我是黑客-CSDN博客

原创关于分析研判的一些问题回答（仅供参考）

看响应包和响应码确实不可靠，因为规则库的检测是比较死板的，首先你和客户确认一下资产属性，哪部分使用了log4j的相关组件，哪部分资产是正常业务行为，排除部分无关联资产，然后再检索攻击成功事件里的日志，查看响应体里的内容是否命令执行了，带有敏感数据等等。这个存在正常业务误报的可能，首先确认资产属性，哪些是业务哪些是外部流量这个和客户确认，其次再看外部流量的返回包是否有数据，检索一段时间内的日志，看是否是短期的攻击流量。2、只能看web的日志，注入的sql注入的攻击，网站响应都是200，怎么判断是否攻击成功。

2024-08-16 19:48:51 135

原创 CSRF、SSRF和重放攻击有什么区别？

重放攻击是将截获的数据包进行重放，达到身份认证等目的。CSRF是跨站请求伪造攻击，由客户端发起。SSRF是服务器端请求伪造，由服务器发起。

2024-08-14 20:40:42 290

原创如何判断被搭建了什么隧道

1、ICMP隧道，ICMP隧道隧道数据通常比较大ICMP隧道数据包中DATA 往往大于64 比特,部分隧道工具会显示tun的标志。2、SOCKS隧道特征：SOCKS某些隧道存在一些固定16进制，或者通过安全设备告警排查。

2024-08-14 16:51:21 381

原创常见Webshell&重大漏洞的流量特征（附解密流量工具）

攻防演练中，经常会看到一些加密的流量，又分不清楚是不是误报，本文总结了一些常见的流量特征，附流量解密工具。

2024-08-13 19:12:28 962

原创护网蓝队中级:各种攻击工具/漏洞流量特征

研判溯源应急准备-检测-抑制-根除-恢复-跟踪总结中级。

2024-08-13 16:09:27 875

原创如何排查JAVA内存马

1、先查看检查服务器web日志，查看是否有可疑的web访问日志，比如说filter或者listener类型的内存马，会有大量url请求路径相同参数不同的，或者页面不存在但是返回200的请求。2、如在web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。

2024-08-13 15:24:02 331

原创揭秘最为知名的黑客工具之一：Lynis

Lynis 是一款开源的安全审计工具，专门用于 Unix 类系统的安全检测和系统加固。它能检测系统配置、文件权限、日志、网络等多个方面，提供详细的安全建议，帮助系统管理员加强系统的安全性。Lynis 支持多种操作系统，包括 Linux、macOS、FreeBSD 和 OpenBSD 等。

2024-08-08 15:51:44 966

原创 HW 中如何利用 WAF 缺陷进行绕过

在挖洞过程中，往往会遇到各种攻击利用被waf拦截的情况，本文浅析总结了常见的一些绕过思路以及具体实现对于通用性较强的软WAF来说，不得不考虑到各种机器和系统的性能，故对于一些超大数据包、超长数据可能会跳过不检测因此可以填充大量垃圾字符来逃避waf对数据包的检测如下可以采取高并发的攻击手段，waf同样出于性能考虑可能会直接放行部分数据包。由于后端web容器、中间件、数据库、脚本语言的多样性，waf很难覆盖全，容易导致waf解析不了而后端可以正常解析读取导致的绕过。

2024-08-02 16:12:50 753

原创全程干货！清华教授用11部分讲明白Linux运维趋势与分析技巧

网络安全指对网络攻击、侵入、干扰、破坏和非法使用以及意外事故的必要防范，使网络和信息系统处于稳定、安全、可靠的运行状态，以及保障信息数据的完整性、保密性、可用性。网站运维有很多东西需要考虑，比如网站的负载，缓存的处理，日志的分析，数据的备份/恢复等等。然而学好网安Linux运维这块肯定是要掌握的，首先、系统和网络是肯定要学的，而且必须要学好。否则的话，想做一个管理人员是比较有难度的。总结：可以看出在学习Linux运维的时候会用到很多知识版块，还有很多奇淫技巧能让我们提高工作效率，每一部分都是必不可少的。

2024-07-24 14:43:08 167

原创网络安全求职面试宝典，轻松搞定面试官！拿下大厂offer

回答提示：一般人回答这个问题过于平常，只说姓名、年龄、爱好、工作经验，这些在简历上都有。其实，企业最希望知道的是求职者能否胜任工作，包括：最强的技能、最深入研究的知识领域、性格中最积极的部分、做过的最成功的事，主要的成就等，这些回答关于学习或者生活都可以，但要突出积极的个性和做事的能力，说得合情合理企业才会相信。（最好有简单的实例，一两句话体现出自己的优势）

