最近在工作中遇到了一个挺不错的工具，特别适合我们这些专注于网络安全的技术人员。你知道我们在日常工作中经常需要面对各种安全事件和威胁，有时候真的会感觉自己像在打游击战。不过，有了这个工具，应对安全事件就轻松多了。我最近开始用一个叫做FindAll的工具，它是为蓝队设计的

防溯源参考文章：https://mp.weixin.qq.com/s/OXJYBd0bKbauSsi7ia5IDA基本是在参考文章里摘抄总结出来的个人笔记。总结：1、使用识别蜜罐插件2、指纹浏览器（无痕浏览器）或者独立浏览器，防止JSONP蜜罐溯源3、挂代理，防止出口ip被溯源4、尽量虚拟机操作，特别是连数据库需要注意，防止my

分析：1，现在有一段被getshell的流量，需要找出黑客都做了些什么。流量大概可以分成两种，http和tcp。先看http。2，发现蚁剑流量，所以先把蚁剑的执行命令先全部找出来。蚁剑流量过滤：##(过滤请求包)http.request.urimatches"product2.php.*"&&http.request.method=="POST"##(过

护网行动背景什么是“护网行动”？指挥机构∶由公安机关统一组织的"网络安全实战攻防演习"。护网分为两级演习∶公安部对总部，省厅对省级公司。什么是“实战攻防演习”每支队伍3-5人组成，明确目标系统，不限制攻击路径。提交漏洞不得分，获取权限、数据才能得分。禁止的行为

感觉拿到流量先自行分析，分析完了再去跟着步骤提示提交flag，这样练习效果比较好。分析：因为包的数量比较少，大多是,只有六对http报文，过滤一下把POST请求的主要内容复制下来：并且自己生成了一下中国蚁剑的shell，发现和样本格式不太一样。我没看出连接密码，不熟悉蚁剑流量，自己生成一

安全运营中心(SOC)分析师依靠各种工具来帮助他们监视他们的域。然而，仅仅依靠工具来完成工作，而未能理解其背后的基本流程和方法，对于分析师来说可能是一个代价高昂的错误。我们发现，近三分之一（29.5％）的专业人士认为事件处理流程和方法是SOC分析师需要掌握的最重要的知识领域：我从

什么是链接?链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备通信的电缆类型和协议。2OSI参考模型的层次是什么?有7个OSI层：物理层，数据链路层，网络层，传输层，会话层，表示层和应用层。3什么是骨干网?骨干网络是集中的基础设施，旨在将不同的路由和数据

文章目录前言环境准备思路解析总结==如何入门学习网络安全【黑客】==【----帮助网安学习，以下所有学习资料文末免费领取！----】大纲学习教程CTF比赛视频+题库+答案汇总实战训练营面试刷题资料领取前言本次环境以DVWA靶场(不太安全的网站)及CTF题目(夺旗赛)先对OWASP

一、前言对于攻防演练蓝军的伙伴们来说，最难的技术难题可能就是溯源，尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程，一个是只溯源到公司，一个是溯源到个人。二、溯源实例2.1IP反查域名2.1.1态势感知发现攻击截图2.1.2对尝

检查脚本：serity-scan.sh:#!/bin/bashfile='/tmp/security_file';if[-f"$file"];then echo""else touch$file;fisavefile='tee-a/tmp/security_file';echo"用户角度筛查："|$savefile;echo"用户信息：&quo

蓝队技术栈

文章目录一、前言二、概览简介三、参考文章四、步骤（解析）准备步骤#1.0步骤#1.1攻击者通过什么密码成功登录了网站的后台？提交密码字符串的小写md5值，格式flag{md5}。步骤#1.2攻击者在哪个PHP页面中成功上传了后门文件？例如upload.php页面，上传字符串"upload.php"的小写md5值

内网模块内网渗透思路（1）目标：对目标服务器所在的内网资源进行渗透最终获取域控制权限的过程（域控制权限可以控制内网中所有的用户和设备）；管理员以一台主机作为域控制器，将内网中其余主机加入到域控当中，那么这台域控制器就可以控制其余的所有主机；所以内网的渗透最终目的就是拿下与控制

