【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

admin 2024年6月20日17:44:36评论4 views字数 860阅读2分52秒阅读模式
【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

点击上方蓝字·关注我们

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件
前言:

一个不错的应急平台可以练习,感谢玄机应急平台,环境同步后台。

玄机应急平台:https://xj.edisec.net/

01


1.
请分析获取黑客发送钓鱼邮件时使用的IP,flag格式flag{11.22.33.44}

邮件在传输过程中会经过多个邮件服务器,每个邮件服务器都会向邮件头部的"Received"部分添加一条记录 直接搜索关键字一般看头和尾的IP比较准确 这里很明显是最后一个。

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

FLAG:121.204.224.15

02

2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}


通过安恒云沙盒,发现是高危的
Cobalt Strike黑客工具,发现CS服务器ip

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

FLAG:107.16.111.57

03

3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}

通过D盾查杀发现 后门文件发现上传密码

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

FLAG:var/www/html/admin/ebak/ReData.php

04

4.黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}

攻击者修改my.conf文件 进行了socks5代理

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

FLAG:/var/tmp/proc/mysql

总结:

了解邮件服务的传输过程会被记录Received中,通过安恒、360、微步可以进行查询恶意进程,以及别的扫描木马文件的软件,如:D盾,360,火绒等.

PS:本文同步CSDN,欢迎师傅们交流学习~

【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件
欢迎关注鱼影信息安全社区,专注CTF,职业技能大赛中高职技能培训,金砖企业赛,世界技能大赛省选拔赛,企业赛,行业赛,电子取证和CTF系列培训。
鱼影安全团队招人啦~  有感兴趣的师傅可以私信我,一起赚钱啦!
【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件

关注我们

原文始发于微信公众号(鱼影安全):【玄机-应急平台】第七章 常见攻击事件分析--钓鱼邮件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月20日17:44:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【玄机-应急平台】第七章 常见攻击事件分析钓鱼邮件https://cn-sec.com/archives/2856712.html

发表评论

匿名网友 填写信息