CLGost-CSDN博客

原创开源SOC平台学习

摘要：本文介绍了一个基于开源工具构建的轻量化安全运营架构，覆盖数据采集、存储分析、威胁响应全流程。系统通过Beats/Logstash采集多源日志，Elasticsearch/Kibana实现存储可视化，Cortex/TheHive/MISP进行威胁分析与事件管理，Shuffle实现自动化编排。架构特别设计了红蓝对抗测试模块（AtomicRedTeam），并区分生产/测试环境流程。文章深入解析了SOAR（安全编排自动化响应）三大核心能力，阐明其与SOC、态势感知的协同关系，指出该架构通过Shuffle实现了

2026-01-09 15:20:11 694

原创 DVWA靶场渗透测试自学习---02命令注入

这些符号在正常命令行操作中非常有用，但如果应用程序（如 Web 服务、桌面软件）在执行系统命令时，直接将用户输入拼接进命令字符串（而未做过滤或转义），攻击者可能通过输入这些符号构造恶意命令，例如：若程序执行。：逻辑 “与”，仅当前一个命令成功执行（返回 0 状态码）后，才执行下一个命令。：逻辑 “或”，仅当前一个命令失败（返回非 0 状态码）后，才执行下一个命令。：逻辑 “与”，仅当前一个命令成功执行（返回 0 状态码）后，才执行下一个命令）：用于在同一行执行多个命令，无论前一个命令是否成功。

2025-09-19 17:31:46 638

原创命令注入漏洞的原理

命令行注入漏洞（又称操作系统命令注入，OS Command Injection）的核心原理是：应用程序在执行系统命令时，未对用户可控输入进行严格的验证、过滤或转义，导致用户输入被当作命令的一部分执行，从而突破应用程序限制，非法执行攻击者构造的系统命令。应用程序的正常逻辑：很多应用程序需要调用操作系统命令完成某些功能（如 ping 网络设备、执行脚本、处理文件等）。例如，一个网络诊断工具可能接收用户输入的 IP 地址，然后执行系统的命令检测连通性，代码逻辑可能类似：python运行攻击者的恶意输

2025-09-19 15:44:33 467

原创 DVWA靶场自学习记录-Bute Force

所以选择集束炸弹，点击payload，这里的payload是有效负载的意思，这里的有效负载更多的是指：通过自己构建的参数或者脚本达到渗透测试目的的一切手段，都叫payload。点击length排序、对于没有token值的那些返回，不用看，在有token值的返回中，找唯一不一样的那个，那说明这个是登录成功的，得到密码是password。举例：在一个表单中，Cluster Bomb 攻击可能会将字典1应用于用户名字段，将字典2应用于密码字段，并将字典3应用于邮箱字段，然后生成所有可能的组合。

2025-09-17 16:52:03 1057

原创态势感知和SOAR区别

为更清晰区分，可从数据流向、依赖关系、应用场景对比维度态势感知（SSA）SOAR输入数据原始日志（防火墙 / EDR 日志）、威胁情报、资产信息、网络流量等 “原始 / 半原始数据”。态势感知（或 SIEM/XDR）输出的 “威胁洞察”（如 “某 IP 是恶意 C2”“某主机遭勒索”）。输出结果威胁告警、攻击路径、态势仪表盘、溯源报告等 “认知型结果”（告诉用户 “发生了什么”）。处置动作（隔离主机、阻断 IP）、处置工单、响应报告等 “执行型结果”（告诉用户 “做了什么”）。依赖关系。

2025-08-29 16:13:38 882

原创云计算+云安全学习

云安全的核心原理是 “基于共享责任，适配云的动态性与分布式特性，构建分层防御体系”；实施的关键是 “明确责任边界→加固基础设施→保护数据全生命周期→严控身份权限→实时监控响应→持续合规改进”。与传统 IT 安全相比，云安全更依赖。

2025-08-20 17:16:52 929

原创 Linux系统里的命令粘贴不到Windows

VMware自带的vmware-tools在新版本的Kali中已经没效果，官方建议是安装open-vm-tools-desktop来代替其跟物理机交互。（如果报破坏了软件包间的依赖关系的错误，是源没设置好，如果访问官方源被禁止连接，再重试几次即可）3.在有官方的更新源下，使用下面命令安装open-vm-tools-desktop。2.如果之前不小心安装了vmware-tools，可以输入。1.安装open-vm-tools-desktop。回车即可删除vmware-tools。

