小chen妙妙屋

备份网站源码和数据库作用 防止自己魔改网站源码或数据库后无法恢复 防止裁判的定时Check服务扣分 安全性检查不该开的端口3306有没有开启、有没有限制SSH登录、SSH密码修改、Mysql是否为默认账号密码等等，可以使用脚本刷 部署WAF用自己提前部署的waf，使用脚本进行快速部署，但是要验证服务是否可用 修改权限比如Mysql用户读表权限、上传目录是否可执行权限等等 部署文件监控脚本监控文件是否新增、删除文件并及时提醒。 方法 强行kill掉进程重启 建立一个和不死马相同的文件或者目录 写脚本不断删除文件 不断写入和不死马同名的文件 部署流量监控脚本或者开启服务器日志记录主要是进行流量回访，看其他大佬是如何用我们没有发现的漏洞攻击机子，我们自己在攻击的时候，也要试着混淆流量，避免被利用

Scapy 流量分析1234from scapy.all import *def handelPacker(p): p.show()sinff(prn=handlePacket,count=0) Watchdog 文件行为Webshell 文件接口检测

Metasploit基本模块辅助模块：Auxiliary渗透攻击模块：exploit攻击载荷模块：payload编码模块：encoder 渗透攻击模块相当于“破门工具”，它们只负责利用 Drupal 的漏洞黑进去，但不包含进去之后给你什么样的终端控制权。 攻击载荷模块 反弹 Shell (Reverse Shell) 特征关键字： reverse (最常见的是 reverse_tcp) 工作原理： 目标机器主动连接回你（攻击机）的 IP 和端口。这通常用于绕过目标机器的防火墙拦截入站规则。 名字示例： php/meterpreter/reverse_tcp、cmd/unix/reverse_netcat、linux/x86/meterpreter/reverse_tcp 正向 Shell (Bind Shell) 特征关键字： bind (最常见的是 bind_tcp) 工作原理： 目标机器在本地开放一个端口（比如 4444），然后你（攻击机）主动去连接它。如果目标机器有防火墙，这种方式很容易被拦截。 名字示例： php/meterpreter/bind_tcp、cmd/unix/ ...

1 内网基础知识1.1 工作组工作组：工作组是局域网中的一个概念，是长久的资源管理模式。默认情况下使用工作组方式进行资源管理，将不同的电脑按照不同的要求分类到不同的组 1.2 域域：用来描述一种架构，和工作组相对应，由工作组升级而成的高级架构。域是一个有安全边界的计算机集合（安全边界，是指在两个域中，其中一个域的用户没办法访问另一个域的资源）。相比于工作组而言，域有一个更加严格的安全管理控制机制。 1.2.1 域的几种环境 单域 通常是一个小公司，一般一个域就可以，一个域内要至少两台域服务器，一台作为域控制器，另一台作为备份 活动目录的数据库（包括用户的账号信息）是存储在域控制器中的 父域和子域 处于管理的要求，需要在网络中划分出多个域。第一个域称为父域，其他为子域 域树 域森林 1.2.2 域名服务器 DNS是指用于实现域名与与之相对应的IP地址转换的服务器，从对域树的介绍中来看出，域树中的域名和DNS域名非常相似，实际上，因为域名的计算机是通过DNS来定位域控制器、服务器及其他计算机、网络服务的，所以域的名字就是DNS域的名字 在实际内网渗透测试中，大多数是通过寻找DNS ...

1 内网隧道技术解决不出网协议上线的技术，用来绕过网络内有防火墙、检测等措施的限制 前提条件已有控制权限：如通过漏洞（如Shiro反序列化）上传木马，但无法直接通信。 受限环境：安全设备（如防火墙、IDS）限制敏感操作或信息收集。 应用场景CS/MSF无法上线：通信被拦截，无回显。 数据传输不稳定：网络出口受监控。 绕过拦截：防火墙阻止常规流量。 典型案例：通过Shiro漏洞上传木马，但因防火墙限制无法上线CS，需使用隧道技术。 小结：隧道技术不是攻击手段，而是权限获取后的辅助工具，用于数据传输和防火墙绕过。 1.1 常见的内网穿透工具及方法 声明：本文内容仅用于授权渗透测试和安全研究，所有示例基于合法靶机平台。 1.1.1 引言：隧道是内网渗透的命脉核心场景：攻击机和目标之间隔着防火墙、NAT、甚至多层隔离网络。没有隧道，拿到跳板机也等于拿了个废品。 内网穿透工具很多，SSH 原生隧道、Chisel、Ligolo-ng、Socat，各有适用场景。 1.1.1.1 基础概念：隧道是什么123456789典型场景：攻击机（10.10.14.x）     ↕ 只有这一段可达  ...

