网络安全基础

最新推荐文章于 2024-08-07 11:46:11 发布

｡✧* Ambition

最新推荐文章于 2024-08-07 11:46:11 发布

阅读量232

点赞数

文章标签： web安全网络安全 ddos

本文链接：https://blog.csdn.net/qq_63484934/article/details/134166220

版权

网安基础

今日学习录
注意此文章详细笔记来自大佬https://www.cnblogs.com/sunny11/p/13583083.html#_label4
渗透测试专用术语

今日学习录

                   难道真的不遗憾

注意此文章详细笔记来自大佬https://www.cnblogs.com/sunny11/p/13583083.html#_label4

渗透测试专用术语

1. POC、EXP、Payload与Shellcode

POC：全称 ' Proof of Concept '，中文 ' 概念验证 ' ，常指一段漏洞证明的代码，证明漏洞的存在。

EXP：全称 ' Exploit '，中文 ' 利用 '，指利用系统漏洞进行攻击的动作。

Payload：中文 ' 有效载荷 '，指成功exploit之后，真正在目标系统执行的代码或指令。

Shellcode：简单翻译 ' shell代码 '，是Payload的一种，由于其建立正向/反向shell而得名。

2.注意

POC是用来证明漏洞存在的，EXP是用来利用漏洞的，两者通常不是一类，或者说，PoC通常是无害的，Exp通常是有害的，有了POC，才有EXP。

Payload有很多种，它可以是Shellcode，也可以直接是一段系统命令。同一个Payload可以用于多个漏洞，但每个漏洞都有其自己的EXP，也就是说不存在通用的EXP。

3.Payload模块

在msf中，payload属于MSF的6个模块之一。在该模块下有Single、Stager、Stages这三种类型。
1.Single：是一个all-in-one的Payload，不依赖其他的文件，所以它的体积会比较大，2.Stager主要用于当目标计算机的内存有限时，可以先传输一个较小的Stager用于建立连接
3.Stages指利用Stager建立的连接下载后续的Payload。Stager和Stages都有多种类型，适用于不同场景。

一：攻击篇

1.攻击工具

肉鸡:所谓“肉鸡”是一种很形象的比喻，比喻那些可以被攻击者控制的电脑、手机、服务器或者其他摄像头、路由器等智能设备，用于发动网络攻击。例如在2016年美国东海岸断网事件中，黑客组织控制了大量的联网摄像头用于发动网络攻击，这些摄像头则可被称为“肉鸡”。

僵尸网络
僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
僵尸网络是一个非常形象的比喻，众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被攻击者执行各类恶意活动（DDOS、垃圾邮件等）利用的一种基础设施。

木马
就是那些表面上伪装成了正常的程序，但是当这些程序运行时，就会获取系统的整个控制权限。(非正常程序，按照有风险)
有很多黑客就是热衷使用木马程序来控制别人的电脑，比如灰鸽子、Gh0st、PcShare等等。

网页木马
表面上伪装成普通的网页或是将恶意代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马服务端植入到访问者的电脑上来自动执行将受影响的客户电脑变成肉鸡或纳入僵尸网络。

Rootkit
Rootkit是攻击者用来隐藏自己的行踪和保留root（根权限，可以理解成WINDOWS下的system或者管理员权限）访问权限的工具。
通常，攻击者通过远程攻击的方式获得root访问权限，或者是先使用密码猜解（破解）的方式获得对系统的普通访问权限，进入系统后，再通过对方系统存在的安全漏洞获得系统的root或system权限。
然后，攻击者就会在对方的系统中安装Rootkit，能够借助方法获取管理员权限，以达到自己长久控制对方的目的，Rootkit功能上与木马和后门很类似，但远比它们要隐蔽。

勒索病毒
主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。著名的永恒之蓝病毒。

挖矿木马
一种将PC、移动设备甚至服务器变为矿机的木马，通常由挖矿团伙植入，用于挖掘比特币从而赚取利益。

后门
这是一种形象的比喻，入侵者在利用某些方法成功的控制了目标主机后，可以在对方的系统中植入特定的程序，或者是修改某些设置，用于访问、查看或者控制这台主机。
这些改动表面上是很难被察觉的，就好象是入侵者偷偷的配了一把主人房间的钥匙，或者在不起眼处修了一条按到，可以方便自身随意进出。

    通常大多数木马程序都可以被入侵者用于创建后门（BackDoor）。

漏洞
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。
奇安信集团董事长齐向东在《漏洞》一书中指出，软件的缺陷是漏洞的一个主要来源，缺陷是天生的，漏洞是不可避免的。

