网络攻防期末复习
网络攻防期末复习
琴生“攻击” 5步走
1.社会工程,获取特定目标(比如已知qq号码)或非特定目标(机会主义者要控制一批机器当僵尸机)
2.扫描,获取目标漏洞信息
3.入侵
4.拖库或潜伏监控
5.消除痕迹
“防范”
1.不要泄露社工信息
2.打补丁堵漏洞
3.观察网络流量,识别正常、异常、攻击,以及拖库等行为(snort,mydlp)
4.对流量载荷中可能的泄露进行检查(ntop一般不关心载荷,用squid+sslbump+icap)
5.日常性的工作,比如勤于观察日志、关心技术论坛和安全新闻等
“网络”系统
1.访问控制,除了os、app登录等,还有iptables、selinux等
2.传输加密,https,vpn,ssh
3.掩盖IP来源,各种proxy和跳转,典型就是vps、tor、i2p
4.对流量进行其他混淆,比如使用ping载荷、dns载荷等
5.其他,比如利用Botnet、APT、供应链攻击等
网络攻击的深层技术(脱离脚本小子的低级趣味)
1.内存安全,以缓冲区溢出为代表,各种exploit和shellcode基本都是这一类
2.二进制分析和逆向,各种平台windows/linux/Android/macos/ios上,可以发现内存安全等等各方面的问题
3.外挂技术,一般也是基于二进制分析的成果进行
4.网络攻击一般不去破译密文,因为密码算法没有容易破解的,但是cmap5.com确实很好用。
安全管理和法规
1.安全管理:“bs7799” vs. 国内网络安全技术标准 vs. 企业安全管理制度
2.国内法规:网络安全法、数据安全法、~个人信息保护法
工具(集)众多,典型举例
1.泄露案和社工库
2.安全扫描器以及一些ctf常用工具
3.metaspolit
4.vulhub
5.ntopng
6.snort
7.squid-icap-clamav
8.mydlp
学习线索串联
1.了解目标,通过社会工程,比如至少whois一下,利用“社工库”也是重要的手段之一。所以社工库是违法的,不过建设和部署一个用于内部自用教育培训和演示的社工库系统希望***。
2.对目标主机或网络进行安全扫描,注意别暴漏自己,有个叫董大风(化名)的仅扫描了某政府网站一下,就被判了几个月,用的还是境外的VPS,实在不行,“撒旦”了解一下。反过来,防范工作在扫描阶段就开始了,用防火墙、snort等易于发现扫描行为,应及时预警(向上级汇报),如果是政府网站就可以请律师了。只报警是不行的,要打补丁要改配置要买防火墙,一定要买。
3.有了目标的漏洞信息,可以用通用工具比如Metasploit等尝试获得控制权。如果漏洞太新,比如安全论坛看到的0day,流行工具还没有收录,只能论坛里找别的黑客写好的工具比如MSxx-yyy.exe这种,或自己写利用漏洞入侵的程序(共享给别人利用是违法的)。
4.有了控制权,先偷文件,再长期驻留监控用户活动,也可以当攻击跳板或代理,也可以利用其CPU、存储、带宽等资源做些能获得利益的事情。不要做损人不利己的事情。从防范角度,装终端安全软件如360或Symantec,配置windows安全域(活动目录),装mydlp等,是能阻止或发现不正常的进程、文件、网络等活动的。
5.全身而退 vs. 追踪痕迹。攻击的敏感步骤,应尽量通过vps、tor、i2p等难于追踪的间接通信形式,要把系统中各种活动日志等及时清空或破坏,选择温和低调的策略以利于长期隐藏等。
6.攻、防双方都应了解和熟悉相关的法律,要阅读“中华人民共和国网络安全法”“中华人民共和国数据安全法”“中华人民共和国个人信息保护法”。不仅是黑客,还有网管也要了解哪些途径自己可能进去。本市某儿童照相馆买、卖公民个人信息,用于电话营销,被公安部列入年度十大典型案件。https://www.mps.gov.cn/n2254098/n4904352/c9148603/content.html
其他知识点
- 内存安全之BOF
- 传输加密技术,VPN、SSH、https以及“中间人攻击”(sslbump+icap了解下)
