日期 2020.3.16~3.19

安全 BlueTeam 笔记吸取 https://github.com/Bypass007/Emergency-Response-Notes 中的知识丰富了几个蓝队的笔记运维 Linux 笔记 1. 工具 ++ 收集几个有趣的工具 Windows 吸取 https://github.com/Bypass007/Emergency-Response-Notes 中的知识丰富了 Secure-Win 的内容另外加上一些杂七杂八的内容修正
yang1918 · Mar 19, 2020 · f8f614b · f8f614b
1 parent 653832e
commit f8f614b
Showing 19 changed files with 598 additions and 158 deletions.
diff --git a/1earn/Plan/VM-Plan.md b/1earn/Plan/VM-Plan.md
@@ -79,6 +79,7 @@ yum install open-vm-tools-devel -y
 - lrzsz
 - wget
 - unzip
+- [JDK环境](../运维/Linux/Power-Linux.md#JDK)
 - [docker](../运维/Linux/Power-Linux.md#docker)
 - [docker-Compose](../运维/Linux/Power-Linux.md#Docker-Compose)
 - [Python](../运维/Linux/Power-Linux.md#Python3)

diff --git a/1earn/安全/Power-PenTest.md b/1earn/安全/Power-PenTest.md
@@ -236,6 +236,12 @@ VulnHub 是一个面向所有人开放的安全靶场，有很多安全环境，
 - https://blog.zeddyu.info/2019/03/21/CISP-PTE%E8%80%83%E8%AF%95%E5%88%86%E4%BA%AB/#%E5%8D%95%E9%80%89%E9%A2%98
 - https://zgao.top/cisp-pte-%E6%B3%A8%E5%86%8C%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E5%B7%A5%E7%A8%8B%E5%B8%88%E8%80%83%E8%AF%95-%E6%80%BB%E7%BB%93%E7%BB%8F%E9%AA%8C%E5%88%86%E4%BA%AB/
 
+**CISP**
+
+注册信息安全专业人员（Certified  Information Security Profeddtional,CISP）是中国信息安全测评中心应国家信息安全保障工作之需，推出的一项提高我国信息安全从业人员素质的专业人才培训认证服务。经过近10年发展，CISP已经成为信息安全专业人员进行资质评定的权威品牌。
+
+培训+考试全程差不多12K
+
 **CISP-PTS**
 
 注册信息安全专业人员-渗透测试专家，英文为 Certified Information Security Professional - Penetration Testing Specialist ，简称 CISP-PTS。证书持有人员主要从事漏洞研究、代码分析工作，具备对多种攻击方式的技术方法较全面掌握、对最新网络安全动态跟踪研究以及策划解决方案能力。
@@ -248,6 +254,8 @@ VulnHub 是一个面向所有人开放的安全靶场，有很多安全环境，
 
 信息安全系统审计师（ChinaCertified Information System Auditor）是由中国信息安全测评中心根据中央编办授权，于 2016 年推出的国家注册信息系统审计师认证制度。
 
+培训+考试全程差不多1W
+
 ---
 
 ### OSCP
@@ -261,6 +269,7 @@ CP 更侧重“渗透测试”
 **资源**
 - [pythonmaster41/Go-For-OSCP](https://github.com/pythonmaster41/Go-For-OSCP)
 - [areyou1or0/OSCP](https://github.com/areyou1or0/OSCP)
+- [Ondrik8/OSCP_note](https://github.com/Ondrik8/OSCP_note)
 
 ---
 
@@ -938,6 +947,7 @@ DNS 协议属于 OSI 第七层，DNS 劫持指控制域名解析权限，比如
 - [协议层的攻击——HTTP请求走私](https://paper.seebug.org/1048/)
 - [Breaking the chains on HTTP Request Smuggler](https://portswigger.net/research/breaking-the-chains-on-http-request-smuggler)
 - [从一道题深入HTTP协议与HTTP请求走私](https://xz.aliyun.com/t/6631)
+- [流量夹带(HTTP Request Smuggling) 检测方案的实现](https://blog.riskivy.com/%e6%b5%81%e9%87%8f%e5%a4%b9%e5%b8%a6http-request-smuggling-%e6%a3%80%e6%b5%8b%e6%96%b9%e6%a1%88%e7%9a%84%e5%ae%9e%e7%8e%b0/)
 
