- 博客(49)
- 收藏
- 关注
RSS订阅原创 【网安-研判-WireShark流量分析】HTTPS流量解密
Wireshark是分析网络流量、追溯恶意行为的核心工具。面对混杂正常业务、系统服务、恶意通信的流量包(PCAP),单纯肉眼查看数据包效率极低,精准的过滤表达式才是排查威胁的关键。审查可疑网络时,加密流量十分常见。目前主流网站普遍使用 HTTPS 协议,各类恶意软件也会利用 HTTPS 隐匿恶意行为,因此解析加密流量,对研判威胁、追溯攻击链路尤为重要。HTTPS 实质是承载 HTTP 数据的加密通道,早期依靠 SSL 加密,如今则以 TLS 协议为主。访问的流:服务器返回200 OK,内容类型为。
2026-06-09 22:23:09
254
1
原创 【网安-研判-WireShark流量分析】网页、RAT、FTP、垃圾邮箱的流量过滤规则实战
Wireshark是分析网络流量、追溯恶意行为的核心工具。面对混杂正常业务、系统服务、恶意通信的流量包(PCAP),单纯肉眼查看数据包效率极低,精准的过滤表达式才是排查威胁的关键。本文基于官方实战教程,结合5个恶意流量PCAP样本,讲解网页流量、远控木马、FTP数据窃密、垃圾邮件僵尸网络四类典型恶意流量的过滤规则、使用场景与实操步骤,同时教大家将常用规则保存为快捷按钮,告别反复输入长表达式。
2026-06-09 15:36:09
272
原创 【网安-研判-WireShark流量分析】PCAP 流量分析:定位感染主机 IP、MAC、主机名与账户信息
Windows 局域网中,NBNS(NetBIOS Name Service)协议用于主机名与 IP/MAC 地址解析,内网终端会广播 NBNS 报文,可从中提取二层 MAC 地址。Windows 域 / 本地登录会使用Kerberos 认证协议,该协议报文中kerberos.CNameString字段存储登录用户名,以此提取终端登录账户。Windows 账户详细信息(全名、描述等)通过SAMR(安全账户管理器远程协议) 传输,该协议专门用于查询本地 / 域用户完整信息,可从中读取用户全名。
2026-06-08 12:57:27
230
原创 【网安-Web渗透测试-免杀系列】内存免杀(无文件落地)
全称为反杀毒技术,指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等技术,所以难度很高。一般人不会或没能力接触这技术的深层内容。免杀的操作基本上都是对病毒、木马的内容、特征进行修改,从而躲避杀毒软件的查杀。个人或者社区版:360、电脑管家、金山毒霸、火绒、Defender等等~~企业版杀毒软件:IDS、IPS、EDR(威胁感知、态势感知、流量监控、数据库监控等等~这些设备往往很贵)静态查杀:一般根据特征码识别,然后对文件进行特征匹配。
2026-05-29 18:24:57
229
2
原创 【网安-Web渗透测试-免杀系列】PowerShell免杀
全称为反杀毒技术,指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等技术,所以难度很高。一般人不会或没能力接触这技术的深层内容。免杀的操作基本上都是对病毒、木马的内容、特征进行修改,从而躲避杀毒软件的查杀。个人或者社区版:360、电脑管家、金山毒霸、火绒、Defender等等~~企业版杀毒软件:IDS、IPS、EDR(威胁感知、态势感知、流量监控、数据库监控等等~这些设备往往很贵)静态查杀:一般根据特征码识别,然后对文件进行特征匹配。
2026-05-27 21:27:19
395
原创 【网安-Web渗透测试-免杀系列】加壳加密
