防守-流量监控-实时获取访问数据包流量
利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用。
上传文件监控脚本log-record.php,该脚本需要在网站配置文件footer.php中包含一下,否则无法正常调用运行。
之后一旦有人访问了系统,它就会在/tmp/目录下生成一个log日志
这个日志每过1小时,都会生成新的日志文件,命名方式就是当前的小时时间
攻击-权限维持-不死脚本后门生成及查杀
在攻击利用后门获取 Flag 时,不死后门的权限维持尤为重要,同样防守方也要掌握对其不死后门的查杀和利用,这样才能获取更高的分数,对比文件监控前后问题。
—ignore_user_abort() 函数设置与远程客户机断开是否会终止脚本的执行。如果为 TRUE,则忽略与用户(用户浏览器不访问后)的断开(脚本将继续运行)。默认情况下是设置为 FALSE,与客户机断开会导致脚本停止运行。
—set_time_limit(0); 括号里边的数字是执行时间,如果为零说明永久执行直到程序结束,如果 ...
本课知识点:Request爬虫技术,lxml数据提取,异常处理,fofa等使用说明
学习目的:掌握利用公开或0day漏洞进行批量化的收集及验证脚本开发
额后面需要fofa会员,才行,我这里没有会员,但是我有会员的key
其实如果有会员的话,加上fofa图形化的工具,配置一下会员的邮箱和key就可以和会员差不多,而且提取目标可以直接将结果导出成csv文件,然后在Excel中进行提取非常方便
首先观察fofa的url:https://fofa.info/result?qbase64=YXBwPSJISUtWSVNJT04t6KeG6aKR55uR5o6nIg%3D%3D
格式是:https://fofa.info/result?qbase64=
后面的内容使用base64进行解码:
因为这里是在网址上所以首先需要进行一次url的解码
从这里可以得出内容就是将搜索框中的内容进行base64进行编码,然后进行传输的
所以在代码中使用base64进行编码,然后进行url的拼接就可以得到完整的url
如果想要批量化获取fofa的搜索结果:
url:https://fofa.info/r ...
本课知识点:协议模块使用,Request爬虫技术,简易多线程技术,编码技术,Bypass后门技术
学习目的:掌握利用强大的模块实现各种协议连接操作(爆破或利用等),配合Fuzz吊打WAF等
利用FTP模块实现协议爆破脚本ftp服务器的下载:https://lcba.lanzouy.com/iAMePxl378h
错误的账号密码连接的日志
12345678910111213141516171819202122232425262728293031from ftplib import FTPimport sys"""ftp=FTP()ftp.encoding='GB18030'ftp.connect("192.168.70.145",21)ftp.login("admin","test")list=ftp.retrlines('list')print(list)"""def ftp_baopo(): ftp = FT ...
sqlmapAPI调用实现自动化SQL注入安全检测
https://www.freebuf.com/articles/web/204875.html
应用案例:前期通过信息收集拿到大量的URL地址,然后配合sqlmapAPI接口进行批量的sql注入检测(SRC挖掘)
创建新任务记录任务ID @get(“/task/new”)
设置任务ID扫描信息@get(“/option//set”)
开始扫描对应ID任务 @get(“/scan//start”)
读取扫描状态判断结果 @get(“/scan//status”)
如果结束删除ID@get(“/task//delete”)
扫描结果查看@get(“/scan//data”)
首先:进入sqlmap目录,启动sqlmapapi,命令:python sqlmapapi.py -s
代码1:
123456789101112131415161718192021 ...
必须知识点:
1.第三方应用由于是选择性安装,如何做好信息收集和漏洞探针也是获取攻击者思路的重要操作,
除去本身漏洞外,提前预知或口令相关攻击也要进行筛选。
2.排除三方应用攻击行为,自查漏洞分析攻击者思路,人工配合工具脚本
3.由于工具或脚本更新迭代快,分类复杂,打造自己的工具箱迫在眉睫
Win 日志自动神器 LogonTracer-外网内网项目地址:https://neo4j.com/download-center/#community
123456789service docker start #启动容器docker pull jpcertcc/docker-logontracer #拉取镜像docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=192.168.70.128 jpcertcc/docker-logontracer #运行 LTHOSTNAME改成自己的浏览器访问:http://[本地IP地址]:7474默认账号neo4 ...
python开发学习的意义
学习相关安全工具原理
掌握自定义工具及拓展开发
解决实战中无工具或手工麻烦批量化等情况
在二次开发Bypass,日常任务,批量测试利用等方面均有帮助
如SRC批量收集并利用,AWD批量利用获取FLAG,CTF加密脚本等
外网信息收集-IP查询&whois查询&CDN判断&端口扫描&子域名查询1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495#导入模块import socket, os, timeimport sysfrom whois import whois # 需要安装python-whois模块# IP查询:域名反查IP功能def ip_check(url): ip = socket.gethos ...
