网络安全法
网络安全法 [!Warning] 本人所有文章均为技术分享与知识记录,仅用于以防御为目的的教学演示,所有操作均在实验环境下进行,请各位读者勿用于其他用途,否则后果自负。 2016 年 11 月 7 日,第二十届全国人民代表大会常务委员会通过了《中华人民共和国网络安全法》,该法案于 2017 年 6 月 1 日开始生效。 全文链接:中华人民共和国网络安全法 1 关键条目第一条: 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。 == 第二十七条 ==: 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 第四十一条: 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络...
提问的艺术
提问的艺术提问的艺术是一门重要的沟通技巧,旨在通过巧妙的问题构建实质性对话。 当讲师这几年也遇到非常多人、非常多事儿,其中最令人烦躁的还是与学生的提问沟通之中的琐碎事宜。 有没有遇到过这样的场景 —— 你小心翼翼地问了一个问题,结果对方回你:“你先 Google 一下?” 你内心 OS:“我要是搜得到,还会来问你吗?!” 别急,今天咱们就来聊聊如何问问题,才不会被扔去和搜索引擎 “战略合作”。 1 自己动手、丰衣足食在学校里,老师总是这样教我们:有不懂的问老师、同学帮忙解决。但老师也会说:先自己动脑思考,实在想不出再寻求别人的帮助。 从而我们可以看出:提问的前提是 - “自己先去尝试解决问题“。 我相信很多群里都有这样的幽默公告: 1本群已和谷歌、百度、360、搜狗、必应等搜索引擎公司达成战略合作,有什么疑问可以先咨询他们,不用在群里问了。 或者说是如下的表情包(可能会引起部分人的不适): 看似是笑话,其实不然。“自己动手,丰衣足食;自己不动,群里被踢。—— 这是当代互联网生存法则第一条。” 遇到难题也是如此,自己不首先动动脑子,只知道一...
挖矿 - 学校挖矿排查
挖矿 - 学校挖矿排查 [!Note] 参考文章链接(州弟学安全):https://mp.weixin.qq.com/s/xIh4NukshMVEIuQzuu4rbw 完全仿真了某学校长期未运营维护的程序,被黑客发现了漏洞,但好在学校有全流量设备,抓取到了过程中的流量包,需要你进行上机以及结合流量分析,排查攻击者利用的漏洞以及上传利用成功的木马,以及清除掉攻击者上传的挖矿程序以及后门程序,挖矿环境完全还原了真实环境,但不会出网,比较有意义,清除做了 check 操作,你只需要按照相关题目引导进行清除,在指定目录下查看 flag 提交即可,流量包在远程登录成功后的 /hacker 2025.pcap。 流量包下载地址:https://pan.baidu.com/s/1csa2_5L0w1zj8HmwNplSrg?pwd=74hq 已知信息如下: 被攻击机 IP 地址:192.168.37.11 SSH 远程端口:2222 账号密码:root/edusec123 Web 端口:19999 需要访问和流量进行还原攻击者路径,在注册账号登录成功后,下载首页的应急响应报告模板进行复现...
Terraform 简单使用
Terraform 简单使用朋友写工具时,分享了我一篇 Terraform 工具介绍,别说还真不错。 参考文章: Aliyun 文档:https://help.aliyun.com/zh/terraform/using-terraform-in-windows Terraform 文档:https://developer.hashicorp.com/ 1 Terraform 介绍HashiCorp Terraform 是一款基础设施即代码 (IaC) 工具,它允许您使用易于阅读的配置文件定义云端和本地资源,这些配置文件可以进行版本控制、重用和共享。之后,您可以使用一致的工作流程来配置和管理整个基础设施的整个生命周期。Terraform 可以管理计算、存储和网络资源等底层组件,以及 DNS 条目和 SaaS 功能等高层组件。 Terraform 通过应用程序编程接口(API)在云平台和其他服务上创建和管理资源。服务提供商使 Terraform 能够与几乎任何具有可访问 API 的平台或服务协同工作。 Terraform 的核心工作流程包含三个阶段: Write: 可以定义资...
应急响应靶机训练 - 挖矿
应急响应靶机训练 - 挖矿机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。 请你找出以下内容作为通关条件: 攻击者的 IP 地址; 攻击者开始攻击的时间; 攻击者攻击的端口; 挖矿程序的 MD5; 后门脚本的 MD5; 矿池的 URL; 钱包的 URL; 攻击者入侵流程; 相关账户密码: Administrator/zgsf@123 1 流程梳理 [!Note] 这里推荐使用 RDP 远程连接服务器,因为 近源 OS1 靶机没有安装 VMTools,操作不是很方便。 根据题意说是被挖矿了,那难免会出现异常进程、CPU 占用过高的情况,打开任务管理器看看: 发现个 XMRig miner 的程序(这里是开机没有,我自己启动的,所以占用小),没见过,感觉挺特殊。 用火绒剑跟一下,看着好像挺正常的: 用火绒剑看看启动项,发现个 system.bat 脚本,那这就不正常了: 跟过去打开看看: 哦豁,确实是个恶意脚本,大致就是去矿池下载挖矿程序了: 1powershell -Command "$wc = New-Object System.N...