全称为反杀毒技术,指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等技术,所以难度很高。一般人不会或没能力接触这技术的深层内容。免杀的操作基本上都是对病毒、木马的内容、特征进行修改,从而躲避杀毒软件的查杀。个人或者社区版:360、电脑管家、金山毒霸、火绒、Defender等等~~企业版杀毒软件:IDS、IPS、EDR(威胁感知、态势感知、流量监控、数据库监控等等~这些设备往往很贵)静态查杀:一般根据特征码识别,然后对文件进行特征匹配。
2026-05-26 22:36:06
418
原创 【网安-Web渗透测试-靶场系列】AWD-Platform(ctf-hub)
在http://192.168.179.130:8801/admin/index.php页面中上传不死马文件bsm.php。:访问http://192.168.179.130:8801/index.php并登录,账户/密码:admin/mysql。访问http://192.168.179.130:8802/bsm.php之后生成了.shell.php。:在shell命令行中执行如下命令,让每个php页面都调用waf.php以实现拦截。:执行脚本后,添加文件后的效果,即文件会被自动删除。
2026-05-24 15:31:06
434
原创 【网安-Web渗透测试-靶场系列】Vulntarget-a
使用CS生成木马,通过webshell管理工具蚁剑上传到WebServer(网站服务器)运行上线。将 Win7 外网机与 Kali (攻击机)网卡统一设为仅主机模式或NAT,其余设备无需改动。判定存活主机为 Win7 系统,该系统 445 端口存在永恒之蓝漏洞,尝试漏洞利用测试。账号为win7,密码为admin,地址为192.168.179.137。将保存好的文件(cs_1.exe)通过蚁剑上传至WebServer。在中运行了cs_1.exe后,在CS中成功上线了。主机10.0.20.99已成功上线。
2026-05-24 00:11:28
341
原创 【网安-Web渗透测试-内网渗透】单机环境权限维持
粘滞键专为不便按组合键人群设计,连按五下 Shift 自动调用 system32 目录下sethc.exe开启该功能。登录状态下粘滞键以当前用户权限运行;未登录时按五下 Shift,将以最高 System 权限运行 sethc.exe。
2026-05-18 20:06:34
404
原创 【网安-Web渗透测试-内网渗透】域环境权限维持
在内网渗透中,获取目标主机权限后,通常需要通过建立后门等方式实现权限维持,确保在漏洞被修复后仍可持续控制目标。因此,权限维持是内网渗透中的关键环节之一。
2026-05-18 13:29:48
366
原创 【网安-Web渗透测试-内网渗透】局域网ARP攻击与DNS劫持
通过 ARP 中间人欺骗配合 ettercap 的 dns_spoof 插件,目标机访问或 ping 百度域名时,域名解析结果被篡改,流量被劫持到攻击者指定的 192.168.179.31。
2026-05-11 19:06:42
441
原创 【网安-Web渗透测试-内网渗透】内网横向移动——Impacket套件
攻入内网后,以沦陷主机为跳板,探测内网存活资产、锁定目标,依托内网代理和窃取的账号凭据,通过各类远程控制技术渗透拿下更多设备,最终窃取机密数据、掌控内网关键资产。通过开启代理,可在自己的主机中对目标主机实施攻击,无需上传其它exe文件。内网其他主机仅能域内互通、无法联网,且所有域内主机均由域控 DC 统一管理。:在WebServer的IIS中添加1.asp文件,用于后续的WebShell。因此,拿到DC域控后,可轻易横向移动到其它域成员主机。在中运行了cs_1.exe后,在CS中成功上线了。