- 逆向分析技术路线、工具和方法
- 代理和端口映射技术和工具,比如http-proxy、socks、socat、ssh-L/-R/-D、ssr等
名词解释
~/.ssh/*
- 含义解释
~/.ssh/是一个在类 Unix 系统(如 Linux、macOS)中的目录路径。~代表用户的主目录(home directory),不同的用户有不同的主目录,例如在 Linux 系统中,用户user1的主目录可能是/home/user1,那么~/.ssh/对于user1来说就是/home/user1/.ssh/。.ssh是一个隐藏目录(在 Unix/Linux 系统中,文件名以 “.” 开头的文件或目录是隐藏的,默认情况下使用ls命令不会显示它们,需要使用ls -a命令才能看到),这个目录主要用于存放和 SSH(Secure Shell)相关的文件。~/.ssh/*中的*是一个通配符,表示~/.ssh/目录下的所有文件和子目录。
- 文件内容说明
- 私钥文件(例如
id_rsa)和公钥文件(例如id_rsa.pub)- SSH 使用非对称加密算法,其中私钥用于解密数据和进行数字签名,是保密的,不能泄露。公钥用于加密数据和验证签名,可以公开。例如,当你想通过 SSH 登录到远程服务器时,你可以将本地的公钥发送到远程服务器,远程服务器使用这个公钥来加密挑战信息,然后你的本地客户端使用私钥来解密这个挑战信息,从而完成身份验证。
- 已知主机文件(
known_hosts)- 这个文件记录了已经访问过的 SSH 服务器的主机密钥等信息。当你第一次连接到一个 SSH 服务器时,客户端会收到服务器发送的主机密钥,并将其存储在
known_hosts文件中。以后每次连接时,客户端会检查服务器发送的主机密钥是否与known_hosts文件中记录的一致,这有助于防止中间人攻击。如果主机密钥发生变化,客户端会发出警告,提醒用户可能存在安全风险。
- 这个文件记录了已经访问过的 SSH 服务器的主机密钥等信息。当你第一次连接到一个 SSH 服务器时,客户端会收到服务器发送的主机密钥,并将其存储在
- 配置文件(
config)- 可以通过这个文件来配置 SSH 客户端的各种参数,比如设置不同的连接选项(如指定端口号、用户身份等),用于连接多个不同的 SSH 服务器。
- 私钥文件(例如
74/75破解方法
在软件破解中,74 对应机器码 je,即等于则跳转,75 对应 jne,即不等于则跳转。许多软件使用 je 来对注册码进行判断,如果将 je 修改为 jne,就可能达到破解软件的目的
ALSR
地址空间布局随机化(Address Space Layout Randomization):是一种计算机安全技术,通过将熵引入进程内存地址空间,使进程的系统调用区域、栈内存空间等在加载时随机分配虚拟地址空间,增加攻击者预测目标地址的难度,有效阻止 Ret2libs 和 ROP 等利用技术,防御缓冲区溢出攻击等内存漏洞利用方式
botnet
Botnet 是 “机器人网络”(英文为 “robot network”)的缩写,也被称为僵尸网络。它是指通过互联网通信信道,将大量被恶意软件感染的计算机(称为 “僵尸主机” 或 “肉鸡”)连接起来形成的网络。这些受感染的计算机可以被一个或多个控制者(称为 “botmaster”)远程控制,执行各种恶意任务。
chmod
chmod 是 “change mode” 的缩写,是一个用于改变文件或目录访问权限的命令,在 Unix 和类 Unix 系统(如 Linux、macOS 等)中广泛使用。文件和目录的权限决定了谁(所有者、所属组用户或其他用户)可以对其进行读取(r)、写入(w)和执行(x)操作。
cmd5.com
cmd5.com是一个创建于 2006 年的 MD5 在线解密破解网站,提供 MD5、SHA1、MySQL、SHA256 等多种类型的加密解密服务,其数据库庞大,拥有超过 90T 的数据记录,部分服务免费,少量收费.
