MikannseのSekai

简介Gladys 是公司新员工，她收到一封电子邮件，通知她 IT 部门将对她的电脑进行一些工作，她被要求致电 IT 团队，他们会告诉她如何允许他们进行远程访问。然而，IT 团队实际上是一群试图攻击 Forela 的黑客。 作为 C2 代理上传的可执行文件的名称是什么？Appdata->local中有一个teamview.是一个远程控制的软件，在logs中能找到交互的日志,既然是C2可执行文件，搜索.exe 找到一个merlin.exe,所使用了的C2框架是Merlin 初始访问时的会话 ID 是什么？搜索sessionID,第一个就是初始访问的会话ID -2102926010 攻击者试图在 C: 盘上设置 bitlocker 密码，密码是什么？bitlocker设置应该在事件日志当中 PS D:\wangan\ctf\sherlock\EvtxeCmd> .\EvtxECmd.exe -d .\logs\ --csv . --csvf evt.csv timeline打开,过滤一下5.4号，然后用户名为glady 查看一下可执行文件那栏,有一个很可疑的powershell ...

简介值班的初级 SOC 分析师报告了多条警报，表明工作站上存在 PsExec。他们验证了这些警报，并将警报升级到 II 级。作为事件响应者，您对端点进行了分类，以找出感兴趣的工件。现在请回答有关此安全事件的问题，以便您可以将其报告给您的事件经理。 Windows Prefetch 文件是一种由Windows操作系统生成的特殊类型的小文件，其扩展名为 .pf 这些文件主要用于提高系统的启动速度和应用程序的加载效率。Prefetch 文件记录了系统加载和运行应用程序时的磁盘访问模式，包括文件和页面的读取顺序 比较大的$J文件时MFT文件 SOC 团队怀疑有对手潜伏在他们的环境中并使用 PsExec 进行横向移动。一名初级 SOC 分析师特别报告了工作站上 PsExec 的使用情况。攻击者在系统上执行了多少次 PsExec？先把事件导出成csv PS D:\wangan\ctf\sherlock\EvtxeCmd> .\EvtxECmd.exe -d .\logs\ --csv .\ --csvf MyOutputFile.csv 用timelineexploer打开 关于psexe ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/Cereal]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.217Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-29 16:42 CSTNmap scan report for 10.10.10.217Host is up (0.088s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open httpsNmap done: 1 IP address (1 host up) scanned in 13.63 seconds ┌──(mikannse㉿kali)-[~/HTB/Cereal]└─$ sudo nmap -sT -sC -sV -O -p22,80,443 10.10.10.217 Starting Nmap 7. ...

介绍随着威胁行为者越来越多地使用开源 C2 框架，我们的红队模拟了一种广泛使用的框架的功能。这次演习的目的是帮助蓝队加强对这些特定威胁的防御。我们获得了在活动期间收集的 PCAP 文件和 API，它们将成为宝贵的资源。使用 API 监视器：我们非常熟悉如何打开 PCAP 和 .EVTX 文件，但什么是 .apmx64 ？ .apmx64 文件扩展名与 API 监视器相关联，API 监视器是一种用于监视和控制应用程序和服务发出的 API 调用的软件。要开始分析，请按照以下步骤操作：下载 API 监视器导航到“文件”并单击“打开”以查看从文件“Employee.apmx64”或“DC01.apmx64”中捕获的数据打开文件后，“监控进程”窗口将填充进程列表。单击“+”符号展开视图以显示与每个进程关联的模块和线程。您可以在“摘要”窗口中观察到 API 调用。要将我们的分析重点放在特定模块上，请单击进程加载的不同 DLL。提示：进行分析时，建议首先检查进程本身发出的 API 调用，而不是只关注 DLL。例如，如果我打算分析名为 csgo.exe 的进程的 API 调用，我将首先通过单击“+”符 ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/Pollution]└─$ sudo nmap --min-rate=10000 -p- 10.10.11.192Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-27 10:34 CSTNmap scan report for 10.10.11.192Host is up (0.070s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http6379/tcp open redisNmap done: 1 IP address (1 host up) scanned in 8.22 seconds ┌──(mikannse㉿kali)-[~/HTB/Pollution]└─$ sudo nmap -sT -sC -sV -O -p22,80,6379 10.10.11.192 Startin ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/mantis]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.52Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-26 20:24 CSTWarning: 10.10.10.52 giving up on port because retransmission cap hit (10).Nmap scan report for 10.10.10.52Host is up (0.078s latency).Not shown: 65463 closed tcp ports (reset), 45 filtered tcp ports (no-response)PORT STATE SERVICE53/tcp open domain88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open l ...

