尘玥的故事

原创 域名，子域名，备案信息，企业信息，威胁情报，网络空间等

威胁情报 华为安全中心平台 https://isecurity.huawei.com/sec/web/intelligencePortal.do。威胁情报 VenusEye 威胁情报中心 https://www.venuseye.com.cn/网络空间 360 https://quake.360.cn/quake/#/index。威胁情报 360 威胁情报中心 https://ti.360.cn/#/homepage。DNS数据 dnsdumpster https://dnsdumpster.com/

原创 渗透测试常见端口及测试方向

原创 nono编辑基本使用方式

本文介绍了Nano文本编辑器的基本使用方法。主要包括：1）文本编辑操作，如使用箭头键移动光标、Backspace/Delete删除字符；2）常用快捷键，包括Ctrl+O保存、Ctrl+X退出、Ctrl+G查看帮助；3）文件保存与退出操作提示，系统会在退出时询问未保存更改的处理。全文简明扼要地说明了Nano的基本编辑功能，适合初学者快速掌握这款轻量级文本编辑器的主要操作。

原创 MySQL日志分析

MySQL日志分析是识别数据库攻击的重要手段。通过开启general query log可以记录查询操作，帮助追踪SQL注入、暴力破解等攻击行为。分析日志时需关注：1) 登录成功/失败的特征差异，如爆破成功的"Query set autocommit=0"记录；2) 敏感操作如drop table、load_file等关键词；3) SQL注入攻击痕迹，如sqlmap创建的临时表和文件。通过grep等命令可快速统计爆破IP和用户名。日志分析能有效还原攻击场景，为安全防护提供依据。

原创 Linux权限维持--隐藏篇

这篇文章介绍了Linux系统下多种权限维持与隐藏技术，主要包括： 隐藏文件 - 通过文件名前加点或利用默认隐藏目录（如/tmp/.ICE-unix/）藏匿文件 修改时间戳 - 使用touch -r同步文件时间或touch -t自定义时间 文件锁定 - 通过chattr +i设置不可删除属性 历史记录删除 - 临时禁用历史记录或删除特定命令记录 SSH隐身登录 - 使用参数避免记录公钥或隐藏登录会话 端口复用 - 通过SSLH或iptables规则实现端口共享 进程隐藏 - 利用libprocesshider

原创 第4篇：Linux权限维持--后门篇（1）

本文解析了Linux系统中常见的四种权限维持技术：1）通过useradd、chpasswd等命令添加用户；2）利用SUID权限设置进行提权；3）SSH公私钥免密登录；4）软连接和SSH wrapper后门技术。文章详细介绍了每种技术的实现方法，并提供了对应的入侵检测技巧，如检查特权用户、SUID文件排查、SSH密钥验证等。这些技术都可能被攻击者用于维持系统访问权限，系统管理员需了解其原理并加强安全防护。

原创 Windows日志分析

Windows系统日志分析指南：文章介绍了Windows系统三类核心日志（系统、应用程序、安全日志）的功能与存储位置，并详细说明如何配置审核策略和使用事件查看器。重点分析了常见安全事件ID（如4624/4625登录事件）和登录类型（2-11），提供了两个实用案例：通过4625事件检测暴力破解和利用6005-6006事件追踪系统开关机记录。文末推荐了微软官方事件ID说明文档，为系统管理员和安全人员提供了实用的日志分析方法和取证技巧。（149字）

原创 Web日志分析

《Web日志安全分析技巧》摘要： 本文介绍了Web日志分析在网络安全中的重要性，包括攻击溯源、漏洞定位等功能。通过Apache日志实例解析了访问记录的基本要素，提供了两种分析思路（时间范围排查与后门文件追踪）及常用工具（EmEditor/Linux命令）。重点讲解了Shell命令组合实现的多维度统计分析技巧，如IP访问排序、页面访问统计、浏览器指纹追踪等，并通过真实案例演示了如何通过日志还原攻击路径。最后汇总了爬虫识别、流量统计、慢脚本排查等实用命令集，为安全人员提供了高效的日志分析方法论。

