安全矩阵

 找回密码
 立即注册
搜索
楼主: wholesome

侯欣悦学习日记

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-21 08:02:58 | 显示全部楼层
7.19总结:
1、微信文章:《nmap在渗透测试中的运用》,决定要仔细清楚每一个参数所代表的意思,后来还是直接看了文章
2、微信文章:《面试官:Linux是如何进行函数调用的?》,和寒假学习的pwn挂钩。
3、实战  反正今天的任务就是实战,实战了上传,但是上传绕不过。
4、看实验室《录制的视频:盲注》,但是由于之前已经学习了,所以就直接半开了一会儿。布尔盲注:折半查找  有时候还可以正则匹配来试探盲注 select 'a' regexp '^[a~z]' 。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-21 08:05:13 | 显示全部楼层
本帖最后由 wholesome 于 2020-7-21 08:07 编辑

7.20总结:
1、转载微信文章
2、看微信文章《手注大佬带你如何误打误撞搞渗透》
3、《web安全攻防》第四章之CSRF(跨站请求伪造)
4、总觉得自己每天无所事事,决定不止看那一本书,看点平时收集的资料,资料本来平时没有怎么看,不趁着这个暑假,以后也没有时间看了。先看《应急响应实战笔记_2020最新版》,一共有6章,每天一章,今日任务则是第一章:入侵排查篇
5、勒索病毒,最开始我以为是和我想象的病毒一样,中了这类病毒,就会被黑客什么的控制,后来才发现勒索病毒利用各种加密算法对被感染者的文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。该类型病毒的目标性强,主要以邮件为传播方式。勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥和私钥。然后,将加密公钥私钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
6、第二本资料:《ATT&CK手册》
7、学习《ctf之特训营》第一章 遇到sqlmap的tamper,上次学习没有仔细弄,这次打算认真学习一下。奈何虚拟机有出现了问题,知识大概了解了一下那些tamper的意思。学习到了第一篇的第三章,本想继续学习XSS的,但是XSS的内容很多,明天在学习
8、明日任务:《通用性业务逻辑组合拳加持你的权限》、《任意用户密码重置》、依照今天的看书内容执行、SRC-experience的readme文件





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:23:50 | 显示全部楼层
7.21 总结:
1、微信文章:《四川广安警方打掉一大型“跑分”团伙,涉案金额近2.7亿元》(一直没有明白这个跑分是什么,今天终于了解了)、《无需密码 直连目标内网Mssql》、《互联网公司忽悠员工的黑话,套路太深了。。。》 、《一口气说出“6种”延时队列实现方法,面试官也得服》、《Office钓鱼之传世经典CVE-2017-11882分析学习》、《唯快不破的分块传输绕WAF》时间段:8:00
2、突然想到我的CobaltStrike+MetaSploit等工具的使用也是非常薄弱呀!之前学习得一点儿都不扎实。
3、延时队列,第一次听到这个名字,但是看了看文章,发现和生活紧密联系。好的,最后,只看懂了实际生活中在哪儿运用,延时队列的6种方式我倒是没有看懂。(>_<)放弃!
4、《Office钓鱼之传世经典CVE-2017-11882分析学习》这篇文章写得非常好,实践性操作度应该很强,所以我打算尝试一下这个二进制漏洞。
5、老师发了一篇nmap扫描器的详细使用,看了一下,感觉不错!今天任务就把它也实践了吧!
6、《唯快不破的分块传输绕WAF》技术啥的不说,重点在于怎么分块传输绕过WAF。安装插件失败!后续就进行不下去了!
7、很多优秀的文章,奈何自己水平不高,实现起来也是困难重重!
8、《应急响应实战笔记》第二章  

回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:31:15 | 显示全部楼层
本帖最后由 wholesome 于 2020-7-29 12:33 编辑

