其实第六题在看计划任务的时候,也发现了一个exxe程序,接着分析
查看路径
这是一个定期从这个IP上下载xiaowei.exe程序
提交
flag{download.bat}