监测/分析经验小结在护网期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。内网攻击莫忽视内网攻击告警需格外谨慎，可能是进行内网渗透。1.攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫

了解哪些中间件我了解的中间件有很多种，其中包括但不限于：Nginx、Apache、Tomcat、Redis、RabbitMQ、Kafka、Zookeeper等。常见漏洞有：未授权的访问、代码执行漏洞、配置错误、解析错误漏洞等漏洞struts2有哪些漏洞，有什么特征？远程代码执行漏洞：如S2-045，在该漏洞中，当开发者使用基

请说一下内网渗透流程1.信息收集：熟悉内部网络环境，了解目标机制、服务器参数、应用信息等。工具包括方正、nmap、Wireshare等。2.漏洞扫描：利用工具对目标内网进行扫描，发现系统漏洞或者敏感信息泄漏问题。3.漏洞利用：通过已知的漏洞，获取操作系统的控制权限。这里的工具可以包括

Linux有哪些提权思路常用的有以下几种：1.SUID提权：在Linux中，如果一个可执行文件的SUID被设置，那么该文件将以拥有者的权限运行，而不是以执行者的权限运行。因此，如果用户找到了一个SUID为root的文件并成功地使其执行了恶意代码，那么该用户将会获得root权限。2.利用系统漏洞：这是最

关于FalconHoundFalconHound是一款专为蓝队研究人员设计的多功能安全测试工具，该工具允许广大研究人员以更加自动化的形式增强BloodHound的能力，并将其整合进渗透测试活动中。除此之外，该工具还可以跟SIEM或其他日志聚合工具一起使用。FalconHound支持在图中查看目标环境的最

近期一次护网蓝队面试记录分享前言以下为近期的一次蓝队面试记录，答案为本人回答仅作参考，错误之处，多多包涵面试过程及回答自我介绍如实回答学校经历，是否参与项目，尽量简短把你参与的项目和成功说出来就行使用过哪些设备，出现误报怎么办（在校生未使用，网上搜的，背诵就行）天眼，EDR，全

蓝队护网面试常见问题这里收集了一些公众号总结的，都是蓝队初级常见的面试题。面试一般必问web基础漏洞，护网经验（包括设备，厂商，做了什么），应急响应。常问内网知识，框架漏洞。易问护网面试题总结（按问到的频率次数排序）2023蓝队面试题总结01-护网基础面试题-Web安全部分护网面试题，2023

前言蓝队工具箱是为打造一款专业级应急响应的集成多种工具的工具集，由真实应急响应环境所用到的工具进行总结打包而来，由ChinaRan404,W啥都学,清辉等开发者编写.把项目现场中所用到的工具连同环境一同打包，并实现“可移植性”“兼容性”“使用便捷”等优点。集成模块：“常用工具

红队到底是做什么的?在红队中，您需要仿真、模拟或以其他方式扮演某个、某组入侵者或理论上的假想敌。这些活动通常以单独的演习或练习的形式出现，其目的是训练蓝队，蓝队由负责各种防御工事的小组或个人组成。并且，这种对抗可以在任何层面上开展，从应用程序的安全性到主动防御设施，等

1.Linux排查思路（1）首先检测用户账号安全，如新增用户和可疑用户以及高权限用户。（2）history命令查看历史linux指令，uptime查看用户登录信息（3）检查端口(netstat命令)和进程(ps命令)，重点观察资源占用率高的进程（4）检查日志信息，var/log文件夹内的一些系统日志和安全日志。（5）利用自动

工具：volatility2.6（2比3完善） https://www.volatilityfoundation.org/25kali下载volatility2.6#下载pip2sudowgethttps://bootstrap.pypa.io/pip/2.7/get-pip.pysudopython2get-pip.py#pycrypto、distorm3所需依赖sudopython2-mpipinstall-Usetuptoolswh

task1问题：哪个CVE导致了EC2的最初泄露？#文件放在~/htb/Ore目录cdusr/share/grafanals-lacatVERSION #8.2.0搜索grafana8.2.0exploit可得CVE-2021-43798答案：CVE-2021-43798task2问题：请详细说明针对我们组织的威胁行为者(TA)使用的所有恶意IP地址