2024-07-23 20:43:32 704

原创利用cms渗透

1.通过fofa查询出该网站的后台，进去发现很像某cms，利用御剑的cms识别工具识别出对方是phpcms的站。2.通过百度查询得出：该phpcms站点可能存在文件上传，敏感信息泄露，sql报错注入。我只验证出来了sql报错注入。3.把这几个链接转发到burp的重放器：1.1：获取Set-Cookie: aOqWU_siteid用的。1.2:sql报错注入转换为Set-Cookie:aOqWU_att_json用的。1.3:解密传输用的。

2024-07-23 16:45:27 856

原创涨见识了！定制化的渗透测试 - 水坑攻击之偷窥小姐姐的...

有些授权测试中，允许红队人员用社会工程学之类的方法进行渗透。钓鱼和水坑则是快速打点或横向的常用手段。钓鱼通常需要绕过目标邮件网关等安全设备，水坑则需要摸清目标的操作习惯。在此简单的罗列一下布置水坑的方法。

2024-07-23 16:13:39 921

原创牛逼！超级黑客用10部分讲明白Git （建议收藏）

本书在豆瓣上评价极高，9.3的高分，本书的作者是GitHub的员工，内容主要侧重于各种场合中的惯用法和底层原理的讲述，书中还针对不同的使用场景，设计了几个合适的版本管理策略。简而言之，这本书无论是对于初学者还是想进一步了解Git工作原理的开发者都非常合适。现在这本书已经帮你们下载好了（高清中文全彩PDF版）今天就和大家分享一本牛逼的Git书籍——

2024-07-23 15:49:05 210

原创日子越来越有判头了?用DLL劫持，搞点事情！

在Windows系统中，为了节省内存和实现代码重用，微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL（Dynamic Link Library），即动态链接库，这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数（DLLMain），系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用dll的入口函数：1.进程装载DLL。2.进程卸载DLL。3.DLL在被装载之后创建了新线程。4.DLL在被装载之后一个线程被终止了。

2024-07-23 15:44:59 478

原创某贷款app的一个简单支付漏洞

这个在刚入行的时候发现的，非常简单的漏洞，影响非常严重。首先要登录这个app用签到和其他手段获取>500的X币如图，当时我攒了大概一个多星期，960X币。

2024-07-18 17:15:11 312

原创小白怎么成为一个黑客？按照这个路线来！

大家好，我是周杰伦。接下来我会写系列的文章，给大家整理下网络安全的详细的学习步骤和学习资源推荐。今天的主题是——Web安全。Web安全是网络渗透中很重要的一个组成部分，今天跟大家聊一下，如何在三个月内从零基础掌握Web安全。

2024-07-18 16:51:15 907

原创新手应该怎么参加护网HW？

其实整个过程下来的话，对于斗哥来说还是颇有收获，有些小总结和大家分享一下：1.明确客户的所有开放资产，虽然这已经是老话长谈，但是确实也是最关键的，攻防从外到内，再从外围到靶机，还是要锁好每个入口，因此应和客户对于所开放的外网系统进行仔细梳理，缩小暴露面。2.每个环节都应进行闭环管理，不管是漏洞整改还是资产梳理，对于完成的每一个环节都要进行有效的管控。3.应急演练的重要性，对人员进行分工，提前演练真实攻防场景，明确对安全事件的处置流程，在应对安全事件发生时不会过于慌乱。【HW红队资料领取】

2024-07-18 15:22:11 785

原创这19款最好用的免费安全工具，使用不当或许面临牢狱之灾。

工具本身没有好坏，但如果能充分利用好的工具，往往能达到意想不到的效果，安全行业尤其如此。这期推荐的是一些免费而且很优秀的安全软件工具，无论是渗透测试，开源情报，还是漏洞评估，都能让安全人的日常工作更轻松。将近 20 款最好的免费安全工具，最实用的干货分享，没时间的朋友，建议先马再看！如果你是一名信息安全从业者，应该对 Nmap、Wireshark 或 Snort 这些网络监控与安全工具，或是 Ophcrack 这类密码破解类程序非常熟悉，因为做这些几乎是企业日常安全运营不可缺少的一部分。

