点击上方蓝字·关注我们
一个不错的应急平台可以练习,感谢玄机应急平台,环境同步后台。
玄机应急平台:https://xj.edisec.net/
01
1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式flag{11.22.33.44}
邮件在传输过程中会经过多个邮件服务器,每个邮件服务器都会向邮件头部的"Received"部分添加一条记录 直接搜索关键字一般看头和尾的IP比较准确 这里很明显是最后一个。
FLAG:121.204.224.15
02
2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}
通过安恒云沙盒,发现是高危的Cobalt Strike黑客工具,发现CS服务器ip
FLAG:107.16.111.57
03
3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php}
通过D盾查杀发现 后门文件发现上传密码
FLAG:var/www/html/admin/ebak/ReData.php
04
4.黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}
攻击者修改my.conf文件 进行了socks5代理
FLAG:/var/tmp/proc/mysql
总结:
了解邮件服务的传输过程会被记录Received中,通过安恒、360、微步可以进行查询恶意进程,以及别的扫描木马文件的软件,如:D盾,360,火绒等.
啊PS:本文同步CSDN,欢迎师傅们交流学习~
关注我们
原文始发于微信公众号(鱼影安全):【玄机-应急平台】第七章 常见攻击事件分析--钓鱼邮件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论