HW蓝军攻略之攻击日志分析技巧 随着网络安全态势逐渐严峻，网络威胁开始关系到关键基础设施和国计民生，网络安全问题上升为国家安全层面的挑战。为了落实“实战化、常态化、体系化”的关键基础设施保护体系要求，2016年起，越来越多的行业和安全厂商加入到演习行动中，定期操演，暴露隐患，培养能打硬仗的专业后备力量。 作为演习中重要的角色之一——蓝队，其主要职责是负责演习中的防守。依托参演单位现有网络安全防御体系，完成实战中的网络安全事件监测、预警、分析、验证、溯源和处置。其中，对威胁的有效识别和及时响应，是蓝队工作中最重要的一…

前言 日志是数据，数据却不一定是日志。日志主要用于记录发生过的事件，写入和查询是常用操作，不推荐对其进行修改操作，日志过量或者过期的时候，需要清理。 日志是应用不可分割的一部分，没有日志的应用是残缺的。依赖日志，我们可以追溯故障、找出BUG、统计数据和分析用户行为。适当的日志可以提供帮助，日志太少和太多都会造成不良影响。 本文讨论了Web应用的HTTP日志、应用日志和用户日志。 HTTP日志 正规部署的Web应用，都会使用类似Nginx, Apache这样的Web服务器来做反向代理以及负载均衡。这样一来，就由这一层…

1.HTTP 协议 在谈论 HTTPS 协议之前，先来回顾一下 HTTP 协议的概念。 1.1HTTP 协议介绍 HTTP 协议是一种基于文本的传输协议，它位于 OSI 网络模型中的应用层。 HTTP 协议是通过客户端和服务器的请求应答来进行通讯，目前协议由之前的 RFC 2616 拆分成立六个单独的协议说明（RFC 7230、RFC 7231、RFC 7232、RFC 7233、RFC 7234、RFC 7235），通讯报文如下： 请求： POST http://www.baidu.com HTTP/1.1 Ho…

进后台Getshell 管理员后台直接Getshell 管理员后台直接上传Getshell，有时候带密码的Webshell连接时容易被waf拦截，可以上传不加密的Webshell如有权限限制可以尝试管理后台自带的修改文件名功能在文件名前加../来穿越目录，如上传的文件为a.php，将a.php修改为../a.php。 后台数据库备份Getshell 后台数据库备份getshell，上传图片马并获取图片马路径，通过数据库备份修改后缀名，如有后缀名无法修改或路径无法修改限制可修改前端代码绕过，当所备份的数据库来源无法修…

利用testssl.sh验证SSL和TLS安全漏洞 testssl.sh是一个Github上开源的命令行工具，它能够检查服务器在任何端口上的服务是否支持TLS/SSL密码、协议以及一些加密缺陷，可作为应用密码测评的测试工具。 一、工具安装方法 git clone --depth 1 https://github.com/drwetter/testssl.sh.git 二、使用 1、./testssl.sh –help 一、SWEET32（CVE-2016-2183） 使用3DES的任何密码都易受SWEET32影响 …

谈谈蜜罐与内网安全 0x00 写在前面 蜜罐系统通过在网络中部署感应节点，实时感知周边网络环境，同时将感应节点日志实时存储、可视化分析，来实现对网络环境中的威胁情况感知。网上的开源蜜罐很多，种类不一，不可枚举。有针对单个服务的蜜罐，也有多个服务整合在一起的。Github上有个项目，收集汇总了免费和开源的蜜罐，项目地址：awesome-honeypots，该项目按照蜜罐类型做了分类，包括Web蜜罐、各种服务蜜罐以及一些蜜罐相关组件（包括网络分析工具、前端和可视化工具等），收集的很全面。 但是一个好的蜜罐，应该做到：能…

简介 msfvenom是msfpayload,msfencode的结合体，可利用msfvenom生成木马程序,并在目标机上执行,在本地监听上线。 参数 –p (- -payload-options)：添加载荷payload。载荷这个东西比较多，这个软件就是根据对应的载荷payload生成对应平台下的后门，所以只有选对payload，再填写正确自己的IP，PORT，就可以生成对应语言，对应平台的后门。 · –l：查看所有payload encoder nops。 · –f ：输出文件格式。 · –e：编码免杀。 · …

渗透测试之SSRF漏洞 一：漏洞概念 SSRF全称为Server-side Request Fogery,中文含义为服务器端请求伪造，漏洞产生的原因是服务端提供了能够从其他服务器应用获取数据的功能，比如从指定的URL地址获取网页内容，加载指定地址的图片、数据、下载等等。 一般情况下，我们服务端请求的目标都是与该请求服务器处于同一内网的资源服务，但是如果没有对这个请求的目标地址、文件等做充足的过滤和限制，攻击者可通过篡改这个请求的目标地址来进行伪造请求，所以这个漏洞名字也叫作“服务器请求伪造”。 二：漏洞危害 1、可…

前言 可根据权限名或者进程名进行token窃取，利用token窃取可以进行nt提权、普通降权、域（管）用户权限获取等操作。 一、exe incognito.exe可用于有杀毒、不出网、防火墙限制等无法cs或msf上线情况。 下载incognito.exe： https://labs.mwrinfosecurity.com/assets/BlogFiles/incognito2.zip 相关文档： http://labs.mwrinfosecurity.com/assets/142/mwri_security-imp…

(1) D盾 (2) 云锁 (3) UPUPW安全防护 (4) 宝塔网站防火墙 (5) 网防G01 (6) 护卫神 (7) 网站安全狗 (8) 智创防火墙 (9) 360主机卫士或360webscan (10) 西数WTS-WAF (11) Naxsi WAF  (12) 腾讯云  (13) 腾讯宙斯盾  (14) 百度云  (15) 华为云 (16) 网宿云 (17) 创宇盾  (18) 玄武盾 (19) 阿里云盾  (20) 360网站卫士  (21) 奇安信网站卫士  (22) 安域云WAF (23) 铱讯W…