- 博客(72)
- 收藏
- 关注
RSS订阅原创 Linux应急响应一般思路(三)
Linux日志分为内核/系统日志、用户日志和应用日志三类,分别记录系统运行信息、用户登录信息和应用事件。Web日志分析重点关注Apache/Nginx访问日志,可通过NCSA扩展格式查看请求信息。分析时需关注恶意函数(如PHP的eval())、异常IP访问频率和敏感URL请求
2025-08-25 22:34:20
476
原创 Linux应急响应一般思路(一)
服务器入侵后账户排查指南 服务器被入侵后,攻击者常通过创建或激活账户维持权限,包括:新建账户、激活默认账户、建立隐藏账户(如Windows账户名后加$),并提权至管理员权限
2025-08-24 21:13:56
559
原创 Windows应急响应一般思路(四)
Windows系统日志分析是安全运维的重要工作,主要涉及系统日志、安全日志和应用程序日志三类。日志文件在XP/2003系统中以.evt后缀存储在System32\config目录下,而Win7/2008及以上版本以.evtx后缀存储在System32\Winevt\Logs目录。重点分析的事件ID包括:登录相关(4624/4625/4672)、系统启动(12/13)、日志清除(104/1102)等。其中登录类型编号(如2-本地交互、3-网络登录)对追踪异常登录行为特别重要
2025-08-23 21:37:28
1038
原创 Windows应急响应一般思路(三)
本文介绍了Windows系统文件痕迹排查的关键方法。主要内容包括:1)检查恶意软件常驻的敏感目录(如temp、Windows、Appdata等);2)分析下载记录、Recent文件和预读取文件夹;3)通过时间点查找(创建/修改/访问时间)定位可疑文件;4)排查隐藏文件及敏感内容。文章还推荐使用Everything、forfiles等工具辅助排查,并指出需警惕攻击者修改文件时间的行为
2025-08-23 21:35:09
729
原创 Windows应急响应一般思路(二)
本文介绍了Windows和Linux系统中进程排查的方法,重点讲解了Windows系统下通过任务管理器、tasklist、netstat、wmic等命令工具进行恶意进程识别和分析的技术。内容涵盖PID查找、父进程追踪、DLL加载检查、网络连接状态分析以及服务排查等关键步骤,为系统安全应急响应提供了实用的排查思路和操作指南
2025-08-22 23:54:34
922
原创 Windows应急响应一般思路(一)
服务器被入侵后,攻击者常通过创建新账户、激活默认账户或建立隐藏账户(如Windows账户名后加$)获取控制权。排查方法包括:1)使用net命令查看用户列表和管理员组;2)wmic命令检测隐藏/克隆用户;3)通过本地用户和组、注册表SAM项核查异常账户;4)检查计划任务(schtasks)和启动项(msconfig、注册表Run键值)中的可疑项。重点关注账户提权痕迹和非常规启动程序,及时清除恶意驻留项
2025-08-22 23:52:36
963
原创 天眼应急案例(二)
攻击者通过入侵DMZ区Web服务器建立Socks5代理,横向渗透至办公网络并构建多层代理链,最终利用核心系统WebLogic反序列化漏洞入侵OA系统。攻击路径包括:1)在Web服务器上传webshell并建立代理隧道;2)通过扫描发现办公网存活主机;3)配置双层代理链突破核心网;4)利用漏洞扫描工具发现并利用反序列化漏洞实现任意命令执行。过程中天眼告警显示的IP为跳板机地址,需注意真实受害IP识别。整个攻击过程呈现典型的横向移动特征,突显内网隔离不足和漏洞修复滞后问题
2025-08-21 18:18:15
494
原创 天眼应急案例(一)
