搜尋結果

一、日志数据收集 日誌數據收集是從服務器或設備生成的記錄中收集的實時過程。此組件可以通過文本文件或Windows事件日誌接收日誌。它還可以通過遠程syslog直接接收日誌，這對防火牆和其他此類設備非常有用。 此過程的目的是識別應用程序或系統程序錯誤，配置錯誤，入侵威脅，觸發策略或安全問題。 Wazuh aegnt 的內存和CPU要求是，因為它的非常低的，主要作用是將事件轉發給管理器。但是，在Wazuh管理器上，CPU和內存消耗可能會迅速增加，具體取決於管理器每秒事件數分析數量（EPS）。 1.处理流程 下圖說明了事件的處理流程： : 2.日志收集 2.1 日志文件...

0x00 APT的历史起源背景 APT這個詞彙最早起源於：2005年英國和美國的CERT組織發布了關於有針對性的社交工程電子郵件，放棄特洛伊木馬以洩露敏感信息的第一個警告，儘管沒有使用“APT”這個名字。但“先進的持續威脅”一詞被廣泛引用，2006年的美國空軍Greg...

内网安全运营 内网安全运营，指的是公司内部生产办公网络。一般对于传统企业指的的是生产网络（工控网络），办公网络一般指企业公司内部系统（文档服务器、OA系统、财务、专利、人力等业务系统）和员工的办公电脑网络；对于互联网或者IT企业，生产网络一般只对外提供服务的网络（官网、主站点、CDN等等），办公网络与传统企业一致，测试网络指的是用于开发测试环境的网络，推荐在互联网或IT类企业中做到三网分离。 生产网络安全运营...

局域网        局域网的概念应该不用再复杂的赘述一遍，大家都懂。但在这里局域网并非指得是传统概念上的局域网、城域网、广域网中的局域网，而是属于一个组织的所有资产所构成的网络以及其与外界通信信道的集合。 态势感知...

总则 首先這裡的內網不包含網絡拓撲規劃、應用發布、訪問控制的等基礎網絡規劃的內容，對於身份鑑別模式和訪問控制有推薦的場景模式。對於內網安全的管控還是回歸風險評估三要素，從掃要素開始說起，更能體現管控工作的思路。 風險評估三要素： - 資產：這裡包含所有的IT資產和無形資產（包含數據和名譽）； - 威脅：這裡一般指的是面臨的內部和外部可能的有害行為和力量； - 脆弱：這裡多指漏洞以及存在的其他隱患； 资产...

作為公司內部網絡安全建設的基礎環節，資產的收集以及對應的管理，尤其是漏洞管理，都是網絡安全建設的基礎。 資產收集第一步--已入網設備的收集： （1）收集手段：根據歷史登記記錄查詢或者使用掃描方式對網絡環境內部進行活躍主機探測。 （2）收集目標：覆蓋所有已入網設備，包括雲、IoT設備等，建立相應的庫表結構存儲，定期復測，有序更新。 資產收集第二步--新入網設備的收集： （1）收集手段：入網登記或者使用智能入網探測機制，可以利用網絡探測技術，或者入網聯通身份驗證機製做收集。 （2）收集目標：覆蓋所有新入網設備，包括雲、IoT設備等，建立相應的庫表結構存儲，定期復測，有序更新。...

一、STEP1-合理的網絡規劃與邊界防護： 這裡其實是一個老生常談的問題，雖然Google號稱消滅網絡邊界很多年了，至少2015年我就听說過類似的概念，但是目前國內甲方尤其是重資產甲方是無法消滅網絡邊界的，在短時內也看不到消滅網絡邊界的可能性。因而合理規劃網絡環境，做好邊界安全防護依然是最最基礎的事情。 （1）合理規劃網絡拓撲並不局限於Inside、Outside、DMZ等傳統劃分，而是根據實實在在的網絡聯通需求，合理規劃自己的佈局。...

