MikannseのSekai

端口扫描┌──(mikannse㉿kali)-[~/vulnhub]└─$ sudo nmap --min-rate=10000 -p- 192.168.56.103Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-13 19:09 HKTNmap scan report for 192.168.56.103Host is up (0.00040s latency).Not shown: 65533 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open httpMAC Address: 08:00:27:C2:7D:2A (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 2.73 seconds ┌──(mikannse㉿kali)-[~/vulnhub]└─$ sudo nmap -sT -sC -sV -O -p22,80 19 ...

算术加法.intel_syntax noprefix.global _start_start:add rdi, 0x331337 乘法.intel_syntax noprefix.global _start_start:imul rdi, rsiadd rdi, rdxmov rax, rdi 除法intelx86架构的除法div,商存放在rax,余数存放在rdx,在运算之前需要将rdx清空 .intel_syntax noprefix.global _start_start:mov rax, rdidiv rsimov rax, rdx Sizes将 ax 寄存器的高 8 位设置为 0x42。 .intel_syntax noprefix.global _start_start:mov ah, 0x42 快速实现计算余数如果我们有“x % y”，并且 y 是 2 的幂，例如 2^n，则结果将是 x 的低 n 位 计算以下内容：rax = rdi % 256rbx = rsi % 65536 .intel_syntax noprefix.global _start_start: ...

Registers常见的寄存器8085：a、c、d、b、e、h、l8086：ax、cx、dx、bx、sp、bp、si、dix86：eax、ecx、edx、ebx、esp、ebp、esi、ediamd64：rax、rcx、rdx、rbx、rsp、rbp、rsi、rdi、r8、r9、r10、r11、r12、r13、r14、r15arm：r0、r1、r2、r3、r4、r5、r6、r7、r8、r9、r10、r11、r12、r13、r14下一条指令的地址位于寄存器：eip (x86)、rip (amd64)、r15 (arm) amd64寄存器 64 32 16 8H 8L rax eax ax ah al rcx ecx cx ch cl rdx edx dx dh dl rbx ebx bx bh bl rsp esp sp spl rbp ebp bp bpl rsi esi si sil rdi edi di dil r8 r8d r8w r8b r9 r9d r9w r9b r10 r10d r10w r10b r11 ...

安装和初始化配置git版本 git -v 配置用户名和邮箱 git config --global user.name mikannse git config --global user.email mikannse@gmail.com 自动保存用户名和密码 git config --global credential.helper store 查看git配置信息 git config --global --list 新建仓库git init 或者git clone 工作区域和文件状态本地分为三个区: 工作区:即计算机上的目录 暂存区(index索引):用于保存即将提交到git仓库的修改内容 本地仓库:即git仓库，是git存储代码和版本信息的主要位置 列举工作目录中各种状态下的文件 git ls-files 添加和提交文件添加仓库 git init 查看仓库状态(分支，文件，文件状态) git status 添加到暂存区 git add 提交 git commit -m "提交的信息" 也可以使用-a参数，自动添加已被追踪的文件到暂存区，则不再需要手动ad ...

端口扫描──(mikannse㉿kali)-[~/vulnhub/Corrosion2]└─$ sudo nmap --min-rate=10000 -p- 192.168.56.140 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-03 15:26 CSTNmap scan report for 192.168.56.140Host is up (0.00014s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http8080/tcp open http-proxyMAC Address: 08:00:27:50:6A:48 (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 15.57 seconds ┌──(mikannse㉿kali)-[~/v ...

端口扫描┌──(mikannse㉿kali)-[~/vulnhub/DrippingBlues]└─$ sudo nmap --min-rate=10000 -p- 192.168.56.139Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-03 13:47 CSTNmap scan report for 192.168.56.139Host is up (0.00011s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE21/tcp open ftp22/tcp open ssh80/tcp open httpMAC Address: 08:00:27:13:FC:AA (Oracle VirtualBox virtual NIC)Nmap done: 1 IP address (1 host up) scanned in 15.80 seconds ┌──(mikannse㉿kali)-[~/vulnhub/Dripping ...

