网络安全
关注
分享
扫一扫
文章平均质量分 76
leeezp
Blue team security researcher, focusing on intrusion detection (traffic analysis, network and host log audit), network attack and defense, and threat traceability. In addition, he is also interested in APT attack research, vulnerability mining, security development, etc.
展开
-
winstart.wsf 病毒清理大作战
winstart.wsf 病毒清理大作战原创 2025-03-25 22:15:16 · 727 阅读 · 0 评论 -
zabbix数据库溯源
zabbix数据库如果密码泄露被登录并新增管理员如何快速发现?并进行溯源?原创 2025-03-19 23:07:14 · 369 阅读 · 0 评论 -
在本地校验密码或弱口令 (windows)
需求是验证服务器的弱口令,如果通过网络侧校验可能会造成账户锁定风险。在本地校验不会有锁定风险或频率限制。原创 2025-02-12 21:51:03 · 993 阅读 · 0 评论 -
安全运营 -- splunk restapi 最小权限
最小化权限原则,为每个功能,每个账户分配最小的权限。原创 2024-12-29 22:53:27 · 538 阅读 · 0 评论 -
内网渗透 -- 持久化之黄金证书攻击
内网渗透 -- 持久化之"Golden" certificates原创 2024-12-01 00:16:27 · 31103 阅读 · 0 评论 -
安全运营 -- 监控linux命令history
最近,有个IT的同事给我提了一个需求,说想监控/root/.ssh/ 文件夹下的文件变动,于是我灵机一动......原创 2024-10-27 22:01:30 · 31715 阅读 · 0 评论 -
安全运营 -- GPO审计
审计GPO,目的是审计哪些GPO权限分配不合理,包括但不限于审计预期以外的用户具有对GPO的写权限。原创 2024-09-30 22:14:57 · 61234 阅读 · 0 评论 -
24年Q3书单更新
大半夜整理文章,一个ctrl+z再发布,好多东西不见了,写文章的时候本地备份也删了,找不到了,就这样把,下次注意点!原创 2024-08-08 00:23:19 · 66554 阅读 · 0 评论 -
代码混淆与代码打包---bash脚本
先立个flag,后面有时间更新其他混淆方式~~最简单混淆shell方法。原创 2024-07-30 21:57:09 · 77367 阅读 · 0 评论 -
递归查询注册表value
通过powershell脚本查询注册表中可疑项,快速递归遍历。原创 2024-07-25 22:14:01 · 74605 阅读 · 0 评论 -
青藤HIDS一键安装
青藤HIDS一键安装脚本原创 2024-05-29 21:02:04 · 38179 阅读 · 1 评论 -
23年Q2.Q3书单更新
记录Q2.Q3阅读过的有价值的文章。原创 2023-12-14 16:44:15 · 71668 阅读 · 0 评论 -
安全运营 -- 100个蓝队溯源技巧(逐步更新)
100个蓝队溯源技巧(逐步更新)记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing)原创 2023-12-08 16:44:17 · 74609 阅读 · 0 评论 -
隐写术--python隐写
隐写术是一类可以隐藏自己写的一些东西的方法,是一门关于信息隐藏的技巧与科学。指的是采取一些不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容的方法。原创 2023-10-17 10:33:58 · 99762 阅读 · 2 评论 -
python开发--二维码内容识别
