网络安全-攻击篇-攻击载体

前言

        随着网络的安全事态不断演变、新的威胁不断出现，从而也萌生了形式多样的网络攻击载体，攻击者利用这些载体进行网络安全攻击。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全，使计算机或网络系统中的数据被篡改、窃取或丢失，导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起，他们利用各种技术手段和漏洞并建立网络连接的武器载体，来实施攻击，以获得非法利益或造成损害。按照功能可以分为投递攻击类、连接控制类、独立攻击类。结合网络上曾爆出过的安全事件以及常见的攻击方式总结了以下攻击载体：

• 投递攻击类有远程攻击、钓鱼邮件、恶意文档等。其中，钓鱼邮件是最常见的投递攻击类，最常见的手段是投递一个附件，如果被诱导打开了附件里的文档或程序，则可能会被种下恶意软件、后门木马。
• 连接控制类有WebShell、反弹Shell、后门木马等。当攻击完成之后，如果目标是一个Web应用服务器，攻击者会在合适的目录下放置一个实施命令与控制的PHP或JSP脚本，通过网址访问就能实施控制和窃取信息的操作。反弹Shell是指失陷主机主动连接攻击者服务器实施被控的脚本载荷，通常使用Bash、Telnet、Python、PHP等脚本编写，并完成系统驻留，实施持久化攻击。后门木马是指攻击者完成入侵后植入的后门通道，用于远程控制和执行命令，功能非常强大，可以截取屏幕，窃取数据，破坏系统等，是组建僵尸网络和进行APT攻击(定向持久攻击)的关键武器。
• 独立攻击类有SSH、RDP、Telnet等标准Shell。标准Shell是指利用SSH、Telnet、RDP、灰鸽子远程协助等软件提供的远程服务实施的攻击，比如弱口令攻击，一旦入侵成功，就可以使用系统提供的远程服务实施控制和命令操作。

肉鸡

        肉鸡（Zombie）是一种很形象的比喻，比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备，用于发动网络攻击。这种攻击通常涉及到黑客攻击、病毒传播、恶意软件感染等手段，会对被攻击者的网络安全和隐私造成严重威胁。

常见利用方式：

1. 恶意软件感染：攻击者通过发送病毒、蠕虫、木马等恶意软件感染目标计算机，从而控制这些计算机。
2. 社会工程学：攻击者利用人类的心理和行为弱点，通过社交媒体、电子邮件、电话等方式诱骗受害者点击恶意链接或下载恶意软件，从而控制他们的计算机。
3. 远程控制攻击：攻击者通过漏洞、弱密码、未授权访问等手段获得对目标计算机的远程控制权，从而可以操纵这些计算机进行各种操作。
4. DDoS攻击：攻击者通过控制大量肉鸡，同时向目标网站或服务器发送大量请求，导致目标网站或服务器过载崩溃，无法正常提供服务。

僵尸网络

        僵尸网络（Botnet）是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

常见利用方式：

1. 分布式拒绝服务攻击（DDoS）：攻击者利用僵尸网络中的大量受感染设备同时向目标系统发送大量的请求或数据包，以超过目标系统的处理能力，使其服务不可用。
2. 垃圾邮件和广告投放：攻击者利用僵尸网络发送大量垃圾邮件或投放广告，用于传播恶意软件、推销假冒产品或欺诈活动。
3. 数据盗取和钓鱼：攻击者使用僵尸网络收集受感染设备上存储的敏感信息，如个人身份信息、账户凭据等。

木马

        木马（Trojan horse）是一种隐藏在正常程序中的具有特殊功能的代码，实质上是一种远程控制软件，是一种未经授权，利用网络欺骗或者攻击的手段装入目标计算机中。攻击者通过木马可以完全控制受害者的计算机，包括执行命令、遥控操作、下载/上传文件等。有很多黑客就是热衷使用木马程序来控制别人的电脑，比如灰鸽子、Gh0st、PcShare等。