2026-05-09 23:57:01
426
原创 【网安-Web渗透测试-内网渗透】内网横向移动——票据传递(PTT)
攻入内网后,以沦陷主机为跳板,探测内网存活资产、锁定目标,依托内网代理和窃取的账号凭据,通过各类远程控制技术渗透拿下更多设备,最终窃取机密数据、掌控内网关键资产。:拿下WebServer的System权限后,接入对应的 Cobalt Strike Beacon。:在WebServer的IIS中添加1.asp文件,用于后续的WebShell。说明:避免当前主机中缓存的票据会影响后续的操作,所以先将主机上原有的票据清除。说明:避免当前主机中缓存的票据会影响后续的操作,所以先将主机上原有的票据清除。
2026-05-09 20:48:45
402
原创 【网安-Web渗透测试-内网渗透】内网横向移动——IPC连接
攻入内网后,以沦陷主机为跳板,探测内网存活资产、锁定目标,依托内网代理和窃取的账号凭据,通过各类远程控制技术渗透拿下更多设备,最终窃取机密数据、掌控内网关键资产。IPC即进程间通信,是操作系统中不同进程数据交换、协同的技术,可通过共享内存、管道、套接字等方式实现。目标为该内网段主机,可通过CS的ipc命令横向移动(涉及正/反向连接)。:CS借助提权得到的system会话,通过文件管理功能将4444.exe木马上传至当前主机。注意:反向连接时,目标机器需连接当前受控主机的内网IP(因处于内网环境)。
2026-05-09 13:18:09
382
原创 【网安-Web渗透测试-内网渗透】内网信息收集(工具)
局域网(LAN)是局部范围内的网络,由计算机、打印机、服务器等设备通过网络互联,实现资源共享与信息交换。拓扑结构可采用星型、环型等,支持以太网等技术。常见应用包括文件共享、联机游戏、视频会议等,同时支持电子邮件、FTP等Internet应用。
2026-04-28 23:46:51
544
原创 【网安-Web渗透测试-内网渗透】内网信息收集(Windows命令行集合)
局域网(LAN)是局部范围内的网络,由计算机、打印机、服务器等设备通过网络互联,实现资源共享与信息交换。拓扑结构可采用星型、环型等,支持以太网等技术。常见应用包括文件共享、联机游戏、视频会议等,同时支持电子邮件、FTP等Internet应用。WMIC(Windows Management Instrumentation Command-line)是微软扩展WMI(Windows管理规范)推出的命令行接口工具,核心作用是为WMI名称空间提供友好、强大的命令行操作方式。
2026-04-28 14:17:01
425
原创 【网安-Web渗透测试-内网渗透】内网信息收集(Linux命令行集合)
局域网(LAN)是局部范围内的网络,由计算机、打印机、服务器等设备通过网络互联,实现资源共享与信息交换。拓扑结构可采用星型、环型等,支持以太网等技术。常见应用包括文件共享、联机游戏、视频会议等,同时支持电子邮件、FTP等Internet应用。WMIC(Windows Management Instrumentation Command-line)是微软扩展WMI(Windows管理规范)推出的命令行接口工具,核心作用是为WMI名称空间提供友好、强大的命令行操作方式。
2026-04-27 18:25:52
430
原创 【网安-Web渗透测试-漏洞系列】弱口令
弱的⼝令是指容易被猜测到的⽤户、密码(123,admin,abc)等。userabcdef 11111 123 321 .. . 省略 .. .