 **靶场**
 - [ZeddYu/HTTP-Smuggling-Lab](https://github.com/ZeddYu/HTTP-Smuggling-Lab)

diff --git a/1earn/安全/笔记/BlueTeam/取证笔记.md b/1earn/安全/笔记/BlueTeam/取证笔记.md
@@ -39,6 +39,8 @@
 
 ## win
 
+- [Windows加固+维护+应急响应参考](../../../运维/Windows/Secure-Win.md)
+
 **工具**
 - [The Sleuth Kit (TSK)](https://www.sleuthkit.org/) - 一套强大的数字调查、取证工具集合
 
@@ -98,11 +100,21 @@
 
 **文章**
 - [比敌人更了解敌人 [ 取证入门 web篇 ]](https://www.freebuf.com/column/147929.html)
+- [记一次IIS劫持处置](https://www.freebuf.com/articles/web/222060.html)
+
+## 中间件配置
+
+**IIS**
+
+`C:\Windows\System32\inetsrv\config`
 
 ## 中间件服务器程序日志
 
 部分内容来自项目 https://github.com/theLSA/emergency-response-checklist 和 Tide 团队安全文章
 
+**辅助工具**
+- [JeffXue/web-log-parser](https://github.com/JeffXue/web-log-parser) - 开源的分析 web 日志工具，采用 python 语言开发，具有灵活的日志格式配置。
+
 **IIS**
 
 `C:\WINDOWS\system32\LogFiles` : 日志内容包括访问域名时间、ip、访问 url 等信息。

diff --git a/1earn/安全/笔记/BlueTeam/应急笔记.md b/1earn/安全/笔记/BlueTeam/应急笔记.md
@@ -8,23 +8,26 @@
 
 ---
 
-# 大纲
-
-**[勒索软件](#勒索软件)**
+> 应急离不开调查取证,请配合 [取证笔记](./取证笔记.md) 使用
 
-**[排查处置](#排查处置)**
+# 大纲
 
+**[系统层面](#系统层面)**
 * [Rootkit](#Rootkit)
+* [勒索软件](#勒索软件)
+
+**[Web层面](#Web层面)**
 * [暗链](#暗链)
 * [webshell后门](#webshell后门)
+
+**[网络层面](#网络层面)**
 * [DDOS](#DDOS)
 
 ---
 
-**资源**
-- [meirwah/awesome-incident-response](https://github.com/meirwah/awesome-incident-response) - 精选的事件响应工具清单
-- [NextronSystems/APTSimulator](https://github.com/NextronSystems/APTSimulator) - 伪装成 APT 受害者？(还有这种操作)
-- [n4ll3ec/ThreatHound](https://github.com/n4ll3ec/ThreatHound) - 一款威胁情报查询工具,用于查询潜在的恶意 IP 或者域名.它结合 MISP 开源威胁情报共享平台作为其后端情报库,当前整合了开源社区69个开源威胁情报数据 feed.
+**文章**
+- [应急响应日志分析小脚本](https://www.freebuf.com/sectool/223446.html)
+- [【应急响应】一文了解应急响应中常用的日志收集方法](https://mp.weixin.qq.com/s/ZY3gqly-z-L8XFW9ML5aow)
 