0x00 前言 ThinkPHP官方2018年12月9日發布重要的安全更新，修復了一個嚴重的遠程代碼執行漏洞。該更新主要涉及一個安全更新，由於框架對控制器名沒有進行足夠的檢測會導致在沒有開啟強制路由的情況下可能的getshell漏洞，受影響的版本包括5.0和5.1版本，推薦盡快更新到最新版本。 0x01 影响范围 5.x 5.1.31,=5.0.23 0x02 漏洞分析 Thinkphp v5.0.x補丁地址:https://github.com/top-think/framework/commit/b797d72352e6b4eb0e11b6bc2a2ef25907b7756f...

0x00 概述 CobaltStrike是一款內網滲透的商業遠控軟件，支持自定義腳本擴展，功能非常強大。前段時間Github上有好心人放出了CobaltStrike3.12的試用版，接著Lz1y很快就放出了破解版，加上熱心老哥提供了的xor64.bin（試用版中沒有這個文件），一個比較完美的最新可用版本誕生了。下面我們看下最新試用版是如何被完美破解的。 0x02 上手 CobaltStrike（下面簡稱CS）主體代碼是用Java開發的，逆起來比較友好。用jd-gui反編譯cobaltstrike.jar文件，可以看到代碼幾乎沒有做防破解。...

0x00 漏洞前言 Apache ActiveMQ是美國阿帕奇（Apache）軟件基金會所研發的一套開源的消息中間件，它支持Java消息服務，集群，Spring Framework等。 Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞，該漏洞源於程序沒有限制可在代理中序列化的類。遠程攻擊者可藉助特製的序列化的Java消息服務（JMS）ObjectMessage對象利用該漏洞執行任意代碼。 0x01 漏洞环境 1.在ubuntu16.04下安裝docker/docker-compose: # 安裝pip curl -s...

0x00 前言 除了在實現自己的DNS服務器功能之外，Microsoft還為該服務器實現自己的管理協議以便於管理與Active Directory域集成。默認情況下，域控制器也是DNS服務器;大多數情況下每個域用戶都需要訪問和使用DNS服務器的功能。反過來，這會在域控制器上暴露出相當多的攻擊面：一方面是DNS協議本身，另一方面是管理協議，它基於RPC。我們將深入研究DNS協議的實現並詳細介紹一個非常棒的提權技巧。它允許我們在某些情況下不是域管理員在域控制器上也可以運行危險代碼，雖然這並不是一個安全漏洞，正如微軟所證實的那樣，它僅僅只是一個功能的技巧，可以提供給紅隊進行AD權限提權。...

0x00 简介 北京時間10月17日，Oracle官方發布的10月關鍵補充更新CPU（重要補丁更新）中修復了一個高危的WebLogic遠程代碼執行漏洞（CVE-2018-3191）。該漏洞允許未經身份驗證的攻擊者通過T3協議網絡訪問並破壞易受攻擊的WebLogic Server，成功的漏洞利用可導致WebLogic Server被攻擊者接管，從而造成遠程代碼執行。 0x01 漏洞复现...

0x00 漏洞描述 libssh 0.6 及以上的版本，在服務端的代碼實現中存在身份認證繞過漏洞。在向服務端認證的流程中，攻擊者通過將SSH2_MSG_USERAUTH_REQUEST消息替換為SSH2_MSG_USERAUTH_SUCCESS，即可在無需任何有效憑證的情況下認證成 0x01 漏洞影响版本 libssh 0.8.x - 0.8.3 libssh 0.7.x - 0.7.5 libssh 0.6.x 0x02 漏洞检测 1.nmap掃描libssh版本 nmap -p 2222 -n-Pn -T5 -sC -Sv 149.*.*.85 2.Shodan.io...

0x01 漏洞前言 Google Project Zero的網絡安全研究人員發布了詳細信息，並針對自內核版本3.16到4.18.8以來Linux內核中存在的高嚴重性漏洞的概念驗證（PoC）漏洞利用。由白帽黑客Jann...