Oday漏洞
指被攻击者发现并利用，但还没有公开的漏洞，对攻击者来说有完全的优势。由于没有漏洞的对应的补丁或临时解决方案，防守方不知道如何防御，攻击者可以达成最大可能的威胁。

1day漏洞
指漏洞信息已公开但仍未发布补丁的漏洞。此类漏洞的危害仍然较高，但往往官方会公布部分缓解措施，如关闭部分端口或者服务等。

Nday漏洞
指已经发布官方补丁的漏洞。补丁已经发布，但由于各种原因，好多人没有及时更新而导致再次被攻击。
例如在永恒之蓝事件中，微软事先已经发布补丁，但仍有大量用户中招。

2.攻击方法

挂马
就是在别人的网站文件里面放入网页木马或者是将代码潜入到对方正常的网页文件里，以使浏览者中马。

挖洞
指漏洞挖掘

缓冲区溢出
攻击者向一个地址区输入这个区间存储不下的大量字符。在某些情况下，这些多余的字符可以作为“执行代码”来运行，因此足以使攻击者不受安全措施限制而获得计算机的控制权。溢出后可能程序崩溃，数据破坏，执行恶意代码（恶意操作以此来达到目的）。

注入
Web安全头号大敌。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计划外的命令或者未授权访问数据。
注入攻击漏洞往往是**应用程序缺少对输入进行安全性检查所引起的。**注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现。

SQL注入
注入攻击最常见的形式，主要是指Web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作，导致数据库信息泄露或非授权操作数据表。条件：参数可控，参数被带入数据库中查询。

免杀
就是通过加壳、加密、修改特征码、加花指令等等技术来修改程序，使其逃过杀毒软件的查杀。

暴力破解
对账号密码，进行字典爆破。

跨站攻击
通常简称为XSS，是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

拿站
指得到一个网站的最高权限，即得到后台和管理员名字和密码。

提权
指得到你本没得到的权限，比如说电脑中非系统管理员就无法访问一些C盘的东西，而系统管理员就可以，通过一定的手段让普通用户提升成为管理员，让其拥有管理员的权限，这就叫提权。

DoS攻击
拒绝服务攻击。攻击者通过利用漏洞或发送大量的请求导致攻击对象无法访问网络或者网站无法被访问。

DDoS
分布式DOS攻击，常见的UDP、SYN、反射放大攻击等等，就是通过许多台肉鸡一起向你发送一些网络请求信息，导致你的网络堵塞而不能正常上网。

网络钓鱼
攻击者利用欺骗性的电子邮件或伪造的Web 站点等来进行网络诈骗活动。
诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息或邮件账号口令。
受骗者往往会泄露自己的邮箱、私人资料，如信用卡号、银行卡账户、身份证号等内容

Webshell
Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做是一种网页后门，可以上传下载文件，查看数据库，执行任意程序命令等。

一：防守篇

1．软硬件

加密机
主机加密设备，加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。

防火墙
主要部署于不同网络或网络安全域之间的出口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。

防火墙有出战入站规则，入站比出战更加严格。屏蔽入侵

IDS
入侵检测系统，用于在黑客发起进攻或是发起进攻之前检测到攻击，并加以拦截。
IDS是不同于防火墙。防火墙只能屏蔽入侵，而IDS却可以在入侵发生以前，通过一些信息来检测到即将发生的攻击或是入侵并作出反应

NIDS
是Network Intrusion Detection System的缩写，即网络入侵检测系统，主要用于检测Hacker或Cracker 。
通过网络进行的入侵行为。NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如Hub、路由器。

IPS
全称为Intrusion-Prevention System，即入侵防御系统，目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。
或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用

误报
也称为无效告警，通常指告警错误，即把合法行为判断成非法行为而产生了告警。
目前，由于攻击技术的快速进步和检测技术的限制，误报的数量非常大，使得安全人员不得不花费大量时间来处理此类告警，已经成为困扰并拉低日常安全处置效率的主要原因

网闸
网闸是使用带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备。
由于两个独立的主机系统通过网闸进行隔离，只有以数据文件形式进行的无协议摆渡。

VPN
虚拟专用网，在公用网络上建立专用网络，进行加密通讯，通过对数据包的加密和数据包目标地址的转换实现远程访问。

WAF
即Web Application Firewall，即Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

蜜罐（Honeypot）
是一个包含漏洞的系统，它摸拟一个或多个易受攻击的主机，给黑客提供一个容易攻击的目标。
由于蜜罐没有其它任务需要完成，因此所有连接的尝试都应被视为是可疑的。
蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间。
蜜罐类产品包括蜜网、蜜系统、蜜账号等等。