二维码是将一串字符转化成二维码格式,这串字符可以是wx号,商品条码,网址等。如何识别二维码中的信息并将其应用到信息安全领域?这个东东能做啥,也不用我说太多了,懂得人自然懂,应用得当,甚至可能为企业减少数十万到上百万的损失哦。原创 2023-08-27 12:53:12 · 126240 阅读 · 0 评论 -
python开发--文件敏感信息识别
文档中敏感信息识别。不限于word, pdf 等文件格式中的敏感信息及其中的图片敏感信息识别。原创 2023-08-26 23:45:27 · 126977 阅读 · 0 评论 -
安全运营 -- splunk api接口调用
有些重复性的查询,人工查询耗时,于是想到用脚本自动化填充查询参数,并且通过python调用splunk api。原创 2023-06-24 10:00:37 · 162618 阅读 · 0 评论 -
安全运营 -- splunk 二次开发 -- 自定义搜索命令
splunk 有很多功能强大的搜索函数,当官方提供的函数无法满足需求时,就需要自己开发app,场景比如对接第三方api等。原创 2023-05-28 17:40:25 · 178056 阅读 · 0 评论 -
安全运营 ldap监控域控信息
公司有多个主域,子域,有的子域因为境外数据安全的问题无法把日志传输到境内。那么如何在没有日志的情况下监控子域或者互信域的组织单元(OU)信息呢。原创 2023-04-29 17:11:04 · 194672 阅读 · 0 评论 -
IIS 80 端口重绑定
IIS 80 端口重绑定原创 2022-11-08 17:40:57 · 298976 阅读 · 0 评论 -
Java Agent 型内存马调试系列 (二)——反序列化注入agent马
实战中通过反序列化环境一步到位注入内存马,相比于之前介绍的agent或filter内存马需要上传文件到服务器,反序列化的好处是真正的无文件,只需要发一个包。原创 2022-10-28 11:36:03 · 307702 阅读 · 0 评论 -
安全运营 (历史漏洞修复)
安全运营 (历史漏洞修复)原创 2022-10-20 10:47:59 · 312135 阅读 · 0 评论 -
CVE-2022-42889 Apache Commons Text【漏洞复现】
在Apache Commons Text 1.5 ~1.9 版本中,攻击者可构造恶意文本,使得Apache Commons Text 在解析时执行任意代码,控制服务器。点一下左侧的箭头,先查看下接口,有很多。在上一步调试跟进看看进了哪个实现类。原创 2022-10-18 15:21:02 · 276061 阅读 · 0 评论 -
Java Agent 型内存马调试系列 (一)
在JDK1.5以后,引入了包,该包提供了检测 java 程序的 Api,比如用于监控、收集性能信息、诊断问题,通过 java.lang.instrument。在 Instrumentation 中增加了名叫 transformer 的 Class 文件转换器,转换器可以改变二进制流的数据Transformer 可以对未加载的类进行拦截,同时可对已加载的类进行重新拦截,所以根据这个特性我们能够在不影响正常编译的情况实现动态修改字节码,已加载或者未加载的类,包括类的属性、方法。原创 2022-10-17 11:42:07 · 276423 阅读 · 0 评论 -
利用mimikatz查看rdp连接密码【渗透测试】
在使用 rdp 时会发现系统有保存连接密码的功能,一定在本地以一种加密方式保存,在连接的时候解密进行rdp尝试,那么我们能不能那到加密的密码解密以获取这台机器rdp连接过的机器呢?UserName就是账户,CredentialBlob 字段值是解密后的密码,如果是空,就尝试 Credentials 目录下其他凭据的值。(毕竟渗透也是个苦力活...)可以保存rdp凭据,ssh凭据等连接凭据。接下来就一个一个实验吧,因为这个下面是凭据的值,不一定哪一个是你要的,需要写工具批量查喽。原创 2022-09-22 16:59:15 · 298316 阅读 · 0 评论 -
搭建云蜜罐捕捉在野0day...
