chinese_cabbage0的博客

原创 安装搭建KubeSphere环境&&Kubernetes环境

Kubernetes的默认dashboard功能有限，Kubesphere集成了很多套件，功能强大，但是集群要求较高KubeSphere是一款开源项目，在目前主流容器调度平台Kukernetes之上构建的企业级分布式多租户容器管理平台，提供简单易用的操作界面以及向导式操作方式，在降低用户使用容器调度平台学习成本的同时，极大降低开发调试、测试、运维的日常工作的复杂度KubeShpere官网：https://kubesphere.io/

原创 Docker命令笔记汇总

【代码】Docker命令笔记汇总。

原创 Kubernetes安装部署详细教程

在vmware中安装三台Centos7的虚拟机，配置如下2.修改hosts设置（所有节点执行）3.修改源（所有节点执行）4.修改主机名字(所有节点执行)5.配置ssh免密登录(master执行)先生成密钥，然后复制到其他节点6.关闭swap分区(所有节点执行)kubelet要求必须禁用交换分区，所以kubeadm初始化时回检测swap是否关闭，如果没有关闭会报错，如果不想关闭安装时命令行可以指定-ignore-preflight-errors=S

原创 Linux系统权限维持篇

PAM是一种认证模块，PAM可以作为Linux登录验证和各类基础服务的人认证，简单来说就是一种用于Linux系统上的用户身份验证机制，进行验证时首先 确定是什么服务，然后加载对应的PAM配置文件，最后调用认证文件进行安全认证，简易利用的PAM后门也是通过修改PAM源码中的认证的逻辑来达到权限维持的。本地有下载过，可以去看一下 在安装这个工具的时候可以选择参数，然后可以设置隐藏的文件名，然后文件只要开头是我设置的文件名，就会隐藏。然后可以写一个脚本发送log到我的服务器，就可以一直知道服务器的密码了。

原创 全网最全权限维持方式汇总

【代码】全网最全权限维持方式汇总。

原创 黄金票据&&白银票据&&钻石票据&&蓝宝石票据利用复现

黄金票据&&白银票据&&钻石票据&&蓝宝石票据利用复现。

原创 横向移动02

（高权限，需要NTLM）利用获取的NTLM生成的新的票据尝试认证因为当前主机肯定之前与其他主机连接过，所以本地应该生成了一些票据，我们可以导出这些票据，然后再导入票据，利用该方法类似于cookie欺骗。WinRM代表windows远程管理，是一种允许管理员远程执行系统管理任务的服务，WinRS是内置的命令行工具，用于远程连接执行运行WinRM的服务器并执行大多数cmd命令。1.win2012之前利用需要手动开启winRM，在win2012之后包括win2012的版本是默认开启的。

原创 横向移动01

横向移动。

原创 2023国赛linux的应急响应-wp

由于没有给出linux服务器的用户名和密码，我们先用kali扫一下端口和ip，然后看到有一个ssh开放，我们就通过ssh进行爆破对137进行爆破通过账号密码登陆进去，然后开ssh远程，用windows命令连接，因为linux命令行看的东西不能上下移动2023 年国赛模拟题-linux 应急响应。

原创 2023国赛windows内存取证

进入查看，看到了一个os.system(写入到了hilyary.txt)，说明这个恶意进程写入的文件名称是hilyary.txt。这里提取hash的时候想到可以通过lsadump直接看，但是这里没有，所以就开始爆破吧。看到有一个powershe11.exe这个东西很可疑，就是恶意进程，这俩都是恶意进程。这个通过hashdump可以看到所有的用户，然后我们还需要看一下注册表来确定。需要恶意进程写入的文件的名称，可以通过进程提取插件，memdump下来。如果显示一下，说明是镜像的版本没有弄错。

