kuokay的博客

Zeek（原名Bro）是一款开源的网络流量分析框架，专注于实时网络监控、安全检测与协议分析。它不仅是入侵检测系统（IDS），更是一个强大的网络取证和威胁狩猎平台。Zeek运行时生成的日志默认存储在 /opt/zeek/logs/current/（默认安装路径）中，每个文件对应不同的协议或分析模块。文件名描述conn.log所有网络连接记录（IP、端口、协议、流量大小、持续时间等）http.logHTTP请求详情（URL、请求方法、User-Agent、状态码、MIME类型等）dns.log。

Kerberos 是一种由 MIT（麻省理工大学）提出的一种基于加密 Ticket 的身份认证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证，用于验证用户或主机的标识。。适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016在 Kerberos 协议中主要是有三个角色的存在：1、访问服务的 Client；2、提供服务的 Server；

HTTP 是基于 TCP/IP 协议的应用层协议，主要规定了客户端和服务器之间的通信格式，默认使用 80 端口。

HFish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。

网络空间搜索引擎不同于普通的搜索引擎（百度等之类的），而是直接搜索网络中的主机，将主机信息汇聚成数据库，然后显示出主机的IP、端口、中间件、摄像头、工控设备banner等其他网络设备信息。常见的网络空间搜索引擎：shodan(国外)、zoomeye（国内）、fofa（国内）360Quake（国内）

渗透测试者的困扰：在众多相同类型的工具，丌知道如何选择。认为需要掌插数百个工具软件，上千个命令参数，实在记丌住。新出现的漏洞 POC/EXP 有丌同的运行环境要求，准备工作繁琐。大部分时间都在学习丌同工具的使用习惯，如果能统一就好了，迚而 Metasploit 就产生了。POC，全称”Proof of Concept”，中文“概念验证”，常挃一段漏洞证明的代码。EXP，全称”Exploit”，中文“利用”，挃利用系统漏洞迚行攻击的劢作。Metasploit 框架是可以添加漏洞代码片段，就好比一个军火库，

前言Burp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台，它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。之前的文章已经详细介绍过了BurpSuite工具的使用，有不了解这款工具的可以去看看之前的文章https://blog.csdn.net/qq_45066628/article/details/124267042今天我们来介绍一下使用Burpsuite抓取IOS,Android(安卓)手机app数据的实际使用。

前言“ 摸瓜是一款免费的在线安卓apk反编译神器，支持域名、ip、邮箱、手机号的自动提取，可在线查看反编译后的java源代码等。使用摸瓜有段时间了，体验非常好，不管你有没有APK反编译基础都能使用。可以说已经完全替代了apktool三件套，是一个值得推荐的良心工具。”开始体验网址：https://mogua.co（中文“摸瓜”的拼音）在首页点击上传需要分析的APK文件，即可开始分析。摸瓜分析一个apk文件的平均时间为1～3分钟，速度还是比较快的。分析结果页面截图如下，分析结果包括APP信息、线

简介Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。WireShark可以比喻做硬件工程的万用表、示波器，同样我们网络工程师或者软件工程师可以利用wireshark来进行分析网络。wireshark可以做哪些事情？1、利用wireshark进行tcp/ip知识的学习在进行学习tcp/ip基础知识尤其是网络协议时异常枯燥，因为网络的问题看不见摸不着，所以很难.

windows 入侵排查前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。常见的应急响应事件分类：Web 入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门网络攻击：DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结.

一.Burp Suite工具安装及配置1.Burp SuiteBurp Suite是用于Web应用安全测试、攻击Web应用程序的集成平台，它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。Burp Suite为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共享一个请求，并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。Burp Suite结合先进的手工技术与先进的自动化，使你的工作更快，更有效，更有趣。