安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[七、黄金票据 vs 白银票据](#七、黄金票据 vs 白银票据)
[十四、扫描流量 vs 手动流量识别](#十四、扫描流量 vs 手动流量识别)
981 Linux提权的思路及方法有哪些? 982 CMD命令行如何查询远程终端开放端口 983 内网:pth,ptt,ptk区别? 984 shellcode免杀了解吗?有哪些方法? 985 域内攻击方法有了解过吗? 986 获取域控的方法有哪些? 987 黄金票据和白银票据说一下? 988 域信息收集思路? 989 如何快速定位域控,介绍三种方式? 990 windows或linux被植入后门文件,讲一下你的排查流程? 991 木马驻留的方式有哪些(去哪些敏感位置排查木马)? 992 你知道哪些常用的威胁情报平台? 993 设备误报如何处理(日志) 994 如何查看区分是扫描流量和手动流量? 995 内网告警应该如何处理,流程是怎么样的? 996 应急响应的简单流程? 997 防火墙怎样判断这是一个反序列化漏洞? 998 应急响应如何查找挖矿病毒,如何通过进程找到挖矿文件? 999 假设发现web应用服务器发现文件异常增多,初步怀疑被上传webshel,描述流量分析溯源的思路? 1000 Webshell流量交互的流量特征?一、Linux提权思路与方法
核心路径:
- 内核漏洞
- 检测:
uname -a+searchsploit匹配- 利用:DirtyPipe(CVE-2022-0847)、DirtyCow(CVE-2016-5195)
- SUID/SGID滥用
- 查找:
find / -perm -4000 2>/dev/null- 高危程序:
nmap(交互模式)、vim(!bash)、find(-exec)- 环境变量劫持
- PATH注入:伪造
ps或ifconfig劫持调用链- Cron任务漏洞
- 检查可写任务:
ls -la /etc/cron*- 劫持脚本或路径变量
- 凭证窃取
- 遍历:
/etc/passwd、~/.ssh/、/var/log/auth.log- 容器逃逸
- 检测:
cat /proc/self/cgroup- 利用:挂载逃逸(CVE-2021-30465)、CAP_SYS_ADMIN滥用
二、CMD查询远程开放端口
batch
复制
netstat -ano | findstr "LISTENING" :: 本地监听端口 telnet [IP] [PORT] :: 测试连通性(需安装telnet客户端) powershell -c "Test-NetConnection [IP] -Port [PORT]" :: 精准检测
三、内网认证协议对比(PTH/PTT/PTK)
类型 全称 原理 依赖条件 PTH Pass-the-Hash 直接使用NTLM哈希认证 需目标开启SMB等服务 PTT Pass-the-Ticket 注入Kerberos TGT/TGS票据 需提前获取票据 PTK Pass-the-Key 使用AES密钥进行Kerberos认证 需域控开启AES加密 场景选择:
- PTH:针对NTLM认证的老系统(如Windows Server 2003)
- PTT:在已控主机进行横向移动(Mimikatz
kerberos::ptt)- PTK:对抗NTLM受限策略(如启用了RestrictedAdmin模式)
四、Shellcode免杀技术
分层对抗策略:
- 代码层
- 加密混淆:AES+Base64嵌套、自定义异或算法
- 反沙箱:检测CPU核心数、内存大小、进程列表
- 加载器层
- 分离加载:远程HTTP解密加载 + 进程空洞注入
- 合法进程伪装:注入
explorer.exe或svchost.exe- 行为层
- API动态解析:
GetProcAddress+LoadLibrary绕过静态扫描- 延迟执行:等待用户交互事件触发
工具链:
msfvenom+Veil-Evasion生成基础载荷Donut将PE转为位置无关ShellcodesRDI(反射型DLL注入)规避磁盘写入
五、域内攻击方法全景
(一)信息收集
- 拓扑探测:
BloodHound分析域信任关系- 用户枚举:
ldapsearch查询敏感组(Domain Admins)(二)权限提升
- ACL滥用:
Add-DomainObjectAcl接管用户权限- 委派攻击:基于约束委派伪造服务票据
(三)横向移动
- 远程执行:
PsExec、WMI(Invoke-WMIMethod)- 票据传递:导出内存票据(
sekurlsa::tickets)(四)持久化
- 黄金票据:伪造TGT控制整个域
- DCShadow:注册伪造域控同步恶意数据
六、获取域控方法
- 凭证窃取
- 抓取域管密码(Mimikatz
lsadump::dcsync)- 漏洞利用
- 永恒之蓝(MS17-010)、Zerologon(CVE-2020-1472)
- 服务漏洞
- Exchange漏洞(ProxyShell)→ 提权至域管
- 社会工程
- 钓鱼邮件诱导域管执行恶意载荷
七、黄金票据 vs 白银票据
特性 黄金票据 白银票据 伪造对象 KRBTGT的TGT 特定服务的TGS 权限范围 全域权限 仅限指定服务(如CIFS、MSSQL) 所需信息 KRBTGT的NTLM Hash 服务账户的NTLM Hash 检测难度 高(需监控DC日志) 低(服务端可校验TGS有效性) 实战要点:
- 黄金票据:需重启失效(KRBTGT密码重置周期)
- 白银票据:绕过部分日志但易被SPN验证击破
八、域信息收集框架
mermaid
复制
graph LR A[基础信息] --> A1(域名:net view /domain) A --> A2(DC定位:nslookup -type=SRV _ldap._tcp) B[用户体系] --> B1(用户列表:net user /domain) B --> B2(特权组:Get-NetGroupMember "Domain Admins") C[拓扑结构] --> C1(信任域:nltest /domain_trusts) C --> C2(OU结构:ADExplorer遍历) D[攻击面挖掘] --> D1(GPO分析:Get-GPOReport) D --> D2(服务漏洞:Get-SPN -type service -identity *)