 **应急案例**
 - [6.[应急响应]Linux 入侵排查思路 - bmjoker](https://www.cnblogs.com/bmjoker/p/9557033.html)
@@ -34,6 +37,36 @@
 - [metinfo后台getshell exp](https://bbs.ichunqiu.com/thread-29582-1-3.html)
 - [一键安装藏隐患,phpStudy 批量入侵的分析与溯源](https://www.anquanke.com/post/id/162787)
 - [一次入侵应急响应分析](https://www.freebuf.com/articles/network/186071.html)
+- [Linux入侵取证：从一次应急事件讲起](https://www.freebuf.com/articles/system/50728.html)
+
+**指南**
+- [theLSA/emergency-response-checklist](https://github.com/theLSA/emergency-response-checklist) - 应急响应指南
+- [Bypass007/Emergency-Response-Notes](https://github.com/Bypass007/Emergency-Response-Notes) - 应急响应实战笔记，一个安全工程师的自我修养。
+
+**资源**
+- [meirwah/awesome-incident-response](https://github.com/meirwah/awesome-incident-response) - 精选的事件响应工具清单
+- [NextronSystems/APTSimulator](https://github.com/NextronSystems/APTSimulator) - 伪装成 APT 受害者？(还有这种操作)
+- [n4ll3ec/ThreatHound](https://github.com/n4ll3ec/ThreatHound) - 一款威胁情报查询工具,用于查询潜在的恶意 IP 或者域名.它结合 MISP 开源威胁情报共享平台作为其后端情报库,当前整合了开源社区69个开源威胁情报数据 feed.
+
+## 系统层面
+
+**Windows应急工具**
+- [travisfoley/dfirtriage](https://github.com/travisfoley/dfirtriage) - 基于 Windows 的事件响应的数字取证工具。
+
+**Linux应急工具**
+- [grayddq/GScan](https://github.com/grayddq/GScan) - 在安全事件时进行 CheckList 检测
+- [tide-emergency/yingji](https://github.com/tide-emergency/yingji) - 应急相关内容积累
+- [0x1997CN/Emergency](https://github.com/0x1997CN/Emergency) - 一个应急响应信息收集的脚本
+- [al0ne/LinuxCheck](https://github.com/al0ne/LinuxCheck) - 一个 linux 信息搜集小脚本 主要用于应急响应，在 Debian 或 Centos 下都可使用
+
+**病毒分析工具**
+- [PCHunter](http://www.xuetr.com)
+- [火绒剑](https://www.huorong.cn)
+- [Process Explorer](https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer)
+- [processhacker](https://processhacker.sourceforge.io/downloads.php)
+- [autoruns](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns)
+- [OTL](https://www.bleepingcomputer.com/download/otl/)
+- [SysInspector](http://download.eset.com.cn/download/detail/?product=sysinspector)
 
 **在线扫描仪和沙箱**
 - [VirusTotal](https://www.virustotal.com/gui/home/upload)
@@ -60,23 +93,6 @@
 - [Free Automated Malware Analysis Service](https://www.reverse.it/)
 - [ViCheck - Upload Files to Find Embedded Malware](https://vicheck.ca/submitfile.php)
 
-**URL 分析**
-- [Scan your website - urlscan.io](https://urlscan.io/)
-- [Sucuri SiteCheck - Free Website Security Check & Malware Scanner](https://sitecheck.sucuri.net/)
-- [FREE Online Website Malware Scanner | Website Security Monitoring & Malware Removal | Quttera](https://quttera.com/)
-- [CheckPhish is AI Powered Free Phishing Detection tool](https://checkphish.ai/)
-- [恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析](https://www.maldun.com/analysis/)
-- [首页 - 微步在线威胁情报社区](https://x.threatbook.cn/)
-- [VirusTotal](https://www.virustotal.com/gui/home/upload)
-- [Threat Crowd | Threatcrowd.org Open Source Threat Intelligence](https://www.threatcrowd.org/)
-- [ThreatMiner.org | Data Mining for Threat Intelligence](https://www.threatminer.org/)
-- [Cisco Talos Intelligence Group - Comprehensive Threat Intelligence](https://talosintelligence.com/)
-- [avfisher.win url scan | Free Url Scanner & Phishing Detection | CheckPhish](https://checkphish.ai/domain/avfisher.win)
-- [Website Traffic, Statistics and Analytics - Alexa](https://www.alexa.com/siteinfo)
-- [Domain Dossier - Investigate domains and IP addresses, get owner and registrar information, see whois and DNS records](https://centralops.net/co/DomainDossier.aspx?dom_whois=1&net_whois=1&dom_dns=1)
-- [Free Domain SEO Analysis Tool | Check SEO Metrics - Moz](https://moz.com/domain-analysis)
-- [Intelligence X](https://intelx.io/)
-
 **恶意样本查询**
 - [Malware Source](https://github.com/mwsrc)
 - [VirusBay](https://beta.virusbay.io/)
@@ -93,9 +109,26 @@
 - [ytisf/theZoo](https://github.com/ytisf/theZoo)
 - [Advanced File Analysis System | Valkyrie](https://camas.comodo.com/)
 
