Security Onion（简称SO）是一款开源免费的企业级网络安全监控、威胁狩猎与入侵检测平台，基于CentOS开发，整合了数十款主流安全开源工具，将流量采集、日志存储、威胁告警、数据包分析、可视化研判能力一体化封装，广泛用于等保测评、护网行动、内网安全运维、恶意流量溯源等安全场景。

Wireshark是分析网络流量、追溯恶意行为的核心工具。面对混杂正常业务、系统服务、恶意通信的流量包（PCAP），单纯肉眼查看数据包效率极低，精准的过滤表达式才是排查威胁的关键。审查可疑网络时，加密流量十分常见。目前主流网站普遍使用 HTTPS 协议，各类恶意软件也会利用 HTTPS 隐匿恶意行为，因此解析加密流量，对研判威胁、追溯攻击链路尤为重要。HTTPS 实质是承载 HTTP 数据的加密通

使用CS生成木马，通过webshell管理工具蚁剑上传到WebServer（网站服务器）运行上线。将 Win7 外网机与 Kali （攻击机）网卡统一设为仅主机模式或NAT，其余设备无需改动。判定存活主机为 Win7 系统，该系统 445 端口存在永恒之蓝漏洞，尝试漏洞利用测试。账号为win7，密码为admin，地址为192.168.179.137。将保存好的文件（cs_1.exe）通过蚁剑上传至

攻入内网后，以沦陷主机为跳板，探测内网存活资产、锁定目标，依托内网代理和窃取的账号凭据，通过各类远程控制技术渗透拿下更多设备，最终窃取机密数据、掌控内网关键资产。IPC即进程间通信，是操作系统中不同进程数据交换、协同的技术，可通过共享内存、管道、套接字等方式实现。目标为该内网段主机，可通过CS的ipc命令横向移动（涉及正/反向连接）。：CS借助提权得到的system会话，通过文件管理功能将4444

局域网（LAN）是局部范围内的网络，由计算机、打印机、服务器等设备通过网络互联，实现资源共享与信息交换。拓扑结构可采用星型、环型等，支持以太网等技术。常见应用包括文件共享、联机游戏、视频会议等，同时支持电子邮件、FTP等Internet应用。

局域网（LAN）是局部范围内的网络，由计算机、打印机、服务器等设备通过网络互联，实现资源共享与信息交换。拓扑结构可采用星型、环型等，支持以太网等技术。常见应用包括文件共享、联机游戏、视频会议等，同时支持电子邮件、FTP等Internet应用。WMIC（Windows Management Instrumentation Command-line）是微软扩展WMI（Windows管理规范）推出的命令

局域网（LAN）是局部范围内的网络，由计算机、打印机、服务器等设备通过网络互联，实现资源共享与信息交换。拓扑结构可采用星型、环型等，支持以太网等技术。常见应用包括文件共享、联机游戏、视频会议等，同时支持电子邮件、FTP等Internet应用。WMIC（Windows Management Instrumentation Command-line）是微软扩展WMI（Windows管理规范）推出的命令

webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，主要用于网站管理、服务器管理、权限管理等操作，使用方法简单，只需上传⼀个代码文件，通过网址访问，便可进行很多⽇常操作，极大地方便了使用者对网站和服务器的管理。

改变SQL的参数后，浏览器无显示对应内容和报错信息时，则不能⽤union联合查询注⼊与报错注⼊，可⽤布尔注⼊。即撞库，即admin和admin’#两个看着像，但不同，利用二次注入就会使admin’#能得到admin的权限。可以看到此处的’admin’#‘被看成了admin，因此利用用户’admin’#'就能将admin的密码给修改，从而造成安全隐患。攻击者在网站的输入框中输入了一段SQL语句，通过

脏牛漏洞（Dirty COW）是Linux内核中的一个本地提权漏洞，分为Dirty COW（CVE-2016-5195）和Dirty Pipe（CVE-2022-0847）两个主要版本。其中，CVE-2022-0847（也称Dirty Pipe 2.0）主要影响内核版本5.8及以上的系统。其核心原理是利用内核在处理写时复制（Copy-on-Write）机制时的竞争条件。当多个进程并发访问同一只读内