应急响应靶机训练 - 近源 OS1
应急响应靶机训练 - 近源 OS1小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。 请你找出以下内容作为通关条件: 攻击者的外网 IP 地址; 攻击者的内网跳板 IP 地址; 攻击者使用的限速软件的 MD5 大写; 攻击者的后门 MD5 大写; 攻击者留下的 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: Administrator/zgsf@2024 1 流程梳理 [!Note] 这里推荐使用 RDP 远程连接服务器,因为 近源 OS1 靶机没有安装 VMTools,操作不是很方便。 这次的靶机有点奇怪,我看 WP 理不出思路,不过有个取巧、简便的方法。 下个火绒!,直接开扫: 可以发现在 “学校放假通知 - 练习.doc” 里面有个宏病毒,直接扔到微步云沙箱里分析一下: 发现了攻击者的 VPS(可能)地址 8.219.200.130: 再往下,分析说 php_xmlrpc.dll 是一...
应急响应靶机训练 - Linux2
应急响应靶机训练 - Linux2看监控的时候发现 Webshell 告警,领导让你上机检查,你可以救救安服仔吗!!。 请你找出以下内容作为通关条件: 黑客的 IP 地址; 黑客修改的管理员密码(明文); 黑客留下的 WebShell 连接密码; 黑客后续上传的木马文件名称; 黑客遗留下的 3 个 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: root/Inch@957821. 1 流程梳理 [!Note] 这里推荐使用 SSH 远程连接服务器,因为 Linux2 靶机没有 GUI 界面,操作不是很方便。 在 Linux 中最普遍的就是 SSH 登录了,可以使用 last 看看最近的用户登录情况: 可以看到 192.168.20.1 在 2024-03-20 有个连接,看看登录失败的记录: 翻一翻 secure 日志: 1cat /var/log/secure | grep '192.168.20.1' 不够这点信息也不能确定是否是攻击者,查看 root 的历史命令: 12345678910111213141...
应急响应靶机训练 - Linux1
应急响应靶机训练 - Linux1小王急匆匆地找到小张,小王说 “李哥,我 dev 服务器被黑了”,快救救我!!。请你找出以下内容作为通关条件: 黑客的 IP 地址; 黑客遗留下的 3 个 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: defend/defend root/defend 1 流程梳理在 Linux 中最普遍的就是 SSH 登录了,可以使用 last 看看最近的用户登录情况: 123456789101112[defend@localhost ~]$ lastdefend pts/0 :0 Sun Dec 21 22:44 still logged in defend :0 :0 Sun Dec 21 22:44 still logged in reboot system boot 3.10.0-1160.el7. Sun Dec 21 22:44 - 22:44 (00:00) ...
应急响应靶机训练 - Web3
应急响应靶机训练 - Web3小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。请你找出以下内容作为通关条件: 攻击者的两个 IP 地址; 隐藏用户名称;hack6618$ 黑客遗留下的 3 个 flag; 本虚拟机的考点不在隐藏用户以及 IP 地址,相关账户密码:administrator/xj@123456 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 根据页面提示这是个 Z-Blog 建站,看页面正常,直接去看日志文件,使用 Notepad++ 打开(D:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1710201600): 根据日志内容发现,攻击者 192.168.75 在 2025.03.12 11:06:58 访问站点,之后访问了 /zb_system/login.php 页面。在网页中打开,发现是后台登录页面: 接着往下看,发现频繁出现 /zb_system/cmd.php?act=v...
Rclone 基础使用
Rclone 基础使用最近在家中部署了飞牛 NAS 来承载本地数据存储需求,之前还在云服务器上搭建了 Alist 用于统一管理各类网盘资源,后来又在 NAS 上加装了 Openlist 进一步拓展文件存储功能。百度发现 Rclone 这个工具不错,写一篇记录一下。 1 Rclone 介绍Rclone 诞生于 2014 年,是一款开源的跨平台云存储同步工具,支持超过 40 种云存储服务,包括我们熟知的阿里云 OSS、腾讯云 COS、百度网盘、Google Drive、OneDrive 等。其核心功能涵盖文件同步、复制、移动、删除、挂载云存储为本地磁盘等,同时支持数据加密传输与存储、断点续传、批量操作等高级特性。无论是个人用户进行数据备份,还是企业级的大规模数据迁移,Rclone 都能提供高效、稳定的解决方案。与图形化云盘客户端相比,Rclone 虽以命令行为主,但灵活性更高、资源占用更低,且支持脚本自动化操作,适配更多复杂使用场景。 官网地址:https://rclone.org/ 2 Windows 下的安装与配置Rclone 下载页面:https://rclone.org/d...