外网打点—信息收集总结123456789101112131415161718192021222324252627282930313233[0]自动化信息收集阶段 1.--工具自动化信息收集[1]资产发现阶段 1.--组织信息收集 2.--主域名收集 3.--子域名收集[2]资产扩展阶段 1.--端口收集 2.--C段收集[3]资产梳理阶段 1.--测活+指纹识别[4]自动化扫描阶段 1.--漏洞扫描器测试[5]重点目标针对收集阶段 1.--架构信息收集 2.--源码信息收集 3.--网站基本信息 (1)----语言 (2)----数据库 (3)----web容器 (4)----操作系统 4.--网站深度信息收集 (1)----前端源码 (2)----目录 (3)----端口 (4)----js接口 (5)----快照 (6)----插件 (7)----旁站 5.--网盘信息 6.--社工信息 7.--小程序信息 8.--APP信息 自动化信息收集你可以先使用自动化工具先帮你快速的收集一遍（运气好的话可以快速的帮你撕开一个口子），在自动化工具收集的同时，使用手工的 ...

webshell流量分析参考链接：https://www.cnblogs.com/B0like/p/17486657.html 菜刀因为现在使用菜刀的少之又少，基本都没有人使用了。所以这里做一个理论分析。 123payload的特征：PHP：<?php eval($_POST[caidao]);?>ASP: <%eval request("bai")%> 参考链接：mmp.weixin.qq.com/s/SjUMoY6EafQzAb3RNWNkpg? 菜刀webshell的动态特征请求包中： ua头为百度爬虫 请求体中存在eavl，base64等特征字符 1请求体中传递的payload为base64编码，并且存在固定的QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J 请求体中执 ...

Elkeid Wazuh1https://mp.weixin.qq.com/s/Ltcl8PcYZc31EHsgqCVMBQ?poc_token=HPqpbWij6y22g_LfRIBV79M7Gd1RVzOj87HSKJUN 雷池WAF 堡垒机jumpserver

部署ELK日志系统（docker搭建）部署docker的环境这里我使用的是centos8的系统，然后装有docker环境。 docker搭建： 123456789sudo curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-8.repoyum clean all && yum makecacheyum install -y yum-utilsyum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.reposudo yum install docker-ce docker-ce-cli containerd.io -ysystemctl start dockersystemctl enable docker 配置加速源： 12345678910sudo mkdir -p /etc/dockersudo tee /etc/docker/daemo ...

转载链接：https://blog.csdn.net/m0_60571842/article/details/143886658?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522bc34fddd9fe6c02c7e00b5a35b709746%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=bc34fddd9fe6c02c7e00b5a35b709746&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-11-143886658-null-null.nonecase&utm_term=%E8%93%9D%E9%98%9F%E6%8A%80%E8%83%BD&spm=1018.2226.3001.4450 综合分 ...

JAVA Web内存马-JVM分析&日志URL&内存查杀脚本查杀tomcat-memshell-scanner.jsp环境搭建的太烦了，复制的博客： 1https://blog.csdn.net/m0_60571842/article/details/142389679?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522f9a1f02ec270cb378be3f3adb8a2d15f%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=f9a1f02ec270cb378be3f3adb8a2d15f&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-2-142389679-null-null.nonecase&am ...

爆破事件口令横向 场景说明：不管是内网还是外网，协议口令爆破一直都是攻击里面最常见的方式。 明确对应口令爆破的日志存储路径及查看 明确日志中有哪些属性和判断依据（筛选） 对于大量日志可在后面要讲到的效率项目工具 SSH我这里就使用九头蛇进行爆破吧： 1hydra -l root -P top100.txt 192.168.179.131 ssh 从日志筛选错误三次以上的日志12345678910111213141516171819202122232425262728293031# 提取所有失败登录的 IP（包括密码错误和无效用户）grep -E "Failed password|Invalid user" /var/log/secure | \grep -oP '([0-9]{1,3}\.){3}[0-9]{1,3}' | \sort | uniq -c | sort -nr# 实时监控新的失败登录尝试tail -f /var/log/secure | grep --line-b ...

勒索病毒勒索病毒是一种恶意软件，它通过加密用户设备中的文件，然后以解密为条件向用户勒索赎金，是对个人和企业数字安全极具威胁的存在。以下是关于勒索病毒的详细介绍： 一、核心特征 加密锁定文件：利用高强度加密算法（如 RSA、AES 等）对用户文件（文档、照片、数据库等）进行加密，使其无法正常打开。 勒索赎金：加密后显示勒索信息，要求用户支付比特币等虚拟货币作为赎金，通常会设定截止日期，威胁超时则删除密钥。 传播隐蔽性：常通过钓鱼邮件、恶意链接、盗版软件、漏洞攻击等方式潜入设备，用户难以察觉。 二、常见类型与传播方式（一）主要类型 类型 特点描述 加密型 最常见，直接加密文件，如 WannaCry、NotPetya。 锁机型 锁定设备操作系统，阻止用户访问，如 “屏幕锁” 病毒。 伪装型 伪装成杀毒软件或系统工具，谎称检测到病毒，诱骗用户付费 “解锁”。 （二）传播途径 钓鱼邮件：伪装成银行通知、工作邮件等，附带含病毒的附件或链接。 恶意下载：从非正规网站下载软件、破解工具时捆绑病毒。 网络漏洞：利用操作系统、软件的安全漏洞（如永恒之蓝漏洞）自动传播。 移动存储设备 ...

web攻击事件&后门查杀&日志分析&流量解密&攻击链梳理获取当前web环境的组成架构（脚本，数据库，中间件，系统等） 分析思路： 利用时间节点筛选日志行为 123定位攻击起始点： 通过最早出现的异常日志时间戳，还原攻击初始入口。构建攻击时间线： 将分散在不同设备的日志按时间排序，形成完整攻击链。识别协同攻击： 多设备日志中同一时间窗口的异常行为，可能指向团伙攻击。 利用对漏洞进行筛选日志行为 1如果时间跨度很大，有1年左右的日志，那么此时就可以通过漏洞来对日志进行一个筛选，比如常见的RememberMe这个就是shiro漏洞。Log4j 漏洞的 JNDI 注入字符串（ldap://, rmi://）等等筛查 利用后门查杀进行筛选日志行为 1作为红队攻击者来说，拿下shell之后，蓝队可以找到这个后门，然后观察这个后门的时间，然后在根据这个时间去定位日志的大概位置，通过对shell的文件名，在日志中是谁访问过这个shell。然后在定位这个访问者的上下访问时间，还原攻击时间和攻击过程。 利用文件修改时间筛选日志行为 1部分攻击动 ...