tlucky的博客

绿盟远程安全评估系统（RSAS）使用步骤：（1）通过网线将工具的M口与管理工具的主机连接；（2）更改管理主机网卡地址为192.168.1.0网段内地址，ping 通192.168.1.1；（3）浏览https://192.168.1.1，输入系统管理员的用户名和密码（admin/QWEasdzxc ）；（4）配置扫描口，在 系统管理>配置>网络 配置扫描口ip（为待扫描设备所在网段地址）、子网掩码等信息，这里可选的扫描口有四个，配置完成后，通过网线将已经配置完成的扫描口接入待扫描设备网段；

awvs作为一个自动化漏扫工具，话说挺好用的，刚开始用的awvs11,用的还行，就是报告里报文啥的不好操作，然后去年下载了awvs13准备安装使用，结果，结果，试了n次，都是无法使用试了网上好多解决教程，重启服务等等，还是不行，那时候果断放弃了，今天突然想把awvs,burp和xray结合起来使用，就又开始安装折腾awvs14，试了三次，果不其然，不行突然发现我的计算机名字是中文，awvs14不支持计算机名为中文，啊，改改改。...

恶意代码在windows系统中运行过程中，将以进程的方式进行展示，其中恶意进程进行着各种恶意行为，对于可执行程序，可以直接使用杀毒软件进行查杀，但是并非所有的恶意进程都能够被查杀，此时可以手动查杀，使用工具psexplore,然后利用virustotal.com进行分析，对恶意相关的服务进行关闭。如果修改时间要早于创建时间那么这个文件存在很大可疑，使用中国菜刀等工具修改的，修改时间通过文件属性可以查到创建时间，修改时间，访问时间。右击文件，属性,查看文件创建时间、修改时间、访问时间。......

nmap（network mapper）,网络映射器，是kali内置的一款工具，是网络连扫描软件，用来扫描网上设备开放的网络连接端。确定哪些服务运行在哪些连接端，并且，推断设备使用什么系统。nmap的基本功能：检测存活在网络上的设备（设备发现）检测开放的端口号（端口发现或枚举）检测到相应的端口号（服务发现）的软件和版本检测操做系统，硬件地址，以及软件地址1.nmap -sL ip/ip段-sL（列表发现）它只会列出指定网络上的每台主机，不会发送任何报文到目标主机，使用-sL指令只是简单的扫描指定

①发现攻击动作并阻断攻击②通过分析数据包，确认攻击动作真实性，排除为负载和代理类设备，避免影响业务。③通过分析数据包判断数据发起者是不是存在攻击行为还是业务出发，模拟触发场景，并且确认漏洞是否存在并给出针对性建议。④如果确定是攻击行为:定位到触发告警攻击动作的payload，分析攻击动作是什么，读取文件、打印输出内容、写入文件和尝试下载文件、执行函数或命令等，然后分析告警响应体、网络行为是否有动作预期的结果，如符合预期则攻击成功，给出针对性的处置以及漏洞修复建议如果是业务触发，需分析漏洞点并提

metasploit是一个安全框架，为渗透测试工程提供大量的渗透测试模块和扫描模块。被称为最流行的渗透测试工具之一。它提供了大量的渗透测试，攻击载荷，攻击技术以及后渗透模块。

1.简介Cobalt Strike 是一个为对手模拟和红队行动而设计的平台，主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动。2.启动团队服务器Cobalt Strike 团队服务器必须在受支持的 Linux 系统上运行。要启动一个 Cobalt Strike 团队服务器，使用 Cobalt Strike Linux 安装包中的 teamserver 脚本文件。3.客户端连接使用 Cobalt Strike 客户端连接至团队服务器。要启动 Cobalt Strike 客户端，使用对应的的

1.登录系统，右击任务栏，查看任务管理器点击发现CPU占用满了，按CPU对进程排序结束CPU占用高的进程可以观察到 结束后，进程会重新自启动。确定有父进程。转到进程详细信息看到进程名为xmrig.exe找父进程直接使用wmic工具打开命令行wmic process where name=‘xmrig.exe’ get caption,parentprocessid找到父进程ID将任务管理器按PID排序，找到父进程，查找到系统服务停用服务......