2026-04-25 21:17:16
446
原创 【网安-Web渗透测试-Linux提权】CVE-2023-22809
一旦 /etc/sudoers 配置出错或被恶意篡改,普通用户就可能越权以 root 身份执行任意命令,造成严重安全风险。sudo 的核心授权逻辑依赖配置文件 /etc/sudoers,该文件专门定义:哪些用户能使用 sudo、可执行哪些命令、以及以哪个身份运行。sudo 允许系统管理员向指定用户或用户组下放权限,让普通用户可以临时以 root 或其他用户身份,执行部分甚至全部管理员命令。能够在非root且无sudo支持的情况下,可以编辑/etc/passwd文件了。:编辑jan用户拥有sudo的权限。
2026-04-24 23:22:20
318
原创 【网安-Web渗透测试-Linux提权】SUID提权
如果出现页面错误,无需担心,本文主要的最终目的是Linux提权,只要Drupal项目能正常运行即可。:Ubuntu server 18及之后的版本,想要通过SUID方式提权将变得更加困难,或无法操作!数据库密码(Database password):123456。数据集用户名(Database username):root。数据库地址(Database host):127.0.0.1。数据库名(Database name):drupal。数据库端口(Database port):3306。
2026-04-23 23:33:37
411
原创 【网安-应急响应-基础记录】Linux入侵排查
应急响应(Incident Response)就像网络空间的“消防队”,它的核心是在安全事件发生后,进行有效应对和快速恢复。你可能会问,我们如何及时发现攻击?现实是,许多攻击,尤其是利用未知漏洞(0day)的新手法,往往能绕过监测设备的规则库,因为它们看起来和正常流量无异。这时,传统的告警系统可能会失效。应急响应的关键价值,恰恰体现在这里:当攻击不可避免地已经发生,我们能通过一套事先准备好的流程,迅速控制事态、分析原因、止损恢复,并追踪攻击来源。这不仅是为了解决眼前的问题,更是为了提升未来的防御能力。
2026-04-23 22:00:31
465
原创 【网安-应急响应-基础记录】Windows入侵排查
应急响应(Incident Response)就像网络空间的“消防队”,它的核心是在安全事件发生后,进行有效应对和快速恢复。你可能会问,我们如何及时发现攻击?现实是,许多攻击,尤其是利用未知漏洞(0day)的新手法,往往能绕过监测设备的规则库,因为它们看起来和正常流量无异。这时,传统的告警系统可能会失效。应急响应的关键价值,恰恰体现在这里:当攻击不可避免地已经发生,我们能通过一套事先准备好的流程,迅速控制事态、分析原因、止损恢复,并追踪攻击来源。这不仅是为了解决眼前的问题,更是为了提升未来的防御能力。
2026-04-21 16:28:40
400
原创 【网安-等保评测-基础记录】网络安全等级保护2.0 详解(定级、备案、测评、整改一站式指南)
网络安全等级保护是对国家重要信息、法人及其他组织专有信息、公民个人信息,以及存储/传输/处理上述信息的信息系统分等级实施安全保护;对信息系统所用安全产品按等级管理;对信息安全事件分等级响应与处置,是我国网络安全基本制度、基本国策、基本方法。测评机构依据国家信息安全等级保护制度,按管理规范和技术标准,对未涉及国家秘密的信息系统,检测评估其安全等级保护状况。
2026-04-18 23:02:37
1003
原创 【网安-Web渗透测试-内网渗透】内网代理和隧道技术
因为win7防火墙设置了入站规则:万维网服务(HTTP),这种情况下防火墙通常只允许80端口访问,其他端口即使有开放,但是由于防火墙的阻止是不能产生连接的,因此后门的4444端⼝不会上线。目标主机:10.10.10.10(外网机的第二个网卡,也是接入内网其他主机的网卡的IP地址),端口为84(此处的端口指向的是外网机中已经部署好的Web项目)。目标主机:10.10.10.10(外网机的第二个网卡,也是接入内网其他主机的网卡的IP地址),端口为83(此处的端口指向的是外网机中已经部署好的Web项目)。
2026-04-01 21:13:43
618
原创 【网安-Web渗透测试-数据库提权】MySQL——MOF提权
