随笔分类 - 安全
摘要:命令和脚本解释器 T1059 T1059.001 PowerShell T1059.002 AppleScript T1059.003 Windows Command Shell T1059.004 Unix Shell T1059.005 Visual Basic T1059.006 Python
阅读全文
摘要:为了防止rpm也被替换,上传一个安全干净稳定版本rpm二进制到服务器上进行检查 RPM除了可以安装软件包以外,还可以对已经安装好的软件包进行校验。使用这种功能可以很好的对计算机上已经安装的软件进行监控,检测软件包是否被替换或篡改; 功能简介 RPM的校验功能可以比较现在已经安装的文件与未安装的文件之
阅读全文
摘要:Drive-by Compromise(间接攻击) T1189 理解:这里翻译字面翻译过来是路过妥协,很绕过,咋一看根本不理解,其实站在研究安全的角度来看,就是间接攻击,什么意思呢,就是我要攻击你,我不直接跟你交互,我不跟你正面发生冲突,我研究你爱好,喜好,找准你爱好,喜好中的弱点目标,将弱点目标拿
阅读全文
摘要:概要(Abstract) 使用Att&ck的方法框架,基于行为的威胁检测模型,期间需要模拟攻击者进行测试,为了改进基于行为的分析检测能力,这台方法论可以用于加强企业整体的网络安全 介绍(Introduction) 基于主机和网络行为来检测后渗透阶段的攻击行为是保证企业安全的重要部分,这具体检测方式就
阅读全文
摘要:应急响应-综合汇总 1.应急响应介绍 2.Linux和Windows入侵排查方法 3.Linux应急案例 4.Windows应急案例之页面篡改 5.溯源排查之道 6.日志分析 # 应急响应流程 ## 1.沟通 # 联系客户,咨询当前服务器状态,发生的准确时间点,服务器上有什么业务,提供异常截图,事件
阅读全文
摘要:应急响应-Windows各种操作记录备份 推荐链接:https://www.cnblogs.com/linuxsec/articles/10741532.html 下面是转载的内容: 1. Windows 的应急事件分类 Windows 系统的应急事件,按照处理的方式,可分为下面几种类别: 病毒、木
阅读全文
摘要:代理总结 理解 根据实际渗透测试达到穿透各种苛刻的内网环境之间的互通 经常被用在渗透中的内网漫游 站在攻击的角度可以实现漫游内网,站在防御的角度可以识别检查内网漫游的风险点有针对性的进行防御 实际情况下具体使用可以根据每个代理的手册操作即可一般使用方便,工具而是小巧玲珑 使用过程中的必备条件 拿到目
阅读全文
摘要:BlindElephant - Web application fingerprinter. Browser Exploitation Framework (BeEF) - Command and control server for delivering exploits to commandee
阅读全文
摘要:Linux-应急响应-日志分析 日志默认存放位置:/var/log/ 查看日志配置情况:more /etc/rsyslog.conf 日志文件 说明 /var/log/cron 记录了系统定时任务相关的日志 /var/log/cups 记录打印信息的日志 /var/log/dmesg 记录了系统在开
阅读全文
摘要:0x01 Suricata介绍 Suricata安装 官方网站:https://suricata-ids.org/ 官方下载:https://suricata-ids.org/download/ 官方借鉴安装方法:https://redmine.openinfosecfoundation.org/p
阅读全文
摘要:Linux加固常用记录 #设置密码复杂度 shell操作: if [ -z "`cat /etc/pam.d/system-auth | grep -v "^#" | grep "pam_cracklib.so"`" ];then sed -i '/password requisite pam_pw
阅读全文
摘要:DNS放大攻击 设置要使用的DNS服务器 nslookup set q=ns 223.5.5.5 可能的限制 根据RFC1035中定义的DNS消息格式以及所能支持的内容长度,UDP包传输大小被限制为512个字节,超出的部分会被截断或丢弃或者使用TCP协议重传(端口仍为53) https://www.
阅读全文
摘要:Anevicon - Powerful UDP-based load generator, written in Rust. HOIC - Updated version of Low Orbit Ion Cannon, has 'boosters' to get around common cou
阅读全文
摘要:Burpsuite intruder Sniper -- 一个字典列表匹配一个目标参数,例如:针对用户名不变,爆破密码的场景 Battering RAM -- 一个字典列表匹配两个目标参数,例如:用户名不变,同时爆破密码和验证码 Pitchfork -- 使用两个字典列表分别取这两个字典列表中的一个
阅读全文
摘要:从防护功能的角度 API请求识别 正常客户端请求 恶意攻击请求 暴力破解请求 恶意扫描请求等 数据传输加密 保证业务在传输中是加密流量,使用TLS/SSL,防止不加密造成敏感信息泄露 Bot攻击识别和防御 判断来源请求是否是合法客户端请求还是恶意Bot攻击请求,防止消耗资源 例如:业务系统CPU飙升
阅读全文
摘要:数据源参考 https://attack.mitre.org/datasources/DS0029/ Network Traffic: Network Connection Creation 网络流量连接创建的时候 1595 检测数据源:网络流量和网络流量内容,根据官方给出的检测方式,如下: 1.已
阅读全文
摘要:https://attack.mitre.org/tactics/enterprise/ https://github.com/redcanaryco/atomic-red-team https://github.com/nshalabi/ATTACK-Tools https://github.co
阅读全文
摘要:日志的基本走向 某产品策略示例 策略名称 策略细节 策略来源 注释 T1003.005.RULE OS Credential Dumping: Cached Domain Credentials This is rule based on Sysmon configuration. Followin
阅读全文
摘要:鼠标&定时器&菜单 // 鼠标消息 - 窗口绘制 - 窗口拖动重影 // WinMouse.cpp : Defines the entry point for the application. // #include "stdafx.h" #include "stdio.h" HINSTANCE g
阅读全文
浙公网安备 33010602011771号