一、备战阶段——知彼知己，百战不殆“未知攻，焉知防”。如果企业安全部门不了解攻击者的攻击思路、常用手段，有效的防守将无从谈起。从攻击者实战视角去加强自身防护能力，将是未来的主流防护思想。红队眼中的防守弱点1.梳理攻击路径网络不断变化、系统不断增加，往往会产生新的网络边界和新的系统。定期梳理自己的网络边界、可能被攻击的路径。2.互联网攻击面收敛安全运营部门应定期在一些信息披露平台搜索本单位敏感词，查看是否存在敏感文件泄露情况。3.外部接入网络梳理防守单位对这些外部的接入网络进行梳理，尤其是未经过安全防护设备就直接连进来的单位，应先连接防护设备，再接入内网。4.隐蔽入口梳理梳理WEB服务的API隐

2022年蓝队初级护网测试总结文章目录2022年蓝队初级护网测试总结一.设备误报如何处理？二.如何区分扫描流量和手工流量？三.网站被上传webshell如何处理？四.给你一个比较大的日志，应该如何分析？五.常见OA系统？六.了解安全设备吗？七.了解过系统加固吗？八.有没有安全设备的使用经验？九.CS是什么东西，知道怎么使用吗？十.WAF方面有没有了解过，清楚WAF的分类和原理吗？十一.Powershell了解过吗？十二.MSF是什么？知道怎么使用吗？十三.使用过什么XSS平台吗？十四.SQL注入怎么写入webshell？十五.了解过反序列化漏洞吗？十六.常见的框架漏洞？十七.了解过redis数

ApacheLog4j2的漏洞原理是什么？由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向服务器发送恶意的数据，触发log4j2组件的缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。shiro的身份认证工作流程通过前端传入的值，获取rememberMecookiebase64加密AES加密（对称加解密）反序列化三、shiro反序列化漏洞原理AES加密的密钥Key被硬编码在代码里，意味着每个人通过源代码都能拿到AES加密的密钥。因此，攻击者构造一个恶意的对象，并且对其序列化，AES加密，base64编码后，作为cookie的应急响应https

第一章 什么是蓝队蓝队，一般是指网络实战攻防演习中的攻击一方。蓝队一般会采用针对目标单位的从业人员，以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段；通过技术手段实现系统提权、控制业务、获取数据等渗透目标，来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统，获取利益为目标；而蓝队则是以发现系统薄弱环节，提升系统安全性为目标。此外，对于一般的黑客来说，只要发现某一种攻击方法可以有效地达成目标，通常就没有必要再去尝试其他的攻击方法和途径；但蓝队的目标则是要尽可能地找出系统中存在

1、sql注入原理、分类、绕过原理：产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中，然后直接执行该sql语句，这样就会导致恶意用户传入一些精心构造的sql代码，与后台sql语句拼接后形成完整的sql语句执行，达到攻击者的目的。分类：我们可以把sql注入直接的分为字符型和数字型，主要特点就是在进行sql注入的时候是否需要闭合传参的单引号，不需要闭合说明是数值型，反之就是字符型；还可以将sql注入分为有回显的注入和无回显的注入，无回显的注入又别称为盲注，盲注有三大类，布尔盲注、时间盲注以及报错盲注；根据sql注入各自的特点可以分为联合注入、二次注入、宽字节

1、sql注入原理、分类、绕过原理：产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中，然后直接执行该sql语句，这样就会导致恶意用户传入一些精心构造的sql代码，与后台sql语句拼接后形成完整的sql语句执行，达到攻击者的目的。分类：我们可以把sql注入直接的分为字符型和数字型，主要特点就是在进行sql注入的时候是否需要闭合传参的单引号，不需要闭合说明是数值型，反之就是字符型；还可以将sql注入分为有回显的注入和无回显的注入，无回显的注入又别称为盲注，盲注有三大类，布尔盲注、时间盲注以及报错盲注；根据sql注入各自的特点可以分为联合注入、二次注入、宽字节

在HVV期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。内网攻击告警需格外谨慎，可能是进行内网渗透。1.攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。2.资产属性-内网攻击IP资产属性。3.研判告警行为是否为攻击动作，如弱口令、SQL注入漏洞可能是业务行为。4.上级排查与客户一起进一步确认设备问题。企图类告警需格外谨慎，可能是“已经成功”。1.告警主要包括：后门程序、代码行为、命令执行行为。2.资产属性+流量确认。3.综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。4.上级排查与客户一起进

在HVV期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。内网攻击告警需格外谨慎，可能是进行内网渗透。1.攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。2.资产属性-内网攻击IP资产属性。3.研判告警行为是否为攻击动作，如弱口令、SQL注入漏洞可能是业务行为。4.上级排查与客户一起进一步确认设备问题。企图类告警需格外谨慎，可能是“已经成功”。1.告警主要包括：后门程序、代码行为、命令执行行为。2.资产属性+流量确认。3.综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。4.上级排查与客户一起进

HVV介绍1、护网职责划分红队：打点人员、攻击人员、社工人员蓝队：监控人员、研判人员、溯源人员2、护网需要具备的技能红队：外围打点能力、漏洞挖掘能力、漏洞分析能力、权限提升能力、权限维持能力、钓鱼远控能力、代码审计能力、木马免杀能力、内网渗透能力、横向移动能力、域渗透能力、跨域渗透能力蓝队：设备使用能力、设备监控能力、研判分析能力、攻击辨别能力、流量分析能力、入侵排查能力、日志分析能力、溯源分析能力、人肉搜索能力、逆向分析能力

HVV介绍1、护网职责划分红队：打点人员、攻击人员、社工人员蓝队：监控人员、研判人员、溯源人员2、护网需要具备的技能红队：外围打点能力、漏洞挖掘能力、漏洞分析能力、权限提升能力、权限维持能力、钓鱼远控能力、代码审计能力、木马免杀能力、内网渗透能力、横向移动能力、域渗透能力、跨域渗透能力蓝队：设备使用能力、设备监控能力、研判分析能力、攻击辨别能力、流量分析能力、入侵排查能力、日志分析能力、溯源分析能力、人肉搜索能力、逆向分析能力