搭建云蜜罐捕捉在野0dayDocker文件挂载时需留意:用vim进行文件的编辑并保存时,系统采用的是备份、替换的策略,文件用vim等工具编辑的过程实质是,备份原来的文件,当新文件编辑完成后,再将新文件替换文原件,这会导致文件的inode变化,所以docker内外的文件并不会同步。而用echo等重定向操作修改文件时,文件的inode保持不变,所以不会发生类似现象。Linux中,证明文件是否相同的根本途径是,判断其 inode,如果两个文件的inode相同,两个文件必定为同一文件,从而两个文件的内容也必然相同原创 2022-09-15 16:58:14 · 323885 阅读 · 0 评论 -
搭建一个java反序列化靶场
java反序列化漏洞研究需要。搭建一个java反序列化靶场。原创 2022-09-09 16:39:12 · 327917 阅读 · 0 评论 -
dns外带数据【渗透测试】
上一篇文章我们已经介绍了搭建自己的dns log server 方法,接下来我将介绍如何通过dns query外带数据。下文中介绍的方法均为根据本人经验原创的方法,网上应该算是首次公开。原创 2022-09-09 11:55:55 · 328643 阅读 · 0 评论 -
搭建一个自己的dnslog server
dnslog server 的用途就不用我多说了,log4j,反序列化,各种rce类漏洞都可以用它来测试,但是公网的不稳定且很卡,在渗透中需要自己的一个稳定的server。部分域名提供商只允许修改 NS 记录为已经认证过的 NS 地址。所以需要找一个支持修改 NS 记录为自己 NS 的域名提供商。如果你需要内网的dns server,建议搭建dnsmasq。cloudflare 里有cdn,有一定隐藏ip作用。0x02 其他 dns server。原创 2022-09-08 11:41:29 · 323252 阅读 · 0 评论 -
suricata匹配从入门到精通(三)----开始编写简单的snort规则
suricata 兼容 snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata 6.0.x 版本。欢迎关注专栏,会持续更新...原创 2022-08-31 14:10:20 · 325873 阅读 · 4 评论 -
Java Filter 型内存马调试系列 (三)——一种Tomcat全版本获取StandardContext的新方法(全网首次发布,精调无错版)
0x00 方案思路主要针对测试了tomcat 6、7、8、9四个版本。一种Tomcat全版本获取StandardContext的新方法(全网首次发布,精调无错版)原创 2022-08-30 18:05:43 · 330146 阅读 · 2 评论 -
如何构建一个一流的威胁情报系统
本人因为工作的缘故会接触大量的现网攻击事件告警,也经常使用情报平台对告警的源ip进行辅助研判,这里记录一些本人对于情报的理解以及如何做好自己的情报系统。本文会介绍情报的本质、情报的特征、情报搜集与情报校验,以及最后会讲述如何把情报做到一流水平,比如说比肩某步。超越主流情报平台并没有那么难,有些事只要投入人力,有正确的人指导一定可以做成。原创 2022-08-24 17:47:55 · 335777 阅读 · 0 评论 -
suricata匹配从入门到精通(二)----suricata 绕过系列(持续更新...)
在使用suricata的过程中遇到很多绕过(检测引擎漏报)或者说suricata现有架构难以实现检测(检测引擎误报)的部分,这里简单记录一些复现,没有一一总结了,就想到哪里写到哪里,陆续更新吧。(欢迎同好交流) suricata bypass,suricata 绕过...原创 2022-08-19 13:49:21 · 338897 阅读 · 0 评论 -
Java Filter 型内存马调试系列 (二)
在上一篇文章中简单讲述了新建一个java filter 和 servlet 及 filter 的调用顺序。web容器通过xml配置文件或注解知道这个类是一个过滤器类。那么,如何不使用xml和注解,动态创建并调用内存马呢?原创 2022-08-16 11:41:11 · 340252 阅读 · 0 评论 -
suricata匹配从入门到精通(一)----suricata安装配置及使用
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。Suricata是安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...原创 2022-08-15 17:44:52 · 351850 阅读 · 26 评论 -
Java Filter 型内存马调试系列 (一)
网上缺少适合java初学者的优秀的内存马调试学习的教程,自己也想把知识做一个提炼总结记录下来,特次打算做一个系列教程。本文是通过实例让大家对内存马有一个初步清晰的认知,理解Java Servlet 与 Filter的 使用。.........原创 2022-08-12 15:14:27 · 349240 阅读 · 0 评论 -
tcpreplay 一种非主流回放数据包打流量测试的方法
一种新的回放pcap包改pcap包方法。原创 2022-07-29 14:48:24 · 365481 阅读 · 0 评论 -
2022 Hvv 第一起供应链攻击fake_useragant分析
2022 Hvv 第一起供应链攻击fake_useragant分析 (包教包会)原创 2022-07-27 18:03:38 · 378310 阅读 · 0 评论 -
windows主机日志分析(持续更新)
这篇文章记录windows事件和日志的对应关系。原创 2022-07-20 17:11:02 · 376672 阅读 · 0 评论 -
一次异常主机日志分析
一次异常主机日志分析原创 2022-07-06 14:15:05 · 2257 阅读 · 0 评论