生命在于折腾-关于我的博客说明

一、前言最近一段时间我完善了我的博客,域名为https://anheng.tech/,已经双备案了,这篇文章总结一下这个博客用到的一些东西,这个域名我购买了10年,服务器一次性三年,所以大家可以放心收藏,存在时间会很久的,我也会经常写一些东西。二、主页主页示例图:主页的域名为https://anheng.tech/,这个使用的是github开源项目:https://github.com/imsyy/home?tab=readme-ov-file修改的话作者也给了详细说明,使用node.js 手动部署,也可以使用docker。技术栈 Vue Vite Pinia IconPark xicons Aplayer修改好后,将发布的页面全部上传到服务器,就可以了。三、Typecho框架我的子域名目前全部采用的Typecho框架,的确蛮好用的,支持丰富的插件和主题。官网:https://typecho.cn/1、网络安全博客这里是写一些简单的说说,后续可能关掉,因为有朋友圈,还有网络安全的博客全部发在这里。域名:https://blog.anheng.tech/示例图:使用的主题是:Theme

双见银狐,是它,是它,就是它!

双见银狐,是它,是它,就是它!银狐大哥又来新样本了!一、事件发现天眼监测发现有两个IP存在普通远控木马活动事件,多次请求解析多个恶意域名:time.googledns.io time.micrsofthost.com time.wkossclsaleklddeff.is time.secssl.com使用 DNSLookupView 看一下外连:发现 svchost.exe 一直在外连,查看浏览器记录,发现 2月11日下午15:38分访问了仿冒的搜狗浏览器:经过测试,该仿冒网址下载的样本为:Hfauibfolwrold.exe根据杀软识别到的记录可以找到:第一个为权限维持目录中的文件,第二个为落地木马删除后回收站的路径,第三个为压缩包解压时存放的temp文件,随机先将第二个和第三个木马删除。找到该目录发现目录不存在,推测为attrib命令设置了隐藏属性(现在银狐很喜欢这个啊),使用命令将其显示:里面有权限维持使用的文件:这里可以看到 libexpat.dll 的创建时间与下载仿冒搜狗浏览器的时间吻合:检测为恶意,为 DLL反射加载类型。二、木马二次利用木马在潜藏了两天后,于 2月13日

应急响应 · 25 天前 · 6 人浏览
双见银狐,是它,是它,就是它!

又见银狐

近期银狐木马有些猖獗。。。仿冒网站感觉更多了,隔段时间就会有一次告警。发现天眼告警:直接 todesk 上机排查:DNSLookupView 看一下外连:发现是 C:\Windows\System32\ipconfig.exe 一直在外连,直接拖下来,看是不是被替换掉了:好的,这个文件暂时没异常,应该是被劫持调用的。直接命令查看一下情况:目前进程 PID 是 16284,父进程 PID 是 16184,但在查的时候没有 PID 为 16184 的进程,父进程再启动后关闭了:这时候先终止 ipconfig.exe 的进程,随后不再外连,等待一会后也没有外联,随机将电脑重新启动,外联又开始了,这是可以排查启动项了,直接在任务管理器的启动任务里面找到了:展开后可以看到:就是他了,禁止他的启动,并且找到根目录:删除后重新启动,这次没有外联了。经过查询告警 IOC 域名和 IP,发现近期样本为 WPS:果然在下载目录找到了 1 月 29 日下载的银狐木马:在浏览器历史记录里面找到了下载地址:IOC:dashenbaba3.com27.124.10.18zh.wps-offce.cn样本:99aa

应急响应 · 31 天前 · 6 人浏览
又见银狐

第二届Solar应急响应挑战赛

签到:flag{e8e79824e810461c82b91689e5572b46}Traffic Analysis:问题1:CVE编号是多少CVE-2025-55449问题2:伪造用户名admin问题3:恶意文件名是什么helloworld.zip问题4:运行路径在哪/AstrBot问题5:flag的值flag{80892e26-dbcc-49be-9f40-e14f772741d0}问题6:JWT的key是多少Advanced_System_for_Text提交最终flag的格式如下:flag{md5(问题1_问题2_问题3_问题4_问题5_问题6)}flag{f585fb56a8f67ceffd494f5ae96a6dff}你能拿到权限我就给你FLAG:直接传ms15-051.exeflag{af8dbd72dfae83f5563a7f8b8e77151c}Solar内存取证:任务1任务名称:攻击者使用什么漏洞入侵了服务器 任务分数:150.00 任务类型:静态Flag 注意:flag格式flag{CVE-2025-12345}flag{CVE-2023-46604}任务2任