端口扫描┌──(mikannse㉿kali)-[~]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.129Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-24 12:53 CSTWarning: 10.10.10.129 giving up on port because retransmission cap hit (10).Nmap scan report for 10.10.10.129Host is up (0.071s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http60384/tcp filtered unknownNmap done: 1 IP address (1 host up) scanned in 16.51 seconds ┌──(mikannse㉿kali)-[~]└─ ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/silo]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.82Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-25 10:15 CSTNmap scan report for 10.10.10.82Host is up (0.065s latency).Not shown: 65520 closed tcp ports (reset)PORT STATE SERVICE80/tcp open http135/tcp open msrpc139/tcp open netbios-ssn445/tcp open microsoft-ds1521/tcp open oracle5985/tcp open wsman47001/tcp open winrm49152/tcp open unknown49153/tcp open unknown49154/tcp open unknown ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/CrimeStoppers]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.80Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-22 23:21 CSTNmap scan report for 10.10.10.80Host is up (0.082s latency).Not shown: 65521 filtered tcp ports (no-response), 13 filtered tcp ports (host-prohibited)PORT STATE SERVICE80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 13.49 seconds ┌──(mikannse㉿kali)-[~/HTB/CrimeStoppers]└─$ sudo nmap -sT -sC -sV -O -p80 10.10.10.80 Startin ...

端口扫描┌──(mikannse㉿kali)-[~/vulnhub/ica1]└─$ sudo nmap --min-rate=10000 -p- 192.168.56.136Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-22 15:32 CSTNmap scan report for 192.168.56.136Host is up (0.00063s latency).Not shown: 65531 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http3306/tcp open mysql33060/tcp open mysqlxMAC Address: 08:00:27:20:F6:7B (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 19.67 seconds ┌──(mikanns ...

192.168.56.134 端口扫描┌──(mikannse㉿kali)-[~/vulnhub/thales]└─$ sudo nmap --min-rate=10000 -p- 192.168.56.134Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-22 14:04 CSTNmap scan report for 192.168.56.134Host is up (0.00024s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh8080/tcp open http-proxyMAC Address: 08:00:27:33:F9:BE (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 21.09 seconds ┌──(mikannse㉿kali)-[~/vulnhub/thal ...

简介您会注意到，我们最近将许多关键服务器基础设施从 MSSP 的域 Forela.local 转移到 Northpole.local。我们实际上设法从 MSSP 购买了一些二手服务器，他们确认这些服务器和圣诞节一样安全！但事实似乎并非如此，圣诞节注定要失败，攻击者似乎像叮当作响的雪橇铃一样隐蔽，或者他们根本不想躲藏！！！！！！我们在所有 TinkerTech 工作站和服务器上都发现了格林奇的恶意字条！圣诞节似乎注定要失败。请帮助我们从实施这次恶意攻击的人那里恢复过来！请注意 - 这些 Sherlock 是按顺序构建的！ 给了一张提醒的纸条，一份由KAPE取证工具导出的数据，还有被加密后的可疑文件 使用hayabusa能够将事件目录导出成时间线.csv https://github.com/Yamato-Security/hayabusa PS D:\wangan\ctf\sherlock\hayabusa> .\hayabusa-2.17.0-win-x64.exe csv-timeline -d .\DC01.northpole.local-KAPE\uploads\auto\ ...