来杯菊花茶

生活不只是眼前的苟且,还有诗和远方

0%

ATT&CK Workbench是MITRE组织最新开源的一款工具,通过它可以更加容易的管理自己本地的TTP库。Workbench 允许用户探索创建注释共享ATT&CK 知识库的扩展。组织或个人可以通过workbench来初始化他们自己的应用程序实例,配合ATT&CK Navigator可以更容易的定制出自己的TTP矩阵。

ATT&CK Workbench的适用人群?

如果你符合以下问题中的任何一个,那么这个工程就适用于你的组织

  • ATT&CK是你安全运营组织的核心?
  • 你使用ATT&CK追踪外部威胁动态?
  • 你是否以ATT&CK对齐防护工作?
  • 你是否基于ATT&CK计划你的安全投资?
Read more »

近期工作中需要逆向分析一个神奇的木马,文件看起来是一个linux下面的elf文件,但是通过常规手段用ida或者ghidra分析完全没有头绪(主要是因为菜>_<),但是通过ida的分析可以看出明显的python痕迹,后来通过万能的谷歌学习到,还有另一种途径可以完美的逆向python打包的可执行程序。本文简要记录一下逆向python打包的elf/exe程序的逆向分析方法。

python打包的可执行程序

将python脚本打包成可执行程序可以更方便的在目标平台上执行,打包工具有很多,其中最常用的当数pyinstaller了,在Linux/Windows平台上可以通过pip安装:

pip install pyinstaller

打包方法很简单,直接对写好的python程序demo.py执行:

pyinstaller -F demo.py

打包好的exe程序会在dist目录中,elf需要在Linux下打包,方法是一样的

Read more »

我的CISSP备考前后大概花了半年时间,因为“新冠”疫情影响广州的考点一直约不到考试时间,结果白白又拖了2个月,终于在7月初一把通过。回顾CISSP的备考过程,总体来讲收获还是很大的,虽然中间也遇到不少波折,但是回头看困难都是成功路上的点缀。

正如网上评论的,CISSP的考察特点是“寸之深,亩之阔”,笔者在备考CISSP之前已经做了6年的网络安全软件产品开发和2年多安全运营,虽说一直从事的是网络安全技术行业但是对于领域知识一直没有系统的认识,与安全相关的知识点都是孤立的、烟囱似的,参与安全方案评审的时候发现还是经常遇到知识盲区。CISSP属于知识性的考试,囊括了信息安全领域的方方面面,为了通过考试你往往不能指望某一本书能回答一切,一本好的教材可以帮你快速入门但是还不足以通过考试,比如《All in one》里讲到kerberos认证,里面大致描述了认证的交互过程,但是如果要了解详细的认证过程和安全威胁就需要自己上网查资料,因为《All in one》教材的内容也是第三方的作者根据ISC2的大纲编写的,没有办法保证100%覆盖,总之备考还是要在教材的知识基础上多扩展一些。通过学习CISSP可以对信息系统安全领域有一个非常全面的认识,完全可以达到扩充知识面的目的,再往后就看垂直领域缺啥补啥了。

Read more »

本文主要参考国外大佬的文章教你如何使用JWT框架实现Flask API的身份认证。

JSON Web Token(JWT)是一个非常流行的WEB认证认证框架,JWT可以说是SPA和web服务器之间授权和通信的标准做法。在本文中,我们会构建一个具有JWT授权的Flask web服务器。

完整的代码从这里下载:https://github.com/dickens88/flask-jwt-demo

步骤1 工程构建

本工程基于Python3.6或以上版本,先执行pip安装依赖包:

pip install flask flask-restful flask-jwt-extended passlib flask-sqlalchemy

新建一个Python工程(你可以选择pycharm作为开发IDE工具),我们将会用到以下几个工具:

Read more »

Mimikatz

Mimikatz可以从Windows内存中dump出登录用户的密码hash(或明文密码),在安全界可以说家喻户晓,在2016年前后也是大杀四方,现在虽然微软已经发布了相关补丁但是对于大量存量版本Windows系统来讲依然是杀伤力巨大。
当前业界大多数防病毒产品对于原生和大部分变种的mimikatz已经有比较高的查杀率,因此在渗透过程中如何投递如何免杀是个大问题,业界已经有很多mimikatz免杀的技术,本文介绍一种基于Powershell Invoke-Mimikatz进行二次加密,实现无文件执行+免杀的方法

工具

PowerSploit工程提供了多种黑客工具的加密版本和加密方法,基本都是基于Powershell的,其中也包括了[Invoke-Mimikatz]

Read more »

7.2.0 版本以后的Elastic Stack添加了很多安全相关的功能,6.3版本以后原本闭源收费的X-pack组件也开源了一部分功能,代码可以在github下载免费试用。这其中最关键的一点是ES和Kibana的安全认证功能可以在开源的ELK版本中使用了。

本文简要介绍如何ELK开启安全认证功能。
kibana auth

Read more »

logstash最常见的运行方式即命令行运行./bin/logstash -f logstash.conf然后通过ctrl+c结束,这种方式的优点在于运行方便,但是缺点也很明显,不便于管理,同时如果遇到服务器重启,则维护成本会更高一些,如果在生产环境运行logstash建议还是使用服务的方式运行。本文介绍如何将logstash加入linux的service中,以服务的方式启动logstash,同时借助service的特性实现开机自启动的能力。

0X01 环境准备

  • logstash 5.x 以上版本,假设安装在/opt/logstash目录
  • Centos服务器
Read more »

系统漏洞管理是SOC安全运营非常重要的环节,通常SOC团队需要定期对公司内部服务器进行漏洞扫描,以确定和评估内部系统是否存在系统漏洞和不合规配置,通过漏洞扫描来进行安全风险检查是一种非常常用的手段。业界比较有名的商用漏扫工具有Nessus和Nexpose等,而漏洞扫描的结果对于后续的风险评估和整改有非常重要的意义,正确合理的做法是由IT人员对相关风险进行跟踪闭环,本文简要介绍一下使用Splunk集成Nessus进行系统漏洞集中跟踪管理的方法。

0x01 准备条件

网络安全的攻和守一直以来都是安全建设的两个方面,笔者最近也在研究一些渗透测试的技术,以丰富网络安全建设的知识储备。本文简要介绍一下,如何在虚拟环境下利用Metasploit pro自动对靶机完成漏洞发现和漏洞利用,最终通过漏洞实现控制对方主机的目的。使用的工具包括:

Read more »

最近笔者的项目需要找到一种方法能自动将Python爬虫产生的一些结果用告警的信息的方式发送到手机上,以往我们用来发送告警的方式往往是短信或者邮件,但是这两种方式要么不够灵活要么实时性不够。现在越来越多的互联网应用选择用微信作为平台发送告警信息,这种方式的前提就是你的应用需要能够访问到微信的服务器。
根据笔者的了解,目前集成微信告警主要有两种方式:

  • 用个人号发送告警
  • 用公众号(企业号)发送告警

个人号发送告警

顾名思义,虽然也是调用微信的API实现发送信息,但是这种方式需要使用个人账号扫描登录以后脚本才能运行,另外从接受告警的形式上看起来也就像是跟一个人在聊天。当前已经有很多热心的大神将微信的接口封装成了更加易于调用的接口SDK,如wxpywechat sender可以大大简化接口调用的复杂度,感兴趣的读者可以自行研究,上述两个项目的文档已经写的非常详细了

Read more »