常见利用方式：

1. 密码窃取木马：能够盗取用户登录凭证和密码信息的木马程序。这类木马常常通过钓鱼网站、恶意软件下载、邮件附件等方式传播。一旦受害者在感染后输入账户密码，攻击者就能够获取这些信息，从而窃取受害者的个人财产或者滥用其身份。
2. 键盘记录木马：通过键盘记录木马可以获取用户的登录凭证、敏感信息或者银行卡、支付宝等账户的用户名和密码。
3. 屏幕记录木马：一种能够在受感染计算机上记录用户屏幕活动的木马程序。攻击者可以通过屏幕记录木马获悉受害者的各类敏感信息，如银行账号、密码和其他个人隐私。
4. 控制技术：即攻击者如何控制服务器端实施攻击任务。

网页木马

        网页木马（Webshell）是一种隐藏在正常网页文件中的恶意代码，当用户访问被感染的网页时，这些恶意代码会自动执行，窃取用户的信息或执行恶意程序，控制用户的计算机系统或将受影响的客户电脑变成肉鸡或纳入僵尸网络。网页木马通常利用用户的浏览器漏洞或者用户的不小心操作来传播和感染计算机。

常见利用方式：

1. 欺骗用户点击链接或下载附件：有些网页会伪装成其他网站或者以虚假信息吸引用户点击，从而诱导用户打开恶意链接或下载附件。这些附件可能会包含网页木马程序，一旦被激活就会感染用户的计算机。
2. 浏览器漏洞：利用浏览器漏洞是另一种常见的网页木马攻击方式。攻击者可以利用漏洞在用户浏览网页时执行恶意代码，从而实现控制用户计算机的目的。
3. 代码混淆：一些网页木马使用混淆技术来绕过杀毒软件和安全软件的检测。混淆技术可以将代码重新编码，使其看起来像合法代码，从而避免被识别为恶意代码。
4. 跨站脚本（XSS）：有些网页木马会在用户访问页面时注入恶意代码，这种被称为跨站脚本攻击。当用户访问该页面时，恶意代码会被加载并执行，从而控制用户的计算机。
5. 钓鱼陷阱：这是一种比较隐蔽的网页木马攻击方式，通常会伪装成合法的网站或者电子邮件地址，诱使用户点击或者下载附件。一旦用户点击或者下载了附件，就会感染网页木马程序。
6. 社会工程学：这是指利用人类心理弱点进行欺骗的一种攻击方式。攻击者可能冒充合法网站或者电子邮件地址，发送带有恶意附件的邮件，诱使用户点击或者下载附件。

Rootkit

        Rootkit是一种特殊的恶意软件，主要功能是隐藏其他程序进程，可能是一个或一个以上的软件组合。Rootkit通常用于隐藏攻击者的踪迹和保留root访问权限。攻击者通过远程攻击获得root访问权限，或者首先通过密码猜测或密码强制破译的方式获得系统的访问权限。进入系统后，如果攻击者还没有获得root权限，他可能会通过某些安全漏洞获得系统的root权限。接着，攻击者会在侵入的主机中安装Rootkit，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐蔽。然后经常通过Rootkit的后门检查系统是否有其他的用户登录。一旦确认只有自己，攻击者就开始着手清理日志中的有关信息。通过Rootkit的嗅探器获得其他系统的用户和密码之后，攻击者会利用这些信息侵入其他的系统。

常见利用方式：

1. 利用系统漏洞：攻击者利用操作系统的漏洞或缺陷，将rootkit安装到目标系统上。这些漏洞可能包括缓冲区溢出、格式化字符串漏洞、整数溢出等。
2. 网络攻击：攻击者通过网络向目标系统发送恶意代码，一旦目标系统打开或运行恶意代码，rootkit就会被安装。这种攻击方式包括拒绝服务攻击、特洛伊木马、蠕虫病毒等。
3. 恶意软件：攻击者通过安装恶意软件，如间谍软件、广告软件等，来传播rootkit。这些恶意软件会在用户不知情的情况下，在其电脑上安装后门、收集用户信息、篡改用户设置等。
4. 物理访问攻击：如果攻击者有物理访问目标系统的权限，他们可以直接将rootkit安装到系统上。这种攻击方式通常需要攻击者有足够的权限或口令，以便在目标系统上进行操作。