原创 Linux权限维持--后门篇(2)

本文介绍了两种常见的后门技术：1）利用crontab定时任务反弹shell的方法，包括创建恶意脚本、设置定时任务及接收shell；2）使用Mafix rookit后门通过伪造SSH协议实现远程登录。针对这两种攻击方式，文章提供了相应的排查技巧：检查可疑定时任务列表（crontab -l）、监控异常端口以及使用RPM校验命令完整性。这两种技术都具有隐蔽性强、操作简单的特点，是攻击者常用的权限维持手段。

原创 Linux日志分析

本文介绍了Linux系统日志分析的基本方法。主要内容包括：1) Linux日志默认存储在/var/log/目录下，介绍了各重要日志文件的功能，如/var/log/secure记录认证信息、/var/log/message记录系统重要信息等；2) 常用的日志分析命令如grep、awk、sed等，以及查看登录失败记录(lastb)、成功登录记录(last)等技巧；3) 重点分析了/var/log/secure日志，包括如何查看暴力破解IP、成功登录信息、用户增删记录等。文章还提供了yum安装日志的分析示例。通过

原创 勒索病毒自救指南

《勒索病毒自救指南》摘要：文章介绍了勒索病毒的常见特征及应对方法，建议通过安全公司提供的勒索病毒搜索引擎（如360、腾讯、启明等）查询病毒信息，并尝试使用各平台免费解密工具（如哈勃、金山毒霸、nomoreransom等）。能否解密存在不确定性，关键仍在于日常做好系统补丁更新和数据备份工作。文末附有多个国内外解密工具集的官网链接，供用户紧急参考使用。（149字）

原创 常见的 Webshell 查杀工具

本文介绍了6款常见的WebShell查杀工具，用于检测网站服务器中的恶意后门程序。推荐工具包括：D盾（Windows专用）、河马（支持Windows/Linux）、Web Shell Detector（跨平台脚本）、CloudWalker（已停更）、PHP Malware Finder（Linux专用）和findWebshell（Python开发）。这些工具采用特征码匹配、行为分析等技术，帮助管理员快速发现WebShell漏洞。部分工具提供在线检测功能，用户可根据系统环境选择合适的解决方案。文章还鼓励读者推

原创 如何发现隐藏的 Webshell 后门

如何在百万行代码中快速发现Webshell后门？本文介绍了四种有效的文件完整性验证方法：1）通过MD5校验对比文件特征值；2）使用Linux的diff命令识别文件差异；3）利用Beyond Compare进行可视化文件夹对比；4）采用WinMerge工具检测文件变更。这些方法适用于团队或个人开发者，通过自动化比对能高效定位被篡改的代码，解决手动检测难以覆盖暗链、劫持等隐蔽后门的问题，尤其适合中大型系统的安全审计。

原创 Linux 入侵排查

Linux服务器入侵排查摘要 针对Linux服务器入侵事件，排查思路应重点关注以下方面： 账号安全：检查特权用户、远程登录账号及sudo权限，禁用可疑账号 历史命令：分析.bash_history文件，查看用户执行过的命令 网络连接：通过netstat检查异常端口和进程 启动项：排查/etc/rc.local等启动配置文件 定时任务：检查crontab、anacron等定时任务配置 系统服务：查看自启动服务，注意源码包安装的服务 异常文件：搜索/tmp等敏感目录，利用find命令查找可疑文件 排查时应结合命

原创 windows 入侵排查

Windows入侵排查与应急响应指南 本文总结了Windows服务器入侵排查的完整流程，包括： 账号安全检查：检测弱口令、可疑/隐藏账号，分析登录日志 异常端口进程排查：使用netstat、tasklist等命令定位可疑连接和进程 启动项与服务检查：分析注册表、计划任务和自启动服务 系统信息核查：检查补丁版本、可疑文件及时间戳异常文件 自动化查杀：推荐多款病毒和Webshell查杀工具 日志分析：系统日志和Web访问日志分析方法 文末提供了实用的安全工具集，涵盖病毒分析、查杀软件、威胁情报平台和在线扫描服务

