MikannseのSekai

端口扫描┌──(mikannse㉿kali)-[~/Desktop/Cascade]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.182Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-14 11:36 CSTNmap scan report for 10.10.10.182Host is up (0.079s latency).Not shown: 65520 filtered tcp ports (no-response)PORT STATE SERVICE53/tcp open domain88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp open ldap445/tcp open microsoft-ds636/tcp open ldapssl3268/tcp open globalcatLDAP3269/tcp open ...

简介: 我们的一位技术合作伙伴目前正在管理我们的 AWS 基础设施。我们要求将一些技术部署到云中。提出的解决方案是托管 Grafana 应用程序的 EC2 实例。部署 EC2 后不久，名为“xmrig”的进程的 CPU 使用率最终持续保持在 98% 以上。重要信息我们组织办公室面向公众的 IP 是 86.5.206.121，在部署应用程序时，我们进行了一些基本的漏洞测试和维护。 部署了Grafana之后，结果有一个挖矿进程在运行。给了一个Grafana的目录文件和一个catscale，用于搜集主机信息来方便做应急响应的脚本: https://github.com/WithSecureLabs/LinuxCatScale 哪个 CVE 导致了 EC2 的初始入侵？找了一下Grafana的历史漏洞，存在一个目录穿越读取文件。为了确定是不是，可以看Grafana目录下的log中，最后一个日志，确实是在路径穿越读取文件 CVE-2021-43798 请详细说明针对我们组织的威胁行为者（TA）使用的所有恶意 IP 地址。┌──(mikannse㉿kali)-[~/HTB/ore]└─$ cat ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/resolute]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.169Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-13 19:33 CSTWarning: 10.10.10.169 giving up on port because retransmission cap hit (10).Nmap scan report for 10.10.10.169Host is up (0.071s latency).Not shown: 65474 closed tcp ports (reset), 37 filtered tcp ports (no-response)PORT STATE SERVICE53/tcp open domain88/tcp open kerberos-sec135/tcp open msrpc139/tcp open netbios-ssn389/tcp op ...

前置: MFT（Master File Table）是NTFS（NT File System）文件系统中一个非常重要的元数据文件。在使用NTFS的存储设备（如硬盘驱动器或USB闪存盘）上，MFT记录了文件系统中每个文件和目录的信息。这些信息包括但不限于文件名、创建时间、最后一次修改的时间、权限属性、数据的物理位置等 使用MFTEcmd和Timeline exploer来解决这个房间 将MFT文件导出成.csv格式 PS D:\wangan\ctf\sherlock> .\MFTECmd.exe -f '.\$MFT' --csv . --csvf mft.csvMFTECmd version 1.2.2.1Author: Eric Zimmerman (saericzimmerman@gmail.com)https://github.com/EricZimmerman/MFTECmdCommand line: -f .\$MFT --csv . --csvf mft.csvWarning: Administrator privileges not found!File type: ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/travel]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.189 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-12 13:12 CSTNmap scan report for 10.10.10.189Host is up (0.067s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open httpsNmap done: 1 IP address (1 host up) scanned in 10.52 seconds ┌──(mikannse㉿kali)-[~/HTB/travel]└─$ sudo nmap -sT -sC -sV -O -p22,80,443 10.10.10.189Starti ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/redcross]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.113Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-10 19:36 CSTNmap scan report for 10.10.10.113Host is up (0.073s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open httpsNmap done: 1 IP address (1 host up) scanned in 13.48 seconds ┌──(mikannse㉿kali)-[~/HTB/redcross]└─$ sudo nmap -sT -sC -sV -O -p22,80,443 10.10.10.113Starting Nmap ...

Event Horizon题目:我们 CEO 的计算机在一次网络钓鱼攻击中被入侵。攻击者小心地清除了 PowerShell 日志，所以我们不知道他们执行了什么。你能帮我们吗？ 下载有一个logs目录，看样子是windows的事件分析，根据大小进行排序 Microsoft-Windows-PowerShell%4Operational.evtx这个文件存放的是powershell事件，所以与题目有关。 用windows自带的事件查看器打开，发现第一条就是一个关于mimikatz的警告，事件号是4100，代表因为限制策略而被阻止运行，比如mimikatz转存哈希就需要管理员权限,筛选了4100看一遍但是没有有效的信息 筛选4104事件，因为是远程执行代码，按时间降序，最早的那个事件中找到flag Export┌──(mikannse㉿kali)-[~/Desktop]└─$ vol2 -f WIN-LQS146OE2S1-20201027-142607.raw imageinfoVolatility Foundation Volatility Framework 2.6.1INFO ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/Stratosphere]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.64Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-09 23:42 CSTNmap scan report for 10.10.10.64Host is up (0.17s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh80/tcp open http8080/tcp open http-proxyNmap done: 1 IP address (1 host up) scanned in 21.91 seconds ┌──(mikannse㉿kali)-[~/HTB/Stratosphere]└─$ sudo nmap -sT -sC -sV -O -p22,80,8080 10.10.10.6 ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/popcorn]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.6 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-09 20:56 CSTNmap scan report for 10.10.10.6Host is up (0.072s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 8.72 seconds ┌──(mikannse㉿kali)-[~/HTB/popcorn]└─$ sudo nmap -sT -sV -sC -O -p22,80 10.10.10.6 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024 ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/cronos]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.13Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-09 19:08 CSTWarning: 10.10.10.13 giving up on port because retransmission cap hit (10).Nmap scan report for 10.10.10.13Host is up (0.087s latency).Not shown: 62200 closed tcp ports (reset), 3332 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh53/tcp open domain80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 38.31 seconds ┌─ ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/aragog]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.78Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-09 09:55 CSTNmap scan report for 10.10.10.78Host is up (0.074s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE21/tcp open ftp22/tcp open ssh80/tcp open httpNmap done: 1 IP address (1 host up) scanned in 8.60 seconds ┌──(mikannse㉿kali)-[~/HTB/aragog]└─$ sudo nmap -sT -sV -sC -O -p21,22,80 10.10.10.78Starting Nmap 7.94SVN ( https://nmap ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/europa]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.22Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-08 22:38 CSTNmap scan report for 10.10.10.22Host is up (0.080s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open httpsNmap done: 1 IP address (1 host up) scanned in 13.51 seconds ┌──(mikannse㉿kali)-[~/HTB/europa]└─$ sudo nmap -sT -sV -sC -O -p22,80,443 10.10.10.22Starting Nmap 7.94SV ...