—般中招过程如下:1，网站,终端,浏览器符存在漏洞,漏洞利用后恶意样本投递:主机漏洞，web漏洞，数据库漏洞，浏览器漏洞，第三方软件(如realplayer,迅雷,暴风影音等)漏洞，人为因素,ARP欺骗等2，恶意投递行为:邮件。鱼叉式和钓鱼式。其他社交网络:微信，Q0,tele， facebook等3，网站挂马访问:其他网站被挂马，嵌入恶意代码来传播，受害主机无意访问致使中招4,供应链传播:软件升级处被攻陷，驱动人生，华硕系统升级等5，传统传播方式:利用移动存储设备(U盘)等来传播。

1.收集信息美国 纽约州 纽约nmap扫描PORT STATE SERVICE80/tcp open http135/tcp open msrpc139/tcp open netbios-ssn445/tcp open microsoft-ds3306/tcp open mysql49152/tcp open unknown49153/tcp open unknown49154/tcp open unknown49155/tcp open

1.搭建2.注册账号用御剑扫后台发现后台管理页面3.漏洞漏洞类型(1)宽字节注入漏洞描述及危害在数据库中使用了宽字符集(GBK，GB2312等)，除了英文都是一个字符占两字节；MySQL在使用GBK编码的时候，会认为两个字符为一个汉字(ascii>128才能达到汉字范围)；在PHP中使用addslashes函数的时候，会对单引号%27进行转义，在前边加一个反斜杠”\”，变成%5c%27;可以在前边添加%df,形成%df%5c%27，而数据进入数据库中时前边的%df%5c两字节会

1.自己搭建2.注册账号：19849043362密码：1234563.登录4.漏洞（1）sql注入漏洞描述及危害sql注入是一种将sql代码插入或添加到应用用户的输入参数中，再将这些参数传递给后台的sql服务器加以解析并执行。Sql注入会导致数据库信息泄露，网页被篡改，数据库被恶意操作，服务器被远程控制和被种植木马等多种危害。发现是主页面，后面加1单引号，报错此处可以使用报错注入http://172.168.80.210/1’ or updatexml(1,concat(0x7e

打开http://www.asfaa.org/点击页面时发现了http://www.asfaa.org/members.php?id=2，在后面加了单引号，页面有变化http://www.asfaa.org/members.php?id=2 and 1=1时http://www.asfaa.org/members.php?id=2 and 1=2时有sql注入，且为数值型注入抓包，使用布尔盲注爆破数据库名，数据库名为db83231_asfaa修补建议1.对进入数据库的特殊字符（’"\

漏洞地址：http://admin.01y.com/index.php/admin/login/showLogin.html漏洞类型（此处填写漏洞类型）sql注入漏洞描述及危害sql注入是一种将sql代码插入或添加到应用用户的输入参数中，再将这些参数传递给后台的sql服务器加以解析并执行。Sql注入会导致数据库信息泄露，网页被篡改，数据库被恶意操作，服务器被远程控制和被种植木马等多种危害。漏洞详情打开http://admin.01y.com/index.php/admin/login/show

1.发现一条远控木马的告警1.确认时间真实性2.查询情报信息——时效性、相关的情报信息3.定位受害ip4.排除误报资产，用户触发5.关联分析——定位被扩散的资产6.溯源分析7.提出处置建议+出报告2.远控木马活动事件-传播途径木马的传播途径—般中招过程如下:1，网站,终端,浏览器符存在漏洞,漏洞利用后恶意样本投递:主机漏洞，web漏洞，数据库漏洞，浏览器漏洞，第三方软件(如realplayer,迅雷,暴风影音等)漏洞，人为因素,ARP欺骗等2，恶意投递行为:邮件。鱼叉式和钓鱼

1.威胁情报类告警分析流程1.确认事件的真实性2.查询IOC的情报信息——IOC的时效性、相关的情报信息等3.定位受害ip，确定攻击ip是在内网还是外网4.排除误报，排除因内部人员操作引起的误报5.关联分析——定位被扩散的资产，攻击源是否进行了横向渗透,进行了哪些相关的操作,造成了何种后果6.溯源分析把时间向前推进5-10分钟,是攻击者首次攻击的时间，分析攻击者是以哪种漏洞进行攻击的，什么方式，何种手段攻击进来的，我们要以何种方式去解决7.提出处置建议+出报告2.应急响应流程应急响应流程

告警分析是安全保障中很重要的一步，在监控告警时，分析告警可以发现一些攻击，并及时阻止

判断是否攻击成功

漏洞地址http://afsgr16-b1ferw.aqlab.cn/index.php?id=1漏洞类型Sql注入漏洞描述及危害sql注入是一种将sql代码插入或添加到应用用户的输入参数中，再将这些参数传递给后台的sql服务器加以解析并执行。Sql注入会导致数据库信息泄露，网页被篡改，数据库被恶意操作，服务器被远程控制和被种植木马等多种危害。漏洞详情http://afsgr16-b1ferw.aqlab.cn/index.php?id=1 属于数字型注入①数据库名②表名http://