该网站的特点和优势明显, 其界面设计简洁,操作方便,即使是初次使用的用户也能快速上手,能够为技术人员等在数据恢复、安全测试等方面提供便利。同时,该网站也注重用户数据的安全性,采取了多种措施保障数据安全.
cookie
Cookie 是在 Web 浏览器和 Web 服务器之间传递的一小段文本信息。当用户访问一个网站时,服务器可以通过 HTTP 响应头将 Cookie 发送给浏览器,浏览器会将 Cookie 存储在本地。之后,浏览器在每次向该网站发送请求时,会把相应的 Cookie 信息通过 HTTP 请求头再发送回服务器。
CreateRemoteThread()
CreateRemoteThread()是 Windows API 中的一个函数,它允许一个进程在另一个进程的地址空间中创建一个新的线程。该函数在 Windows 操作系统的多线程编程和进程间通信中起着关键的作用。
CTF
CTF(Capture The Flag)一般译作夺旗赛,是一种网络安全竞赛形式。其目标是通过解决各种信息安全相关的挑战来获取 “旗帜”(Flag),这些旗帜通常是一个特定格式的字符串,代表着参赛者成功完成某个挑战的凭证。
curl
curl是一个命令行工具,用于在各种网络协议下传输数据。它支持多种协议,如 HTTP、HTTPS、FTP、FTPS、SCP、SFTP、TFTP、LDAP、DAP、FILE 等。curl的名字是 “Client for URLs” 的缩写,它可以从指定的 URL 获取数据,也可以将数据发送到指定的 URL。
DDOS
DDoS(Distributed Denial of Service),即分布式拒绝服务攻击。它是一种恶意的网络攻击手段,攻击者通过控制大量(通常是数千台甚至更多)的计算机(这些计算机被称为 “僵尸主机” 或 “肉鸡”)组成僵尸网络(Botnet),同时向目标服务器或网络资源发送海量的请求,使得目标服务器或网络资源被请求洪流淹没,无法正常处理合法用户的请求,从而导致服务中断或性能严重下降。
DEP
数据执行保护(Data Execution Prevention,DEP)是一种计算机安全技术,主要用于防止恶意代码在计算机内存中的数据区域执行。它通过硬件和软件相结合的方式,将内存划分为可执行区域和不可执行区域,当处理器执行到标记为不可执行的内存区域中的代码时,会引发异常并阻止代码的执行。
dex2jar
dex2jar 是一个将 Android 的.dex(Dalvik Executable)文件转换为 Java 的.jar(Java Archive)文件的工具。在 Android 开发和安全分析领域有广泛的应用。
DLL Inject
DLL 注入(DLL Inject)是一种在 Windows 操作系统环境下的技术,用于将一个动态链接库(DLL)加载到目标进程的地址空间中。这使得注入的 DLL 能够在目标进程的上下文中执行代码,从而可以实现对目标进程的修改、监控或扩展等操作。
DllMain()
DllMain()是动态链接库(DLL)的入口点函数。当一个 DLL 被加载到进程的地址空间或者从进程的地址空间卸载,又或者是进程中发生了线程相关的事件时,操作系统会调用这个函数。
它主要用于执行一些与 DLL 初始化和清理相关的任务。例如,初始化 DLL 中使用的全局变量、分配资源(如内存、文件句柄等),以及在 DLL 卸载时释放这些资源。
DLP
数据丢失防护是一种网络安全技术,旨在防止企业敏感数据或机密信息在未经授权的情况下被传输、存储或使用。它通过识别、监控和保护数据在各种端点(如笔记本电脑、移动设备)、网络和存储系统中的流动,帮助企业满足合规性要求并降低数据泄露的风险。
docker
docker 是一个开源的容器化平台,它允许开发者将应用程序及其依赖项打包成一个可移植的容器。容器是一种轻量级、独立运行的软件单元,包含了运行应用程序所需的一切,如代码、运行时环境、系统工具、系统库等。就好像是一个独立的小盒子,里面装着应用程序和它运行所需的所有东西,这个小盒子可以在任何支持 Docker 的环境中运行。