蠕虫病毒

        蠕虫病毒（Worm）是一类相对独立的恶意代码。它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。蠕虫病毒是自包含的程序，它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序中，而是通过将自身拷贝放置到所攻击的系统中进行攻击。蠕虫病毒利用系统漏洞进行传播，如操作系统漏洞、蠕虫病毒传播时利用的漏洞等。一旦蠕虫病毒被激活，它会在计算机系统内部迅速传播，导致计算机运行异常、数据丢失或被窃取。

常见利用方式：

1. 利用系统漏洞：蠕虫病毒通常利用操作系统或应用程序的漏洞进行传播。当系统存在未修复的漏洞时，蠕虫病毒能够利用这些漏洞在系统中快速传播，并对系统造成破坏。
2. 自动传播：蠕虫病毒具有自动传播的能力，它能够在计算机内部自我复制，并将自身传播到其他计算机上。这种传播方式通常是通过网络进行，如电子邮件附件、网络共享、网页等。
3. 欺骗用户点击：蠕虫病毒经常通过伪装成可执行文件或链接来欺骗用户点击。当用户点击这些恶意链接或下载恶意文件时，蠕虫病毒就会被激活，并在系统中迅速传播。
4. 弱密码攻击：蠕虫病毒可能会利用弱密码进行攻击，尝试破解用户的账户密码，从而获得对系统的控制权。
5. 感染其他程序：蠕虫病毒可能会感染其他应用程序或文件，使其携带病毒并继续传播。

震网病毒

        震网病毒（Stuxnet）是一种计算机蠕虫病毒，是第一个专门定向攻击真实世界中基础能源设施的“蠕虫”病毒，包括核电站、水坝、国家电网。震网病毒的由来可以追溯到2006年，当时伊朗重启核计划的消息一出，美国和以色列都感到了威胁。以色列决定对伊朗实施外科手术式的打击，派出由F-16组成的攻击机群，像1981年摧毁伊拉克核设施那样摧毁伊朗的核工业。而美国则将目光瞄准了西门子，希望通过控制西门子的工控机来破坏伊朗的核设施。为此，美国情报机构和以色列情报机构合作，开发出了震网病毒。主要针对西门子型号为S7-315和S7-417的工控机，利用高度复杂的恶意代码和多个零日漏洞作为攻击武器。主要破坏经过是：在核设施中，它可以让离心机过载运转，从而破坏离心机本身以及与之相关的系统和设施；同时，它还会掩盖离心机故障的情况，使得维护人员无法及时发现问题。

常见利用方式：

1. 漏洞利用：震网病毒利用了多个零日漏洞（0Day）来绕过系统防护措施，从而进入目标系统。这些零日漏洞通常是未被及时修复的安全漏洞，使得病毒可以轻松地感染系统和相关设备。
2. 隐蔽传播：震网病毒在传播过程中采用了多种隐蔽手段，如伪装成合法文件、修改图标、使用虚假信息等。这些隐蔽手段使得病毒可以在不被用户注意的情况下快速传播到其他系统中。
3. 持久化感染：震网病毒可以通过多种方式实现持久化感染，如在系统启动时自动运行、在后台隐藏运行、通过网络连接等方式激活等。这种持续感染能力使得病毒能够在目标系统中长期存在并造成更大的破坏。
4. 控制网络流量：震网病毒可以通过控制网络流量来实现对目标系统的控制。它能够阻断网络通信，使目标系统无法访问外部网络，从而达到保护自己的目的。
5. 破坏系统资源：震网病毒可以对计算机系统进行各种破坏操作，包括占用大量系统资源、破坏文件系统、干扰操作系统等。这些破坏行为可能导致系统崩溃、数据丢失等问题。
6. 远程控制：震网病毒可以通过网络远程控制目标系统，实现对目标系统的控制和操纵。这种远程控制功能可以为黑客提供更多的非法操作权限和便利条件。

勒索病毒

        勒索病毒（Ransomware）是一种恶意软件，这种病毒通常会利用各种漏洞和加密算法对被感染者的计算机文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