----
+### Rootkit
 
-# 勒索软件
+- [chkrootkit](http://www.chkrootkit.org/) - 本地检查 rootkit 的工具
+    ```bash
+    wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
+    tar zxvf chkrootkit.tar.gz
+    cd chkrootkit-*
+    make sense
+    ./chkrootkit
+    ```
+- [Rootkit Hunter](http://rkhunter.sourceforge.net/) - 查找 rootkit 的工具
+    ```bash
+    wget https://svwh.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
+    tar -zxvf rkhunter-1.4.6.tar.gz
+    cd rkhunter-1.4.6
+    ./installer.sh --install
+    rkhunter -c
+    ```
+
+### 勒索软件
 
 - [企业中了勒索病毒该怎么办？可以解密吗？](https://www.freebuf.com/articles/es/206199.html)
 - [勒索解密工具整理篇](https://mp.weixin.qq.com/s/T6zSWZ-qMit-8gR4Itmknw)
@@ -112,30 +145,26 @@
 
 ---
 
-# 排查处置
-
-> 排查部分离不开调查取证,请配合 [取证笔记](./取证笔记.md) 使用
-
-**工具**
-- [grayddq/GScan](https://github.com/grayddq/GScan) - 在安全事件时进行 CheckList 检测
-- [tide-emergency/yingji](https://github.com/tide-emergency/yingji) - 应急相关内容积累
-- [0x1997CN/Emergency](https://github.com/0x1997CN/Emergency) - 一个应急响应信息收集的脚本
-- [al0ne/LinuxCheck](https://github.com/al0ne/LinuxCheck) - 一个 linux 信息搜集小脚本 主要用于应急响应，在 Debian 或 Centos 下都可使用
-
-**文章**
-- [应急响应日志分析小脚本](https://www.freebuf.com/sectool/223446.html)
-- [【应急响应】一文了解应急响应中常用的日志收集方法](https://mp.weixin.qq.com/s/ZY3gqly-z-L8XFW9ML5aow)
-
-**指南**
-- [theLSA/emergency-response-checklist](https://github.com/theLSA/emergency-response-checklist) - 应急响应指南
-- [Bypass007/Emergency-Response-Notes](https://github.com/Bypass007/Emergency-Response-Notes) - 应急响应实战笔记，一个安全工程师的自我修养。
-
-## Rootkit
+## Web层面
 
-- [chkrootkit](http://www.chkrootkit.org/) - 本地检查 rootkit 的工具
-- [Rootkit Hunter](http://rkhunter.sourceforge.net/) - 查找 rootkit 的工具
+**URL 分析**
+- [Scan your website - urlscan.io](https://urlscan.io/)
+- [Sucuri SiteCheck - Free Website Security Check & Malware Scanner](https://sitecheck.sucuri.net/)
+- [FREE Online Website Malware Scanner | Website Security Monitoring & Malware Removal | Quttera](https://quttera.com/)
+- [CheckPhish is AI Powered Free Phishing Detection tool](https://checkphish.ai/)
+- [恶意软件分析 & URL链接扫描 免费在线病毒分析平台 | 魔盾安全分析](https://www.maldun.com/analysis/)
+- [首页 - 微步在线威胁情报社区](https://x.threatbook.cn/)
+- [VirusTotal](https://www.virustotal.com/gui/home/upload)
+- [Threat Crowd | Threatcrowd.org Open Source Threat Intelligence](https://www.threatcrowd.org/)
+- [ThreatMiner.org | Data Mining for Threat Intelligence](https://www.threatminer.org/)
+- [Cisco Talos Intelligence Group - Comprehensive Threat Intelligence](https://talosintelligence.com/)
+- [avfisher.win url scan | Free Url Scanner & Phishing Detection | CheckPhish](https://checkphish.ai/domain/avfisher.win)
+- [Website Traffic, Statistics and Analytics - Alexa](https://www.alexa.com/siteinfo)
+- [Domain Dossier - Investigate domains and IP addresses, get owner and registrar information, see whois and DNS records](https://centralops.net/co/DomainDossier.aspx?dom_whois=1&net_whois=1&dom_dns=1)
+- [Free Domain SEO Analysis Tool | Check SEO Metrics - Moz](https://moz.com/domain-analysis)
+- [Intelligence X](https://intelx.io/)
 
