lza20001103的博客

应急响应-windows/Linux主机加固

应急响应-Linux后门排查

应急响应-Linux 应急响应命令总结

应急响应-流量分析与日志溯源实战技巧

攻防演练中红队如何识别蜜罐保护自己文章目录攻防演练中红队如何识别蜜罐保护自己前言一、蜜罐分类RDPYsnare二、如何识别三、常见蜜罐展示1.无交互蜜罐: 只针对网络批量扫描器2.低交互蜜罐: HFISH (被动/主动收集信息)3.高交互蜜罐: 真实环境部署探针前言最近在攻防演练中经常会遇到蜜罐，这次就来唠唠蜜罐。蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，其没有业务上的用途，所有流入/流出蜜罐的流量都预示着扫描或者攻击行为，因此可以比较好的聚焦于攻击流量。蜜罐可以实现对攻击者的

记一次攻防演练溯源实例文章目录记一次攻防演练溯源实例前言开展溯源前言在今年的攻防期间，通过安全设备告警分析，需要对某个源攻击IP进行溯源反制，并且需要记录整个溯源过程和提交溯源报告。开展溯源研判在溯源之前，首先应该判断是否真的存在攻击行为，攻击的特征，攻击类型，攻击者意图都是需要搞清楚的，不能盲目地对某个IP就展开溯源，这样不仅方向跑偏了，又浪费了时间。经过研判分析，判断IP(106.14.x.x)确实存在恶意攻击，这里就不再叙述如何研判的了，经验丰富的师傅们一看就知道了，确定IP之后，作为防

红蓝对抗-红队攻防全流程解析

web安全手册(红队安全技能栈)红队技能栈依照红队的流程分工，选择适合自己的技能栈发展。越接近中心的能力点越贴近web技术栈，反之亦然。可以根据自身情况，选择技术栈的发展方向。

Linux常用应急溯源命令文章目录Linux常用应急溯源命令常用命令1、账号相关命令2、程序相关命令3、日志相关命令3.1 定位爆破root帐号来源IP3.2 查询登录成功的IP3.3 查询增加用户日志3.4 查询删除用户日志3.5 查询su切换用户记录4、定时任务5、文本相关5.1grep查找前后数据5.2显示文件几行6、其他相关6.1查看最近改动的各类脚本文件和其他文件6.2域名hosts常用命令1、账号相关命令1、查询特权用户特权用户(uid 为0)：awk -F: ‘$3==0{print

HW蓝队溯源流程文章目录HW蓝队溯源流程前言目标：方法论：1. 攻击链部分可溯源的关键点：2. 攻击链利用阶段可溯源的方法及利用点：3. 钓鱼邮件可溯源方法及关键点：4. 后门木马可溯源方法及关键点：5. 攻击者资产维度可溯源方法及关键点:6.命令和控制阶段可产生的数据7.身份信息溯源方向：虚拟身份身份公司信息流程：1.针对ip通过开源情报+开放端口分析查询2.ip查询定位3. ID跟踪、得到常用id信息收集4.预警设备信息取证5.跳板机信息收集(触发)前言攻防演练过程中，攻击者千方百计使用各种方法渗

2022年蓝队初级护网总结文章目录2022年蓝队初级护网总结一. 设备误报如何处理？二. 如何区分扫描流量和手工流量？三. 网站被上传webshell如何处理？四. 给你一个比较大的日志，应该如何分析？五. 常见OA系统？六. 了解安全设备吗？七. 了解过系统加固吗？八. 有没有安全设备的使用经验？九. CS是什么东西，知道怎么使用吗？十. WAF方面有没有了解过，清楚WAF的分类和原理吗？十一. Powershell了解过吗？十二. MSF是什么？知道怎么使用吗？十三. 使用过什么XSS平台吗？十四.

红蓝对抗最全信息收集工具信息收集工具资产发现工具项目简介 项目地址 项目名称reconFTW 集成了30个工具的信息收集利器 https://github.com/six2dez/reconftw reconftw资产无限巡航扫描系统 https://github.com/awake1t/linglong linglongSRC子域名资产监控 https://github.com/LangziFun/LangSrcCurise LangSrcCurise快速侦察与目标关联的互联网资产，构建基础

HW之Linux 应急响应之入侵排查技巧文章目录HW之Linux 应急响应之入侵排查技巧识别现象->清除病毒->闭环兜底->系统加固01识别现象系统CPU是否异常是否存在可疑进程安全网关有无报警有无可疑历史命令02清除病毒结束病毒进程03闭环兜底检查是否存在可疑定时任务检查是否存在可疑服务检查系统文件是否被劫持检查是否存在病毒守护进程04系统加固修改SSH弱密码添加命令审计生成效果打上常见Web漏洞补丁结尾Linux环境下处理应急响应事件往往会更加的棘手，因为相比于Windows，Li

windows 应急响应之入侵排查技巧文章目录windows 应急响应之入侵排查技巧常见的应急响应事件分类：入侵排查思路0x01 分析入侵过程0x02 入侵排查方法一、检查系统账号安全二、检查异常端口、进程三、检查启动项、计划任务和服务四、检查系统相关信息五、日志分析六、工具查杀0x03 总结常见的应急响应事件分类：web入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门、挖矿木马网络攻击：DDOS攻击、DNS劫持、ARP欺骗、流量劫持入侵排查思路web入侵：对中

红队渗透下的入口权限快速获取文章目录红队渗透下的入口权限快速获取前言红队攻击流程概述获取入口权限利用常见组件的漏洞高危漏洞的检测与攻击POC的集成与自动化验证POC bomber前言近年来各种大规模的红蓝对抗逐渐兴起，攻防实战受到了更多的重视。对抗时红队模拟真实黑客的攻击行为，对企业网络应用系统进行渗透攻击，最终能发现企业平时未注意到的风险点，达到完善企业的安全体系的目的。本文站在红队攻击的角度，介绍一种在红队攻击初期快速通过已知Nday漏洞获取入口权限的思路，并编写成工具供红队渗透测试人员使用。

红蓝对抗-红蓝对抗经验小结

红蓝对抗-红队打点的那些事攻防演练中作为攻击方，效率很重要，例如2019 BCS红队行动议题：RedTeam-BCS半自动化的资产收集域名/IP/需要交互的系统当拿到目标的时候，首先需要利用天眼查获取目标企业结构，有子公司就获取100%控股子公司，分别再查看其知识产权/网站备案：例如拿到域名：A.com，B.com，C.com使用OneForAll对这些域名进行处理获取若干子域名。shmilylty师傅的项目OneForAll使用Eeyes对OneForAll收集到的subdomain数

MSSQL日志分析

Web日志分析

Linux日志分析

Window日志分析

Linux入侵排查（工具篇）

Linux入侵排查

window入侵排查

HW红蓝队基本知识