常见利用方式：

1. 感染系统文件：勒索病毒会感染系统文件，如exe、sys等可执行文件或驱动程序。一旦感染成功，病毒就会对文件进行加密，导致文件无法正常打开和使用。
2. 破坏数据：勒索病毒会对数据进行破坏，包括用户的个人信息、银行账户信息等敏感数据。这些数据被破坏后，可能会导致严重的后果。
3. 锁定设备：勒索病毒可以对计算机设备进行锁定，使设备无法正常使用。这会导致用户无法完成工作、学习等日常活动。
4. 要求支付赎金：有些勒索病毒会在受害者付款后才会解密受感染的文件。因此，很多受害者因为不想支付赎金而选择不采取任何措施，但这会导致更多的受害者受到感染。
5. 社会工程学：一些勒索病毒可能会利用社会工程学的方法进行传播，即通过伪装成合法软件或者钓鱼网站来吸引用户点击或者下载。

挖矿木马

        挖矿木马（Mining Malware）是一种恶意软件，将电脑、移动设备甚至是服务器变为矿机的木马，通常由挖矿团伙植入，用于挖掘比特币从而赚取利益。它会在受感染的计算机上运行，并利用计算机的资源来进行加密货币挖矿操作，从而赚取利润。这种木马可以隐藏在用户下载的文件或链接中，或者通过网络漏洞进行远程传播。一旦感染，木马会在后台默默地运行，用户可能会发现计算机变得缓慢，甚至出现崩溃的情况。

常见利用方式：

1. 利用系统漏洞：挖矿木马会利用各种系统漏洞，如Windows系统漏洞、服务器组件插件漏洞、中间件漏洞、Web漏洞等，通过自动化脚本扫描互联网上的所有机器，寻找漏洞并部署挖矿进程。
2. 弱密码暴力破解：挖矿木马会通过弱密码暴力破解进行传播，但这种方法攻击时间较长。
3. 利用僵尸网络：利用僵尸网络也是挖矿木马重要的传播方法，如利用Mykings、 WannaMine、Glupteba等控制大量主机。攻击者通过任务计划、数据库存储过程、WMI等技术进行持久化攻击，很难被清除，还可随时从服务器下载最新版本的挖矿木马，控制主机挖矿。
4. 无文件攻击：通过在PowerShell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方法没有文件落地，会直接在PowerShell.exe进程中运行，这种注入“白进程”执行的方法更加难以实施检测和清除恶意代码。
5. 利用网页挂马：在网页内嵌入挖矿JavaScript脚本，用户一旦进入此类网页，脚本就会自动执行，自动下载挖矿木马。
6. 利用社交软件、邮件传播：攻击者将木马程序伪装成正规软件、热门文件等，通过社交软件或邮件发送给受害者，受害者一旦打开相关软件或文件就会激活木马。
7. 内部人员私自安装和运行挖矿程序：机构、企业内部人员带来的安全风险往往不可忽视，需要防范内部人员私自利用内部网络和机器进行挖矿获取利益。

攻击载荷

        攻击载荷（Payload）是一种系统被攻陷后执行的多阶段恶意代码，也称为载荷或有效负载。在网络安全攻击中，黑客或攻击者使用的恶意代码或攻击工具。它可以是一段恶意代码或可执行文件、脚本，如病毒、蠕虫或木马程序，也可以是一种攻击技术或手段，如拒绝服务攻击、网络钓鱼或社交工程攻击。攻击载荷的目的是对目标系统进行破坏、信息窃取、远程控制或其他非法活动。攻击者通过将攻击载荷附在恶意代码上，利用各种漏洞或欺骗手段将恶意代码传播到目标系统中，并在目标系统上执行攻击载荷。攻击载荷通常会被嵌入到可信的文件、网站或应用程序中，以欺骗用户并使其在不知情的情况下运行或访问。攻击载荷可以用于各种恶意目的，如窃取敏感信息、破坏系统资源、执行拒绝服务攻击等。