DRM
DRM 是数字版权管理(Digital Rights Management)的简称。它是一系列访问控制技术,用于保护数字内容(如软件、音乐、电影、电子书等)的版权。通过 DRM 技术,内容提供商可以对数字内容的使用进行限制和管理,确保只有经过授权的用户才能以合法的方式访问和使用这些内容。
GDPR
GDPR 是《通用数据保护条例》(General Data Protection Regulation)的英文缩写,它是欧盟(EU)制定的一项全面的数据保护法规。该条例于 2018 年 5 月 25 日在欧盟成员国正式生效,旨在加强对欧盟公民个人数据的保护,并规范企业和组织对个人数据的处理活动。
git
Git 是一个分布式版本控制系统(DVCS - Distributed Version Control System)。它主要用于跟踪文件的变化,协助开发团队协作开发软件项目或管理各种文档等内容。版本控制系统可以记录文件的每一次修改,方便用户查看历史版本、比较差异,并且能够在需要的时候恢复到之前的某个版本。
heartbeat
Heartbeat 通常是指心跳机制,是计算机系统和网络领域中用于检测系统或设备是否正常运行、网络连接是否通畅以及应用程序之间是否保持通信的一种机制。它通过周期性地发送和接收信号(就像心跳一样)来实现这种检测功能。
heartbleed
Heartbleed 是一个严重的安全漏洞,它主要影响了 OpenSSL 软件库。OpenSSL 是一个广泛用于实现安全套接层(SSL)和传输层安全(TLS)协议的开源密码库,这些协议在互联网通信中用于加密数据传输,如网页浏览、电子邮件、即时通讯等众多应用场景中的安全连接。Heartbleed 漏洞允许攻击者从服务器内存中读取敏感信息,包括但不限于加密密钥、用户名和密码、信用卡号码等,从而对用户的隐私和网络安全构成巨大威胁。
honeypot
蜜罐(Honeypot)是一种网络安全防御技术中的诱饵系统。它是一个被设计成看似包含有价值信息(如敏感数据、系统漏洞等)的计算机系统、网络服务或者网络资源,其目的是吸引攻击者,从而收集攻击者的信息,如攻击方式、工具、动机等,同时也可以将攻击者的注意力从真正的关键系统和信息上转移开。
HTTPS
HTTPS(Hypertext Transfer Protocol Secure)是超文本传输安全协议,它是一种在计算机网络上进行安全通信的协议。是在 HTTP(超文本传输协议)的基础上加入 SSL/TLS(安全套接层 / 传输层安全)加密协议,用于保障数据传输的安全性和完整性,确保用户在浏览网页、进行网上交易等网络活动时,信息不会被窃取或篡改。
ICAP
ICAP(Internet Content Adaptation Protocol)即互联网内容适配协议。它是一种用于在互联网内容服务器和内容适配设备之间进行通信的协议,主要目的是对互联网内容(如网页、文件等)进行过滤、修改、转换等操作,以满足不同的需求,如内容安全检查、内容优化、访问控制等。
IDApro
IDA Pro(Interactive Disassembler Professional)是一款功能强大的交互式反汇编工具,主要用于软件逆向工程和恶意软件分析。它能够将二进制文件(如可执行文件、动态链接库、固件等)转换为汇编语言代码或更高级的编程语言表示形式,帮助安全研究人员、软件开发者和黑客理解程序的内部结构和工作原理。
iptables
iptables 是一个用户空间的应用层工具,用于在 Linux 操作系统内核中配置防火墙规则。它通过操作内核中的 Netfilter 数据包过滤框架,来决定哪些网络数据包可以进入、离开或者在主机内部转发,从而实现网络访问控制、安全防护等功能。
Kerberos
Kerberos 是一种网络认证协议,它的设计目的是在不安全的网络环境中,通过使用密钥加密技术,为客户端和服务器之间提供安全的身份验证服务。这个协议以希腊神话中看守地狱大门的三头犬刻耳柏洛斯(Kerberos)命名,寓意着它像这只神兽一样守护着网络的安全大门。