2024-07-18 15:12:45 641

原创 Windows核弹级漏洞，Win7-Win11全部沦陷，最新情况来了！

然而比较遗憾的是，目前我没能找寻到关于这方面的信息，因为这些都是微软内部的代码，并没有对外公开，想要深度逆向的话，可以结合内核级动态调试去跟踪里面的数据结构，这还需要花费不少的精力。所以大胆猜测，这个攻击可能是这样的：构造一个畸形的802.11格式的数据包给无线网卡，然后这WIFI驱动程序在进行处理的时候，操作不当，导致RCE的出现。首先根据官网的提示，这是一个跟WIFI相关的驱动程序漏洞，所以在Windows的驱动目录下，寻找可能跟wifi相关的驱动，还真让我找到了，就是这个。那这里到底是在检查什么呢？

2024-07-15 17:16:12 390

原创一款集成了AI的CTF综合工具

然而，在实际的CTF竞赛过程中，参赛者往往会遇到多个问题，如信息收集、漏洞利用、提权、文件传输等，这些过程往往涉及到多个工具的使用和复杂的操作流程。默认采用GPU加速（速度快，用显存），如果只用CPU的话内存占用会多点，然后cpu的运算模式肯定速度会慢一点，如果在VM虚拟机上运行会存在无法调用GPU的情况。该工具平台能够集成多个常用的网络安全工具，并提供一个统一的用户界面和操作界面，使得参赛者可以在一个平台上完成信息收集、漏洞利用、提权、文件传输等操作。软件采用C和python。

2024-07-11 16:13:41 246

原创分享一款综合且强大的信息收集工具~

支持常见服务口令爆破、未授权检测（ ftp,ssh,wmi,wmihash,smb,mssql,oracle,mysql,rdp,postgres,redis,memcached,mongodb)获取 statusCode、contentLength、favicon、iconHash、title、wappalyzer、finger。支持默认端口协议和自定义协议爆破（127.0.0.1:3306）（127.0.01:3307|mysql）联动模块（ipscan -> webscan -> crack）

2024-07-10 19:21:00 358

原创穿越防火墙建立网络通道的新姿势

在内网渗透中，网络通道是一个重要的环节，今天来分享一个有意思的通道建立方式，可以绕过常规的流量检测，与常规的端口转发和端口映射不同的是其借助了文件服务器来完成网络通道的建立，原理如图：项目地址：使用之前，需要先准备一个文件服务器，找一个可以读取和写入目录，比如目标内网的文件服务器可以外网访问的场景，也可以是自己在外网搭建文件服务器，内外网均可访问。

2024-06-05 14:37:54 385

原创 2024 HW前需要关注的高危漏洞清单

当前，在规模较大和重要性较高的网络攻防演练中，对于蓝队（防守方），在演练中遇到红队（攻击方）0day的机会还是相当大的，要在短时间达成演习目的，拿到目标靶机的权限，动用一些先进的武器（0day）进行快速突破是最高效的。从过往经验来看，所出现的0day漏洞主要包括Web服务、组件的反序列化漏洞，具体包括OA系统、邮件系统、CMS等暴露在边界上的系统较多，在演练中这类系统面临主要的火力攻击。因此做为蓝队（防守方）有必要在攻防演练前、期间对己方系统资产的漏洞情况进行深度和及时的排查，在攻防演练前及时修补漏洞，在攻

2024-06-04 15:50:31 1533 1

原创干货 | 实用工具收集-网络安全(黑客)自学

有的时候想要在windows云服务器上开一个socks5代理。系统配置相对麻烦，找了一下ccproxy比较好用，支持多种协议也无需配置。虽然是商业软件，但是基本功能已经够用了。微软官方的数据库连接管理工具发现有两款工具。

2024-05-08 17:01:51 287

原创挖掘SRC时如何编写信息收集脚本-网络安全（黑客）学习

笔者在挖掘SRC的时候经常会疯狂寻找资产，但是市面上的信息收集工具都无法满足需求。有些工具收集方法太过于单一，有些信息收集工具要么过于笨重，要么需要购买知识星球获得。于是笔者选择自己去网上学习如何编写信息收集脚本，并把过程记录下来，供大家学习参考。在本文笔者将描述如何快速编写信息收集脚本来收集挖掘SRC所需的大量资产。本文介绍了如何编写信息收集脚本，以快速收集挖掘SRC所需的大量资产。