常见利用方式：

1. 远程攻击类载荷：通过利用漏洞或欺骗手段，攻击者可以远程控制目标系统并执行恶意代码。这种攻击方式通常需要攻击者拥有一定的技术水平，但可以快速地传播和感染大量目标系统。
2. 投递攻击类载荷：攻击者通过将恶意文件或可执行程序投递给目标用户，并诱骗其打开或运行这些文件或程序，从而感染目标系统。这种攻击方式通常需要针对特定的目标或群体，但可以获得较高的成功率。
3. 连接控制类载荷：攻击者通过在恶意代码中嵌入后门、木马等恶意程序，控制目标系统并窃取敏感信息。这种攻击方式通常需要攻击者具备较高的技术水平，但可以长期控制目标系统并获取大量敏感信息。
4. 独立攻击类载荷：攻击者通过利用漏洞或欺骗手段，直接在目标系统上执行恶意代码并获取控制权。这种攻击方式通常需要攻击者具备较高的技术水平，但可以快速地感染大量目标系统并获得控制权。

嗅探器

        嗅探器（Sniffer）是一种网络分析工具，通过使用嗅探器，攻击者可以截获在网络上传输的数据包，并获取敏感信息。例如，一些黑客会使用嗅探器来截获用户的敏感信息，如用户名、密码、信用卡信息等。它通常被用于网络故障排查、数据分析、网络流量监控、网络安全领域等场景。嗅探器可以在共享网络环境下工作，但也可以在交换式网络环境下捕获只能单播的数据包。嗅探器基于被动侦听原理，在以太网中是一种将网络适配卡设置为杂乱模式的设备，用于接收传输在网络上的每一个信息包。

常见利用方式：

1. 密码破解：攻击者可以使用嗅探器截获网络中传输的明文密码，然后使用密码破解工具来获取用户的登录凭据。例如，攻击者可以截获用户在登录网站时发送的密码，然后尝试用该密码在其他网站上登录，以窃取用户的个人信息。
2. 数据包捕获：攻击者可以使用嗅探器截获网络中传输的数据包，对捕获的数据包进行分析和解析，提供详细的数据包信息，如协议类型、数据长度、源目IP地址等。
3. 钓鱼攻击：攻击者利用数据包中的敏感信息，进行钓鱼攻击，截获用户在登录银行账户时发送的账号和密码，然后伪装成银行工作人员向用户发送钓鱼邮件，诱导用户点击恶意链接或下载恶意附件，以窃取用户的个人信息或执行其他恶意操作。
4. 数据泄露：攻击者利用数据包中的信息数据，截获用户在社交媒体上发送的私信或聊天记录，然后将其发布到网上或出售给其他人，以获取经济利益。

恶意软件

       恶意软件（Malware）是一种有意制造的、具有恶意目的被设计来达到非授权控制计算机或窃取计算机数据等多种恶意行为的程序。种类很多，包括病毒、蠕虫、木马、间谍软件、广告软件等。主要目的是窃取用户的个人信息，如账号密码、银行卡信息等，进行盗窃或欺诈活动。通过控制计算机系统，将其加入一个僵尸网络用于进行黑客攻击或发送垃圾邮件。还有一些会故意破坏计算机系统的正常运行，导致系统崩溃或数据丢失。这些恶意软件通常会伪装成合法的软件，如游戏、工具等，以欺骗用户点击或下载，其传播方式多种多样，包括网络下载、电子邮件附件、社交媒体、移动应用程序等。一旦被安装到计算机系统中，恶意软件就可以执行各种恶意操作，如窃取个人信息、破坏系统资源、发送垃圾邮件等。

常见利用方式：

1. 欺骗性安装：攻击者会伪装成合法的软件或应用程序，通过欺骗用户点击或下载的方式进行传播。这种攻击方式通常会利用社会工程学方法，如发送虚假邮件、社交媒体消息等。
2. 漏洞利用：攻击者可以利用系统或应用程序的漏洞进行恶意软件的传播和感染。例如，有些恶意软件可以通过浏览器漏洞来感染用户的计算机，或者利用操作系统本身的漏洞来执行恶意代码。
3. 供应链感染：供应链中的供应链是恶意软件的重要传播途径之一。供应链中的供应链可能包括供应商、制造商、物流公司等环节，任何一个环节出现问题都可能导致供应链中的供应链受到病毒感染。
4. 后门程序：后门程序是一种绕过安全机制的方法，可以让攻击者访问被感染系统的控制权。后门程序的类型有很多种，如远程访问工具、密码破解工具等。
5. 病毒木马：病毒木马是最常见的恶意软件之一，它们可以感染用户的计算机并执行各种恶意操作，如窃取个人信息、破坏系统资源、发送垃圾邮件等。
6. 勒索软件：勒索软件是一种新型恶意软件，它们会在用户计算机中锁定文件并进行加密，要求用户支付赎金才能解密文件。这种类型的恶意软件对用户的危害更大。