原创 Linux内存取证

我们先把linux取证文件放到kali中，然后这里的Ubuntu18.04-5.4.0-84-generic.zip需要不解压直接放到vol工具中然后把Ubuntu18.04-5.4.0-84-generic放到vol工具中，然后开始去这个，使用vol工具查看linux的版本信息这个LinuxUbuntu18_04-5_4_0-84-genericx64是有用的，是linux的版本信息，复制出来需要用。

原创 2023国赛数字取证-流量分析

请 您根据捕捉到的流量包，搜寻出⽹络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的⾏为。这个要筛选的是udp的流量，刚开始从http追踪流追踪半天没结果，后来看wp是筛选udp的流量，然后这个后面的info信息就是计算机的名称了 flag{WIN-935BICNFFVK}登入web系统，那么我们就筛选http的流量，找到是md5加密的，后面的注释是解密flag{rebeyond}可以看出来是文件上传文件上传内容是一句话木马，然后文件名字是shell.PHp。

原创 某省赛题-windows内存取证

查看网络连接情况，然后 可以看到54.36.109.161：2222比较可疑，怀疑是挖矿地址，然后它的pid是2588，记下来，可能用到，它的服务名是svchost.exe这个本身是系统的进程服务名，伪装了。然后我们来使用svcscan来查看服务，因为题目要的是注册了什么服务，我们看到最后的一个pid是3036，是挖矿地址的pid，这个就是恶意注册的服务类。7.病毒在自我删除时执行的命令是什么？这里我们要找病毒再自我删除执行的命令，那么我们就需要去看病毒的源码，我们memdump下来loader这个进程。

原创 内网对抗之信息收集篇

主要用在内网中个人用机的比较多 4.信息收集工具总结 https://github.com/guchangan1/All-Defense-Tool。1.Template启发式内网扫描，对于域信息收集很不错，内网域扫描高级工具，本地kali机器上或者本地win就可以运行使用。https://github.com/lucky-ecat/wechat_info_collect //另一个微信收集工具。3.Pillager适用于后渗透期间的信息收集工具，可以收集目标机器上的敏感信息。这个项目中有微信信息收集工具。

原创 隧道技术篇2&&frp代理&&nps代理&&shisel代理

nps是一款轻量级，高性能，功能强大的内网穿透代理服务器，目前支持udp，tcp流量转发，可支持任何tcp，udp上层协议访问内网网站本地支付接口，ssh访问，远程桌面，dns解析等，此外还支持内网http代理，外网socks5代理，p2p等，并带有功能强大的web管理端。然后和之前一样使用两个监听器，一个监听器是6666的公网服务器端口，一个是本地的5555端口，kali机做攻击机的的话就可以通过隧道建立连接了。1.下载nps，然后上传到服务端口，直接运行，然后访问服务端的ip地址加端口8080。

原创 隧道代理技术&&Linux上线CS

拓扑图如下加入我们已经渗透进入内网中的出口服务器，192.168.1.139这个ip地址，那么我们想要去进一步渗透192.168.2.22那么如图中的情况1，出站又限制那么我们就可以使用代理，这里我们想使用Neo-reGeorg-5.2.1来做一下代理。

原创 Cobalt Strike二开魔改&&免杀

32px,logo是256。

原创 Cobalt Strike的弹窗和破解

Cobalt Strike(简称为CS)是一款基于java的渗透测试工具，将所有攻击都变得简单、可视化，团队成员可以连接到同一个服务器上进行多人运动，共享攻击资源。官网地址：https://www.cobaltstrike.com。

原创 文件分离免杀

4.测试效果 把bin文件和exe放到目标机器上，运行，看是否上线。3.生成一个解密执行bin文件的exe，使用vs编辑器编译。1.使用cs来生成一个二进制bin文件。2.使用如下脚本对二进制文件进行异或。