2024-05-08 16:51:14 792

原创浅谈在渗透测试中如何清理痕迹-网络安全（黑客）自学

在渗透测试中，清除痕迹可以很好的保护自己。在Linux系统中，如何有效的清除使用痕迹呢？不妨看看这篇文章吧！

2024-04-29 16:57:01 217

原创记一次有源码的渗透测试-网络安全（黑客）自学

在文件夹下搜索.sql后缀名的文件，发现install.sql文件应该就是数据库安装文件了。更换模板后，我尝试了注入（因为这个是一个被包含的文件，需要在index.php包含使用）但是这时想到了问题，因为跟换模板需要网站管理员的账号密码，而一般我们是没有账号密码的。经过一番回溯，发现argon其实是一个网站模板文件，需要更换模板才能够访问这个文件。然后发现源码中有开通分站的功能，那么分站是否可以跟换模板而达到注入的功能呢？utf8的编码方式，看来是不存在sql注入了的，接着看看其他漏洞。

2024-04-28 17:12:50 307

原创 HW蓝队溯源流程-网络安全（黑客）自学

攻防演练过程中，攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括：侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中，安全人员对攻击者某个阶段的攻击特点进行分析，再结合已掌握的威胁情报数据将攻击特点和数据聚类，能够有效掌握攻击者的攻击手法和 IP 、域名资产等。掌握攻击者的攻击手法（例如：特定木马、武器投递方法）；掌握攻击者的 IP域名资产（例如：木马 C2、木马存放站点、资产特点）；掌握攻击者的虚拟身份、身份；掌握攻击者武器的检测或发现方法，将捕获的数据形成新的线索。

2024-04-25 15:25:48 967

原创 HW红队常用命令速查大全

收集渗透中会用到的常用命令。建议直接[Ctrl+F]查找。

2024-04-19 19:15:50 1982

原创 HW 蓝队面试题整理（入侵检测&防御）

当前市场上 Waf 产品核心的防护机制是“规则”，每一个请求、会话，经过抓包，“开包检查”，每一项规则都会检查到，一旦检查不通过，就会被认为是非法访问，拒绝处理。对常见 HTTP 字段进行条件组合，支持定制化防护策略如CSRF防护，通过自定义规则的配置，更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性。你会怎么写，有哪些要注意的地方，如果别人的脚本检测出来了你的脚本没检测出来你觉的你的脚本会存在什么问题，脚本检测过程中如果没有回显你会怎么做。

2024-04-19 14:42:34 810

原创 HW 蓝队面试题整理（应急响应细节题）

为了防止横向越权，我们可以使用缓存来进行辅助，当登录成功或者进行操作时，我们在缓存中存储一对由用户名和一个唯一的数字组成的数据（token），然后返回放入的唯一数据在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字，根据用户名在缓存中取出对应的数字，如果取出的数字和参数中传入的想等，则证明重置的当前用户的密码，否则不是，且不予以重置。每次的请求都是独立的，它的执行情况和结果与前面的请求和之后的请求是无直接关系的，它不会受前面的请求应答情况直接影响，也不会直接影响后面的请求应答情况。

2024-04-19 13:45:16 1584

原创 HW 蓝队防守面试题整理（应急响应宏观题）

研判工作要充分利用已有安全设备（需要提前了解客户的网络拓扑以及部署设备情况），分析其近期的设备告警，将全部流量日志（日志条件：源地址，目的地址，端口，事件名称，时间，规则 ID，发生次数等）根据研判标准进行筛选（像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件，直接过滤掉，减少告警数量），一般情况下，真实攻击不可能只持续一次，它一定是长时间、周期性、多 IP 的进行攻击。这个算是让整套系统性能得到提升的灵魂了，定位为客户的安全大脑，是一个集检测、可视、响应处置于一体的大数据安全分析平台。

2024-04-18 21:06:29 637

原创 HW 必备|一款通用漏洞扫描器

修改配置文件：domain为dns服务器要解析的根域名，token为CVS扫描器连接OOB服务器的认证token，external_ip为该服务器的公网ip，ssl为CVS扫描器连接OOB服务器是否启用ssl，若为true则需要上传pem格式的tls证书server.crt和私钥server.key。上图右上角分别为运行、保存、刷新按钮，按钮用于调试PoC脚本，运行该脚本脚本类似golang，cvs结构体在CVS扫描器中会自动根据target.json生成，无需实现，只需在调试时方便测试，自行声明。

2024-04-10 15:34:04 846

空空如也

空空如也