运营网站团队建设网页培训

运营网站团队建设,网页培训,做设计挣钱的网站,汕头有建网站公司吗安全领域各种资源#xff0c;学习文档#xff0c;以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具#xff0c;欢迎关注。 目录 一、Linux提权思路与方法 二、CMD查询远程开放端口 三、内网认证协议对比#xff08;PTH/PTT/PTK#x…安全领域各种资源学习文档以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具欢迎关注。目录一、Linux提权思路与方法二、CMD查询远程开放端口三、内网认证协议对比PTH/PTT/PTK四、Shellcode免杀技术五、域内攻击方法全景一信息收集二权限提升三横向移动四持久化六、获取域控方法七、黄金票据 vs 白银票据八、域信息收集框架九、快速定位域控的三类方式十、后门文件排查流程跨平台WindowsLinux十一、木马驻留位置十二、威胁情报平台十三、设备误报处理日志十四、扫描流量 vs 手动流量识别十五、内网告警处置流程十六、应急响应流程十七、防火墙判断反序列化漏洞十八、挖矿病毒排查十九、Webshell流量溯源思路二十、Webshell流量特征981 Linux提权的思路及方法有哪些 982 CMD命令行如何查询远程终端开放端口 983 内网pthpttptk区别 984 shellcode免杀了解吗有哪些方法 985 域内攻击方法有了解过吗 986 获取域控的方法有哪些 987 黄金票据和白银票据说一下 988 域信息收集思路 989 如何快速定位域控介绍三种方式 990 windows或linux被植入后门文件讲一下你的排查流程 991 木马驻留的方式有哪些(去哪些敏感位置排查木马) 992 你知道哪些常用的威胁情报平台 993 设备误报如何处理日志 994 如何查看区分是扫描流量和手动流量 995 内网告警应该如何处理流程是怎么样的 996 应急响应的简单流程 997 防火墙怎样判断这是一个反序列化漏洞 998 应急响应如何查找挖矿病毒如何通过进程找到挖矿文件 999 假设发现web应用服务器发现文件异常增多初步怀疑被上传webshel描述流量分析溯源的思路? 1000 Webshell流量交互的流量特征?一、Linux提权思路与方法核心路径内核漏洞检测uname -asearchsploit匹配利用DirtyPipeCVE-2022-0847、DirtyCowCVE-2016-5195SUID/SGID滥用查找find / -perm -4000 2/dev/null高危程序nmap交互模式、vim!bash、find-exec环境变量劫持PATH注入伪造ps或ifconfig劫持调用链Cron任务漏洞检查可写任务ls -la /etc/cron*劫持脚本或路径变量凭证窃取遍历/etc/passwd、~/.ssh/、/var/log/auth.log容器逃逸检测cat /proc/self/cgroup利用挂载逃逸CVE-2021-30465、CAP_SYS_ADMIN滥用二、CMD查询远程开放端口batch复制netstat -ano | findstr LISTENING :: 本地监听端口 telnet [IP] [PORT] :: 测试连通性需安装telnet客户端 powershell -c Test-NetConnection [IP] -Port [PORT] :: 精准检测三、内网认证协议对比PTH/PTT/PTK类型全称原理依赖条件PTHPass-the-Hash直接使用NTLM哈希认证需目标开启SMB等服务PTTPass-the-Ticket注入Kerberos TGT/TGS票据需提前获取票据PTKPass-the-Key使用AES密钥进行Kerberos认证需域控开启AES加密场景选择PTH针对NTLM认证的老系统如Windows Server 2003PTT在已控主机进行横向移动Mimikatzkerberos::pttPTK对抗NTLM受限策略如启用了RestrictedAdmin模式四、Shellcode免杀技术分层对抗策略代码层加密混淆AESBase64嵌套、自定义异或算法反沙箱检测CPU核心数、内存大小、进程列表加载器层分离加载远程HTTP解密加载 进程空洞注入合法进程伪装注入explorer.exe或svchost.exe行为层API动态解析GetProcAddressLoadLibrary绕过静态扫描延迟执行等待用户交互事件触发工具链msfvenomVeil-Evasion生成基础载荷Donut将PE转为位置无关ShellcodesRDI反射型DLL注入规避磁盘写入五、域内攻击方法全景一信息收集拓扑探测BloodHound分析域信任关系用户枚举ldapsearch查询敏感组Domain Admins二权限提升ACL滥用Add-DomainObjectAcl接管用户权限委派攻击基于约束委派伪造服务票据三横向移动远程执行PsExec、WMIInvoke-WMIMethod票据传递导出内存票据sekurlsa::tickets四持久化黄金票据伪造TGT控制整个域DCShadow注册伪造域控同步恶意数据六、获取域控方法凭证窃取抓取域管密码Mimikatzlsadump::dcsync漏洞利用永恒之蓝MS17-010、ZerologonCVE-2020-1472服务漏洞Exchange漏洞ProxyShell→ 提权至域管社会工程钓鱼邮件诱导域管执行恶意载荷七、黄金票据 vs 白银票据特性黄金票据白银票据伪造对象KRBTGT的TGT特定服务的TGS权限范围全域权限仅限指定服务如CIFS、MSSQL所需信息KRBTGT的NTLM Hash服务账户的NTLM Hash检测难度高需监控DC日志低服务端可校验TGS有效性实战要点黄金票据需重启失效KRBTGT密码重置周期白银票据绕过部分日志但易被SPN验证击破八、域信息收集框架mermaid复制graph LR A[基础信息] -- A1(域名net view /domain) A -- A2(DC定位nslookup -typeSRV _ldap._tcp) B[用户体系] -- B1(用户列表net user /domain) B -- B2(特权组Get-NetGroupMember “Domain Admins”) C[拓扑结构] -- C1(信任域nltest /domain_trusts) C -- C2(OU结构ADExplorer遍历) D[攻击面挖掘] -- D1(GPO分析Get-GPOReport) D -- D2(服务漏洞Get-SPN -type service -identity *)九、快速定位域控的三类方式DNS解析特征powershell复制nslookup -typeSRV _ldap._tcp.dc._msdcs.