黑客通过入侵WEB服务器获取邮件系统权限,进而渗透内网窃取机密文件。攻击过程分为四个阶段:1)信息收集阶段利用扫描探测敏感目录和漏洞;2)漏洞利用阶段上传webshell并获取用户凭证;3)横向渗透阶段通过RDP暴力破解和MSF木马控制多台主机;4)内网入侵阶段利用永恒之蓝漏洞横向移动,最终获取目标文件。应急响应中发现攻击者采用多种隐蔽技术,包括进程迁移、隐藏账号和ADS文件隐藏,并通过双网卡主机作为跳板实施内网渗透
2025-08-21 18:13:53
720
原创 从一开始的网络攻防(十四):WAF绕过
BYPASSWAF技术是通过分析WAF设备与后端应用处理差异实现的防护绕过方法。文章详细解析了WAF的四种部署模式(云WAF、主机防护软件、硬件设备、软WAF)及其工作流程,重点阐述五层绕过技术:1)Web架构层(真实IP获取、畸形数据包);2)Web服务器层(Apache/IIS特性利用);3)应用层(参数污染、编码转换);4)数据库层(SQL语法特性);5)WAF层(性能负载攻击、模糊测试)
2025-07-30 22:26:18
1195
原创 Windows安全基线检查与加固
本文介绍了Windows系统安全加固的关键措施,主要包括账户管理、权限配置、日志审核等方面。在账户管理上,要求重命名默认管理员账户、禁用Guest账户,并设置强密码策略(长度≥8位,包含大小写字母、数字和符号)。权限配置方面,应限制远程关机和网络访问权限仅授予管理员组,关闭默认共享。同时需启用完整审核策略(9项事件记录),日志大小设置为≥100MB,配置15分钟远程登录超时。其他安全措施包括:启用屏幕保护密码(5分钟锁定)、关闭自动播放功能、开启防火墙等
2025-07-29 21:46:34
1291
原创 Linux安全基线检查与加固
本文介绍了Linux系统安全基线检查与加固的配置方法,主要内容包括:账户管理方面,设置口令锁定策略、口令生存期、复杂度要求及密码重用限制;服务管理方面,配置SSH禁止空密码登录、多次失败锁定、限制root远程登录及修改默认端口;权限管理方面,调整默认umask值、检查重要文件权限及限制可su为root的用户组;日志管理方面,启用rsyslog服务记录登录事件和定时任务,设置SSH日志级别为INFO,并将系统日志文件设为只可追加模式。通过执行文中提供的命令和配置文件修改方案,可有效提升Linux系统的安全性。
2025-07-29 21:43:13
1058
原创 应急响应案例处置(下)
恶意挖矿程序、勒索病毒和APT攻击是当前主要网络安全威胁。恶意挖矿程序通过CPU资源占用影响系统运行,常见传播方式包括永恒之蓝漏洞和弱口令攻击;勒索病毒会加密文件并勒索赎金,主要通过漏洞利用和人工投放传播;APT攻击具有隐蔽性强、持续时间长的特点,需通过IOC告警和流量分析识别。应对措施包括修复漏洞、强化口令、安装补丁及系统日志分析。案例显示,建立时间基准线进行系统排查是有效的应急响应方法
2025-07-28 23:37:34
1119
原创 从一开始的网络攻防(十一):逆向工程基础
逆向工程是一种通过分析目标产品来推导其设计原理的技术,广泛应用于软件破解、漏洞挖掘等领域。该技术需要掌握汇编语言基础,并使用PEID、DIE、OllyDbg等工具进行脱壳、反汇编和动态调试分析。逆向分析的主要作用包括:1)破解软件授权限制;2)分析恶意代码;3)研究内部算法;4)进行二次开发。其中关键步骤包括识别加壳方式、定位验证机制、修改关键跳转等。通过静态分析与动态调试相结合的方法,可以深入理解程序逻辑,实现功能扩展或安全检测。
2025-07-26 11:57:52
1712
原创 基于银狐的后门持久化姿势分析总结
银狐攻击团伙利用多种Windows持久化技术实现隐蔽攻击,包括服务修改、启动目录植入、注册表启动项和计划任务等基础方式,以及创新的"文件关联+设备映射+PendingFileRenameOperations"组合技。该团伙通过篡改文件关联、创建虚拟设备映射、利用系统启动前文件操作机制,实现绕过安全软件的无痕启动。攻击过程涉及三个关键步骤:1)创建随机后缀文件关联木马程序;2)虚拟映射启动目录;3)利用PendingFileRenameOperations机制在系统启动前完成文件写
