- 博客(17)
- 收藏
- 关注
RSS订阅原创 apache查看技巧
1、查看apache当前并发访问数: netstat -an | grep ESTABLISHED | wc -l 对比httpd.conf中MaxClients的数字差距多少。 2、查看有多少个进程数: ps aux|grep httpd|wc -l 3、可以使用如下参数查看数据 server-status?auto #ps -ef|grep httpd|wc -l4、为了验证,查看了连接数和当前的连接数,分别是 netstat -ant | grep $ip...
2021-06-27 20:47:10
975
原创 wireshark分析实战-抓包12章
FTPActive模式:客户端先发起通往FTP服务器的控制连接,后者随后主动发起一条通往前者的数据连接Passive模式:客户端会先后发起通往FTP服务器端的控制和数据连接各一。排查FTP性能问题,遵循以下排障思路1 确保234层没有故障,在FTP客户端ping 服务器,用大包,如1500字节。2 是否有TCP retransmission和duplicate ack字样的数据包,若有需进一步查明这样数据包是只涉及FTP流量还是涉及所有TCP协议流量,若涉及整个TCP流量说明整个网络都.
2021-06-05 20:36:20
192
1
原创 2021-05-16-读书笔记安全抓包分析20-25
读书笔记20 如何定位系统大面积无法访问根源拓扑 外网---负载F5----服务器---数据库,发现无法访问,存在大量访问被重置的情况,发现客户与服务器建立三次握手后发送post请求,服务器正常回复ack进行确认,但等待几秒几十秒后,客户端仍未收到数据,于是将会话断开,直接回复客户端RST会话关闭。通过分析,客户端在发送请求后,数据库没有技术发送数据响应,客户端在等待260秒后发送fin中断信号,5分钟后才得到数据库回复响应数据及fin包。这直接导致数据库连接过多,数据库无...
2021-05-16 19:31:49
155
1
原创 2021-05-15-读书笔记安全抓包分析16-19
读书笔记16 如何找出应用层拒绝服务攻击行为通过www.check-host.net网站联通性报告,可以查看网站什么时间不能访问,也可看抓包信息3。发现某时段有几分钟流量低估,tcp会话交互过程中发现这段时间客户向网站发送应用层请求后,服务器没有任何回应,而是直接关闭会话ack fin,可能受到http协议应用层攻击,导致无法提供正常网页服务,这段时间与服务器通讯的客户端数据看,有个国外的ip可疑,1 该ip正好出现在问题时段 2 5分钟建立了几百个tcp会话 3 http请求使用post方...
2021-05-15 19:53:29
89
1
原创 2021-05-15-读书笔记安全抓包分析11-15
读书笔记-11 如何分析暴力破解数据库密码的行为1 查到某ip300多会话,会话是小包,并且和数据库的通讯时间短且频率极快,报文长度在8-10字节,而正常数据库通讯规律具有数据包偏大,通讯时间长,通频率慢的特点抓包发现在尝试sa口令,服务器在回复对方尝试后立即终止会话,说明没有成功。读书笔记-12 如何分析端口扫描行为1 syn如对方返回syn/ack则表示端口处于监听状态,此时扫描端必须再返回一个RST来...
2021-05-15 18:45:36
211
1
原创 2021-05-05-读书笔记安全抓包分析6-10
读书笔记-6 如何发现植入后门的内网主机1 发现告警日志以CIFS(文件共享居多),可疑IP通过netbios收集对端主机的操作系统版本信息,探测IPC$,ADMIN$,攻击者通常会通过这些默认共享,发起一些如账号暴力破解等行为特点:捕获中招主机与国外服务器的通讯行为,捕获端口139中存在访问主机的系统默认共享IPS$的流量,发现程序命名方式类似主机被攻击后再被植入后门,用户很难察觉,仅靠防火墙,IPS很难发现,要全流量的回溯行为才能发现。...
2021-05-05 17:07:46
69
原创 2021-05-05-读书笔记安全抓包分析1-5
读书笔记-抓包分析-1 分析入侵门户网站行为1 问题描述 网站多次被黑,运维无法了解攻击手法,无法了解被黑手法,只能登录被黑服务器,删除黑链接。2 抓包发现被黑服务器是由其他服务器ftp上传黑链,其他服务器又与其他主机有数据通信,且使用SSH,该主机与国外ip有持续流量行为,并且有主动的心跳检查,可见该主机被黑且被写入恶意程序,受控主机发起对百度的访问,实际地址却指向国外地址,这是一个伪装的网页交互过程。3 回溯 攻击者在受控主机写入恶意程序,建立与网站的链接...
