MikannseのSekai

搭建参考: https://www.cnblogs.com/backlion/p/16979674.html 外网打点主机发现┌──(mikannse㉿kali)-[~]└─$ sudo nmap -sn 192.168.127.0/24[sudo] password for mikannse: Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-20 13:11 HKTNmap scan report for 192.168.127.1Host is up (0.00069s latency).MAC Address: 00:50:56:C0:00:01 (VMware)Nmap scan report for 192.168.127.3Host is up (0.00052s latency).MAC Address: 00:0C:29:B3:DB:08 (VMware)Nmap scan report for 192.168.127.254Host is up (0.0023s latency).MAC Address: 0 ...

What are event logs?根据维基百科，“事件日志记录系统执行过程中发生的事件，以提供审计跟踪，可用于了解系统活动和诊断问题。它们对于了解复杂系统的活动至关重要，特别是在用户交互很少的应用程序中（例如服务器应用程序）。” 此定义适用于系统管理员、IT 技术人员、桌面工程师等。如果端点遇到问题，可以查询事件日志以查看导致问题的原因的线索。默认情况下，操作系统会将消息写入这些日志。 作为防御者（蓝队成员），事件日志还有另一个用例。“将来自多个来源的日志文件条目组合起来也很有用*。这种方法与统计分析相结合，可能会产生不同服务器上看似不相关的事件之间的相关性。” 这就是 SIEM（安全信息和事件管理）发挥作用的地方，例如 Splunk 和 Elastic。 如果您不知道 SEIM 的具体用途，下面是其功能的直观概述。 尽管可以访问远程计算机的事件日志，但在大型企业环境中这不可行。相反，人们可以在 SIEM 中查看来自所有端点、设备等的日志。这样您就可以查询来自多个设备的日志，而不是手动连接到单个设备来查看其日志。 Windows 不是唯一使用日志系统的操作系统。 Linux 和 ...

Windows日志分析1.审计桌面的logs日志，定位所有扫描IP，并提交扫描次数查看日志，发现.33和.67均为进行扫描的ip ┌──(mikannse㉿kali)-[~/Desktop]└─$ cat access.log|cut -d " " -f1 |sort -n |uniq -c 169 127.0.0.1 524 192.168.150.1 54 192.168.150.33 1 192.168.150.60 6331 192.168.150.67 6331+54=6385 flag{6385} 2.审计相关日志，提交rdp被爆破失败次数RDP报错需要通过查看windows事件来分析 进入eventvwr.msc 查看”安全”日志，筛选事件ID为4625，是RDP登录失败的ID flag{2594} 3.审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交成功登录的事件为4624 导出之后直接筛选 ┌──(mikannse㉿kali)-[~/Desktop]└─$ cat loginsucc.tx ...

Room Introduction在这个房间里，我们将介绍端点安全监控的基础知识、基本工具和高级方法。这个房间概述了如何从端点确定恶意活动并映射其相关事件。 首先，我们将解决以下主题，为如何处理端点安全监控奠定基础。 端点安全基础知识 端点日志记录和监控 端点日志分析 在这个房间的最后，我们将进行一次威胁模拟，您需要调查和修复受感染的机器。这项活动可能需要您首先了解端点安全监控的基础知识才能完成。 现在，让我们深入了解端点安全的基础知识！ Endpoint Security Fundamentals核心 Windows 进程 在学习如何深入研究端点日志之前，我们首先需要了解 Windows 操作系统的工作原理。如果没有先验知识，区分异常值和一堆事件可能会很困难。 要了解有关核心 Windows 进程的更多信息，名为任务管理器的内置 Windows 工具可能有助于我们了解 Windows 计算机内部的底层进程。 任务管理器是一个基于 GUI 的内置 Windows 实用程序，允许用户查看 Windows 系统上运行的内容。它还提供有关资源使用情况的信息，例如每个进程使用 CPU 和内 ...