2025-03-05 17:26:44 344

原创 DVWA之文件上传漏洞

打开weevely 输入weevely http://192.168.*.*/dvwa/hackable/uploads/cl.php 用户名密码。1.使用DVWA靶场进行文件上传漏洞复现，security为Low。获得权限后可以浏览服务器端的文件创建文件等一系列操作。2.利用weevely菜刀进行获取服务器的最高权限。随机上传一个php文件，即上传成功。

2025-01-17 17:26:43 274

原创 iptable命令详解

说明：表名、链名用于指定 iptables命令所操作的表和链，命令选项用于指定管理iptables规则的方式（比如：插入、增加、删除、查看等；条件匹配用于指定对符合什么样条件的数据包进行处理；会按照规则的顺序进行检查，一旦某个数据包匹配到了某条规则，就不会继续检查后面的规则。通常，更具体的规则（如单个 IP 地址）应该放在前面，而更宽泛的规则（如整个子网）放在后面。iptables-save把规则保存到文件中，再由目录rc.d下的脚本（/etc/rc.d/init.d/iptables）自动装载。

2024-08-22 17:22:53 8545 1

原创常见的日志文件

不同版本的UNIX/Linux日志文件的目录是不同的，早期版本UNX的审计日志目录放在/usr/adm 较新版本的在/ar/adm;message：记录输出到系统主控台以及由syslog系统服务程序产生的消息。wtmp：记录每一次用户登录和注销的历史信息。lastlog:记录用户最近成功登录的时间。login log：不良的登录尝试记录。utmp：记录当前登录的每一个用户。xferkig：记录fp的存取情况。sulog：记录su命令的使用情况。acct：记录每个用户使用过的命令。wimp：扩展的wmp。

2024-07-09 11:16:25 359

原创 OpenVAS扫描漏洞出现漏洞误报等问题如何进行设定覆盖

这样，就可以创建整个子网的覆盖，而无需在逗号分隔的列表中指定每个主机。替代对于管理被检测为误报的结果特别有用，这些结果已被赋予严重性，但将来应具有不同的严重性。但应在本地分配更高严重性的结果。不允许冲突覆盖，例如主机范围的覆盖和该范围内主机的替代。必须找到结果才能应用覆盖的端口。在相应的输入框中输入漏洞的名称、主机或位置。必须找到结果才能应用替代的主机或主机范围。这样，若有误报的漏洞，可以进行覆盖设置。可以修改结果的严重性。应应用替代的 VT 的严重性范围。应用覆盖后 VT 应具有的严重性。

2024-06-14 17:00:40 1166

原创 Windows系统日志常用事件ID

记录时间客户端状态信息，35表示更改时间源，36表示时间同步失败，37表示时间同步正常。，当发生TCP/IP地址冲突的时候，出现此事件ID，用来排查用户IP网络的问题。，事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。，表示非正常关机，按ctrl、alt、delete键关机。，表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。，表示日志服务已启动，用来判断正常开机进入系统。，表示登陆失败的用户，用来判断RDP爆破的情况。，表示日志服务已停止，用来判断系统关机。安全Security。

2024-05-22 18:08:08 7266 1

原创手动更新GVM漏洞特征库

1.先使用了old命令提示该脚本已经被弃用，建议使用。

2024-05-08 17:26:49 1831 2

原创 open VAS漏洞库自动化更新设置

这个命令用于编辑 sudoers 文件。它会打开一个文本编辑器（通常是 Vi 或 Vim）来编辑 sudoers 文件。sudoers 文件包含了关于用户以及用户组在系统上执行特权命令的规则和权限设置。编辑完成后，系统会检查文件中的语法错误，确保文件保存后的内容有效。编辑完成并保存后，系统会自动更新 sudoers 文件。1.编辑cro任务列表，cron 任务的作用是每天午夜更新 Greenbone 漏洞管理系统的数据，并将更新日志记录到指定的日志文件中。，从而创建一个 sudoers 文件的备份。

2024-04-30 17:17:49 1332 1

weixin_49840888的博客