文件上传1.upload.html<html> <head> <meta charset="UTF-8"> <title>文件上传</title> </head><form action='upload.php' method='post' enctype='multipart/form-data'>请选择文件:<input type='file' name='myfile'><in

**解压，配置环境变量，JBOSS_HOME C:\zhongjian\jboss启动服务**访问，默认端口 8080更改默认端口C:\zhongjian\jboss\standalone\configuration保存，等待更新或重启，重新访问配置其他主机上也可以访问，将127.0.0.1改为0.0.0.0更改默认主页——————搜索deployment, 添加auto_deploy-exploded=”true”完成...

nginx为常用的中间件之一

1.入侵排查思路①文件分析文件日期，新增的文件，可疑/异常文件、最近使用文件，浏览器下载文件webshell排查与分析核心应用关联目录文件分析②进程分析当前活动进程、远程连接启动计划、计划任务进程分析工具有windows:pchunterlinux:chkroothit&Rhunter③系统信息环境变量账号信息history系统配置文件④日志分析操作系统日志windows:事件查看器（eventvwr）linux:/var/log/应用日志分析access.

1.简介XSS（跨站脚本攻击）又叫CSS (Cross Site Script) ，为了区别层叠样式表（CSS）所以叫XSS,XSS的重点不在于跨站点，而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞，是由于 Web 应用程序对用户的输入过滤不足而产生的,它指的是攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意的特殊目的。2.利用xss一、窃取用户的cookie，登陆用户账号二、进行社工钓鱼，如弹出来

1.观察情况，判定是否真的中了病毒当你发现电脑中出现以下不正常情况时，很遗憾，你的电脑已经中了勒索病毒尝试打开记事本，无法打开，或打开后是乱码，能够确定已经中了勒索病毒通过桌面背景或特殊文件发现加密关键字ENCRYPTED BY GANDCRAB 5.0.3等关键字2.了解该类勒索病毒通常各大安全厂商有勒索病毒专区，如国际厂商kaspersky、bitdefender、avast、symantec，国内厂商Sangfor、360等如Avast的https://www.avast.co

1.第一关（1）根据提示输入id（2）求闭合字符使用单引号出现报错，说明闭合字符为单引号（3）求字段数为3时显示正常 ，字段数为3（4）求回显字段回显字段为2,3（5）爆数据库名（6）爆表名（5）爆列名（8）爆字段名2. 第二关（1）求闭合字符可判断为数值型注入（2）确定字段数字段数为3（3）确定回显数 回显位为2,3（4）爆数据库名（5）爆表名（6）爆列名（7）爆字段名3. 第三关（1）求注入类型加）试一下，

主机，服务器经常遭到攻击，怀疑受到攻击后可以进行排查，检查系统账号与安全，检查端口、进程是否异常，检查启动项、计划任务、服务，检查系统相关信息、自动化查杀、进行日志分析

1. Telnet(1) 拓扑图(2) 地址配置以及连通性测试R1地址R2地址连通性测试(3) R2通过telnet远程登录R1R1配置：R2远程R12. Ssh(1) 拓扑R1:192.168.1.1 24R2:192.168.1.2 24(2)R1配置由于SSH用户使用password方式验证，需要在SSH服务端生成本地RSA密钥，生成本地RSA密钥。在R1上配置VTY用户界面，设置用户的验证方式为AAA授权验证方式。指定VTY类型用户界面只支持SSH协

（1） 192.168.1.0/24 使用掩码255.255.255.240 划分子网，其可用子网数为（ ），每个子网内可用主机地址数为（B）A. 14 14B. 16 14C. 254 6D. 14 62（2） 子网掩码为255.255.0.0 ，下列哪个 IP 地址不在同一网段中（ C）A. 172.25.15.201B. 172.25.16.15C. 172.16.25.16D. 172.25.201.15（3） B类地址子网掩码为 255.255.255.248 ，则每个子网内可

1.渗透测试常见漏洞概述及修复方法风险等级低危–高危敏感信息泄露描述由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运行出差导致敏感信息泄露(后台地址,配置文件,数据库备份文件,网站备份文件,phpinfo,svn/github,用户信息泄露)敏感信息泄露的危害1.攻击者可直接下载用户的相关信息，包括网站的绝对路径，用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等。2.攻击者通过构造特殊URL地址，触发系统WEB应用程序报错，在回显内容中，获取网站敏感信息。3.攻击者