MSF&CobaltStrike联动Shell
因为cs和msf经常相互调用,有一些功能cs强一点,有一些可能msf强一点,所以在渗透测试的时候经常要切换!所以我们需要学习如何在cs、msf、powershell之间进行会话委派。powershell本身用处少,而且很多正式环境上的powershell默认执行策略是关闭的,总的来说有的鸡肋,所以这里就不再讲了。
CS->MSF
创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器
MSF->CS
CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线
1use exploit/windows/local/payload_inject
cs移交到msf
启动cs,在在webserver和本地主机执行木马,实现webserver和本地主机上线
CS上,创建Foreign监听器
MSF监听模块设置对应地址端口
123456msfconsoleuse exploit/multi/handlerset pa ...
必备知识点
熟悉常见的 WEB 安全攻击技术
熟悉相关日志启用及存储查看等
熟悉日志中记录数据分类及分析等
准备工作
收集目标服务器各类信息
部署相关分析软件及平台等
整理相关安全渗透工具指纹库
针对异常表现第一时间触发思路
有明确信息网站被入侵
基于时间 基于操作 基于指纹 基于其他
无明确信息网站被入侵
1.WEB 漏洞-检查源码类别及漏洞情况 2.中间件漏洞-检查对应版本及漏洞情况 3.第三方应用漏洞-检查是否存在漏洞应用 4.操作系统层面漏洞-检查是否存在系统漏洞 5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
常见分析方法
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
Windows+IIS+Sql-日志,搜索
某小企业反映自己的网站出现异常,请求支援
可以进行指纹库搜索,比如sqlmap,select
在iis上可以查看日志的路径
查看日志:
也可以看有没有关键字,比如注入就是select,xss就是script之类的
这里其实要综合考虑网站的功能,看是否存在文件上传,sql注入等多种漏洞层面
L ...
常见危害
暴力破解
漏洞利用
流量攻击
木马控制(Webshell,PC 木马等)
病毒感染(挖矿,蠕虫,勒索等)
常见分析
计算机账户
端口
进程
网络
启动
服务
任务
文件等安全问题
补充资料
https://xz.aliyun.com/t/485应急响应大合集
https://www.secpulse.com/archives/114019.html最全Windows安全工具锦集
https://docs.microsoft.com/en-us/sysinternals/windows官方工具
病毒分析
PCHunter:http://www.xuetr.com
火绒剑:https://www.huorong.cn
Process Explorer:https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
processhacker:https://processhacker.sourceforge.io/downloads.php
autoruns:https:/ ...
必要基础知识点
内网ip地址是私有ip地址(10.0.0.0/8, 172.16.0.0/12 , 192.168.0.0/16),除此之外就是外网ip
两个不同的内网的主机想要通过CS或者MSF等工具实现控制或者通讯是不可能的,必须要借助代理
正反向协议通信连接问题
正向:控制端主动去连接被控端
反向:被控端主动去连接控制端
为什么要区分正向和反向?–因为如果控制端是外网主机,被控端是内网主机,就相当于控制端有一个唯一的IP地址(比如103.12.4.11),通过这个IP地址就可以找到控制端,而在内网的被控端(比如192.168.23.36),你通过控制端主动去找是找不到的,因为这个内网IP地址并不是唯一的,可能很多内网都用了这个IP地址,你根本没法找。此时就需要反向连接了,让内网的被控端主动去找外网的控制端。
内网穿透代理隧道技术说明
隧道主要解决流量分析工具、流量监控工具、防火墙等相关工具的过滤问题
代理主要解决网络的连通性问题
内网渗透-横向渗透-穿透-代理相关知识点
代理技术主要解决3种问题:内网有外网,内网有过滤(防 ...