原创 linux安装目录扫描工具dirscan

摘要：dirscan是一款基于Python的开源目录扫描工具，用于探测网站的隐藏目录和文件。通过多线程技术提升扫描效率，适合安全测试与网站管理。安装步骤包括：克隆GitHub仓库、进入项目目录并安装依赖包。使用命令python dirscan.py -u [目标URL] -w [字典路径]即可启动扫描。该项目操作简便，附带图示指导，帮助用户快速上手。

原创 linux 通过目录/proc/查看进程

Linux系统上的/proc目录是一种文件系统，即proc文件系统。为了查看及使用上的方便，这些文件通常会按照相关性进行分类存储于不同的目录甚至子目录中，如/proc/scsi目录中存储的就是当前系统上所有SCSI设备的相关信息，/proc/N中存储的则是系统当前正在运行的进程的相关信息，其中N为正在运行的进程（可以想象得到，在某进程结束后其相关目录则会消失）。

原创 linux权限维持/计划任务（at/cron）

1、如果你有很多任务需要每天|周|月重复执行，并且希望系统能自动把漏掉的任务补回来，那么你可以将你的脚本放在系统响应的目录下面/etc/cron.{d{daily,weekly,monthly},并赋予可执行权限。2、用户级别的任务定义当中，没有用户名那一栏，如果像定义系统级别的命令那样，输入用户名，crontab编辑器不会提示格式错误，但是任务不会得到正确的执行。是cron服务的扩展，配合cron服务一起使用，当系统断电或者宕机，错过任务执行的时间时，系统启动后它会再次执行未执行的任务。

原创 linux权限维持：设置开机启动脚本的方法（rc.local；crontab；/etc/init.d；systemd）

INIT进程：由Linux内核加载运行/sbin/init程序，是系统中第一个进程，也是内核加载的第一个程序，PID（进程标识符）永远是1；配置文件是：/etc/inittabINIT进程启动后会启动其它程序，生成新的进程，这些由init启动的进程称之为init进程的子进程，而init进程是这些进程的父进程由init进程调用执行完成设置网络、主机名、加载文件系统设置时钟等初始化工作（例如检查并启用磁盘配额功能就是在该脚本中完成的）。/etc/rc.d/rc脚本文件由init进程调用执行。

原创 Linux 系统目录结构及功能&绝对/相对目录&物理设备路径

常用的一些目录：目录名称 应放置文件的内容/boot 开机所需文件——内核,开机菜单及所需配置文件等/dev 任何设备与接口都以文件形式存放在此目录/etc 配置文件/home 用户主目录/bin 单用户维护模式下还能够被操作的命令/lib 开机时用到的函数库及/bin与/sbin下面命令要调用的函数。

原创 linux应急工具：busybox安装及其用法

BusyBox 是标准 Linux 工具的一个单个可执行实现。BusyBox 包含了一些简单的工具，例如 cat 和 echo，还包含了一些更大、更复杂的工具，例如 grep、find、mount 以及 telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀.简单的说BusyBox就好像是个大工具箱，它集成压缩了 Linux 的许多工具和命令。

原创 iTunes备份文件路径修改方法

因为以前的很多帖子iTunes都不是从微软下载的，而现在的iTunes一般都是微软商店里面的，它的路径为：“C:\Users\ 你的用户名 \Apple\MobileSync” （注：用户名，根据个人电脑名称更改）打开iTunes备份路径：“C:\Users\txh\AppData\Roaming\Apple Computer\MobileSync”，其中文件夹MobileSync就是用来存放备份文件的。创建你想备份纯在的目录创建备份文件目录（我的是G：/APPLE/Backup）2.粘贴的剪切文件目录。