Metasploit
Metasploit 是一款开源的、非常强大的渗透测试框架。它为安全专业人员和渗透测试人员提供了一个集成的平台,用于发现、利用和验证计算机系统和网络中的安全漏洞。其目的是帮助用户评估目标系统的安全性,而不是用于恶意攻击。
mydlp
MyDLP 是一款数据丢失防护(Data Loss Prevention,DLP)解决方案,最初作为免费和开源软件发布。
NAS
NAS 是一种专门用于存储数据的设备,它独立于计算机本身,通过网络连接到多个用户设备,如计算机、智能手机、平板电脑等。从架构上看,它像是一个带有网络接口的存储服务器,把存储功能从计算机主机中分离出来,使得数据存储更加集中、高效并且易于管理。
nmap
Nmap(Network Mapper)是一款开源的网络扫描和安全审计工具。它主要用于发现网络中的主机和服务,确定这些主机上开放的端口、运行的服务及其版本,还可以用于评估网络的安全性,检测网络中的潜在安全漏洞。Nmap 被广泛应用于网络管理、渗透测试、安全评估等领域。
ntop/ntopng
ntop 是一款用于网络流量监控和分析的工具,ntopng 是它的下一代版本。它们提供了可视化的方式来查看网络流量的详细信息,帮助网络管理员深入了解网络使用情况、发现异常流量和优化网络性能。
O-LLVM
O - LLVM(Obfuscator - LLVM)是基于 LLVM(Low Level Virtual Machine)编译器基础设施开发的一个代码混淆工具。它的主要目的是通过对程序代码进行转换和变形,增加逆向工程的难度,保护软件知识产权,防止代码被轻易理解、分析和篡改。
ollydbg
OllyDbg 是一款强大的、用户界面友好的 32 位 Windows 平台下的动态调试工具。主要用于软件逆向工程、恶意软件分析以及调试应用程序,帮助开发人员和安全研究人员理解程序的内部工作机制、查找程序漏洞和分析恶意软件的行为。
PAP
密码验证协议(Password Authentication Protocol)的缩写,是一种身份验证协议,用于在网络连接中验证用户身份。用户输入密码后,其名称和密码以明文形式通过线路发送到服务器,并与服务器上的用户帐户名和密码数据库进行比较。由于密码以明文传输,容易受到窃听攻击,安全性较低,通常只有在客户端不支持其他身份认证协议时才会使用。
Phishing
Phishing(网络钓鱼)是一种网络欺诈手段。攻击者通过伪装成可信赖的实体(如知名银行、电子商务平台、社交媒体网站等),通常利用电子邮件、短信、即时通讯软件等通信渠道,诱使受害者提供敏感信息(如用户名、密码、信用卡号码、社会安全号码等)或执行某些有害操作(如点击恶意链接、下载恶意软件)。
PKCS#11
PKCS#11(Public - Key Cryptography Standards #11)即公钥密码学标准第 11 号,是一种由 RSA 实验室制定的标准应用编程接口(API),主要用于在各种密码设备(如智能卡、硬件安全模块 - HSM)中管理和使用加密密钥、执行加密和解密操作以及进行数字签名和验证等密码学功能。
RADIUS
RADIUS(Remote Authentication Dial - In User Service)即远程认证拨号用户服务,是一种网络协议,主要用于对网络接入用户进行认证、授权和计费(AAA)。它提供了一种集中式的用户管理方式,使得网络服务提供商(NSP)和企业网络能够有效地控制用户对网络资源的访问。
robots.txt
robots.txt 是一个纯文本文件,用于告知网络搜索引擎的爬虫(也称为机器人或蜘蛛)哪些部分的网站内容可以被抓取和索引,哪些部分应该被避开。它是一种网站与搜索引擎之间的沟通方式,通过定义规则来引导搜索引擎爬虫的访问行为,从而帮助网站管理者更好地控制网站内容在搜索引擎中的曝光度。