在此设置下,攻击者可以尝试将文件写入任何有权限的目录,从而绕过路径限制,显著增加了提权成功的可能性。通过网站漏洞拿到webshell后,利用系统漏洞无法提权时(或目标操作系统无漏洞无法提权),可利用目标服务器网站的数据库提权,以达到操作系统的命令的目的!如果提权所需的目标路径(如MySQL插件目录 plugin_dir或系统目录)不在允许的范围内,提权将失败。此部分是为了让数据库满足提权条件而设立的,在后续的提权操作中方便演示效果。此设置将文件的导入和导出操作严格限制在参数所指定的目录及其子目录下。
2026-03-04 21:37:42
428
原创 【网安-Web渗透测试-数据库提权】MySQL——UDF提权
User Defined Function 用户自定义函数,MySQL数据库的初衷是用于方便用户进行自定义函数来查询一些复杂的数据。此函数提供方便的同时也会带来风险,攻击者可以利用这个机制自定义一个函数,从而能够借助函数执行操作系统命令达到提权的目的。
2026-03-04 18:38:04
401
原创 【网安-Web渗透测试-Linux提权】CVE-2022-0847(Dirty Pipe)
脏牛漏洞(Dirty COW)是Linux内核中的一个本地提权漏洞,分为Dirty COW(CVE-2016-5195)和Dirty Pipe(CVE-2022-0847)两个主要版本。其中,CVE-2022-0847(也称Dirty Pipe 2.0)主要影响内核版本5.8及以上的系统。其核心原理是利用内核在处理写时复制(Copy-on-Write)机制时的竞争条件。当多个进程并发访问同一只读内存页时,内核可能错误地允许无权限的进程向该页面写入数据,从而破坏内存隔离性。
2026-02-25 19:02:29
664
原创 【网安-Web渗透测试-Windows提权】MS14_058
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作,使用方法简单,只需上传⼀个代码文件,通过网址访问,便可进行很多⽇常操作,极大地方便了使用者对网站和服务器的管理。
2026-02-21 17:08:09
617
原创 【网安-Web渗透测试-Windows提权】MS16-075(烂土豆)
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作,使用方法简单,只需上传⼀个代码文件,通过网址访问,便可进行很多⽇常操作,极大地方便了使用者对网站和服务器的管理。
2026-02-20 21:34:42
790
原创 【网安-Web渗透测试-Windows提权】MS09-012(巴西烤肉)
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作,使用方法简单,只需上传⼀个代码文件,通过网址访问,便可进行很多⽇常操作,极大地方便了使用者对网站和服务器的管理。
2026-02-20 13:44:38
695
原创 【网安-Web渗透测试-漏洞系列】序列化漏洞
序列化是将⼀个变量的数据转换为字符串(与类型转换不同)。其目的是将该字符串存储起来(存为文本文件);在其他环境上运行时,可通过反序列化将其恢复。(用在数据需要存储的地方)
2026-02-17 22:32:35
923
原创 【网安-Web渗透测试-漏洞系列】逻辑漏洞(或越权漏洞)
程序员开发的网站时,因逻辑考虑不够严谨,所以存在逻辑漏洞。而攻击者可以利用此漏记漏洞造成危害。例:普通用户通过直接访问 /admin/deleteUser链接删除了其他用户。普通用户访问此地址时,则会跳转回登录页面;必须以超级管理员身份才能访问。将username=lucy改为username=kobe。例:将订单ID从123改为124,看到了别人的订单详情。② 垂直越权:低权限用户执行了高权限操作。① 水平越权:同权限用户访问了他人数据。
2026-02-16 21:43:23
314
原创 【网安-Web渗透测试-漏洞系列】文件包含&下载读取
当allow_url_include被设置为On时,PHP允许通过URL的形式,从远程服务器包含和执行PHP文件。此部分的攻击机为虚拟机,IP为192.168.179.144,phpstudy的apache服务端口为90。本地包含只能含有服务器已有的问题,当服务器没有需要包含的文件,那么,需配合其它漏洞的使用。php://input 可以访问请求的原始数据的只读流,将post请求的数据当作php代码执⾏。URL形式,允许通过HTTP1.0的GET方法,以读取访问文件或资源,通常用于远程包含。