间谍软件        

        间谍软件（Spyware）是一种能够在用户不知情的情况下，在其电脑、移动设备上安装后门，收集用户信息、监听、偷拍等功能的软件。这种软件通常会收集用户的个人信息，如邮件内容、搜索查询、访问过的网站等，并可能将这些信息发送给黑客或广告公司等第三方组织。间谍软件还可能通过后门程序、广告弹窗等形式传播，影响用户的计算机性能和网络安全。间谍软件的危害性非常大，可能会导致用户的隐私泄露和财产损失。

常见利用方式：

1. 收集信息：间谍软件会通过各种途径（如网页挂载、下载器捆绑等）收集用户的信息。这些信息可能包括用户的个人信息、浏览记录、交易记录等。
2. 感染系统：一旦间谍软件成功入侵用户的计算机系统，它就会在后台运行并潜伏起来。此时，用户可能不会察觉到任何异常情况。
3. 收集数据：间谍软件会在后台偷偷地收集用户的数据，并将其发送给黑客或第三方组织。这些数据可能包括用户的邮件内容、搜索查询、访问过的网站等。
4. 后门程序：为了方便日后控制用户的计算机，间谍软件可能会安装后门程序。这种后门程序可以让黑客远程控制用户的计算机，从而进行更加危险的恶意操作。
5. 广告弹窗：间谍软件可能会利用广告弹窗等方式向用户推送广告或其他垃圾信息，以干扰用户的正常使用。
6. 清除痕迹：为了防止被发现，间谍软件可能会清理掉一些能够证明自己存在的痕迹（如日志文件），以便更好地隐藏自己。

后门

        后门（BackDoor）是一种形象的比喻，在某个软件或系统中秘密设置的进入路径，这些秘密设置，表面上是很难被察觉的，就好象是入侵者偷偷的配了一把主人房间的钥匙，或者在不起眼处修了一条暗道，可以方便自身随意进出。在计算机安全领域中，可以绕过正常的安全措施进入系统或获取未经授权的权限，以便让攻击者能够远程访问或控制目标系统。后门通常被用于恶意目的，如间谍活动、网络攻击等。后门可以通过多种方式进行设置，如利用漏洞、隐藏账户、修改配置文件等。一旦成功设置后门，攻击者就可以通过后门进入目标系统，执行各种恶意操作，如窃取数据、安装恶意软件、破坏系统等。

常见利用方式：

1. 隐藏后门：攻击者在目标系统上安装后门，但将后门程序隐藏起来，以免被用户或安全软件发现。这样，攻击者可以通过后门悄悄地进入目标系统，执行各种恶意操作。
2. 持久后门：攻击者通过各种手段在目标系统上安装持久后门，这种后门可以在系统重新启动或重新安装后仍然存在。攻击者可以通过持久后门继续控制目标系统，并窃取数据、安装恶意软件等。
3. 命令和控制后门：攻击者通过后门在目标系统上建立命令和控制通道，从而实现对目标系统的远程控制。攻击者可以通过命令和控制后门发送指令，控制目标系统的各种操作和功能。
4. 隐身后门：攻击者通过修改系统或应用程序的代码，在正常操作中隐藏后门。这种后门很难被发现，因为它们与正常操作非常相似。攻击者可以通过隐身后门悄悄地进入目标系统，并执行恶意操作。

弱口令

        弱口令（Weak Password）是一种容易被破解或猜测的密码，如简单的字典词语、生日或常用数字的组合。弱口令容易被黑客利用暴力破解或字典攻击等方式进入账户、系统或网络，造成严重的安全威胁。