原创 内网攻防实战_红日靶场01

一、环境搭建 1.环境搭建测试 2.信息收集二、漏洞利用 3.漏洞搜索与利用 4.后台Getshell上传技巧 5.系统信息收集 6.主机密码收集三、内网搜集 7.内网--继续信息收集 8.内网攻击姿势--信息泄露 9.内网攻击姿势-MS08-067 10.内网攻击姿势-SMB远程桌面口令猜测 11.内网攻击姿势-Oracle数据库TNS服务漏洞 12.内网攻击姿势-RPC DCOM服务漏洞。

原创 BUUCTF-SimpleRev解题思路

1.使用查壳工具分析后没有壳，并且是一个ubuntu的gcc编译的64位的程序，放入ida64进行分析，2.分析main函数，其中v4只有等于d或D才可以进入Decry函数，跟进Decry函数分析。4.最后写脚本进行解题。

原创 全国职业技能大赛_网络安全_中职A模块解析

A-2Web安全加固 1.数据库加固 a.为了防止web中.mdb数据库文件非法下载，请对Web配置文件进行安全加固，将C:\Windows\System32\inetsrv\config\applicationHost配置文件中对应的部分截图；A-1登录安全加固 请对服务器Windows、Linux按要求进行相应设置，提高服务器的安全性 1.密码策略（windows，linux） a.最小密码长度不小于13个字符，将密码长度最小值的属性配置界面截图。b.将Web服务器开启审核策略 登录事件 成功/失败;

原创 Oracle数据库加固笔记

原创 Mysql数据库加固笔记

原创 Weblogic中间件加固笔记

原创 Nginx中间件加固笔记

原创 Tomcat中间件服务加固

原创 Apache服务加固笔记

原创 中间件服务_IIS服务加固

或者说通过图形化，编辑网站或者直接浏览也可以看到站点的目录1.图形化查看排查是不是网站缓存，可以直接F12查看响应码是多少，是200则正常，是其它的说明是缓存 2.命令行检查1.命令检查方式和加固方式2.通过iis图形化加固和查看应该替换为自己设置的错误页，通过编辑修改即可通过设置继承，下面的目录网站 都会被继承到也可以使用图形化页面设置，最后打开基本身份证即可，如此访问会要求输入密码直接图形化 加固即可。

原创 Windows系统加固思路笔记

通过禁用administrator就可以避免别人的爆破 检查administrator账号是否重命名。这个就是在创建共享文件夹之后，设置一个专门用来共享的账户。这里直接取消勾选了，还可以全部都选择为不执行操作。检查方式：msinfo32,dxdiag查看。需要单独创建一个用户来提供网络共享。

原创 Linux系统加固笔记

在shadow文件中，*代表账户无法登录，是锁定状态，感叹号是密码为空 判断第七个字段是不是正常的，判断第二个字段是不是正常的。我们要删除UID为0的恶意用户的时候，我们需要先编辑/etc/passwd文件，改为普通用户，然后删除，否则会删除不了的。如果历史命令太多，黑客登录操作系统可以知道我们做了什么，会有信息泄露。umask 022 //如此设置即可。

原创 SSRF服务器请求伪造攻击

Gopher协议是HTTP协议出现之前，在Internet上常见且常用的一个协议，Gopher协议支持多行，所以可以做很多事情，特别是在SSRF中可以发挥很多重要作用，利用此协议可以攻击内网FTP，internet，readis,Memcache，也可以进行GET，POST请求。很多web应用都提供了从其他服务器上获取数据的功能，使用用户指定的URL，web应用可以获取图片，下载图片，读取文件内容等。通过生成的phpshell在burp中，默认是编码了一次的，我们需要再次编码，进行发送利用。

原创 CSRF跨站请求伪造攻击

CSRF，中文是跨站请求伪造，CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，比如:以你的名义发送邮件，发消息，盗取你的账号，添加系统管理员，甚至于购买商品，虚拟货币转账等，达到攻击者的目的。对于POST我们需要获取到别人的Cookie，POST请求无法通过管理员直接点击URL的方式来触发漏洞，所以需要攻击者构造POC，利用其他方式触发漏洞。这边我们抓包，通过修改请求头就可以修改管理员后台密码了。

