23年Q4-24年Q2书单更新

0x00 如题

补记录23年Q4-24年Q2阅读过的有价值的文章。

0x01 文章

1.Windows Task Scheduler无法启动批处理文件任务

https://www.codenong.com/19318494/

2.windows关于计划任务，正常执行，但是状态一直显示正在运行

windows关于计划任务，正常执行，但是状态一直显示正在运行_计划任务状态一直为正在运行-优快云博客

0x02 红队文章

1.定位exchange服务器  

setspn -Q IMAP/*  或 setspn -Q exchange*/*  再过滤 CN=W.*MBX

2.Kerberosating攻击

(粗看了一下，文中介绍的几种发现风险spn 工具我没有尝试成功)

https://zhuanlan.zhihu.com/p/626081246

3.什么是DCSync

https://blog.youkuaiyun.com/sangfor_edu/article/details/127571527

4.浅析Windows Access Token以及利用方法 (没太看懂)

浅析Windows Access Token以及利用方法_trustedinstaller 如何利用-优快云博客

4. powershell混淆  (待仔细阅读)

https://www.ddosi.org/powershell-obfuscation/ 

5.卷影拷贝

利用卷影拷贝服务攻击域控五大绝招-腾讯云开发者社区-腾讯云

6.

通用组、全局组、本地域组的区别

0x03 安全产品

1.安恒星图情报平台

安全星图平台

2.

奇安信威胁情报中心

3.AWS云堡垒机

云原生堡垒机助力运维安全 | 亚马逊AWS官方博客

基于 Amazon EC2 和 Amazon Systems Manager Session Manager 的堡垒机的设计和自动化实现 | 亚马逊AWS官方博客

使用Teleport在亚马逊云科技上构建安全高可用的云原生堡垒机 | 亚马逊AWS官方博客

0x04 安全运营

1.Linux 实时文件事件监听

https://rpmfind.net/linux/epel/7/x86_64/Packages/i/inotify-tools-3.14-9.el7.x86_64.rpm

rpm -ivh --force inotify-tools-3.14-9.el7.x86_64.rpm

2.Detecting Lateral Movement through Tracking Event Logs

(小日本免费分享的通过日志分析横向移动，有借鉴意义，非常经典)

https://www.jpcert.or.jp/english/pub/sr/20170612ac-ir_research_en.pdf

3.好用的乱码转换恢复工具

http://www.mytju.com/classCode/tools/messyCodeRecover.asp  

4.在线MIME decode 网站

https://dogmamix.com/MimeHeadersDecoder

5.查进程xx的父进程

wmic process where ProcessId=8748 get ParentProcessId  

6.splunk app ---- Mitre ATT&CK app

https://splunkbase.splunk.com/app/5742

7.splunk 从脚本输入数据

Get data from APIs and other remote data interfaces through scripted inputs - Splunk Documentation

8.应急响应手册

https://github.com/Just-Hack-For-Fun/Linux-INCIDENT-RESPONSE-COOKBOOK/releases/download/v1.8/INCIDENT_RESPONSE_COOKBOOK_For_Linux_v1.8.pdf 

9.图片转html网站

1).网上好心人开源工具  (缺点是没有压缩，太大了，20k变6.6M)

https://code.google.com/archive/p/stonelab/downloads#makechanges

http://www.blogjava.net/stone2083/archive/2013/12/20/407807.html 

同时引用 from PIL import Image
import sys, optparse
代码里的for width in range切换为py3写法

2). https://www.easeconvert.com/image-to-html/

3).png -> html ，大小基本不变

 https://pro-convert.com/png-to-html/ 

4). https://github.com/KeJemas/tohtml/

10.bat2exe

1) 需要自己build (若无编译环境不推荐)

https://github.com/dehoisted/Bat2Exe

2) 开箱即用

https://github.com/islamadel/bat2exe

bat2exe.exe /source:D:\software\bat2exe-master\upload\sourcedir /target:D:\software\bat2exe-master\upload /s /y

11.zscaler 日志接入splunk

Zscaler and Splunk Deployment Guide | Zscaler

12.归档数据还原

Restore archived indexed data - Splunk Documentation

13.安装一个powershell  Module

Install-Module (PowerShellGet) - PowerShell | Microsoft Learn

14.windows应急响应常见检查点 （ LogParser.exe 安装好可以像操作数据库一样查询日志信息）

https://blog.51cto.com/u_16191103/6755638

15.Windows SMB/RDP日志溯源总结

https://zhuanlan.zhihu.com/p/562908138?utm_id=0

16. Splunk大数据分析经验分享：从入门到夺门而逃

https://www.cnblogs.com/digod/p/9626882.html

17.在线文本比较网站

Text Compare! - Find differences between two text files

18.

HTTP隧道木马原理分析及检测方法研究

19.内网代理工具与检测方法研究

FreeBuf网络安全行业门户

20.查询ad对象信息  (可用于查询AD组成员变化等)

GitHub - samratashok/ADModule: Microsoft signed ActiveDirectory PowerShell module

0x05 培训课程/优秀博客

1.BOTS of SOC

Splunk Boss of the SOC

GitHub - wm171/Splunk-Boss-the-SOC

splunk-boss-soc/investigating-ransomeware at main · michaelsayala/splunk-boss-soc · GitHub

Splunk-Boss_of_the_SOC_v1/Scenarios/Scenario 1.md at main · Sean-Everett/Splunk-Boss_of_the_SOC_v1 · GitHubCyberdefenders蓝队-Boss Of The SOC v1

2.https://www.ddosi.org/ 安全网站大赞

3.吾爱破解 - LCG - LSG|安卓破解|病毒分析|www.52pojie.cn

4.Splunk Lantern Customer Success Center 论坛

Home - Splunk Lantern

5.Splunk power user

考试的guideline 

Splunk Certification Exam Study Guide | Splunk

题型题目介绍
https://www.splunk.com/en_us/pdfs/training/splunk-test-blueprint-power-user.pdf

Splunk 的 VUE 考试都是选择题，单选+多选，达到75%分数及格。

每个考试认证尝试次数上限6次，第一次和第二次之间冷冻期7d(如果没有考过)，第二次和第三次之间冷冻期14d，再之后保持一个月冷冻期。一次考试 $130。在Splunk edu course check out结算界面，有付费的几个选项，信用卡支付，培训积分支付等。

Admin 及以上的认证等级，需要参加前置培训课程(老外布置Lab动手实验，过了才算课程通过)，然后才能参加VUE。可以在类似这种网站 https://www.testpdf.net/ 看看买不买的到题库。

成绩查询网站

Authenticate a Score Report Redirect

Splunk 培训积分说明

Splunk Education | Using Training Credits | Splunk

培训费用说明 (power user免费)

Splunk Education Pricing | Splunk

power user 考试考题大纲 

What is Splunk knowledge? - Splunk Documentation

6.老外博客 (一般般吧)

Training | Chris Sanders