HTTP基本原理请求分为四部分：请求方法（RequestMethod）、请求的网址（RequestURL）、请求头（RequestHeaders）、请求体（RequestBody）。 方法 序号 方法 描述 1 GET 从服务器获取资源。用于请求数据而不对数据进行更改。例如，从服务器获取网页、图片等。 2 POST 向服务器发送数据以创建新资源。常用于提交表单数据或上传文件。发送的数据包含在请求体中。 3 PUT 向服务器发送数据以更新现有资源。如果资源不存在，则创建新的资源。与 POST 不同，PUT 通常是幂等的，即多次执行相同的 PUT 请求不会产生不同的结果。 4 DELETE 从服务器删除指定的资源。请求中包含要删除的资源标识符。 5 PATCH 对资源进行部分修改。与 PUT 类似，但 PATCH 只更改部分数据而不是替换整个资源。 6 HEAD 类似于 GET，但服务器只返回响应的头部，不返回实际数据。用于检查资源的元数据（例如，检查资源是否存在，查看响应的头部信息）。 7 OPTIONS 返回服务器支持的 HTTP 方法。用于检查服务器 ...

Introduction在 基本动态分析 房间中，我们学习了如何在执行期间识别受感染系统中的恶意软件痕迹。但是，恶意软件作者知道恶意软件将被分析并希望阻止它。这可以通过各种规避技术来实现。为了击败这些规避技术，恶意软件分析师希望对恶意软件的执行有更多控制权。在这个房间里，我们将了解恶意软件分析师如何更好地控制恶意软件的执行以实现预期结果。 学习目标：在这个房间里，我们将学习： 用于逃避基本动态分析的规避技术。 调试器简介以及它们如何帮助我们控制恶意软件的执行流程。 通过更改寄存器或其他参数在运行时操纵执行流程。 修补恶意软件以迫使它越过规避技术并进入实际的恶意内容。 先决条件：为了从这个房间获得最佳学习成果，建议您完成以下房间： Basic Static Analysis Basic Dynamic Analysis Advanced Static Analysis The Need for Advanced Dynamic Analysis分析恶意软件就像猫捉老鼠的游戏。恶意软件分析师不断设计新技术来分析恶意软件，而恶意软件作者则设计新技术来逃避检测。这项任务将回顾一些阻碍我 ...

本想10月开摆，但还是没成功。除了国庆稍微休息了一下之外，后面又开始忙了起来。报名了美亚杯，备赛的过程中也是学习了大量先前缺失的知识。收获也挺大。然后就是网鼎杯和强网杯，被队友狠狠地带飞进了线下，不过不得不说现在真的打不太来CTF了，有空再说(。除此之外还有一个小程序测试的任务，打算下个月再详细学学。

Introduction在当今的数字时代，文档是共享信息的最常见方式之一。它们用于各种目的，包括报告、提案和合同。由于文档的普遍性，它们也是网络攻击的常见载体。恶意行为者可以使用文档来传播恶意软件、窃取敏感信息或进行网络钓鱼攻击。 因此，分析恶意文档是任何网络安全策略的重要组成部分。分析师可以通过分析文档的结构和内容并采取措施缓解威胁来识别潜在威胁。这在当今尤为重要，因为越来越多的企业依赖数字文档来共享和存储敏感信息。 预期结果 本室的预期结果是确定文档是否确实是恶意的，然后寻找以下指标： 存在恶意 URL 文件名/API 函数的引用 IP 地址 域 恶意脚本，如 Powershell、JavaScript、VBScript 宏等 在本室中，我们将了解恶意文档的不同变体、它们的结构以及它们在不同网络钓鱼攻击中的使用方式。然后，我们将探索分析恶意文档所需的工具和概念。 学习目标 在本室中，将涵盖以下学习目标： 不同类型的文档，如 onenote、dotm、docx、xls 等。 分析复杂的 JavaScript。 恶意文档分析的重要性。 PDF 结构和关键组件，如对象、关键字和过滤 ...

Introduction之前，我们在 基本静态分析 房间中学习了无需执行恶意软件即可对其进行分析的技术。但是，正如我们所了解的，恶意软件可以使用技术来向恶意软件分析师隐藏其功能。但无论恶意软件如何巧妙地将其功能隐藏在静态分析之外，其主要目的都是执行。当恶意软件执行时，它会留下痕迹，恶意软件分析师可以使用这些痕迹来识别它是否是恶意的。我们将在此房间中使用基本的动态分析技术来分析恶意软件在运行时留下的痕迹。 学习目标：在此房间中，我们将学习： 沙盒化和使用沙盒进行恶意软件分析。 沙盒的组件以及如何为自己创建沙盒。 使用 ProcMon 监视进程的活动。 使用 API Logger 和 API Monitor 识别恶意软件发出的 API 调用。 使用 ProcExp 识别进程是否被恶意修改。 使用 Regshot 跟踪恶意软件所做的注册表更改。 先决条件：在开始此房间之前，建议您完成以下房间，以便更好地了解此房间的内容。 Introduction to Windows API Windows Internals Intro to Malware Analysis Basic Stati ...