原创 电子取证方法

在一般的数据取证工作中，为了证据保证证据的完整性，在获取到证据介质后，首先要做的就是对介质数据 进行全盘镜像备份，在制作完镜像备份后，才会对镜像内的数据进行分析常见镜像后缀：DD镜像、E01镜像、VHD镜像FTK-Imager可以说是磁盘取证中最为常用且强大的镜像工具，它可以提供证据获取，哈希值计算，文件查看及提取，镜像文件挂载，数据恢复，特定数据提取等功能支持的数据来源类型物理磁盘、逻辑驱动器、镜像文件(E01,DD,SMART,VMDK,GHO)，文件夹，物理内存。

原创 web攻击事件取证讲解

漏洞原理：应用程序对用户上传文件类型不效验或者校验不严格，导致任意类型文件上传，攻击者可上传webshell。比如，WAF，日志服务器，安全网关，防火墙等。

原创 Linux主机持久化技术

在Linux中，bash提供了一个环境变量PROMPT_COMMAND，这个环境变量的内容会在每条shell中的命令执行结束后，下一个shell返回前执行，通常情况下，运维人员会用该环境变量来记录每个用户执行命令的时间，IP等信息 在攻击者的工作中，则可以利用该环境变量的特性，进行权限维持 第一个是一次性，第二个是持久化的，第二个写入到/etc/profile中即可实现。pam模块，在/etc/pam.d下，与服务名称相对应的文件即为该服务的pam验证文件，比如sshd为sshd服务的验证规则。

原创 windows主机持久化技术

比如我们通过Userinit项的值添加上想要执行的程序或者脚本，比如添加上notepad.exe，当用户登录时，则会触发该程序，如果攻击者将其设置为木马程序等，就能够在用户登录成功时触发，需要注意的是，触发的应用程序的权限与登录用户的权限相同，比如以普通用户登录，则触发后的程序也是普通用户的权限 这里测试，添加一个notepad.exe。例如，我们在注册表中新建一个notepad.exe项，然后把它的值设置为cmd.exe，当我们打开记事本的时候就会打开cmd.exe 新建字符串值。

原创 windows入侵排查_应急响应

h或者查看注册表 2.排查用户组，主要排查administartor组，其中发现了Attack这个恶意隐藏用户。点开看到是CC.exe 然后排查其他的项的run 然后排查组策略的启动脚本和服务即可。查看它的操作，发现它在运行一个CC.exe 找到CC.exe，然后通过沙箱进行分析。2.掌握windows系统中持久化操作方法以排查方法。4.排查启动项，在本地组策略中排查或者注册表。1.掌握windows系统中信息收集方法。3.掌握windows系统中入侵排查思路。

原创 linux入侵排查_应急响应

因为是ssh爆破，所以我们去看ssh的日志，看secure日志，secure日志记录了用户登录成功和失败的日志 1.进入日志目录/var/log/ 2.确定攻击者的ip地址 通过命令cat secure | grep "Failed" | cut -d " " -f 12 | sort | uniq -c //统计失败次数和字段12，字段12就是攻击者的ip地址，判断攻击者爆破的ip地址。排查guest用户是否存在计划任务，也有一个计划任务，记录计划任务的创建修改时间。可以发现命令的属性发生了变化。

原创 linux入侵排查-综合日志分析

2.分析攻击者首次成功登录web管理后台的时间 还可以知道攻击者可能是通过10.2.4.11这个跳板服务器跳过来的，然后我们继续排查，可以发现日志中POST请求大多都是1047字节，然后往后大多是300字节，POST请求的响应状态码有200和302这两个，其中的302是爆破成功后持续爆破产生的日志，再1047字节和300字节中间夹着一个978字节，就是200响应和302响应的中间。7.分析攻击者留下的持久化后门的时间和后门执行情况 排查计划任务，发现有一个计划任务还是被加密的，应该是反弹shell的。