目录企业网络架构高层管理CIO（首席信息官）CTO（首席技术官）IT管理中央系统自带设备（BYOD）影子IT中央技术团队客户服务团队基础设施团队数据库管理团队技术团队安全部门CISO（首席信息安全官）信息安全管理成熟度模型（ISM3）安全职能型企业网络分区DMZ（非军事区）蜜罐代理V

声明学习视频来自B站up主**泷羽sec**有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，此文章为对视频内容稍加整理发布，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙

网络杀伤链模型（KillChainModel）是一种用于描述和分析网络攻击各个阶段的框架。这个模型最初由洛克希德·马丁公司提出，用于帮助企业和组织识别和防御网络攻击。网络杀伤链模型将网络攻击过程分解为多个阶段，每个阶段都有特定的活动和目标。通过理解和监控这些阶段，防御者可以更有

免责声明本教程仅为合法的教学目的而准备，严禁用于任何形式的违法犯罪活动及其他商业行为，在使用本教程前，您应确保该行为符合当地的法律法规，继续阅读即表示您需自行承担所有操作的后果，如有异议，请立即停止本文章阅读。                            

原创DarkLukeSecLink安全空间免责申明本文提到的检测规则仅供学习和讨论使用。我们提供的示例规则和指导并不构成任何形式的正式建议或解决方案。由于每个企业的安全环境和需求都存在差异，我们强烈建议企业根据自身实际情况和环境对这些规则进行针对性修改和充分测试，以确保

在红蓝对抗（RedTeamvs.BlueTeamexercises）中，双方会使用一系列的工具来模拟攻击和防御。以下是一些常用的工具，分为红队（攻击者）和蓝队（防御者）：红队（攻击者）工具：KaliLinux -一个安全测试操作系统，预装了许多渗透测试工具。Metasploit -一个用于渗透测试的框架，提供漏洞利用、后

前言蓝队，是指网络实战攻防演习中的防守一方。蓝队一般是以参演单位现有的网络安全防护体系为基础，在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括演习前安全检查、整改与加固，演习期间进行网络安全监测、预警、分析、验证、处置，后期复盘总结现有防护工作中的不足之

win+rmstsc连接不能联网，不然直接河马查杀一下把www文件夹压缩下载下来用河马在线网站也是直接得到冰蝎木马文件：/WWW/content/plugins/tips/shell.php在www文件夹直接搜索shell文件（盲猜）找到连接密码flag{rebeyond}直接找apache目录看日志phpstudy_pro/Extensions/Apache

windows日志排查工具：https://www.cnblogs.com/starrys/p/17129993.htmlwindows日志事件ID，参考文章:https://peterpan.blog.csdn.net/article/details/139887217下载日志分析工具FullEventLogView.exehttps://www.nirsoft.net/utils/fulleventlogview-x64.zip分别打开三个

原创玄影实验室权说安全前言在不断变化的网络安全环境中，提前防范威胁是非常重要的。本文将以MicrosoftOffice宏病毒钓鱼为例，介绍如何使用Sysmon来获取和分析Windows系统日志，揭示隐藏的恶意或异常活动，了解入侵者和恶意软件如何在网络上运行。SysmonSysmon（系统监视

参考：https://blog.csdn.net/administratorlws/article/details/139995863有机会会再做一次。一些想法：黑客利用web服务入侵成功站点后，一般除了留下web木马外，还会留有系统后门和病毒比如可能的挖矿病毒。检查web渗透入口的木马，三个方式，第一个是直接从日志里面硬找，从上传的文件

最近在工作中遇到了一个挺不错的工具，特别适合我们这些专注于网络安全的技术人员。你知道我们在日常工作中经常需要面对各种安全事件和威胁，有时候真的会感觉自己像在打游击战。不过，有了这个工具，应对安全事件就轻松多了。我最近开始用一个叫做FindAll的工具，它是为蓝队设计的

