redglare的博客

原创 攻防_WebShell_常见webshell工具流量特征

和冰蝎类似，哥斯拉为加密的通讯流量，因此通过流量进行检测会有很大的难度，由于 WAF 等流量检测型安全设备无法对加密的流量进行解密，因此只能采用一些比较宽泛的匹配规则进行检测。=”这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。：连接的端口有一定的特征，冰蝎与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右(就是比较大的端口)，每连接一次，每建立一次新的连接，端口就依次增加。

原创 安全运营_安全运营架构图

原创 云安全_容器云安全产品部署方式

即基于Agent的主机防护能力，监控宿主机上容器相关的文件、进程、系统调用等等信息，增加其Agent中对于容器的清点、监控、防护能力，以便通过一个Agent即可实现宿主机安全、容器安全两种防护的效果。利用容器的隔离性和良好的资源控制能力，在容器的宿主机中启动一个容器，该容器通过挂载宿主机的所有文件系统，而后在容器内部对这些文件系统进行实时监控和处理响应，以实现对容器进行防护的作用。

转载 云安全_K8S集群架构

K8S的集群架构主要分为控制平面（主节点，Master节点）和计算节点（Node节点），Node中运行Pod，Pod由一组容器组成。

原创 云安全_K8S

Kubernetes（也称 k8s 或 “kube”）是一个开源的容器编排平台，可以自动化在部署、管理和扩展容器化应用过程中涉及的许多手动操作，是一个能够实现自动部署,伸缩并且实现应用容器跨主机集群和提供容器基础设施的开源平台。K8S架构K8S是当前最主流的容器编排系统。有效的 Kubernetes 部署称为集群，也就是一组运行 Linux 容器的主机。您可以将 Kubernetes 集群可视化为两个部分：控制平面与计算设备（或称为节点）。

原创 云安全_容器云

在介绍容器云概念的时候，我想引用一下其他工程师对容器云概念的描述:容器云以容器为资源分割和调度的基本单位，封装整个软件运行时环境，为开发者和系统管理员提供用于构建，发布和运行分布式应用的平台。可以发现，在讲容器云这个概念的时候，它更多强调的是以容器为基本单位这件事情本身。基于容器封装的软件运行时环境，提供他的平台就是容器云平台。通俗的白话解释：在节点资源上部署容器，容器中先部署一个用于编排管理的容器云平台，然后把节点资源接入容器云平台，由容器云平台对节点资源进行分配管理，并对生成的容器进行管理。

原创 云安全_容器理解与简介

容器是一种虚拟化技术，可以看作是更轻量级的（不包含操作系统）的虚拟机，容器服务是进程级的虚拟化形态封装，使用docker应用（容器引擎）实现。

原创 云安全_什么是云，云计算的本质

云的本质是，将设备作为节点计算存储资源，将多个节点资源接入统一的管理平台（云管理平台），由云管理平台来对这些节点资源进行分配利用、联合、分区等各种操作。

转载 攻防_黑产_秒拨

IP，作为互联网空间中最基础的身份标识，一直以来都是黑产与甲方争夺对抗最激烈的攻防点。黑产技术迭代进化的速度令人咋舌，但是不少甲方却对黑产的研究和认知依旧停留在早些年的初级阶段。黑产发展迅速，而甲方对黑产的了解却停滞不前，必然造成在攻防过程中的信息不对成，防御难度加大，防守响应滞后，效率和效果大打折扣。

原创 攻防_WebShell_内存马

内存马是无文件攻击的一种常用手段，随着攻防演练热度越来越高流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshll或以文件形式驻留的后门越来越容易被检测到，内存马使用越来越多，内存马是无文件马，利用中间件的进程执行某些恶意代码，不会有文件落地，给检测带来巨大难度。webshell就是以各种网页文件形式存在的一种代码执行环境，攻击者可以通过webshell可以获取网站管理、服务器管理、权限管理，webshell攻击方法简单，只需上传一个代码文件，通过webshell管理工具连接即可。