Introduction在 基本静态分析 房间中，我们研究了恶意软件的特征，如字符串、哈希、导入函数和标头中的其他关键信息，以了解给定恶意软件的用途。在 高级静态分析 中，我们将进一步将恶意软件逆向工程到反汇编代码中，并分析汇编指令，以更好地了解恶意软件的核心功能。 高级静态分析高级静态分析是一种用于分析恶意软件代码和结构而不执行恶意软件的技术。这可以帮助我们识别恶意软件的行为和弱点，并为防病毒软件开发签名以检测它。通过分析恶意软件的代码和结构，研究人员还可以更好地了解它的工作原理并开发新的防御技术。 学习目标 这个房间旨在帮助您获得有效逆向恶意软件所需的知识。它将教您更系统地处理汇编指令，使您能够更轻松地识别重要功能，而不是被每条指令所吸引。 这个房间涵盖的一些主题包括： 了解如何执行高级静态分析。 探索 Ghidra 的反汇编程序功能。 理解和识别汇编中的不同 C 构造。 先决条件参与者应完成以下房间以更好地理解。 x86 架构概述 x86 汇编速成课程 基本静态分析 让我们开始学习吧。 Malware Analysis: Overview恶意软件分析是检查恶意软件（恶意软 ...

Introduction在本模块的前几个房间中，我们学习了计算机架构和汇编语言的基础知识。虽然这些主题是学习恶意软件分析的基本构建块，但我们将从这个房间开始分析恶意软件。 先决条件在开始这个房间之前，建议您完成以下房间。 恶意软件分析简介 x86 汇编速成课程 x86 架构概述 学习目标分析恶意软件的第一步通常是在不运行它的情况下查看其属性。这种分析称为静态分析，因为恶意软件是静态的并且没有运行。我们将在这个房间中介绍基本的静态分析。特别是，我们将介绍以下主题。 恶意软件分析实验室设置 在恶意软件中搜索字符串 通过哈希对恶意软件进行指纹识别 基于签名的检测机制 从 PE 标头中提取有用信息 事不宜迟，让我们继续下一个任务，了解如何设置恶意软件分析实验室。 Lab SetupBasic precautions for malware analysis:在分析恶意软件之前，必须了解恶意软件通常具有破坏性。这意味着在分析恶意软件时，很有可能破坏正在分析的环境。这种损害可能是永久性的，消除这种损害可能比分析恶意软件所付出的努力还要多。因此，创建一个能够承受恶意软件破坏性的实验室设置是必 ...

Introduction操作系统背后蕴含的技术和架构比我们最初看到的要多得多。在这个房间里，我们将观察 Windows 操作系统和常见的内部组件。 学习目标 了解并与 Windows 进程及其底层技术交互。 了解核心文件格式及其使用方式。 与 Windows 内部交互并了解 Windows 内核的运行方式。 由于 Windows 机器构成了企业基础设施的大多数，红队需要了解 Windows 内部结构及其可能被（滥用）使用的方式。红队可以在制作攻击性工具或漏洞时（滥用）使用 Windows 来帮助规避和利用。 在开始这个房间之前，请熟悉 Windows 的基本使用和功能。还建议但不要求具备 C++ 和 PowerShell 的基本编程知识。 Processes进程维护并代表程序的执行；应用程序可以包含一个或多个进程。进程有许多组件，这些组件被分解成多个部分进行存储和交互。Microsoft 文档 分解了这些其他组件，“每个进程都提供执行程序所需的资源。进程具有虚拟地址空间、可执行代码、系统对象的打开句柄、安全上下文、唯一进程标识符、环境变量、优先级类、最小和最大工作集大小以及至少 ...