-## 暗链
+### 暗链
 
 **Tips**
 
@@ -151,7 +180,7 @@
 **文章**
 - [关于黑产暗链的分析与看法](https://mp.weixin.qq.com/s/wAGd3Wu5QoqjYFhh2WdAHw)
 
-## webshell后门
+### webshell后门
 
 `有些马,就是那种,那种,薛定谔的马`
 
@@ -177,7 +206,10 @@ grep -i –r eval($_post /app/website/*
 find /app/website/ -type f|xargs grep eval($_post
 ```
 
-## DDOS
+---
+
+## 网络层面
+### DDOS
 
 **SYN 类攻击**
 

diff --git a/1earn/安全/笔记/RedTeam/Web_CVE漏洞记录.md b/1earn/安全/笔记/RedTeam/Web_CVE漏洞记录.md
@@ -602,6 +602,7 @@ ElasticSearch 是一个基于 Lucene 的搜索服务器.它提供了一个分布
 
 - `http://<ip>:9200`
 - `http://<ip>:9200/_plugin/head/` web管理界面
+- `http://<ip>:9200/hello/_search?pretty&size=50&from=50`
 - `http://<ip>:9200/_cat/indices`
 - `http://<ip>:9200/_river/_search` 查看数据库敏感信息
 - `http://<ip>:9200/_nodes` 查看节点数据
@@ -1574,7 +1575,8 @@ base64 编码，口令形式为 username:password
     - 9 <= Apache Tomcat < 9.0.31
 
 - 文章
-     - [【WEB安全】Tomcat-Ajp协议漏洞分析](https://mp.weixin.qq.com/s/GzqLkwlIQi_i3AVIXn59FQ)
+    - [【WEB安全】Tomcat-Ajp协议漏洞分析](https://mp.weixin.qq.com/s/GzqLkwlIQi_i3AVIXn59FQ)
+    - [如何更加精准地检测AJP协议文件包含漏洞(CVE-2020-1938)](http://gv7.me/articles/2020/how-to-detect-tomcat-ajp-lfi-more-accurately/)
 
 - POC | Payload | exp
     - [0nise/CVE-2020-1938](https://github.com/0nise/CVE-2020-1938)

diff --git a/1earn/安全/笔记/RedTeam/web常见漏洞笔记.md b/1earn/安全/笔记/RedTeam/web常见漏洞笔记.md
@@ -44,6 +44,7 @@
 
 **文章**
 - [聊聊安全测试中如何快速搞定 Webshell](https://www.freebuf.com/articles/web/201421.html)
+- [Web Service 渗透测试从入门到精通](https://www.anquanke.com/post/id/85910)
 
 ---
 
@@ -436,6 +437,7 @@ WEB-INF 主要包含一下文件或目录:
 
 **工具**
 - [In3tinct/See-SURF](https://github.com/In3tinct/See-SURF) - python 写的 ssrf 参数扫描工具
+- [swisskyrepo/SSRFmap](https://github.com/swisskyrepo/SSRFmap) - 自动化 Fuzz SSRF 开发工具
 
 ---
 

diff --git a/1earn/安全/笔记/RedTeam/信息收集笔记.md b/1earn/安全/笔记/RedTeam/信息收集笔记.md
@@ -363,11 +363,12 @@
 
 **工具**
 - [wfuzz](../../工具/wfuzz笔记.md)
-- [OJ/gobuster](https://github.com/OJ/gobuster) - go 写的枚举工具可爆破目录、DNS、虚拟主机名,速度极快
+- [OJ/gobuster](https://github.com/OJ/gobuster) - go 写的枚举工具可爆破目录、DNS、虚拟主机名
 - [nccgroup/dirble](https://github.com/nccgroup/dirble) - rust 写的目录扫描工具
 - [maurosoria/dirsearch](https://github.com/maurosoria/dirsearch) - python 写的目录扫描工具,效果一般
 - [Nekmo/dirhunt](https://github.com/Nekmo/dirhunt) - python 写的目录扫描工具,效果一般
 - [Xyntax/DirBrute](https://github.com/Xyntax/DirBrute) - python 写的目录扫描工具,效果一般,且长期未更新
+- [H4ckForJob/dirmap](https://github.com/H4ckForJob/dirmap) - python 写的 web 目录、文件扫描工具
 
 **Tips**