原创 攻防_名词解释

公共漏洞和暴露，CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。通用漏洞评分系统，行业公开标准，用来评测漏洞的严重程度，0-10分值越高越严重,美国国家漏洞数据库官网：https://nvd.nist.gov/vuln/search可查询CVE对应CVSS分值。含义是刚刚被发现，还没有被公开的漏洞，也没有相应的补丁程序，威胁极大。

转载 攻防_信息收集_网络工程师必会的新一代网络安全工具Goby安装、子网扫描、资产收集、漏洞扫描与报告生成介绍

Goby是一款基于网络空间测绘技术的新一代网络安全工具，它通过给目标网络建立完整的资产知识库，进行网络安全事件应急与漏洞应急。Goby可提供最全面的资产识别，目前预置了超过10万种规则识别引擎，能够针对硬件设备和软件业务系统进行自动化识别和分类，全面的分析出网络中存在的业务系统。Goby可提供最快速对目标影响最小的扫描体验，通过非常轻量级地发包能够快速的分析出端口对应的协议信息。Goby也为安全带来了高效，Goby预置了最具攻击效果的漏洞引擎，覆盖Weblogic，Tomcat等最严重漏洞。

原创 云安全_云安全概述

云”，或者更具体地说，“云计算”，指的是不受本地硬件限制，通过互联网访问资源、软件和数据库的过程。通过这项技术，企业能够将一部分或大部分基础架构管理工作转交给第三方托管提供商，从而灵活地扩展运营规模。最常见并被广泛采用的云计算服务包括：IaaS（基础架构即服务）、PaaS（平台即服务）、SaaS（软件即服务）。云计算安全，主要研究如何保障云自身及其上各种应用的安全，包括云计算系统安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等。

原创 网络_七层网络模型

七层网络模型

转载 系统_Linux_命令行_tcpdump命令详解

tcpdump命令详解

原创 攻防_漏洞_PHP反序列化_漏洞详解

PHP反序列化漏洞详解

原创 攻防_漏洞_文件包含_文件包含漏洞详解

文件包含漏洞详解

原创 攻防_漏洞_文件上传_文件上传漏洞详解

文件上传漏洞详解

原创 攻防_漏洞_Redis未授权_漏洞详解

Redis未授权

原创 攻防_漏洞_SSRF_漏洞详解

SSRF

原创 语言_php_协议

php协议

原创 语言_php_变量及函数

php变量及函数

原创 语言_php_php相关知识

php相关知识

原创 系统_Linux_命令行_命令

linux常用命令

原创 攻防_漏洞_命令执行_php命令执行

php 命令执行

转载 攻防_漏洞_Redis未授权

原文链接：http://www.cnblogs.com/bmjoker/p/9548962.html 一、漏洞简介以及危害： 1.什么是redis未授权访问漏洞： Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在

原创 攻防_漏洞_SQL注入_时间盲注

import requestsimport stringurl = 'http://127.0.0.1/sql/p8/index.php?id=2' #urlflag = ''for i in range(1,30): l,r = 32, 127 while l < r: m = (l+r) // 2 payload = '-if(ascii(substr((select group_concat(i_am_f1ag_column) from

原创 攻防_漏洞_SQL注入_bool盲注

import requestsimport stringurl = 'http://127.0.0.1:18888/sql/p7/index.php?id=2' #urlflag = ''print(len(string.printable))for i in range(1,30): l,r = 32, 127 while l < r: m = (l+r) // 2 payload = '-if(ascii(substr((select g

原创 攻防_漏洞_SQL注入_SQL注入绕过

常规绕过⼤⼩写绕过 SeLEcT双写绕过 selselectect字符串绕过16进制函数使⽤：char(65)空格绕过：1、使⽤/**/，/1/，%0a，%0d替换2、使⽤括号：union(select(xxx)from(xxx)where(xxx)=xxx)3、使用反引号：selectxxxfromxxxwherexxx=xxx4、使用内联注入：/!select//!id//!from//!user/5、回车（url编码中的%0a)，tab（%09）引号绕过：1、16进制

