网络安全技术教学文档 基于SecWiki周刊（第327期）内容整理 1. ATT&CK框架图中文翻译版 链接 : GitHub 适用领域 : 取证分析、威胁检测、红蓝对抗 关键知识点 ATT&CK框架 ：MITRE提出的对抗战术、技术及知识库，用于描述攻击者的行为模式。 中文翻译版 ：便于国内安全研究人员理解和使用，涵盖： 战术（Tactics） ：攻击者的目标（如初始访问、执行、持久化等）。 技术（Techniques） ：具体攻击手段（如钓鱼、漏洞利用、凭证转储）。 缓解措施（Mitigations） ：防御建议。 应用场景 ： 威胁狩猎（Threat Hunting） 安全评估（如红队演练） 2. 污点分析技术（Taint Analysis） 链接 : 博客文章 适用领域 : 恶意代码分析、漏洞挖掘 关键知识点 污点分析 ：追踪数据流中不可信输入（污点源）的影响，检测是否触发危险操作（如代码执行）。 核心步骤 ： 标记污点源 （如用户输入、网络数据）。 传播规则 （跟踪数据流经过的变量、函数）。 检测污点汇聚点 （如 system() 调用）。 工具应用 ： 静态分析：如TaintCheck、FlowDroid（Android）。 动态分析：如PinTool、QEMU插桩。 案例 ：检测SQL注入、XSS漏洞。 3. Impost3r：窃取sudo密码的工具 适用领域 : 渗透测试、权限提升 关键知识点 原理 ：伪造 sudo 提示界面，诱骗用户输入密码并记录。 实现方式 ： 替换或劫持 sudo 的环境变量（如 LD_PRELOAD ）。 记录输入后转发至合法 sudo 程序。 防御措施 ： 检查 sudo 路径是否被篡改（ which sudo ）。 使用 visudo 配置严格的权限控制。 4. CobaltStrike攻击实例分析 适用领域 : 取证分析、APT检测 关键知识点 CobaltStrike功能 ： 远控（Beacon）、横向移动（如PSExec）、隐蔽C2通信（DNS隧道）。 攻击链示例 ： 钓鱼邮件投递恶意载荷。 Beacon建立反向连接。 凭证窃取（Mimikatz）→ 横向移动。 检测方法 ： 监控异常进程（如 rundll32.exe 加载不明DLL）。 分析网络流量（JA3指纹识别CobaltStrike）。 5. MySQL JDBC反序列化漏洞 适用领域 : 漏洞利用、安全开发 关键知识点 漏洞成因 ：MySQL JDBC驱动在反序列化 OBJECT 类型时未严格校验，导致RCE。 利用条件 ： 可控JDBC连接参数（如 autoDeserialize=true ）。 攻击者控制MySQL服务器（如恶意代理）。 修复方案 ： 升级JDBC驱动至最新版。 禁用不可信的MySQL连接。 6. BadDNS：子域名探测工具 链接 : GitHub 适用领域 : 信息收集、攻击面测绘 关键知识点 功能 ：利用公共DNS服务器快速枚举多层子域名（如 a.b.c.target.com ）。 优势 ： 绕过传统速率限制（分布式查询）。 支持泛解析检测。 防御建议 ： 限制DNS区域传输（AXFR）。 监控异常DNS查询流量。 7. 基于指纹识别的漏洞扫描 适用领域 : Web安全、自动化测试 关键知识点 指纹类型 ： HTTP头（如 Server: nginx/1.18.0 ）。 文件哈希（如 /favicon.ico 的MD5）。 扫描流程 ： 识别CMS/框架（如WordPress、Django）。 匹配已知漏洞（如CVE数据库）。 工具推荐 ：Wappalyzer、WhatWeb。 8. 其他关键技术摘要 | 主题 | 关键点 | |------|--------| | Django漏洞扫描器 | 自定义插件检测SQLi/XSS。 | | IDA动态调试So | 解决Android Native层反调试。 | | Shiro无文件Webshell | 利用反序列化+内存马注入。 | | GitHub敏感信息监控 | 机器学习识别API密钥/密码。 | 总结与建议 攻击方 ：掌握ATT&CK框架、CobaltStrike、污点分析等技术。 防御方 ：关注漏洞修复（如MySQL JDBC）、子域名监控、行为检测。 工具链 ：BadDNS（信息收集）、Impost3r（权限维持）、指纹扫描（自动化评估）。 持续学习资源 ： SecWiki主站： https://www.sec-wiki.com MITRE ATT&CK官方文档。 文档生成时间 : 2025年8月15日 数据来源 : SecWiki周刊第327期