原创 XXE-外部实体注入漏洞

DOCTYPE 根元素 [元素申明]> XXE 有回显 无回显 xml 为协议 xml dtd

原创 Adfind下载&相关命令应用&委派

机器A（域控）访问具有非约束委派权限的机器B的服务，会把当前认证用户（域管用户）的的TGT放在ST票据中，一起发送给机器B，机器B会把TGT存储在lsass进程中以备下次重用。adfind 工具使用的结构如下:其中 switches 是连接参数，-b 是指定要查询的根节点 basedn，-f 是指定过滤的条件，attr 是指定要显示的属性。该选项是连接参数，如果adfind在域内主机上运行，则无需该选项，如果是域外机器上执行，则需要指定域控和提供一个有效的域用户和密码。，该地址下载工具不需要压缩包密码。

原创 SPN&Kerberoast攻击防范（RC4可解密）

​ Windows域环境是基于微软的活动目录服务工作的，它在网络系统环境中将物理位置分散、所属部门不同的用户进行分组，集中资源，有效地对资源访问控制权限进行细粒度的分配，提高了网络环境的安全性及网络资源统一分配管理的便利性。在域环境中运行的大量应用包含了多种资源，为资源的合理分组、分类和再分配提供了便利。微软给域内的每种资源分配了不同的服务主体名称(Service Principal Name, SPN)

原创 内网渗透之PTH&PTT&PTK

Golden ticket的作用是可以生成任意用户的tgt,那么问题就来了,是什么条件能够让他生成任意用户的tgt呢？ptt攻击的部分就不是简单的NTLM认证了，它是利用Kerberos协议进行攻击的，这里就介绍三种常见的攻击方法：MS16-068，Golden ticket，SILVER ticket。silver ticket和golden ticket不同的是,它不需要和域控制器进行通信，原理是伪造TGS，使用的是计算机账户的hash进行加密的，所以只能访问指定的权限。构造PAC也是这个漏洞的根本。

原创 XSS详解

XSS全称跨站脚本(Cross Site Scripting)，为避免与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆，故缩写为XSS。这是⼀种将任意Javascript代码插⼊到其他Web⽤户⻚⾯⾥执⾏以达到攻击⽬的的漏洞。攻击者利⽤浏览器的动态展示数据功能，在HTML⻚⾯⾥嵌⼊恶意代码。当⽤户浏览改⻚时，这些潜⼊在HTML中的恶意代码会被执⾏，⽤户浏览器被攻击者控制，从⽽达到攻击者的特殊⽬的，如cookie窃取等。

原创 内网渗透工具（Mimikatz）

能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试，Mimikatz 的使用通常需要管理员权限，因为它需要访问系统的核心进程和内存。注意：当目标为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码。

原创 linux常用代理工具-ProxyChains

它可以使任何程序通过代理上网， 允许TCP和DNS通过代理隧道， 支持HTTP、 SOCKS4和SOCKS5类型的代理服务器， 并且可配置多个代理。ProxyChains通过一个用户定义的代理列表强制连接指定的应用程序， 直接断开接收方和发送方的连接。ProxyChains 是一个强制应用的 TCP 连接通过代理的工具，支持 Tor、HTTP、与 Socks 代理。与 sshuttle 不同的是，ProxyChains 只会将当前应用的 TCP 连接转发至代理，而非全局代理。

原创 黄金票据（Golden Ticket）与白银票据（Silver Ticket）概述

在 Kerberos 身份验证协议中，黄金票据（Golden Ticket）和白银票据（Silver Ticket）都是被恶意攻击者用来进行 权限提升 或 持久化攻击 的工具。两者的目的都是绕过正常的身份验证机制，但它们的制作方法、使用条件、应用场景以及攻击的方式有所不同。

原创 ICMP 隧道技术解析&流量特征

进行隐蔽传输的时候，肉鸡(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包，攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中，肉鸡接收到该数据包，解出其中隐藏的命令，并在防火墙内部主机上执行，再把执行结果隐藏在ICMP_ECHOREPLY数据包中，发送给外部攻击端。通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文，把数据隐藏在ICMP数据包包头的选项域中，利用ping命令建立隐蔽通道。而正常的icmp数据包里，请求和回应部分数据是一致的。