生命在于学习 · 01-05 · 5 人浏览
第二届Solar应急响应挑战赛

一股很活跃的不法分子

前言这篇文章去年就想写,但因为一些现实原因搁置许久,以至于后来多次蠢蠢欲动的灵光乍现也被画地为牢。现在写出来是因为近期又遇到过很多次,手法均不同,我认为可以梳理一下发出来,让大家有所警惕,遇到后也可以快速解决。先来说一下这一股很活跃的不法分子,我第一次遇到他们是在 2024 年,不知他们在 24 年之前是否活跃过。但当我遇到他们、和他们交手的时候,网络上并没有看到有对他们的相关报道。先说他们都做了什么坏事:通过不同的手段,利用不同产品的漏洞,很高明高超地控制国内极多大型网站的部分资产,用来引导用户跳转到非法页面,来为 HC 做 SEO。虽然我只是接触了不同的 7 家单位被控情况,但可以感觉到他们是一伙人。现在来看一下他们的手法:1、劫持网站统计 JS2024 年 6 月某单位发现多位用户反馈网站的某些页面会跳转到非法页面,但在单位工程师持续观察和复现的过程中,每次复现都极其困难。工程师排查了:网站内容文件是否被篡改引用的外部资源服务器过往流量漏洞扫描与渗透测试甚至排查了运营商流量层面但始终没有找到原因。问题持续了半年都没解决。朋友找到我,看我能否提供新的思路。我看了一下引用的 JS,建

文章 · 2025-12-11 · 4 人浏览

2025年Solar应急响应公益月赛-11月

2700勒索病毒排查-任务1:任务名称: 此勒索家族名称是什么?任务分数: 100.00任务类型: 静态Flag此勒索家族名称是什么?可访问应急响应.com进行查询,大小写敏感,最终以flag{}提交。Flag: flag{Phobos}2700勒索病毒排查-任务2:任务名称: 勒索病毒预留的ID是什么任务分数: 100.00任务类型: 静态Flag勒索病毒预留的ID是什么(预留ID为勒索组织恢复的凭证),以flag{}提交,如有多个以&进行连接。Flag: flag{4A30C4F9-3524}2700勒索病毒排查-任务3:任务名称: 提交开始加密的时间任务分数: 100.00任务类型: 静态Flag提交开始加密的时间,以flag{2025/1/1 11:11}格式提交。Flag: flag{2025/11/19 14:31}2700勒索病毒排查-任务4:任务名称: 提交flag任务分数: 200.00任务类型: 静态Flag访问:应急响应.com 找到此家族恢复工具进行恢复,提交 C:\Users\Solar\Desktop\lSimulation_Desktop_Files\fl

生命在于学习 · 2025-12-03 · 5 人浏览
2025年Solar应急响应公益月赛-11月

2025年Solar应急响应公益月赛-10月

ruoyi 解题步骤ruoyiapi 遭到劫持,在一定条件下会触发跳转到外部链接。附件: 反编译后在这个文件: com/ruoyi/framework/interceptor/RepeatSubmitInterceptor.class这个拦截器里有两个核心方法:preHandle() 和 preRedirect()。 跳转外链的逻辑就藏在这里。Flag: flag{preRedirect}某化工厂监控网络出现异常波动你拿到了一份汇总的抓包文件。工厂应急 Q1问题: 谁把泵关了? 提交格式: flag{0xtransaction_id_0xfunction_code_0xcoil_address}解题脚本:# Extract Modbus/TCP Write Single Coil packet and get MBAP Transaction ID, Function Code, Coil Address import struct, socket path = "/mnt/data/challenge.pcap" data = open(path, &

生命在于学习 · 2025-10-31 · 6 人浏览
2025年Solar应急响应公益月赛-10月

2025年Solar应急响应月赛9月

昨天和前天参加了2025年Solar应急响应9月月赛,整体来说也算是挺好玩的。特洛伊挖矿木马事件排查任务一任务名称: 提交挖矿文件的绝对路径任务分数: 100.00任务类型: 静态Flag要求: 提交挖矿文件的绝对路径,最终以flag{/xxx/xxx}格式提交排查过程: ps aux看到 flag{/tmp/kworkerd}任务二任务名称: 提交挖矿文件的外联IP与端口任务分数: 100.00任务类型: 静态Flag要求: 提交挖矿文件的外联的IP与端口,最终以flag{ip:port}格式提交排查过程: netstat -ano flag{104.21.6.99:10235}任务三任务名称: 守护进程脚本的绝对路径任务分数: 100.00任务类型: 静态Flag要求: 停止挖矿进程并尝试删除挖矿程序,根据异常判断,提交守护进程脚本的绝对路径,最终以flag{/xxx/xxx/xxx/xxx}提交排查过程: 尝试rm删除,但发现还在,也没有报错: Kill掉进程,进程会被重新拉起,排查计划任务: flag{/usr/bin/.0guardian}任务四任务名称: 根据

