流量分析 (1)stage 下载 stager 可执行文件 artifact.exe 运行后会有一个 payload 下载过程，使用 http 协议从指定服务器下载 stage 。 其中 http 请求路径不唯一，但都符合一个 checksum8 规则，即：路径的 ascii 之和与 256 取余计算值等于 

伪造流量批量上线（欺骗防御） 思路 通过伪造上线心跳流量，发送至攻击者的c2，使攻击者的c2同时上线的大量终端： 通常有两种常见场景： 第一种是，发现攻击者对我们单位在进行精准钓鱼，那么我们可以通过这个欺骗防御，来混淆攻击者的视听，让攻击者的c2server上线大量机器，但是攻击者却执行不了任何命令。 第二种是，发现我们内部已经存在被钓鱼上线的机器，那么此时我们通过这种欺骗防御就是来拖延攻击者，使

服务器设置禁ping 服务器禁ping从某种意义上来说，算是不存活的主机，但nmap是依然能够扫描出来的。 设置禁ping命令： vim /etc/sysctl.conf 打开后按i进入编辑模式，在任意位置新增以下内容 net.ipv4.icmp_echo_ignore_all=1 再使用命令 sysctl -p 即可生效 这时候再ping主机就会ping不通了 修改Cobalt Strike默认

数据库安全 判断服务开放 1.端口扫描 端口扫描工具nmap..... 为什么有数据库，却扫描不到端口？ 当数据库在内网的时候，我们的在外网是扫描不到的。有可能是防火墙或者其他的安全服务 2.组合猜测 当面对一个web服务时，我们大概能猜到有没有数据库 3.信息来源 通过渗透过程的一下信息泄露，或者报错判断 判断服务类型 1.数据库 2.文件传输 3.远程控制 4.数据通信 利用方式 1.特性漏洞

传参?name={1*123}试试 确实是flash的ssti注入 直接查询flask框架的代码执行语句获取eval函数并执行任意python代码的POC： {% for c in .__class__.__base__.__subclasses__() %} {% if c.__name__ == \'catch_warnings\' %} {% for b in c.__init__.__gl