防溯源参考文章：https://mp.weixin.qq.com/s/OXJYBd0bKbauSsi7ia5IDA基本是在参考文章里摘抄总结出来的个人笔记。总结：1、使用识别蜜罐插件2、指纹浏览器（无痕浏览器）或者独立浏览器，防止JSONP蜜罐溯源3、挂代理，防止出口ip被溯源4、尽量虚拟机操作，特别是连数据库需要注意，防止my

分析：1，现在有一段被getshell的流量，需要找出黑客都做了些什么。流量大概可以分成两种，http和tcp。先看http。2，发现蚁剑流量，所以先把蚁剑的执行命令先全部找出来。蚁剑流量过滤：##(过滤请求包)http.request.urimatches"product2.php.*"&&http.request.method=="POST"##(过

护网行动背景什么是“护网行动”？指挥机构∶由公安机关统一组织的"网络安全实战攻防演习"。护网分为两级演习∶公安部对总部，省厅对省级公司。什么是“实战攻防演习”每支队伍3-5人组成，明确目标系统，不限制攻击路径。提交漏洞不得分，获取权限、数据才能得分。禁止的行为

感觉拿到流量先自行分析，分析完了再去跟着步骤提示提交flag，这样练习效果比较好。分析：因为包的数量比较少，大多是,只有六对http报文，过滤一下把POST请求的主要内容复制下来：并且自己生成了一下中国蚁剑的shell，发现和样本格式不太一样。我没看出连接密码，不熟悉蚁剑流量，自己生成一

安全运营中心(SOC)分析师依靠各种工具来帮助他们监视他们的域。然而，仅仅依靠工具来完成工作，而未能理解其背后的基本流程和方法，对于分析师来说可能是一个代价高昂的错误。我们发现，近三分之一（29.5％）的专业人士认为事件处理流程和方法是SOC分析师需要掌握的最重要的知识领域：我从

什么是链接?链接是指两个设备之间的连接。它包括用于一个设备能够与另一个设备通信的电缆类型和协议。2OSI参考模型的层次是什么?有7个OSI层：物理层，数据链路层，网络层，传输层，会话层，表示层和应用层。3什么是骨干网?骨干网络是集中的基础设施，旨在将不同的路由和数据

文章目录前言环境准备思路解析总结==如何入门学习网络安全【黑客】==【----帮助网安学习，以下所有学习资料文末免费领取！----】大纲学习教程CTF比赛视频+题库+答案汇总实战训练营面试刷题资料领取前言本次环境以DVWA靶场(不太安全的网站)及CTF题目(夺旗赛)先对OWASP

一、前言对于攻防演练蓝军的伙伴们来说，最难的技术难题可能就是溯源，尤其在今天代理横行的时代更加难以去溯源攻击者。这里我就举两个溯源来帮助大家梳理溯源过程，一个是只溯源到公司，一个是溯源到个人。二、溯源实例2.1IP反查域名2.1.1态势感知发现攻击截图2.1.2对尝

检查脚本：serity-scan.sh:#!/bin/bashfile='/tmp/security_file';if[-f"$file"];then echo""else touch$file;fisavefile='tee-a/tmp/security_file';echo"用户角度筛查："|$savefile;echo"用户信息：&quo

蓝队技术栈

文章目录一、前言二、概览简介三、参考文章四、步骤（解析）准备步骤#1.0步骤#1.1攻击者通过什么密码成功登录了网站的后台？提交密码字符串的小写md5值，格式flag{md5}。步骤#1.2攻击者在哪个PHP页面中成功上传了后门文件？例如upload.php页面，上传字符串"upload.php"的小写md5值

内网模块内网渗透思路（1）目标：对目标服务器所在的内网资源进行渗透最终获取域控制权限的过程（域控制权限可以控制内网中所有的用户和设备）；管理员以一台主机作为域控制器，将内网中其余主机加入到域控当中，那么这台域控制器就可以控制其余的所有主机；所以内网的渗透最终目的就是拿下与控制

监测/分析经验小结在护网期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。内网攻击莫忽视内网攻击告警需格外谨慎，可能是进行内网渗透。1.攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