生命在于学习 · 2025-09-29 · 4 人浏览
2025年Solar应急响应月赛9月

Perfctl 进程排查记录

根据前辈所讲:🔹 4.1 木马概况中招后,会中 rootkit,会做 权限维持,会自身隐藏等中招后,没有重启过的机器,清除需杀掉所有中招后再启动的进程中招后,重启过的机器,在清除后,需要立马重启需要下载 busybox 来做清除目前看到的行为是 植入各种流量代理,用于挂机赚收益🔹 4.2 木马开始阶段大多为 暴力破解,成功后开始:检查当前系统是否是 x86_64 架构,如果不是则退出脚本。如果 /tmp 目录不存在,创建该目录并将权限设置为 777(即允许所有用户读、写和执行)。检查 /tmp 是否挂载了 noexec 选项(即不允许执行),如果是,重新挂载 /tmp 使其可以执行。移除 /tmp、/etc/cron 和 /etc/ld.so.preload 文件的不可更改属性。在 /tmp 下创建隐藏的目录 .perf.c 和 .xdia,这些可能是恶意脚本或工具的存放位置。通过 curl 下载一个文件(ordens.php)到 /tmp/httphxx。再通过 curl 将文件下载到 /tmp/httpd 目录中。最后执行。🔹 4.3 木马行为释放文件权限维持:a. 伪造自身为系统

应急响应 · 2025-08-26 · 5 人浏览

一次Windows的应急响应

发现天眼告警直接 tdesk 上机排查:1、木马情况:如果你用火绒处理掉这个,病毒还会再次启动,并且会在 C:\Windows\System32\ 目录下面挑选几个进程进行劫持外连: 形如:sihost.exeRuntimeBroker.exetaskhostw.exe使用 ProcessExplorer 查了半天,没发现什么有用信息。 通过对比正常电脑上面三个进程的线程,我感觉还是这个 dll 有点问题:ntdll.dll,但没什么证据,暂且不表。2、确认木马最初告警时间:7月22日早8点桌面有个异常快捷方式,一看,好家伙:C hrome(是的,有一个空格)。打开目标位置,和告警日期符合。 再打开浏览器的下载页面,确认为 仿冒的谷歌浏览器: https://xxxxx.com/file/ChromeCore_1344_6.1.7.6.exe?auth_key=xxxxx(没有可用的 auth_key 的话是下载不下来的) 可以看到这里是木马大本营了。同时,也发现了 C:\Windows\System32\ 下面有很多恶意的 bat: 打开一个,可以看到恶意内容: 启

应急响应 · 2025-08-19 · 6 人浏览

钓鱼攻击防御指南:演练与实战技巧

一、自我介绍ID:易水哲 z3nbyte二、课程目录钓鱼的前期准备Gophish的基本使用钓鱼邮件的拟定钓鱼方式的多样化一些注意事项企业钓鱼真实案例分享三、钓鱼的前期准备1、域名核心思路:根据钓鱼目标场景,选择具有诱导性或混淆性的域名,提升点击率与伪装效果。(1)目标导向型注册根据攻击目标的使用场景注册相关域名,比如仿冒电商、银行、门户网站等:示例域名:taoba0.com(数字“0”替代字母“o”)icbc-pay.com(增加业务词“pay”)cctv.com.co(增加国家顶级域,伪装为子站)icbc.com.abc.com(多级子域名,伪造成正规结构)具体示例: https://www.blilbill.com/video/BV1Pm4y1s8dZ/(2)IDN 域名混淆与 Punycode 编码机制利用国际化域名(IDN)注册含有非拉丁字符的域名,可以伪造成与真实域名外观极度相似的变体。例如使用西里尔字母“о”替代拉丁字母“o”。示例说明:正常域名伪造域名说明google.comgооgle.com两个“o”用的是西里尔字母taobao.comtаоbао.com多个字母被

生命在于学习·网安 · 2025-06-30 · 1203 人浏览
钓鱼攻击防御指南:演练与实战技巧
2019 - 2026 赛博保安日志. All Rights Reserved.
Theme Jasmine by Kent Liao 京ICP备2023023335号-2京公网安备11010802044340号