常见利用方式：

1. 字典破解：攻击者使用一个预先准备的密码字典，尝试逐个尝试字典中的密码来破解目标系统的密码。如果攻击者猜测正确，他就可以获得对目标系统的访问权限。
2. 暴力破解：攻击者通过不断尝试各种可能的密码组合来破解目标系统的密码。这种攻击方式类似于暴力破解，通过大量的尝试来猜测正确的密码。
3. 社交工程学：攻击者通过欺骗用户提供密码或通过其他方式获取密码。例如，攻击者可能会发送钓鱼邮件，诱使用户点击恶意链接或输入密码。
4. 彩虹表破解：攻击者使用彩虹表来破解哈希算法（如MD5、SHA1等）加密的密码。彩虹表是一种预先计算出的密码哈希值和原始密码的对应表，通过查找彩虹表中的哈希值，攻击者可以还原出原始密码。

漏洞

        漏洞（vulnerability）是指计算机系统、网络系统或软件程序中存在的安全弱点或错误，可能被攻击者利用来进行非法活动或获取未授权的访问权限。漏洞可以是设计缺陷、编程错误、配置问题等导致的。攻击者可以通过利用漏洞来入侵系统、获取用户敏感信息、破坏数据等。漏洞是计算机系统和网络安全的重要问题，需要及时修复和防范。

常见利用方式：

1. SQL注入攻击：攻击者通过将恶意的SQL语句注入到Web应用程序中，利用应用程序对用户输入的处理不当，从而执行恶意代码，绕过应用程序的身份验证，访问或修改数据库中的数据。例如，当应用程序没有正确地过滤用户输入的字符时，攻击者可以在输入中注入SQL语句，从而操纵数据库。
2. 跨站脚本攻击（XSS）：攻击者通过在Web应用程序中注入恶意脚本，利用应用程序对用户输入的处理不当，从而盗取用户的会话令牌或执行其他恶意操作。例如，当应用程序没有对用户输入进行适当的验证和转义时，攻击者可以在输入中注入JS代码，从而窃取用户的敏感信息。
3. 跨站请求伪造（CSRF）：攻击者通过伪造合法用户的请求，利用网站对于用户网页浏览器的信任，挟持用户当前已登陆的Web应用程序，去执行并非用户本意的操作。实现对目标Web应用程序的恶意操作。
4. 服务器请求伪造（SSRF）：攻击者可以利用该漏洞诱使服务器端应用程序向攻击者选择的任意域发出HTTP请求。这种漏洞通常出现在应用程序中，攻击者通过构造恶意的请求，将恶意的输入注入到应用程序中，并导致应用程序执行未授权的操作。
5. XML外部实体攻击（XXE）：攻击者通过在XML输入中插入恶意实体，引起应用程序解析XML时的漏洞，从而导致信息泄露或拒绝服务等问题。
6. 未验证的重定向和包含：攻击者通过利用应用程序中的漏洞，将用户重定向到恶意网站或执行其他恶意操作。
7. 任意文件上传攻击：攻击者通过利用Web应用程序中文件上传功能的漏洞，上传恶意文件并获得对服务器的访问权限。例如，当应用程序没有对上传的文件进行适当的验证和过滤时，攻击者可以上传包含恶意代码的文件，从而获得对服务器的控制权。
8. 安全更新漏洞：当组织在更新软件时，如果没有正确地应用安全更新，可能会导致新的漏洞被利用。
9. 安全配置错误：应用程序的安全配置不正确或不充分，例如未启用安全更新或使用弱加密算法，导致攻击者可以利用这些漏洞。
10. 使用不安全的API：是指企业使用的来自第三方供应商的API存在一些安全漏洞或者没有被充分保护，这使得黑客可以利用它们来入侵企业系统或者窃取用户数据。第三方API可能会因为开发者的错误、不安全配置、恶意攻击等原因存在安全漏洞，因此企业在使用API时需要注意安全使用。