[ 域名]网络流量观测嗅探389LDAP、88Kerberos端口的集中访问源AD模块命令powershell复制[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().DomainControllers十、后门文件排查流程跨平台Windows进程分析Process Explorer检查可疑子进程如隐藏的powershell文件监控Sysinternals Autoruns筛查启动项、服务、计划任务日志追溯事件ID 4688新进程创建→ 定位父进程链Linux动态检测lsof -p [PID]strace追踪进程行为静态扫描rkhunter检查Rootkit clamav扫毒时间线分析find / -mtime -1 -exec ls -lhc {} 查找24小时内变更文件十一、木马驻留位置平台关键路径Windows注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run任务计划C:\Windows\System32\Tasks\Linux定时任务/etc/cron*/系统服务/etc/systemd/system/动态链接劫持/etc/ld.so.preload十二、威胁情报平台综合分析型AlienVault OTX开源社区情报VirusTotal多引擎扫描APT专项微步在线X情报社区中文APT跟踪Mandiant AdvantageFireEye威胁库IOC聚合MISP开源情报共享平台ThreatConnect可定制化情报管道十三、设备误报处理日志四步闭环流程确认误报比对原始流量包与规则逻辑如Snort规则ID规则调优调整阈值降低扫描类告警敏感度添加白名单alert tcp !$TRUSTED_HOSTS any - $HOME_NET 80日志标记在SIEM中为误报事件添加false_positive标签反馈机制自动推送误报特征至规则引擎如Elastic Stack Watcher十四、扫描流量 vs 手动流量识别特征维度扫描流量手动流量发包频率固定间隔如每秒50请求随机间隔人为操作波动目标分布连续IP段/全端口离散高价值目标协议行为无完整握手SYN洪水完整TCP生命周期Payload标准化如Nmap指纹含可变参数Cookie/Token工具辅助Wireshark统计Statistics → Conversations观察会话不对称性Bro/Zeek脚本检测HTTP User-Agent中的扫描工具关键字十五、内网告警处置流程mermaid复制graph TB A[告警触发] -- B{是否为误报} B -- Yes -- C[标记并优化规则] B -- No -- D[确定受影响主机] D -- E[网络隔离] E -- F[取证分析] F -- G[根因追溯] G -- H[漏洞修复] H -- I[生成报告]十六、应急响应流程PDCERF模型Preparation准备工具包更新KAPEVelociraptorDetection检测EDR告警/SIEM关联分析Containment遏制断网防火墙阻断C2 IPEradication清除删除持久化项 打补丁Recovery恢复恢复备份 重置凭证Follow-up跟进编写事后报告含IOC与TTP十七、防火墙判断反序列化漏洞关键流量特征协议层HTTP Content-Typeapplication/json/application/x-java-serialized-object数据特征Java序列化魔数0xAC ED 00 05JSON参数含type字段Fastjson漏洞标识攻击载荷包含java.lang.ProcessBuilder或Runtime.exec()调用链十八、挖矿病毒排查定位与清除异常指标CPU持续90%占用矿池域名DNS请求如xmrpool.eu进程溯源bash复制top -c # 定位高CPU进程 ls -l /proc/[PID]/exe # 查真实路径清除步骤杀进程kill -9 [PID]删文件rm -f /tmp/.X11-unix/常见隐藏路径清定时任务crontab -e删除恶意任务十九、Webshell流量溯源思路四层关联分析请求特征固定URI路径如/images/cmd.jsp异常参数名?rebootwhoami响应模式固定错误码404伪装→ 实际返回命令结果时间线分析首次出现时间 → 关联漏洞利用日志如Struts2漏洞利用记录载荷回溯提取HTTP文件上传包 → 还原Webshell原文件二十、Webshell流量特征层级特征描述会话层长连接维持心跳机制协议层频繁POST请求 固定Content-Length如8192内容层Base64编码参数cmdY2F0IC9ldGMvcGFzc3dk行为层周期性探测命令ping -n 1 1.1.1.1检测工具Suricata规则alert http any any - any any (msg:Webshell Activity; content:eval(base64_decode; depth:50; sid:1000001;)机器学习模型训练检测异常参数分布如字符熵值突变