LiuGuobin's blog
  文章分类
日报 83 随笔 7 hexo 2 附录 4 闲聊 3 资源 2 图片 1 比赛 2
善后处理 善后处理
杀死进程top d1 //运行top命令后,键入大写字母P按cpu排序 ps aux | sort -k4nr //运行top命令后,键入大写字母M按内存排序 ls -la /proc/$pid/exe   //查找进程文件
2023-08-18 日报
日报
常见问题处置方案 常见问题处置方案
文件无法删除被进程占用: lsof xxxx.xx 文件存在隐藏属性: sattr xxxx.xx chattr -a xxxx.xx chattr -i xxxx.xx 上层文件存在SBIT权限:这种情况只存在于非 root 权限去删
2023-08-17 日报
日报
暴力破解排查 暴力破解排查
介绍暴力破解一般针对ssh、mysql、ftp、redis、mongodb、smtp SSH暴力破解 使用netstat -pantu查看网络状态,重点是PID(当被破解时会有大量的ESTABLISHED) 使用awk -F: '
2023-08-16 日报
日报
勒索病毒排查 勒索病毒排查
概述正常情况下遇到勒索病毒就两种方法,要么找办法解开要么给钱。 处置方法 查找勒索病毒特征,收集相关信息 深信服千里目实验室公众号直接回复病毒关键字 安全响应及EDR知识赋能平台 Freebuf 淘宝、闲鱼 解决方法有解密工具就用解密工具
2023-08-15 日报
日报
远控后门排查 远控后门排查
获取事件告警信息监控EDR、态势感知、防火墙等平台查看威胁告警以及日志。 定位后门文件根据告警信息定位后门文件位置,查找进程pid lsof | grep xxxx.xx lsof /root/xxxx.xx fuser /root/xxx
2023-08-14 日报
日报
挖矿事件排查 挖矿事件排查
第一步:获取信息 下线服务器之后从DNS服务器、防火墙、态势感知平台等地方获取到攻击事件详细信息 根据上传来源的IP/域名,在威胁情报平台查询确定木马类型 获取异常进程的pid CPU占用: top -c -o %CPU ps -eo p
2023-08-13 日报
日报
安全工具 安全工具
Nmap常用命令nmap hostname/ip或者多个ip或者子网192.168.123.* -iL ip.txt 扫描ip.txt的所有ip -A 包含了-sV,-O,探测操作系统信息和路由跟踪(激烈扫描,一般不用) -O 探测操作系统
2023-08-12 日报
日报
内网渗透 内网渗透
内网渗透的流程 从外网拿下一个主机当做跳板 用net user /domian命令查看跳板机是否在域内,探测存活主机 提权、提取hash 进行横向移动,定位dc位置 查看是否有能直接提权域管的漏洞,拿到dc控制权后进行提权 最后制作黄金票据
2023-08-06 日报
日报
阅经题总结 阅经题总结
拿到目标站以后的渗透思路?渗透测试流程: 项目前期准备工作 信息收集:whois、网站源IP、开放端口、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙WAF 自动化漏洞扫描:Nessus, AWVS,XR
2023-08-01 日报
日报
护网面试总结 护网面试总结
首先看简历简历不要乱吹,会什么就写什么;只要你写在简历上的面试官都会着重问。 第一个问题基本上第一句是先让你做个自我介绍你说的东西后面一定会问下去,所以建议说点项目或者设备的东西,先不要这么快上强度。 判断恶意外连/分析威胁情报 首先外连是
2023-07-31 日报
日报
应急响应概述 应急响应概述
应急响应概述应急响应流程事件判断:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DDoS等等。临时处置:给出客户临时处置建议,断网隔离,保护现场环境。信息收集分析:收集客户信息和中毒主机信息,包括样本,日志分析、进程分析、启动项分析、
2023-07-14 日报
日报
红队总结 红队总结
前言这次参加的是广州市的护网红队,跟着师兄一起去的,我一个大一的玩意就不指望能拿shell啥的了。虽然结果排名不高,但是队员们很努力。 总结准备首先的话会有提供靶标和虚拟机给你使用,这些机子在上交报告和复现都要用到,其他时候也要挂着VPN。
2023-07-13 日报
日报
2 / 7