1.文件系统(1)Windows支持的文件系统：NTFS（强制继承、文件复制；取消继承、修改文件及文件夹权限、权限累加、拒绝最大）；CDFS；UDF;FAT(2)文件共享定义：通过网络提供的文件共享服务，提供文件上传和下载服务隐藏共享文件夹：共享名$访问隐藏共享文件夹：访问:\ip\共享名$（3）默认共享：c、e、e、e等关闭默认共享:临时关闭：net share c$ /del永久关闭：修改注册表2.端口常见的端口telnet:23rdp:3389dns:53 常见故障：D

将之前的默认文件备份然后安装国内阿里云的yum源将aliyun的yum源改为默认的了Mount /dev/sr0 /mnt/cdrom 挂载生成一个缓存 yum makecacheyum list完成更换本地yum源前提：虚拟机连接在镜像上接下来配置本地yum源删掉之前的yum源将本地的源注释掉加本地镜像地址然后清除所有的缓存yum clean all重新生成一个缓存yum makecacheyum list试验一下完成......

使用root账号登录查看当前ip修改IP地址为静态地址需要修改配置文件，首先打开配置文件，在刚刚打开的控制台输入vim /etc/sysconfig/network-scripts/ifcfg-ens32按键盘i进入编辑状态，BOOTPROTO="dhcp"这是默认的动态获取ip地址，需要设置为static，然后设置ip地址等等，具体设置请看下图。然后按ESC退出编辑，输入:wq，表示保存并退出，然后需要重新启动网络配置在控制台输入service network restart...

准备安装包下载地址：https://tomcat.apache.org/download-80.cgi因为tomcat是用java写的，因此运行tomcat 需要Java环境，解压缩jdk 解压缩成功移动,并改名/usr/local/jdkvim profile,配置home,path,classpathexport JAVA_HOME=/usr/local/jdkexport CLASSPATH=.:JAVAHOME/jre/lib/rt.jar:JAVA_HOME/jre/lib/r

搭建DHCP服务器，并验证开始——控制面板——添加或删除程序进行安装进行安装安装完成开始——管理工具——dhcp新建作用域导向，设置名称，描述可以不用管设置ip地址范围添加ip地址范围或ip,使用dhcp获取ip地址的时候就不会匹配到排除的地址设置租约期限一路下一步接下来将虚拟机接到VMnet2上，充当DHCP服务器，将另一个虚拟机的也接到VMnet2上，充当客户端。改成自动获取ip可以看到，客户机的IP地址为我们在DHCP服务器中设置的网段可以在DHC

当dns服务器遇到无法解析的域名时，可以设置转发器来实现解析域名的目的

辅助DNS服务器：成功更新区域解析记录再开一台2008,使用静态ip互ping，成功创建辅助DNS服务器安装完成——开始——管理工具——dns,打开，指定想要复制区域的DNS服务器，区域的主服务器是10.1.1.2，辅助服务器将从主服务器复制区域数据。DNS辅助区域创建完毕在2003上做此操作，用来实现同步此刻，刷新即可，已经同步过来了在2003中添加主机2008中同步增加...

DNS服务器搭建，练习nslookup，手工解析1.首先将要作为服务器的主机的本地连接设为静态ip截图：Windows 2003Win 7接下来试一下能不能互ping发现没通，可能是win 7防火墙开着呢，关闭防火墙再试一下这次互ping成功，接着开始创建DNS服务器开始——管理工具——管理您的服务器安装成功，点击管理工具添加一个区域名称在创建的域名下添加主机使用CMD的nslookup,查看是否创建成功创建反向查找域，反向查找就

创建一个文件夹，实现tom用户只能创建新的文件，jack用户只能读取及下载文件创建tom和jack两个用户将用户a加入到ceo组,且不能从该组中剔除，为文件夹jimi赋权限，要求ceo组完全控制jimi文件夹，但a不能访问该文件夹普通用户创建文件，并设置权限，且未给管理员任何权限，管理员登录系统后，能够成功删除该文件登录a账户，创建文件夹111，a完全控制该文件，并设置administrators没有任何权限 使用Adminstrator 登录所有者改为管理员添加并给.

1.准备安装包2.安装apache3.安装mysqlmysql安装完成4.开始配置配置完成5.更改httpd平配置保存更改配置保存试着访问保存一下，重新启动改端口，重启8089后来改成了8081...