0x00 延迟注入定义 延遲注入，是一種盲注的手法,提交對執行時間銘感的函數sql語句，通過執行時間的長短來判斷是否執行成功，比如:正確的話會導致時間很長，錯誤的話會導致執行時間很短，這就是所謂的高級盲注.SQLMAP、穿山甲、胡蘿蔔等主流注入工具可能檢測不出，只能手工檢測，利用腳本程序跑出結果。 0x01 延迟注入的函数 sleep() //延遲函數 if(condition,true,false) //條件語句 ascii() //轉換成ascii碼 substring('string',strart,length) //mid()也一樣，取出字符串裡的第幾位開始，長度多少的字符...

别让DeepSeek坑了你！本地部署模型真的安全吗？ 1. 前言 Chatgpt가 글로벌 붐을 시작한 이후, DeepSeek (DeepSeek)는 빠르게 증가했으며 또 다른 경이로운 AI 제품이되었습니다. 국내 AI 제품 순위의 최신 통계에 따르면, 출시 후 20 일 만에 일일 활성 사용자의 수는 2 천 2 백만에 달하는 놀라운 2 천만 명을 초과했습니다. 이 열풍은 전 세계적으로 Deepseek가 인기를 얻었을뿐만 아니라 온라인 서비스가 전례없는 문제에 직면하게 만들어졌습니다. 자주 대규모 DDOS 트래픽 공격으로 인해 웹 페이지...

0x00 堆叠注入定义 Stacked injections(堆疊注入)從名詞的含義就可以看到應該是一堆sql 語句(多條)一起執行。而在真實的運用中也是這樣的, 我們知道在mysql 中, 主要是命令行中, 每一條語句結尾加; 表示語句結束。這樣我們就想到了是不是可以多句一起使用。這個叫做stacked injection。 0x01 堆叠注入原理...

0x00 SettingContent-ms文件介绍 .SettingContent-ms是在Windows 10中引入的一種文件類型，它的內容是XML格式進行編寫的，主要用於創建Windows設置頁面的快捷方式.Windows 10下行.SettingContent-ms後綴的文件，系統並未判斷該類文件所在的路徑是否在控制面板相關目錄下，便直接執行了文件中用於控制面板設置相關的深層鏈接標籤指定的任意程序，導致用戶執行系統任意目錄下的此類文件或者從網絡上下載的經過精心設計的.SettingContent-ms文件也會直接執行其中指定的惡意程序對象，導致任意代碼執行...

0x00 前言 問題發生在user.php的的顯示函數，模版變量可控，導致注入，配合注入可達到遠程代碼執行 0x01 漏洞分析 1.SQL注入 先看user.php的$ back_act變量來源於HTTP_REFERER，我們可控。 分配函數用於在模版變量裡賦值 再看顯示函數, 讀取user_passport.dwt模版文件內容，顯示解析變量後的HTML內容，用_echash做分割，得到$ķ然後交給isnert_mod處理，由於_echash是默認的，不是隨機生成的，所以$ VAL內容可隨意控制。 再看insert_mod函數, 非常關鍵的一個地方，這裡進行了動態調用$...

0x00 BGP（RFC 1771、 RFC 4271）定義全稱是Border Gateway Protocol, 對應中文是邊界網關協議，最新版本是BGPv4。 BGP是互聯網上一個核心的互聯網去中心化自治路由協議。它的地位是核心的毫不誇張地說， 是目前唯一連接海陸空和7大洲4大洋的外部路由協議。 BGP是最複雜的路由協議，屬於應用層協議，其傳輸層使用TCP，默認端口號是179。因為是應用層協議，可以認為它的連接是可靠的，並且不用考慮底層的工作，例如fragment，確認，重傳等等。 BGP是唯一使用TCP作為傳輸層的路由協議，其他的路由協議可能都還到不了傳輸層。...