疯狂的九月，因为氪金了HTB从而开启了超频模式，平均一天一到两台。收获也是非常大。又开始第二轮的减肥了，游了几次泳，筋膜炎也恢复的差不多，重新开始跑步。下个月开始学二进制

简介Gladys 是公司新员工，她收到一封电子邮件，通知她 IT 部门将对她的电脑进行一些工作，她被要求致电 IT 团队，他们会告诉她如何允许他们进行远程访问。然而，IT 团队实际上是一群试图攻击 Forela 的黑客。 作为 C2 代理上传的可执行文件的名称是什么？Appdata->local中有一个teamview.是一个远程控制的软件，在logs中能找到交互的日志,既然是C2可执行文件，搜索.exe 找到一个merlin.exe,所使用了的C2框架是Merlin 初始访问时的会话 ID 是什么？搜索sessionID,第一个就是初始访问的会话ID -2102926010 攻击者试图在 C: 盘上设置 bitlocker 密码，密码是什么？bitlocker设置应该在事件日志当中 PS D:\wangan\ctf\sherlock\EvtxeCmd> .\EvtxECmd.exe -d .\logs\ --csv . --csvf evt.csv timeline打开,过滤一下5.4号，然后用户名为glady 查看一下可执行文件那栏,有一个很可疑的powershell ...

简介值班的初级 SOC 分析师报告了多条警报，表明工作站上存在 PsExec。他们验证了这些警报，并将警报升级到 II 级。作为事件响应者，您对端点进行了分类，以找出感兴趣的工件。现在请回答有关此安全事件的问题，以便您可以将其报告给您的事件经理。 Windows Prefetch 文件是一种由Windows操作系统生成的特殊类型的小文件，其扩展名为 .pf 这些文件主要用于提高系统的启动速度和应用程序的加载效率。Prefetch 文件记录了系统加载和运行应用程序时的磁盘访问模式，包括文件和页面的读取顺序 比较大的$J文件时MFT文件 SOC 团队怀疑有对手潜伏在他们的环境中并使用 PsExec 进行横向移动。一名初级 SOC 分析师特别报告了工作站上 PsExec 的使用情况。攻击者在系统上执行了多少次 PsExec？先把事件导出成csv PS D:\wangan\ctf\sherlock\EvtxeCmd> .\EvtxECmd.exe -d .\logs\ --csv .\ --csvf MyOutputFile.csv 用timelineexploer打开 关于psexe ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/Cereal]└─$ sudo nmap --min-rate=10000 -p- 10.10.10.217Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-29 16:42 CSTNmap scan report for 10.10.10.217Host is up (0.088s latency).Not shown: 65532 filtered tcp ports (no-response)PORT STATE SERVICE22/tcp open ssh80/tcp open http443/tcp open httpsNmap done: 1 IP address (1 host up) scanned in 13.63 seconds ┌──(mikannse㉿kali)-[~/HTB/Cereal]└─$ sudo nmap -sT -sC -sV -O -p22,80,443 10.10.10.217 Starting Nmap 7. ...

介绍随着威胁行为者越来越多地使用开源 C2 框架，我们的红队模拟了一种广泛使用的框架的功能。这次演习的目的是帮助蓝队加强对这些特定威胁的防御。我们获得了在活动期间收集的 PCAP 文件和 API，它们将成为宝贵的资源。使用 API 监视器：我们非常熟悉如何打开 PCAP 和 .EVTX 文件，但什么是 .apmx64 ？ .apmx64 文件扩展名与 API 监视器相关联，API 监视器是一种用于监视和控制应用程序和服务发出的 API 调用的软件。要开始分析，请按照以下步骤操作：下载 API 监视器导航到“文件”并单击“打开”以查看从文件“Employee.apmx64”或“DC01.apmx64”中捕获的数据打开文件后，“监控进程”窗口将填充进程列表。单击“+”符号展开视图以显示与每个进程关联的模块和线程。您可以在“摘要”窗口中观察到 API 调用。要将我们的分析重点放在特定模块上，请单击进程加载的不同 DLL。提示：进行分析时，建议首先检查进程本身发出的 API 调用，而不是只关注 DLL。例如，如果我打算分析名为 csgo.exe 的进程的 API 调用，我将首先通过单击“+”符 ...

端口扫描┌──(mikannse㉿kali)-[~/HTB/Pollution]└─$ sudo nmap --min-rate=10000 -p- 10.10.11.192Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-09-27 10:34 CSTNmap scan report for 10.10.11.192Host is up (0.070s latency).Not shown: 65532 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http6379/tcp open redisNmap done: 1 IP address (1 host up) scanned in 8.22 seconds ┌──(mikannse㉿kali)-[~/HTB/Pollution]└─$ sudo nmap -sT -sC -sV -O -p22,80,6379 10.10.11.192 Startin ...