rust
Rust 是一种系统编程语言,由 Mozilla 主导开发,它专注于安全性、性能和并发性。其设计目标是在不牺牲性能的前提下,提供内存安全保证,同时支持高效的多线程编程,避免常见的编程错误,如空指针引用、缓冲区溢出和数据竞争。
SGX
SGX(Software Guard Extensions)即英特尔软件防护扩展,是英特尔处理器的一组硬件扩展功能,用于增强软件的安全性。它提供了一个受保护的执行环境,称为飞地(Enclave),在这个环境中,即使操作系统或其他特权软件被攻破,敏感数据和代码仍然可以得到保护。
shadowsocks
Shadowsocks(影梭)是一种基于 Socks5 代理方式的网络代理软件。它最初是为了帮助用户突破网络限制访问外部网站而设计的,通过加密网络流量并转发请求,使得用户可以绕过一些网络封锁或者限制访问策略。
Shellcode
Shellcode 是一段用于利用软件漏洞的机器语言代码。它的名字来源于其最初的用途,即通过触发漏洞来获取目标系统的一个命令行 Shell(如在 Unix/Linux 系统中的 Bash Shell 或在 Windows 系统中的 CMD Shell),进而实现对目标系统的控制。不过,随着技术的发展,Shellcode 的用途已经不限于获取 Shell,还可以用于执行各种恶意操作,如窃取数据、植入后门等。
socat
Socat 是一个多功能的网络工具,它可以在两个双向字节流之间建立连接,并在它们之间传输数据。这两个字节流可以是来自文件、管道、设备、网络套接字(如 TCP 或 UDP 套接字)等各种数据源。它就像是一个数据管道的搭建者,能够灵活地将不同类型的数据通道连接起来,以满足各种网络数据传输和转换的需求。
sql注入
SQL 注入(SQL Injection)是一种常见的网络安全漏洞,攻击者通过在用户输入或其他数据源中插入恶意的 SQL 语句,利用目标应用程序对这些输入处理不当的情况,欺骗数据库执行非预期的 SQL 操作,从而获取敏感数据、篡改数据、执行系统命令或破坏数据库的完整性等。
ssh -D
ssh -D是 SSH(Secure Shell)命令的一个选项。SSH 是一种网络协议,用于在不安全的网络上安全地访问远程计算机系统。-D选项用于创建一个本地的 SOCKS 代理。通过这个代理,客户端可以将其网络流量转发到远程服务器,并且这个过程是加密的,能够增强隐私保护并绕过一些网络限制。
ssh -L
ssh -L是 SSH(Secure Shell)命令的一个选项,用于本地端口转发。它允许用户将本地机器(客户端)上的一个端口与远程服务器上的一个端口进行绑定,使得发送到本地指定端口的连接请求能够通过 SSH 加密通道转发到远程服务器的指定端口,就好像在本地和远程之间建立了一个安全的隧道,用于特定端口的通信。
ssh -R
ssh -R是 SSH(Secure Shell)协议中的一个命令选项,用于实现远程端口转发。与ssh -L(本地端口转发)相反,它是将远程服务器上的一个端口绑定到本地机器(客户端)的一个端口,使得对远程服务器指定端口的访问请求能够通过 SSH 加密通道转发到本地机器对应的端口,从而允许外部网络通过远程服务器访问本地服务,就好像在本地和远程之间搭建了一个反向的安全通道。
SSO
SSO(Single Sign - On)单点登录是一种方便用户访问多个相关系统的身份验证方案。从用户角度看,它就像是一把 “万能钥匙”,只需用一组登录凭证(如用户名和密码),就能开启多个不同系统的 “大门”。从系统管理角度,它是一种集中化的身份管理策略,将多个分散的身份验证过程整合为一。
SYN flood
SYN Flood(同步洪水攻击)是一种典型的分布式拒绝服务攻击(DDoS)方式。它利用了 TCP(传输控制协议)三次握手的过程来实现攻击目的。正常情况下,TCP 三次握手用于建立可靠的连接,但攻击者通过发送大量伪造的带有 SYN(同步)标志的 TCP 请求,使得目标服务器忙于处理这些半连接请求,从而消耗服务器资源,最终导致服务器无法正常处理合法用户的请求。