原创 frp应用及常见流量特征

另外frpc在连接认证Frps的时候，会进行三次握手，会把Frp的版本信息发给frps进行认证，如果是用的一个没有改过的Frp那么这时候只要建立连接，很容易就会被安全设备捕获到。这时候再去看对应数据包，发现确实已经看不到明文信息了，但是有个新的问题，使用 tls_enable 加密后，首次连接会一个0x17的头部特征，并发送一个大小为243的数据包。可以看到在进行 Socks 的用户和密码(admin888/admin888)校验整体交互都是属于明文，能看到我们认证的账号密码。

原创 HW基线检查

基线检测 ，linux,windos，可分为事件日志和消息日志。/var/run/utmp，login等程序会更新wtmp和utmp文件，使系统管理员能。过rsyslog守护程序向文件/var/log/messages报告值得注意的事件。卸载无必要的组件，（这种会使IIS小型化，更方便安全检查，对不必要的组件使用有可。有许多Linux程序创建日志。连接时间日志: 由多个程序执行，把记录写入到/var/log/wtmp和。进程统计: 由系统内核执行，当一个进程终止时，为每个进程往进程统计文。

原创 HW面试/面经（初级/中级）

能够远程控制，盗取数据，木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。一句话木马的含义本质是不变的：木马的函数执行了我们发送的命令在php语言中我们可以通过GET 、POST 、COOKIE 这三种方式向一个网站提交数据，一句话木马用 _GET[’ '̲]、_POST[’ ‘]、COOKIE′。

原创 beef安装和密码修改

按esc后输入:wq!保存并退出配置文件。 beef beef-xss beef-xss-stop beef修改密码 beef安装 BEEF Beef 修改密码

原创 Kali Linux是如何更换国内源

在Linux中更换软件源，通常是编辑 /etc/apt/sources.list 文件或者在 /etc/apt/sources.list.d/ 目录下的相关.list文件。以下是一个基本的步骤和示例：备份当前的 sources.list 文件：

原创 永恒之蓝（ms-17-010）

2.saerch ms17-010 #命令搜索漏洞编号ms17-010相关模块。来到这个页面后的第一部是按键盘上的“i”键，左下角出现“插入”后说明操作正确。从下面的源内选择一个复制下来准备粘贴进去（都是优质源，复制哪个都可以）。尝试运行一个：screenshare—实时监控当前主机界面。换源vim /etc/apt/sources.list。-P：指定端口扫描（0-65535为全端口）使用“#”将原本的源给注释掉。-sC：使用内置脚本进行扫描。-sT：TCP全连接扫描。-sV：识别服务版本。

原创 HW面试题

5.内网pth工具、内网信息收集、linux集群判断域环境、windows判断环境、内网穿透、权限维持、黄金白银票据//1.sql注入原理、盲注函数、防御，预编译使用函数。4.蓝队实际场景，他说了好几个实际场景，让处理。7.代码审计php、java审计流程方式。11.给一个实际场景，让写开发流程。2.shrio 反序列化原理。6.cs特征，怎么绕过//3.红队工具流程、做法。9.linux挖矿应急。

原创 redis未授权访问等

redis 默认情况下，绑定在 0.0.0.0:6379，若没有采用相关的策略，如添加防火墙规则避免其他非信任来源 ip 访问等，会将 redis 服务暴露到公网上。如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 redis 以及读取 redis 的数据。

原创 fastjson(版本＜=1.2.24)复现

JSON，全称：JavaScript Object Notation，作为一个常见的轻量级的数据交换格式，应该在一个程序员的开发生涯中是常接触的。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。易于人阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率。即JavaScript对象标记法，使用键值对进行信息的存储。"age":19,json本质就是一种字符串，用于信息的存储和交换。