python脚本是我等IT脚男日常工作中的必备工具，功能稍微复杂一些的脚本时常需要接受用户输入，根据输入执行相应的分支，如何处理用户输入并提供合适的输出则直接决定了脚本的质量和使用体验，一个合适的命令行框架可以让你的开发和后续使用事半功倍。本文介绍几款开源的python命令行框架，简要对比一下优缺点，希望对你的工作有所帮助。

optparse

optparse 是python内置的命令行工具库之一，它可以提供非交互式命令行框架，即用户输入命令启动python脚本执行完成即退出，不会等待你输入下一个命令，适用于相对简单的python命令行工具，基本用法如下：

代码示例

ATT&CK Workbench是MITRE组织最新开源的一款工具，通过它可以更加容易的管理自己本地的TTP库。Workbench 允许用户探索、创建、注释和共享ATT&CK 知识库的扩展。组织或个人可以通过workbench来初始化他们自己的应用程序实例，配合ATT&CK Navigator可以更容易的定制出自己的TTP矩阵。

ATT&CK Workbench的适用人群？

如果你符合以下问题中的任何一个，那么这个工程就适用于你的组织

• ATT&CK是你安全运营组织的核心？
• 你使用ATT&CK追踪外部威胁动态？
• 你是否以ATT&CK对齐防护工作？
• 你是否基于ATT&CK计划你的安全投资？

近期工作中需要逆向分析一个神奇的木马，文件看起来是一个linux下面的elf文件，但是通过常规手段用ida或者ghidra分析完全没有头绪(主要是因为菜>_<)，但是通过ida的分析可以看出明显的python痕迹，后来通过万能的谷歌学习到，还有另一种途径可以完美的逆向python打包的可执行程序。本文简要记录一下逆向python打包的elf/exe程序的逆向分析方法。

python打包的可执行程序

将python脚本打包成可执行程序可以更方便的在目标平台上执行，打包工具有很多，其中最常用的当数pyinstaller了，在Linux/Windows平台上可以通过pip安装：

pip install pyinstaller

打包方法很简单，直接对写好的python程序demo.py执行：

pyinstaller -F demo.py

打包好的exe程序会在dist目录中，elf需要在Linux下打包，方法是一样的

我的CISSP备考前后大概花了半年时间，因为“新冠”疫情影响广州的考点一直约不到考试时间，结果白白又拖了2个月，终于在7月初一把通过。回顾CISSP的备考过程，总体来讲收获还是很大的，虽然中间也遇到不少波折，但是回头看困难都是成功路上的点缀。

正如网上评论的，CISSP的考察特点是“寸之深，亩之阔”，笔者在备考CISSP之前已经做了6年的网络安全软件产品开发和2年多安全运营，虽说一直从事的是网络安全技术行业但是对于领域知识一直没有系统的认识，与安全相关的知识点都是孤立的、烟囱似的，参与安全方案评审的时候发现还是经常遇到知识盲区。CISSP属于知识性的考试，囊括了信息安全领域的方方面面，为了通过考试你往往不能指望某一本书能回答一切，一本好的教材可以帮你快速入门但是还不足以通过考试，比如《All in one》里讲到kerberos认证，里面大致描述了认证的交互过程，但是如果要了解详细的认证过程和安全威胁就需要自己上网查资料，因为《All in one》教材的内容也是第三方的作者根据ISC2的大纲编写的，没有办法保证100%覆盖，总之备考还是要在教材的知识基础上多扩展一些。通过学习CISSP可以对信息系统安全领域有一个非常全面的认识，完全可以达到扩充知识面的目的，再往后就看垂直领域缺啥补啥了。

本文主要参考国外大佬的文章教你如何使用JWT框架实现Flask API的身份认证。

JSON Web Token(JWT)是一个非常流行的WEB认证认证框架，JWT可以说是SPA和web服务器之间授权和通信的标准做法。在本文中，我们会构建一个具有JWT授权的Flask web服务器。

完整的代码从这里下载：https://github.com/dickens88/flask-jwt-demo

步骤1 工程构建

本工程基于Python3.6或以上版本，先执行pip安装依赖包:

pip install flask flask-restful flask-jwt-extended passlib flask-sqlalchemy

新建一个Python工程(你可以选择pycharm作为开发IDE工具)，我们将会用到以下几个工具：

Mimikatz

Mimikatz可以从Windows内存中dump出登录用户的密码hash(或明文密码)，在安全界可以说家喻户晓，在2016年前后也是大杀四方，现在虽然微软已经发布了相关补丁但是对于大量存量版本Windows系统来讲依然是杀伤力巨大。
当前业界大多数防病毒产品对于原生和大部分变种的mimikatz已经有比较高的查杀率，因此在渗透过程中如何投递如何免杀是个大问题，业界已经有很多mimikatz免杀的技术，本文介绍一种基于Powershell Invoke-Mimikatz进行二次加密，实现无文件执行+免杀的方法

工具

• PowerSploit

PowerSploit工程提供了多种黑客工具的加密版本和加密方法，基本都是基于Powershell的，其中也包括了[Invoke-Mimikatz]

7.2.0 版本以后的Elastic Stack添加了很多安全相关的功能，6.3版本以后原本闭源收费的X-pack组件也开源了一部分功能，代码可以在github下载免费试用。这其中最关键的一点是ES和Kibana的安全认证功能可以在开源的ELK版本中使用了。

本文简要介绍如何ELK开启安全认证功能。

logstash最常见的运行方式即命令行运行./bin/logstash -f logstash.conf然后通过ctrl+c结束，这种方式的优点在于运行方便，但是缺点也很明显，不便于管理，同时如果遇到服务器重启，则维护成本会更高一些，如果在生产环境运行logstash建议还是使用服务的方式运行。本文介绍如何将logstash加入linux的service中，以服务的方式启动logstash，同时借助service的特性实现开机自启动的能力。

0X01 环境准备

• logstash 5.x 以上版本，假设安装在/opt/logstash目录
• Centos服务器

系统漏洞管理是SOC安全运营非常重要的环节，通常SOC团队需要定期对公司内部服务器进行漏洞扫描，以确定和评估内部系统是否存在系统漏洞和不合规配置，通过漏洞扫描来进行安全风险检查是一种非常常用的手段。业界比较有名的商用漏扫工具有Nessus和Nexpose等，而漏洞扫描的结果对于后续的风险评估和整改有非常重要的意义，正确合理的做法是由IT人员对相关风险进行跟踪闭环，本文简要介绍一下使用Splunk集成Nessus进行系统漏洞集中跟踪管理的方法。

0x01 准备条件

• Splunk Enterprise平台
• Nessus 漏洞扫描平台
  Read more »

网络安全的攻和守一直以来都是安全建设的两个方面，笔者最近也在研究一些渗透测试的技术，以丰富网络安全建设的知识储备。本文简要介绍一下，如何在虚拟环境下利用Metasploit pro自动对靶机完成漏洞发现和漏洞利用，最终通过漏洞实现控制对方主机的目的。使用的工具包括：

• Virtualbox for windows
• Kali Linux
• Metasploit pro
• Metasploitable 靶机
  下文假设你已经在windows上安装了Virtualbox虚拟机平台，并且在virtualbox里面已经创建好了Kali Linux的虚拟机