2021-05-05 12:16:11
195
原创 2021-04-29-读书笔记1-10-phpMyAdmin漏洞利用与安全防范
读书笔记1-10 phpMyAdmin漏洞利用与安全防范phpMyAdmin功能强大,可执行命令,导入导出数据库,但如果存在设置root密码过于简单,就可以获取webshell,甚至服务器权限。phpMyAdmin在一些流行架构中大量使用,如phpstudy,phpnow,wammp,lamp,xamp等,这些架构默认密码root,如未修改,极易被渗透。MySQL root账号密码...
2021-04-30 00:01:40
320
原创 2021-04-29-读书笔记1-9-JSky扫描渗透
读书笔记1-9 JSky扫描渗透JSky是web漏洞扫描软件,渗透测试模块能模拟黑客攻击,让用户掌握问题严重性,其集成Pangolin SQL注入攻击工具,实用性很高在安全检测中可用多个工具扫描路径及文件,或可凭经验如输入http://www.wx.com/manager/manager.asp进行测试,如获取密码是加密过得,可通过fjhh&lqh写的后台加密解密器获取真实密码。...
2021-04-29 22:15:29
188
原创 2021-04-28-读书笔记1-7-使用NMap扫描web服务器端口
读书笔记1-7 使用NMap扫描web服务器端口NMap是开源免费的网络发现和安全审计工具,可扫描服务推断系统,后来增加了漏洞发现和暴力破解功能。Zenmap可提供图形界面,比较不同扫描结果目标。渗透过程中,主站防护严格,子站或目标所在IP地址的C段或B端相对容易,对子域名暴力破解和扫描。pentestbox是win下集成的渗透测试平台,可以实现一些需要在linux下运行的命令,可下载带有metasploit的程序通过子域名暴力破解,获...
2021-04-28 23:42:40
582
原创 2021-04-26-读书笔记1-6-子域名信息收集
读书笔记1-6 子域名信息收集1 子域名收集方法A web子域名猜测 B 搜索引擎中通过输入site:baidu.com 来搜索其主要域名baidu.com下的子域名,可能有很多重复页面,也可能漏洞爬虫未抓取的页面 allintext:=搜索文本,但不包含网页标题和链接 allinlinks:=搜索链接,不包括文本和标题 related:URL=列出链接到目标URL的网页清单 使用-去...
2021-04-27 00:22:30
129
原创 2021-04-25-读书笔记1-5-CMS织网识别技术及应用
读书笔记1-5 CMS织网识别技术及应用渗透过程中,对目标网站指纹识别比较关键,通过工具或手工来识别CMS系统是自建,二次开发,还是直接使用开源的CMS程序至关重要。通过获取的这些信息来觉得后期渗透思路和策略。web应用程序,数据库,中间件等都属于组件,指纹是组件上能标识对象类型的一段特征信息,通过识别这些特征,可知是哪家公司产品和服务及版本。如论坛常用Discuz!搭建,通过其robots.txt等可识别网站是使用Discuz!指纹识别思路1...
2021-04-25 01:58:45
346
原创 2021-04-25-读书笔记1-4-提权辅助工具 Windows-Exploit-Suggester
读书笔记1-4 提权辅助工具 Windows-Exploit-Suggester主要功能是通过对比系统命令sysinfo生成的文件,从而发现系统是否存在未修复漏洞。该软件通过下载微软公开漏洞库到本地生成“生成日期+mssb.xls“文件,然后根据操作系统版本,与systeminfo生成的文件进行对比,同时该软件还会告诉用户针对此漏洞是否有公开的exp和可用的MEetasploit模块根据关键字搜索 MS10-061百度浏览器搜...
2021-04-25 01:14:16
87
原创 2021-04-25-读书笔记1-3-数据库在线导出工具Adminer
读书笔记1-3 数据库在线导出工具Adminer渗透实战当获取到网站webshell时,由于网站所设字符不同,虽然可以通过phpspy等工具导出数据库到网站目录中,但数据库下载到本地还会有乱码,因此推荐Adminer工具准备工作1 下载程序 2 上传文件到服务器,可通过webshell等将adminer.php文件上传到网站目录,再通过URL地址访问 3 收集并整理数据库连接账号,密码,数据库名。安全防范及总结1 使用admi...
2021-04-25 01:02:35
252
原创 2021-04-24-读书笔记1-1-windows密码获取思路
读书笔记1-1 windows密码获取思路1 通过0day直接获取,然后通过WCE等工具获取明文或哈希值,如MS08-067,通过溢出直接获取system权限。2 通过网站获取webshell后,再通过系统存在漏洞进行提权,获取提权后再获取系统密码及哈希值。3 内网环境可通过NTscan等工具进行扫描,暴力破解获取系统密码。4 本地物理接触获取,通过U盘或光盘刻录liveCD,PE等工具启...
2021-04-25 00:12:41
163
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人