7.22总结:
1、前天的《通用性业务逻辑组合拳劫持你的权限》没有看!今天看了吧。
2、《任意用户密码重置》有六个篇章,看了看作者举的例子,扩展思维,记了点笔记。
3、哎呀!学习精力不集中,看点电影吧!电影没看成,不过微信公众号白嫖一本书,但是不知道最后能否成功不?
4、复现《Office钓鱼之传世经典CVE-2017-11882分析学习》
5、《数字签名技术概览》看了前面还挺有兴趣,但是后面的就不行了,太多种类,没有系统的学习,看了就忘。
6、《应急实战响应笔记》第三章,看到这一章的windows隐藏文件这一块,感觉文件隐藏上一个暑假也学习过,但是也基本上忘记了!其中最重要的技术就是上传webshell怎么隐藏这个webshell,使其不被发现。(中间时间打羽毛球运动去了)此外,遇见了熟悉的windows命令行文件下载方式,之前看了几遍也没有记住,今天又遇见了,感觉还是不会,只能是遇到了再百度,看来这本书真的不错!打算复印下来!




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:36:30 | 显示全部楼层
本帖最后由 wholesome 于 2020-7-29 12:39 编辑

7.23总结:

1、《蓝队应急响应之“雄鸡夜鸣”》、《温故知新:Web渗透信息收集》、《内网密码搜集 [ 本地嗅探 ]》(统观了一下,感觉没有实际的示例演示,看这篇文章有点难度)
2、《应急响应实战笔记》第四章:windows实战篇  主要是讲解了几种病毒的原理和解决办法
3、《CTF特训营》第4章:服务端请求伪造ssrf,看了一点,感觉讲得比较简单。
4、“闲来无事”(不知道做什么),决定crackme的第一关





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:40:28 | 显示全部楼层
本帖最后由 wholesome 于 2020-7-29 12:44 编辑

7.24总结:
昨日老师总结:
1.没有系统的做情报收集,情报收集构建社工字典很重要,比如一个人的手机号,邮箱,qq,家人生日,一般人的口令多是这些的组合
2.对不同语言开发的系统不熟悉,也不熟悉开发流程,一个有经验的人至少需要熟悉十个程序员的知识并要融汇贯通
3.拿到一个系统,没有完整的方法论知道,先干什么后干什么,看实战实例看得少,至少要看完补天4万篇实战实例
4.缺乏洞察力和执著的精神。还是在死读书背知识点,理论上,情报收集与分析阶段要占到80%的时间,而且我们需要把各种可能的问题预估好,比如java系统,要猜测可能的中间件,你们注意总结,打好基础,没有几年功夫,肯定不行的
1、《CTF考点总结-sql注入篇》这一篇的内容很全,但是一时记不下来。
2、《F5远程代码执行漏洞分析》看不懂(有时候放弃一些东西也是可以)
3、看了几篇文章,感觉思想不集中,也没有学到点什么!换换学习的路线!
4、网络编辑器上传漏洞一直在突破,目前还没有进展!明天弄!



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:49:57 | 显示全部楼层
7.25总结
今天感觉什么都没有做,所以基本没有什么收获!

回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:51:39 | 显示全部楼层
7.26总结:
1、存储过程,现在的问题就是怎么没有输出。后来发现编写存储过程是一个界面,执行只是一个编译,但是调用的时候要有另一个专门的调用语句。存储过程的语法有点不一样,所以感觉还是遇到许多小问题。
2、《HW在即——红队活动之Lnk样本载荷篇》
3、完成了两个存储过程,借助了数据库。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:53:01 | 显示全部楼层
7.27:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
 楼主| 发表于 2020-7-29 12:54:28 | 显示全部楼层
7.28总结:
1、今天是赚翻了!滚了个楼梯,全身6处受伤!
2、看了几篇微信文章,其中有一篇文章是实战,我找到了相同网站,但是可惜的是有些操作并不能相同执行!
3、《web安全攻防》收尾昨天的hash攻击
4、了解了区块链
5、WEB安全攻防进入了第六章,感觉有些怎么实现不了啊!怎么回事!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2025-7-12 20:42 , Processed in 0.020658 second(s), 17 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表