0day漏洞

        0day漏洞（0-day vulnerability）是指被发现后立即被恶意利用的安全漏洞，且未公开。这种漏洞往往具有很大的突发性与破坏性。通常在黑客社区或地下市场中交易，因为攻击者可以利用这些漏洞来入侵系统、获取敏感信息或执行恶意代码，而开发者还没有发布相关补丁来修复这些漏洞。一旦开发者发现并修补了这些漏洞，它们就不再是0day漏洞。由于0day漏洞尚未被公开，所以用户和企业往往无法采取有效的防御措施来防止攻击。因此，发现0day漏洞的黑客往往可以获得大量的利益和权力。0day漏洞最早的破解是专门针对软件的，叫做WAREZ，后来才发展到游戏，音乐，影视等其他内容的。早期的0day表示在软件发行后的24小时内就出现破解版本。

常见利用方式：

1. 漏洞利用：攻击者利用0day漏洞，通过植入恶意代码、篡改数据、安装后门、远程控制、窃取文件等方式，对目标系统或应用程序进行攻击和控制。

2. 提权攻击：攻击者利用操作系统或应用程序中的0day漏洞，获取本应未授权的高权限访问权。攻击者可以通过提升权限来绕过安全措施，并进一步访问和控制系统上的敏感数据。

3. 远程代码执行攻击：攻击者利用应用程序或网络协议中的0day漏洞，将恶意代码注入到目标系统中，并在远程执行该代码。这使得攻击者能够远程访问和控制目标系统，从而执行各种恶意活动，如数据窃取、系统崩溃等。

4. 缓冲区溢出攻击：攻击者通过利用应用程序或操作系统中的0day漏洞，向缓冲区写入大量数据，超过其分配的内存空间。这可能导致系统崩溃或执行攻击者注入的恶意代码。

1day漏洞

        1day漏洞（1-day vulnerability）是指刚刚被发现并公布的系统或软件漏洞，且公布后没有POC/EXP。这种漏洞可能由于软件或系统的设计缺陷、编码错误或配置错误而导致，使黑客能够在未授权的情况下访问或破坏系统。1day漏洞通常是黑客攻击的目标，因为它们可以利用这些漏洞来绕过系统的安全措施并获取未授权的访问权限。一旦黑客成功利用1day漏洞，他们可以在系统中执行恶意代码、获取敏感信息、控制系统或网络，从而对用户或组织造成损害。因此，1day漏洞技术资料通常非常敏感，且非常珍贵，往往被视为商业机密。

常见利用方式：

1. 漏洞利用：利用刚刚被发现并公布的0day漏洞进行攻击。由于这些漏洞刚刚被公布，并非所有用户都能及时修复，因此攻击者可以利用这些漏洞进行攻击。
2. 格式化字符串攻击：攻击者利用格式化字符串漏洞，通过构造特定的格式化字符串，获取敏感数据或执行恶意代码。
3. 对象注入攻击：攻击者通过注入恶意对象，利用目标系统或应用程序中的对象管理漏洞，执行任意代码或获取敏感数据。
4. 资源管理漏洞攻击：攻击者利用资源管理漏洞，例如内存泄漏、资源竞争等，导致目标系统或应用程序崩溃或被控制。

Nday漏洞

        Nday漏洞（N-day vulnerability）是指已经被官方发布补丁的漏洞，但由于各种原因，仍有部分用户未能及时安装补丁，使得黑客可以利用这些漏洞进行攻击。例如在永恒之蓝事件中，微软事先已经发布补丁，但仍有大量用户中招。Nday漏洞的存在对于用户来说是一个潜在的风险，危险程度介于0day和1day之间，取决于实际情况。随着时间的推移，越来越多的用户安装补丁，Nday漏洞的危险性会逐渐降低。

常见利用方式：

1. 挂马攻击：攻击者通过在别人的网站文件里面放入网页木马，当用户访问该网站时，会被引导到恶意网站或者下载恶意文件。
2. 漏洞挖掘：攻击者通过深入研究目标系统或应用程序的漏洞，寻找可以利用的漏洞并进行攻击。
3. 加壳加密：攻击者通过将exe可执行程序或者DLL动态连接库文件的编码进行改变，以达到缩小文件体积或者加密程序编码的目的，可以利用加壳技术隐藏恶意代码，从而逃避杀毒软件的查杀。

*持续更新*