九、快速定位域控的三类方式
DNS解析特征
powershell
复制
nslookup -type=SRV _ldap._tcp.dc._msdcs.[ 域名]网络流量观测
- 嗅探389(LDAP)、88(Kerberos)端口的集中访问源
AD模块命令
powershell
复制
[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().DomainControllers
十、后门文件排查流程(跨平台)
Windows
- 进程分析
Process Explorer检查可疑子进程(如隐藏的powershell)- 文件监控
Sysinternals Autoruns筛查启动项、服务、计划任务- 日志追溯
- 事件ID 4688(新进程创建)→ 定位父进程链
Linux
- 动态检测
lsof -p [PID]+strace追踪进程行为- 静态扫描
rkhunter检查Rootkit +clamav扫毒- 时间线分析
find / -mtime -1 -exec ls -lhc {} +查找24小时内变更文件
十一、木马驻留位置
平台 关键路径 Windows 注册表: HKCU\Software\Microsoft\Windows\CurrentVersion\Run任务计划:C:\Windows\System32\Tasks\Linux 定时任务: /etc/cron*/系统服务:/etc/systemd/system/动态链接劫持:/etc/ld.so.preload
十二、威胁情报平台
- 综合分析型
- AlienVault OTX(开源社区情报)
- VirusTotal(多引擎扫描)
- APT专项
- 微步在线X情报社区(中文APT跟踪)
- Mandiant Advantage(FireEye威胁库)
- IOC聚合
- MISP(开源情报共享平台)
- ThreatConnect(可定制化情报管道)
十三、设备误报处理(日志)
四步闭环流程:
- 确认误报
- 比对原始流量包与规则逻辑(如Snort规则ID)
- 规则调优
- 调整阈值:降低扫描类告警敏感度
- 添加白名单:
alert tcp !$TRUSTED_HOSTS any -> $HOME_NET 80- 日志标记
- 在SIEM中为误报事件添加
false_positive标签- 反馈机制
- 自动推送误报特征至规则引擎(如Elastic Stack Watcher)
十四、扫描流量 vs 手动流量识别
特征维度 扫描流量 手动流量 发包频率 固定间隔(如每秒50+请求) 随机间隔(人为操作波动) 目标分布 连续IP段/全端口 离散高价值目标 协议行为 无完整握手(SYN洪水) 完整TCP生命周期 Payload 标准化(如Nmap指纹) 含可变参数(Cookie/Token) 工具辅助:
Wireshark统计:Statistics → Conversations观察会话不对称性Bro/Zeek脚本:检测HTTP User-Agent中的扫描工具关键字
十五、内网告警处置流程
mermaid
复制
graph TB A[告警触发] --> B{是否为误报?} B -- Yes --> C[标记并优化规则] B -- No --> D[确定受影响主机] D --> E[网络隔离] E --> F[取证分析] F --> G[根因追溯] G --> H[漏洞修复] H --> I[生成报告]
十六、应急响应流程
PDCERF模型:
- Preparation(准备):工具包更新(KAPE+Velociraptor)
- Detection(检测):EDR告警/SIEM关联分析
- Containment(遏制):断网+防火墙阻断C2 IP
- Eradication(清除):删除持久化项 + 打补丁
- Recovery(恢复):恢复备份 + 重置凭证
- Follow-up(跟进):编写事后报告(含IOC与TTP)
十七、防火墙判断反序列化漏洞
关键流量特征:
- 协议层
- HTTP Content-Type:
application/json/application/x-java-serialized-object- 数据特征
- Java序列化魔数:
0xAC ED 00 05- JSON参数含
@type字段(Fastjson漏洞标识)- 攻击载荷
- 包含
java.lang.ProcessBuilder或Runtime.exec()调用链
十八、挖矿病毒排查
定位与清除:
异常指标
- CPU持续90%+占用,矿池域名DNS请求(如
xmrpool.eu)进程溯源
bash
复制
top -c # 定位高CPU进程 ls -l /proc/[PID]/exe # 查真实路径清除步骤
- 杀进程:
kill -9 [PID]- 删文件:
rm -f /tmp/.X11-unix/(常见隐藏路径)- 清定时任务:
crontab -e删除恶意任务
十九、Webshell流量溯源思路
四层关联分析:
- 请求特征
- 固定URI路径(如
/images/cmd.jsp)- 异常参数名(
?reboot=whoami)- 响应模式
- 固定错误码(404伪装)→ 实际返回命令结果
- 时间线分析
- 首次出现时间 → 关联漏洞利用日志(如Struts2漏洞利用记录)
- 载荷回溯
- 提取HTTP文件上传包 → 还原Webshell原文件
二十、Webshell流量特征
层级 特征描述 会话层 长连接维持(心跳机制) 协议层 频繁POST请求 + 固定Content-Length(如8192) 内容层 Base64编码参数( cmd=Y2F0IC9ldGMvcGFzc3dk)行为层 周期性探测命令( ping -n 1 1.1.1.1)检测工具:
- Suricata规则:
alert http any any -> any any (msg:"Webshell Activity"; content:"eval(base64_decode"; depth:50; sid:1000001;)- 机器学习模型:训练检测异常参数分布(如字符熵值突变)