尘玥的故事

在 Kerberos 身份验证协议中，黄金票据（Golden Ticket）和白银票据（Silver Ticket）都是被恶意攻击者用来进行 权限提升 或 持久化攻击 的工具。两者的目的都是绕过正常的身份验证机制，但它们的制作方法、使用条件、应用场景以及攻击的方式有所不同。

进行隐蔽传输的时候，肉鸡(防火墙内部)运行并接受外部攻击端的ICMP_ECHO数据包，攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中，肉鸡接收到该数据包，解出其中隐藏的命令，并在防火墙内部主机上执行，再把执行结果隐藏在ICMP_ECHOREPLY数据包中，发送给外部攻击端。通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文，把数据隐藏在ICMP数据包包头的选项域中，利用ping命令建立隐蔽通道。而正常的icmp数据包里，请求和回应部分数据是一致的。

另外frpc在连接认证Frps的时候，会进行三次握手，会把Frp的版本信息发给frps进行认证，如果是用的一个没有改过的Frp那么这时候只要建立连接，很容易就会被安全设备捕获到。这时候再去看对应数据包，发现确实已经看不到明文信息了，但是有个新的问题，使用 tls_enable 加密后，首次连接会一个0x17的头部特征，并发送一个大小为243的数据包。可以看到在进行 Socks 的用户和密码(admin888/admin888)校验整体交互都是属于明文，能看到我们认证的账号密码。

基线检测 ，linux,windos，可分为事件日志和消息日志。/var/run/utmp，login等程序会更新wtmp和utmp文件，使系统管理员能。过rsyslog守护程序向文件/var/log/messages报告值得注意的事件。卸载无必要的组件，（这种会使IIS小型化，更方便安全检查，对不必要的组件使用有可。有许多Linux程序创建日志。连接时间日志: 由多个程序执行，把记录写入到/var/log/wtmp和。进程统计: 由系统内核执行，当一个进程终止时，为每个进程往进程统计文。

能够远程控制，盗取数据，木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟就出来害人。一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。一句话木马的含义本质是不变的：木马的函数执行了我们发送的命令在php语言中我们可以通过GET 、POST 、COOKIE 这三种方式向一个网站提交数据，一句话木马用 _GET[’ '̲]、_POST[’ ‘]、COOKIE′。

5.内网pth工具、内网信息收集、linux集群判断域环境、windows判断环境、内网穿透、权限维持、黄金白银票据//1.sql注入原理、盲注函数、防御，预编译使用函数。4.蓝队实际场景，他说了好几个实际场景，让处理。7.代码审计php、java审计流程方式。11.给一个实际场景，让写开发流程。2.shrio 反序列化原理。6.cs特征，怎么绕过//3.红队工具流程、做法。9.linux挖矿应急。

常见的WEB扫描器有Awvs，Netsparker，Appscan，Webinspect，Rsas，Nessus，WebReaver，Sqlmap。（回302的意思是服务器内部还要重定向到另外一个地址，就好比登陆成功时返回了302 然后要跳转到首页。所以可以确定黑客扫描到的登陆后台是/admin/login.php?会考察攻击者使用的是哪一种扫描器，所以在做这类题之前，先要了解各个扫描器所含的特征。如果黑客扫描到后台，一定会进行大量尝试账号密码，一定是以POST方式进行的。对常见扫描器的流量分析。