内网穿透，也即 NAT 穿透，进行 NAT 穿透是为了使具有某一个特定源 IP 地址和源端口号的数据包不被 NAT 设备屏蔽而正确路由到内网主机。简单来说，就是通过一定的技术手段，让位于内网（局域网）的设备能够被公网（互联网）上的设备所访问，实现内外网之间的互联互通。 ngrok 介绍概述ngrok 是一个反向代理，通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。它可捕获和分析所有通道上的流量，便于后期分析和重放。ngrok 支持多种协议，包括常见的 HTTP、HTTPS 以及 TCP 协议等，这意味着无论是 Web 服务、SSH 服务还是其他基于 TCP 协议的服务，都能通过 ngrok 实现内网穿透。 特点 使用方便：操作相对简单，适合入门，免费使用（需求少的话就不需要购买它的付费服务）。 支持多协议：能满足不同类型服务的内网穿透需求。 数据监控：可捕获和分析所有通道上的流量，便于后期分析和重放。 使用 ngrok 实现内网穿透步骤注册 ngrok 账号访问 ngrok 官方网站（https://ngrok.com/）。 可以使用 GitHub 或者 Goo ...

环境Windows-Mimikatz适用环境：微软为了防止明文密码泄露发布了补丁KB2871997，关闭了Wdigest功能。 当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，此时可以通过修改注册表的方式抓取明文，但需要用户重新登录后才能成功抓取。 Linux-mimipenguin适用环境：1234567Kali 4.3.0 (rolling) x64 (gdm3)Ubuntu Desktop 12.04 LTS x64 (Gnome Keyring 3.18.3-0ubuntu2)Ubuntu Desktop 16.04 LTS x64 (Gnome Keyring 3.18.3-0ubuntu2)XUbuntu Desktop 16.04 x64 (Gnome Keyring 3.18.3-0ubuntu2)VSFTPd 3.0.3-8+b1 (Active FTP client connections)Apache2 2.4.25-3 (Active/Old HTTP BASIC AUTH Sessions)openssh-server 1:7.3p1 ...

1 横向移动1.1 windows横向渗透1.1.1 IPC$ 连接（基础款，最常用）原理：IPC$（Inter-Process Communication）是Windows的进程间通信协议，可用于远程连接目标机器，上传文件、执行命令，前提是知道目标机器的用户凭据。 常用命令：IPC是专用管道，可以实现对远程计算机的访问 需要使用目标系统用户的账号密码，使用139、445端口。 建立IPC链接到目标主机 拷贝要执行的命令脚本到目标主机 查看目标时间，创建计划任务（at、schtasks）定时执行拷贝到的脚本 删除IPC链接123456789101112常用ipc命令总结net use \\192.168.3.32\ipc$ "Admin12345" /user:god.org\administrator #新建连接net use #查看与本机的所有连接net use \\192.168.3.32 /del #删除该连接net use \\server\ipc$ "password" /user:username # 工作组net use \ ...

地位在护网中蓝队其中一个重要的作用就是针对攻击的流量进行分析，一般是使用态势感知，全流量分析，防护墙等安全设备来捕获流量，并且对其进行流量分析，我们需要掌握流量特征和分析的方法 wireshark 介绍和界面wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用Winpcap作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵的，或者专门属于盈利用的软件。Wireshark的出现改变了这一切，使用者可以以免费的途径获取软件及其源码，并拥有对源代码修改及客制化的权利。WIreshark是全世界最广泛的网络封包分析软件之一 选择网口后进入主页面，可以看到流量包，在主页面中可以看到三部分数据，分别是【分组列表】、【分组详情】、【分组字节流】 分组列表 将流量以分组的形式，简单的呈现出来 分组详情 将流量以TCP/IP五层模式形式展现出来 应用层：Hypertext Transter Protol 运输层：Transmission Control Protocol 网络层：Inter ...

镜像下载地址：链接: https://pan.baidu.com/s/1mmox4roLLUwMu3UIBo0vGw 提取码: 4u7e 容器密码：FEYn0MJLYy9zTQRFHlXGRkVqXv3IkE8h 案情介绍：警方接获报案，前往西贡布袋澳“处理一宗“伤人”事件。经初步调查，怀疑男子陈民浩以木棍袭击男子冯子超，导致冯子超头部受伤昏迷。冯子超已被送往医院救治，陈民浩则因涉嫌“伤人”罪被警方当场拘捕，被捕后一直保持缄默，拒绝交代案情细节。 进一步调查显示，两人冲突疑因女子梁燕玲而起。根据现场迹象推断，梁燕玲曾于事发时在场出现，经警方多方搜索后，至今仍未能与她取得联络。请参赛者根据提供的资料，深入分析线索，寻找梁燕玲下落，并还原事件真相。 背景资料：Green Technology Supply Co.Ltd.(绿创科技系统有限公司)为本港网络工程公司，主要业务是为企业客户铺设网络服务及安装各类服务器。 男子 FUNG Chi-chiu(冯子超)，英文名为Duncan，30岁，未婚，香港出生，在Green Technology Supply Co. Ltd.任职工程师。 男子 C ...