2025-07-26 11:40:32
1341
原创 从一开始的网络攻防(十):DoS
DoS/DDoS攻击是典型的资源耗尽型网络攻击。DoS利用程序漏洞一对一耗尽资源,而DDoS通过多对一放大攻击效果。主要攻击类型包括带宽攻击和连通性攻击,如SYN Flood耗尽TCP连接数,SockStress则通过建立完整TCP连接后设置窗口为0来消耗服务器资源。防御DoS攻击的核心是资源对抗,需部署抗D设备或设置流量限制规则(如iptables限制IP连接数)。随着攻击方式专业化,防范需要结合技术手段和安全管理策略。
2025-07-25 15:41:59
1167
原创 从一开始的网络攻防(九):XXE
XML是一种可扩展标记语言,用于数据传输,具有自定义标签、层级结构和自我描述性特点。XML文档由声明、元素/节点、属性和注释组成。DTD(文档类型定义)用于定义合法XML文档结构,分为内部和外部DTD。DTD实体包括内部、外部和参数实体,用于定义快捷引用。XXE(XML外部实体注入)漏洞是由于服务器未严格限制XML数据解析,导致攻击者注入恶意实体。通过探测响应和构造payload(如file://或php://协议),可利用XXE漏洞读取服务器文件
2025-07-25 15:29:34
1105
原创 HW蓝队:天眼告警监测分析之Web攻击
本文系统梳理了Web安全攻击的常见类型及检测分析方法。主要包括:1)信息泄露类漏洞(备份文件、目录穿越、SVN源码等);2)认证类漏洞(弱口令、暴力破解);3)注入类漏洞(XSS、SQL注入、命令执行等);4)文件上传与包含漏洞;5)Webshell工具(哥斯拉、冰蝎);6)XXE实体注入;7)后门程序(如njRat)。文章详细说明了各类漏洞的攻击特征、检测规则(基于天眼告警系统)和修复建议,并提供了流量日志分析方法和攻击成功判据
2025-07-24 13:50:40
1323
原创 HW蓝队:天眼告警监测分析之威胁情报
网络安全威胁情报分析摘要 威胁情报是描述攻击行为的关联信息集合,包含IOC(入侵指标)如IP、域名、文件特征等。常见威胁包括:1)远程控制木马通过邮件附件传播建立僵尸网络;2)挖矿木马植入系统窃取算力;3)勒索病毒(如WannaCry)利用漏洞加密文件。检测方法包括分析流量日志中的异常解析行为(如down.luckyboy.cn)、445端口攻击等。防御建议:安装补丁、关闭高危端口、强化密码策略。需注意DNS隐蔽隧道攻击风险,且威胁情报可能存在误报需持续更新。分析时应结合多维度证据确认攻击行为。
2025-07-24 13:41:42
1299
原创 应急响应基础
我国信息安全行业面临网络攻击专业化、组织化的趋势,攻击工具商品化导致威胁加速扩散。网络安全应急响应通过准备、检测、抑制、根除、恢复和总结6个阶段,对安全事件进行系统化处理。其中,准备阶段重在预防,检测阶段确定事件性质,抑制阶段限制影响范围,根除阶段彻底消除威胁,恢复阶段重建系统,总结阶段完善响应机制。应急事件可分为网络流量、Web攻击、病毒木马、业务安全和信息泄露等类型。有效的应急响应需要结合安全策略、业务情况和服务器安全状态等多方面因素进行综合分析和处置。
2025-07-23 11:37:37
528
原创 Linux入侵排查入门实例
CentOS7服务器(192.168.1.137)被入侵分析显示,黑客通过暴力破解获得root权限后,植入.shell.elf和.centos_core.elf两个后门文件,修改ps命令,创建定时任务和伪装账号hyf。入侵时间线显示攻击始于9月6日14:31的爆破尝试,16:10成功登录。修复措施包括删除后门文件、恢复ps命令、清除定时任务及删除恶意账号hyf