原创 攻防_漏洞_SQL注入_SQL注入常用方法

SQL注入常用方法

原创 攻防_漏洞_SQL注入_SQL相关知识点

使用预处理语句：用变量带入 不要用拼接核心：把值变成代码mysql 字符串从一开始不从0开始0x73 改成 0x7e(~)字段名被过滤时可以用16进制绕过

原创 攻防_漏洞_SQL注入_SQL常用函数

group_concat(table_name,"~") （一列输出的函数）用法例子二（用来一次查多个字段）：?id=1 and 1=2 union select 111，select group_concat(id,’’,username,’’,password,’~’) from maoshe.admin常用函数：database（），user（），version（）int.from_bytes()hex()rewords 倒过来输出...

原创 攻防_漏洞_SQL注入_SQL常用编码及符号

#是注释符 （url编码%23）

原创 攻防_漏洞_SQL注入_SQLmap使用

SQLMap是⼀个开源的渗透测试⼯具，可以⾃动检测和利⽤SQL注⼊漏洞以及接⼊该数据库的服务器。 它拥有⾮常强⼤的检测引擎，具有多种特性的渗透测试器、通过数据库指纹提取访问底层⽂件系统并 通过外带链接执⾏命令。SQLmap的常⽤参数有–all 获取所有内容–help 获取帮助–dbs 获取数据库列表–table -D “数据库” 获取数据库中的表–columns -D “数据库” -T “数据表” 获取指定表中的字段名–dump -D “数据库” -T “数据表” -C 获取该字段的内容.

原创 汇编_esp,edp寄存器

内存中的堆:用户操作带来的主动开辟，由用户操作清空内存中的栈:用户操作中带动的函数执行带来的操作系统自行开辟，函数运行完自动清空某进程的堆栈存在于为它开辟好的内存空间中，堆由低往高长，栈由高往低长esp 一直指向当前栈顶edp 储存某时刻的esp开始时的 push edp是压入上一层栈的 edp内容 到栈底地址 ；最后的 pop edp 是 弹出栈底地址的数据到 edp中；ret x:是弹出返回地址，并让ESP 上移 x （参数占位）；...

原创 前端_AJAX相关

Ajax即Asynchronous Javascript And XML（异步JavaScript和XML），包括: HTML 或 XHTML, CSS, JavaScript, DOM, XML, XSLT, 以及最重要的XMLHttpRequest。 使用Ajax技术网页应用能够快速地将增量更新呈现在用户界面上，而不需要重载（刷新）整个页面，这使得程序能够更快地回应用户的操作。XMLHttpRequest：XMLHTTP是一组API函数集，可被JavaScript、JScript、VBScript以及

原创 系统_Windows_命令行_命令

原创 网络_网络与路由相关

Nginx是一款轻量级的Web服务器、反向代理服务器，由于它的内存占用少，启动极快，高并发能力强，在互联网项目中广泛应用。F5硬件负载均衡

原创 网络_SSL、TLS

TLS：传输层加密协议SSL：应用层加密协议SSL卸载：SSL本来应该是服务器本身提供的功能，对应用层的通信进行加密。SSL卸载是把这个功能移到SSL卸载设备上，减轻服务器本身的负担。

转载 软件、应用_关于API和SDK的理解及两者区别

1.SDK是什么？ SDK：概念：软件开发工具包（SDK，全称：Software Development Kit）一般都是一些软件工程师为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件时的开发工具的集合。 通俗点是指由第三方服务商提供的实现软件产品某项功能的工具包。 就相当于很多API和其他文件的集合体，你可以用这个完成某一个事情。 举例子：整个计算器产品可以看做是一个SDK...