2026-02-16 16:45:54
639
原创 【网安-Web渗透测试-漏洞系列】文件上传漏洞
文件被上传时,服务器端脚本语言未给上传的文件做严格的验证和过滤,是可能上传恶意的脚本文件,从而控制整个网站,甚至是服务器,这将带来恐怖的毁灭性灾难。
2026-02-15 23:35:43
593
原创 【网安-Web渗透测试-漏洞系列】RCE漏洞
RCE(Remote Code/Command Execution)是远程代码执⾏和远程命令执⾏的漏洞。在很多Web应⽤中,开发⼈员会使⽤⼀些函数,这些函数以⼀些字符串作为输⼊,功能是将输⼊的字符串当作代码或者命令来进⾏执⾏。当⽤户可以控制这些函数的输⼊时,就产⽣了RCE漏洞。
2026-02-13 17:40:26
575
原创 【网安-Web渗透测试-漏洞系列】XXE漏洞
XXE(XML External Entity Injection)漏洞为外部实体注入漏洞,该漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口、攻击内网网站等危害。因为设为127.0.0.1的话,目标机中处理xml请求时会认为将文件传送在目标机本身,因此一定要设为攻击机的IP。①D:/phpStudy/PHPTutorial/WWW/flag.txt是指要读取的文件路径,此处也可以拿来设为其它文件。看到这样的结果,说明存在XXE漏洞。
2026-02-12 18:13:02
704
原创 【网安-Web渗透测试-漏洞系列】SSRF漏洞
SSRF(Server-Side Request Forgery,服务器请求伪造)是⼀种由攻击者构造请求,由服务端发起请求的安全漏洞,攻击者可以修改一个正常的URL,把它换成自己想访问的其他URL。服务器在收到这个被篡改的请求后,会代替攻击者去访问那个URL。SSRF攻击的⽬标是外⽹⽆法访问的内⽹系统,使得服务端能请求到与⾃身相连⽽与外⽹隔绝的内部系统。因此,内部文件无法被直接访问。内部无授权不可访问的地址:http://127.0.0.1/内部无授权不可访问的地址:file://xxx。
2026-02-10 23:00:24
660
原创 【网安-Web渗透测试-漏洞系列】CSRF漏洞
攻击者通过诱导⽤户点击恶意链接或访问恶意⽹站,利⽤⽤户的浏览器⾃动发送包含合法Cookie的请求,从⽽以⽤户的身份执⾏敏感操作,如转账、修改密码等。当⽤户点击时,浏览器会发送 包含⽤户Cookie的请求 到> ⽬标⽹站,服务器误认为是⽤户本⼈操作。服务器通常通过检查请求中的Cookie来判断⽤户身份,只要请求中包含有效的Cookie,服务器就会认为是⽤户本⼈操作。当⽤户登录⼀个⽹站后,浏览器会⾃动在后续请求中附带Cookie,包括sessionid等认证信息。
2026-02-10 19:33:44
649
原创 【网安-Web渗透测试-漏洞系列】XSS漏洞
攻击人员向Web⻚⾯中插⼊恶意Script代码,当用户流量该页面时,被嵌入Web页面的Script代恶意码被执行,以达到恶意攻击用户的目的。在启动beef-xss时,出现了Hook链接,这将是用来攻击别人的一个重要脚本,要及时保持好!Beef-XSS是个功能强⼤的XSS漏洞利⽤⼯具,它用Ruby语⾔开发,由kali⾃带。删除install.lock文件后才能进行后续的安装,如果文件不存在则跳过此步。当beef-xss启动完成后,会在浏览器中弹出登录beef管理页面。此处仅仅在kali的本机访问的。
2026-02-09 19:02:33
576
原创 【网安-Web渗透测试-漏洞系列】SQL注入
改变SQL的参数后,浏览器无显示对应内容和报错信息时,则不能⽤union联合查询注⼊与报错注⼊,可⽤布尔注⼊。即撞库,即admin和admin’#两个看着像,但不同,利用二次注入就会使admin’#能得到admin的权限。可以看到此处的’admin’#‘被看成了admin,因此利用用户’admin’#'就能将admin的密码给修改,从而造成安全隐患。攻击者在网站的输入框中输入了一段SQL语句,通过这段SQL语句从数据库得到偷取、删除和修改网站的目的。后面的值表示SQL语句中的where条件。
2026-02-08 21:11:13
604
【网安-Web渗透测试-漏洞系列】弱口令
2026-04-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人