2025-07-23 09:00:00
1055
原创 Windows入侵排查入门实例
某Windows Server 2008 R2服务器因风扇噪声大、CPU占用高被怀疑遭入侵。排查发现挖矿木马(连接矿池域名)、隐藏账号hyf$、计划任务和shift后门。日志分析显示,黑客于2022/9/12下午3点通过爆破获取管理员权限,随后创建隐藏账号并提权,进而植入后门和挖矿程序
2025-07-22 17:15:39
1125
原创 从一开始的网络攻防(八):CSRF
CSRF(跨站请求伪造)是一种攻击者利用用户身份发送恶意请求的攻击方式。攻击者通过构造伪造请求链接,诱骗已登录用户点击,从而执行敏感操作(如修改密码)。CSRF与XSS不同,它不窃取用户凭证,而是直接冒用用户权限。漏洞挖掘需关注增删改功能点,检查数据包是否缺少token和referer验证。防御措施包括:添加随机token、验证码、校验Referer字段及实施多步操作验证(如修改密码需验证旧密码)
2025-07-22 15:08:12
965
原创 从一开始的网络攻防(七):SSRF
SSRF(服务器端请求伪造)漏洞允许攻击者通过篡改服务器请求来访问内部资源。漏洞成因在于服务器未对请求URL进行严格过滤,常见于图片加载、API调用等场景。攻击者可利用该漏洞扫描内网端口、攻击内部应用或读取本地文件。通过curl_exec()和file_get_contents()等函数可实现SSRF攻击,甚至能利用PHP伪协议读取文件内容。防御措施包括限制访问协议(仅HTTP/HTTPS)、禁止重定向、设置URL白名单和过滤内网IP地址
2025-07-21 12:26:47
750
原创 从一开始的网络攻防(六):php反序列化
本文系统介绍了PHP反序列化漏洞的原理与利用方法。首先讲解了PHP面向对象基础、序列化/反序列化机制及魔术方法(如__wakeup、__toString等)。随后详细分析了三种主要攻击方式:魔术方法绕过(如__wakeup绕过)、字符串逃逸和POP链构造,并通过多个CTF案例(包括Pikachu靶场、BUUOJ题目)演示具体攻击流程。特别强调当反序列化参数可控时,通过精心构造的序列化字符串可控制对象内部变量和函数,最终实现文件读取、代码执行等恶意操作。
2025-07-21 12:09:02
1267
原创 从一开始的网络攻防(五):任意文件下载/上传漏洞
本文介绍了Docker环境下搭建Pikachu靶场的方法,重点分析了任意文件下载和上传漏洞的原理与利用方式。文件下载漏洞通过构造恶意路径(如../../../etc/passwd)可获取敏感文件;文件上传漏洞可通过绕过客户端检测(删除JS校验函数)、服务端检测(修改MIME类型)等方式上传恶意文件。防御措施包括:设置上传目录不可执行、采用白名单校验、图片处理破坏恶意代码、随机化文件名路径等
2025-07-20 10:47:10
773
原创 逆向工程入门 - F5
本文介绍了使用IDA Pro进行逆向工程的基本方法。通过一个CTF例题,展示了如何利用F5反编译功能分析程序逻辑:首先定位check_flag函数,发现其通过异或运算校验输入内容;然后逆向推导出flag生成算法((ebp^0x3F)-i),最终提取内存中的加密数据(22个十六进制值)并编写解码脚本获取flag。整个过程演示了静态分析中伪代码阅读、算法逆向和内存数据提取的关键技术。
2025-07-20 10:29:03
1309
原创 CTF之服务器端模板注入(SSTI)与赛题
服务端模板注入(SSTI)漏洞是由于开发人员将用户输入直接拼接到模板中执行导致的。以Flask框架的Jinja2模板为例,攻击者可通过{{}}语法注入恶意代码。利用魔术方法如__class__、__bases__等可进行沙箱逃逸,最终通过找到包含__builtins__的可利用类(如warnings.catch_warnings)执行系统命令。CTF案例展示了如何逐步利用这些方法获取环境变量中的flag。关键点包括:判断模板引擎类型、回溯类继承关系、绕过字符过滤、最终执行任意命令获取敏感信息。