tcpdump
tcpdump 是一款强大的、广泛用于网络分析的命令行工具,主要用于在网络接口上捕获和分析网络数据包。它可以捕获流经指定网络接口的各种协议(如 TCP、UDP、ICMP 等)的数据包,并将其内容以可读的形式显示出来,帮助网络工程师、系统管理员和安全分析师了解网络流量的细节,检测网络故障、安全漏洞或分析应用程序的网络行为。
TOR
TOR(The Onion Router)是第二代洋葱路由网络,是一种匿名通信技术。它通过在全球范围内由志愿者运行的分布式服务器网络(称为中继节点)来转发用户的网络流量,以隐藏用户的真实 IP 地址和网络活动路径,从而保护用户的隐私和匿名性。
VNC
VNC(Virtual Network Computing)即虚拟网络计算,是一种远程桌面共享系统。它允许用户通过网络连接远程访问和控制另一台计算机的桌面环境,就好像直接坐在那台计算机前操作一样。VNC 使用客户端 - 服务器架构,通过在远程计算机(服务器端)上运行 VNC 服务器软件,以及在本地计算机(客户端)上运行 VNC 客户端软件来实现远程桌面访问。
vulhub
Vulhub 是一个面向安全研究人员和爱好者的开源漏洞环境集合。它提供了一系列预先构建好的、包含各种已知安全漏洞的容器化环境,这些环境基于 Docker 和 Docker - Compose 技术。其目的是方便安全从业者在一个可控的、便捷的场景下学习、研究和测试安全漏洞,帮助他们更好地理解漏洞的原理、利用方式和防御措施。
wget
wget 是一个在命令行环境下用于从网络上下载文件的自由软件。它是一个非交互式的工具,支持通过 HTTP、HTTPS、FTP 等多种常见的网络协议来获取文件,并且功能强大、使用灵活,被广泛应用于 Linux、Unix 以及其他类 Unix 系统中,也有适用于 Windows 的版本。
whois
Whois 是一种用于查询互联网域名注册信息和 IP 地址相关信息的协议和工具。它可以帮助用户获取域名的所有者、注册商、注册日期、过期日期、域名服务器等详细信息,也可以用于查询 IP 地址的分配机构等内容。这对于网络管理、安全研究、知识产权保护等领域都非常有用。
Windows更新服务
Windows 更新服务是微软为 Windows 操作系统提供的一种机制,用于向用户的计算机系统推送系统更新、安全补丁、驱动程序更新以及软件功能改进等内容。它能够确保 Windows 系统保持最新状态,提高系统的安全性、稳定性和性能,并且可以为用户提供新的功能体验。
Wireshark
Wireshark 是一款广泛使用的开源网络数据包分析工具。它能够捕获网络接口上的数据包,并对这些数据包进行详细的分析,以帮助网络管理员、安全专家、开发人员等理解网络协议、排查网络故障、分析网络安全事件以及进行网络性能优化等诸多工作。
x64dbg
x64dbg 是一款开源的 Windows 平台下的调试工具,主要用于调试 64 位和 32 位的可执行文件,包括应用程序(.exe)、动态链接库(.dll)等。它为逆向工程师、安全研究人员和软件开发人员提供了强大的调试功能,帮助他们分析软件的内部工作机制、查找软件漏洞、修复程序错误等。
XKMS
XKMS(XML Key Management Specification)即 XML 密钥管理规范。它是一种基于 XML(可扩展标记语言)的标准,用于在分布式环境中进行密钥管理,旨在简化公钥基础设施(PKI)的部署和管理,使应用程序更容易使用和处理数字证书和密钥相关的操作。
XSS
XSS(Cross - Site Scripting)即跨站脚本攻击,是一种常见的网络安全漏洞。它是指攻击者通过在目标网站中注入恶意脚本(通常是 JavaScript,但也可能是其他脚本语言,如 VBScript),当用户访问被注入了恶意脚本的页面时,浏览器会执行这些脚本,从而导致用户信息泄露、账户被盗用或其他恶意行为。
