Linux入侵排查常用命令
文章总结了Linux系统入侵排查的常用命令及步骤,主要包括以下方面:
1. 账号安全:检查用户信息文件,关注UID为0的用户和新增未知用户,查看登录用户及其登录时长,以及登录成功与失败的用户记录。
2. 异常端口与进程:通过netstat、ps、top等命令检查端口连接情况、可疑进程和资源占用。
3. 系统服务:查看自启服务,分析是否有异常服务。
4. 开机启动项:检查rc.local和rc.d目录下的脚本,排除异常启动项。
5. 定时任务:查看crontab、cron.d目录及anacrontab文件,排查恶意定时任务。
6. 异常文件:搜索敏感目录、特定时间修改的文件、.ssh目录下的公钥文件、具备特殊权限的可执行程序,以及使用find和grep命令查找webshell木马。
7. 历史命令:检查用户.bash_history文件,了解用户执行过的命令。
8. 系统日志:分析secure日志,关注登录失败和成功的IP、用户等信息,以识别暴力破解或异常登录行为。
这些步骤和命令有助于系统管理员在发现系统异常时进行有效的入侵排查。
Linux挖矿病毒排查
本文介绍了Linux系统排查挖矿病毒的过程,涉及常用命令如查看系统用户、进程、定时任务和网络连接情况等。通过分析发现病毒进程和异常网络连接,并使用微步威胁分析确认病毒。清除步骤包括删除定时任务、终止病毒进程和删除病毒文件。关键步骤强调了查看进程、网络连接、定时任务以及使用命令清除病毒的重要性。另外,还提到了利用在线杀毒和云沙箱进行病毒样本分析的方法。
渗透测试
未读
VeryNginx的安装和使用
本文介绍了OpenResty和VeryNginx的概念、安装及功能。OpenResty是基于Nginx和Lua的高性能Web平台,集成了大量Lua库和第三方模块。VeryNginx是基于OpenResty的开发,强化了Nginx功能,提供Web交互界面和高级防火墙、访问统计等特性。
安装VeryNginx包括下载、解压、配置依赖包和用户权限修改等步骤。功能上,VeryNginx通过Matcher和Action实现请求匹配和执行操作,如协议锁定、重定向、URI重写、浏览器验证、访问频率限制和过滤器等。此外,还介绍了VeryNginx的界面操作和实战应用,包括防护XSS攻击、访问频率限制设置、反向代理配置等。
文章最后提供了页面乱码问题解决和Nginx中PHP配置的附加信息。通过这些内容,读者可以了解到VeryNginx作为Web应用防火墙和性能优化的工具,具备丰富的功能和灵活的配置方法。
漏洞复现
未读
Jboss合集漏洞复现
本文主要介绍了JBoss的多个漏洞复现过程,包括未授权访问漏洞和反序列化漏洞。未授权访问漏洞通过构造特定的请求,可以上传木马并执行命令,导致服务器被控制。反序列化漏洞利用了Java反序列化过程中的安全缺陷,通过构造特殊的序列化数据,攻击者在反序列化过程中执行恶意代码。文中详细演示了如何使用多种工具生成反序列化payload,并通过curl命令提交到目标服务器,成功实现了远程代码执行和shell反弹。针对这些漏洞,文中也给出了相应的修复建议,包括移除或升级相关的Java组件,或升级JBoss到最新版本。
靶场笔记
未读
红日ATT&CK靶场系列(二)渗透笔记
本文介绍了通过渗透实战拿下红日ATT&CK靶场的经验。首先,使用nmap对C段进行扫描,发现并利用了weblogic服务器的漏洞,成功入侵web主机,随后进行了内网信息收集和横向移动。在获取域控管理员密码后,通过MS17-010漏洞尝试拿下PC主机,并使用msf进行权限提升。最终,利用SMB哈希传递攻击成功上线域控主机。整个过程中,涉及多种渗透技术和工具的使用,如mimikatz、smb扫描和哈希传递等,展示了全面的内网渗透能力。
渗透测试
未读
(IPS)Suricata联动IPtables实现IPS
本文介绍了如何利用Suricata和Iptables实现入侵防御系统(IPS)。首先,通过配置Iptables将网络流量引入NFQUEUE队列,然后Suricata从队列中获取流量进行检测。文中详细展示了本机IPS的配置,包括Iptables安装与配置、Suricata规则编写和启动过程。此外,还阐述了远程IPS的设置,涉及到多台机器的拓扑结构和IPS配置。最后,文章讨论了如何检测HTTPS协议的流量,通过Nginx作为反向代理,并配置SSL证书,以及相应的Iptables和Suricata配置,实现了对HTTPS流量的监控。通过这些配置和测试,展示了如何有效检测并阻断SQL注入等攻击行为。
靶场笔记
未读
Vulnlab_AQUA靶机渗透笔记
本文介绍了对AQUA靶机的渗透测试过程,主要步骤包括:
1. 使用nmap发现靶机IP,扫描开放端口和服务。
2. 通过浏览器访问web服务,发现用户名和密码。
3. 使用文件包含漏洞读取/etc/passwd文件,发现用户信息。
4. 利用knockd技术打开FTP端口,匿名登录并上传反弹shell,获得webshell。
5. 在靶机上发现sudo漏洞,提升到root权限。
6. 探索缓冲区溢出漏洞,最终成功利用漏洞获取root shell。
7. 总结了靶机中的难点,如knockd技术和缓冲区溢出利用。
文章详细描述了整个渗透过程,包括所用的工具、命令和思路,对学习渗透测试具有一定的参考价值。
渗透测试
未读
waf绕过之安全狗安装
本文介绍了作者为了学习绕过WAF(Web Application Firewall)而搭建的测试环境,包括在Windows 10虚拟机上安装PHPStudy2018和安全狗apache4.0.30255,以及配置sqli-labs靶场。强调了安装安全狗前需启动Apache服务以避免安装问题。安全狗提供了多种防护功能,如网站防护、HTTP安全检测、上传防护、资源防护和IP黑名单等。最后,作者展示了如何配置安全狗以拦截sqli-labs的SQL注入攻击,并预告了后续关于绕过WAF的实操内容。
渗透测试
未读
(NIDS)suricata安装和配置详解
本文详细介绍了Suricata的安装和配置,包括以下内容:
1. **NIDS和Suricata简介**:解释了网络入侵检测系统(NIDS)的概念,以及Suricata作为一个开源、快速、健壮的网络威胁检测引擎的特点。
2. **安装和配置**:提供了在CentOS上安装Suricata的步骤,并介绍了配置文件和规则文件的编写方法。
3. **规则编写**:介绍了Suricata规则的格式,包括各种关键字如msg、sid、rev、content等的含义,并提供了示例规则。
4. **攻击检测**:介绍了利用Suricata检测目录扫描、SQL注入、XSS攻击、SSRF攻击、Web爆破、文件上传等攻击的方法,包括编写相应的Suricata规则。
5. **测试**:在CentOS上搭建了LAMP环境,使用Pikachu靶场进行了多种攻击测试,验证了Suricata的检测效果。
6. **其他检测**:还介绍了对ICMP、TCP、MySQL、SSH协议的流量检测方法,以及使用Suricata检测冰蝎、菜刀、蚁剑等木马的方法。
综上所述,本文全面系统地介绍了Suricata的安装配置、规则编写、攻击检测等内容,对网络安全防护具有重要意义。