2025-07-19 09:00:00
1037
原创 CTF之JWT与赛题
JWT(JSON Web Token)是一种开放标准的安全传输协议,由三部分组成:头部(算法和类型声明)、载荷(用户数据/元数据)和签名(验证完整性)。其核心应用包括身份认证、API授权,支持HMAC/RSA等签名算法。关键风险点在于Payload仅Base64编码(非加密)、算法篡改(如"none"攻击)、弱密钥爆破等。安全实践需强制算法校验、使用强密钥(HS256)或非对称加密(RS256)、设置短有效期。在CTF场景中,通过修改JWT声明+密钥爆破(如hashcat工具)可绕过权限
2025-07-19 08:26:00
937
原创 CTF之栅栏密码的传统型、W型与偏移量
栅栏密码是一种古老的加密方法,通过将明文按特定行数(栅栏数)排列成锯齿形或W形,再按行读取字符形成密文。主要包括传统Z型和W型两种加密方式,加密过程涉及确定栅栏数、偏移量,并按特定顺序排列字符。解密则是逆向操作,需知道原始栅栏数和偏移量。栅栏数越多加密越复杂,还可结合其他密码增强安全性。文中详细说明了两种加密方法的原理和具体操作步骤,并提供了多个加解密示例,包括如何处理偏移量和不同栅栏数的情况。
2025-07-17 11:19:08
1272
原创 Apache ActiveMQ 任意文件写入漏洞(CVE-2016-3088)复现利用
Apache ActiveMQ在5.14.0版本前的fileserver应用中存在任意文件写入漏洞(CVE-2016-3088),攻击者可利用HTTP PUT上传文件后,通过MOVE请求将文件移动至可执行目录(如/admin或/api),实现webshell上传,或以root权限向/etc/cron.d写入定时任务反弹shell
2025-07-17 00:43:03
1198
原创 CTF之线性同余算法与赛题
线性同余算法(LCG)是一种简单高效的伪随机数生成方法,通过递推公式Xₙ₊₁=(a·Xₙ+c)mod m产生序列。其优点是计算速度快,但周期性和安全性有限。本文详细介绍了LCG的原理、参数选择要求,并通过周期为6的示例演示了算法运行过程。最后结合CTF例题,展示了如何利用已知明文攻击破解采用LCG加密的密文,包括解密脚本编写和密钥推导过程,成功获取flag
2025-07-16 10:18:57
1629
原创 从一开始的网络攻防(一):数据库环境快速构建
本文介绍了使用Docker安装MySQL和Redis的详细步骤。MySQL部分包括拉取镜像、启动容器(设置root密码)、进入容器等操作;Redis部分则涵盖拉取镜像、配置文件挂载、启动容器(设置密码和持久化)、测试连接等完整流程。文章重点说明了各项参数的作用,如端口映射、持久化配置、密码设置等关键环节,并提供了相关参考链接。两种数据库的安装都强调了安全性设置的重要性,适合开发人员快速搭建数据库环境参考使用。
2025-07-16 04:14:37
494
原创 Linux sudo host权限提升漏洞(CVE-2025-32462)复现与原理分析
CVE-2025-32462漏洞揭露了Linux sudo工具的-h(--host)选项存在权限提升风险,影响sudo 1.8.8至1.9.17版本。该漏洞源于远程主机规则被错误应用于本地系统,攻击者可绕过权限限制执行root命令。漏洞利用需特定Host_Alias配置,在企业环境中较常见
2025-07-15 06:16:36
1903
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人