OpenSSL

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源。这篇文章将详细讲解远控木马及APT攻击中的远控，包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章，但这篇更多是讲解远控型木马，基础性文章，希望对您有所帮助~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.木马的基本概念和分类 二.木马的植入方式 三.远控木马的通信方式 1.正向连接 2.反向连接 3.通信协议 四.远控木马的常见功能及意图 1.文件管理 2.进程管理 3.服务管理 4.注册表管理 5.屏幕控制 6.键鼠操作 7.屏幕截取 8.语音视频截获 9.键盘记录 五.APT攻击与远控木马 1.APT攻击与远控木马的关系 2.普通远控木马与APT远控木马的区别 3.APT攻击中的典型远控木马 六.总结

在之前我的文章 “ Elastic：使用Postman来访问Elastic Stack ” 中我介绍了如何在应用中访问 Elasticsearch。在那里，我们使用了最基本的 Basic authentication 的方法来访问 Elasticsearch。这种方法不好的地方就是每个用户所有的请求的验证都是一样的：使用的是同样的一个用户名及密码的 Base64 编码。在今天的文章中，我们将介绍如何创建 API key 来提供对 Elasticsearch 的访问。通过这个方法，一个用户可以动态生成无数个 API Key 的访问。 官方文档，可以在 链接 找到。 接口 它的接口非常简单： POST /_security/api_key PUT /_security/api_key API Key 由 Elasticsearch API key 服务创建，当您在 HTTP 接口上配置TLS时，该服务会自动启用。 请参阅加密 HTTP客户端通信 。 或者，你可以显式启用 xpack.security.authc.api_key.enabled 设置。 在生产模式下运行时，引导检查会阻止您启用 API key 服务，除非你还在 HTTP 接口上启用了TLS。 成功创建 API key API 调用将返回一个JSON结构，其中包含API 密钥，其唯一 ID 和名称。 如果适用

基于API调用行为的二进制通用脱壳方法 注：本人去年参赛的作品，欢迎大家对不足之处提出宝贵的意见，谢谢。 完整图文论文请看我的另一篇博客： https://blog.csdn.net/ITxiaoangzai/article/details/106156192 摘要 加壳技术被广泛应用于恶意代码的自我保护，用于对抗躲避反病毒软件的检测，使得反病毒软件检测率大大降低。所以设计一个能够自动化的通用脱壳系统具有重要的理论和现实意义。 基于上述动机，本文设计和实现了基于API调用行为的二进制通用脱壳系统。本系统利用加壳代码"先重建后调用"的API调用行为特征进行脱壳。整个系统采用B/S架构模式。Browser端负责上传样本到Server端以及向用户反馈分析结果；Server端接收样本后，在沙盒环境中动态运行，通过监控"先重建后调用"的API调用行为特征进行动态脱壳。 本文实现了原型系统VirusMore()。实验结果表明，VirusMore能广泛用于不同的软件壳并进行成功脱壳，提高反病毒软件检测恶意代码的准确率和降低对正常程序的误报率。 第一章 作品概述 1.1 背景分析 伴随着信息技术的不断发展，网络给人们带来便利的同时，网络安全威胁问题也日益突出，网络安全风险不断向政治、经济、文化、社会、生态和国防等各个领域传导渗透。据CNCERT抽样监测，2018年

1类、2类只在本区域内泛洪 P2P,Transnet 是传递拓扑信息 Stubnet是传递路由信息 但在网络中 不止只有OSPF协议 不止只有一个AS区域 还有BGP RIP等协议 这时就需要ASBR 区域边界路由器 来做AS之间的路由传递 （路由引入） 5类LSA的内容 只有路由信息 实验 和3类LSA的区别 5类LSA 在每一个区域中 通告者都是R5 因为有4类LSA的存在 4类LSA用来向大家介绍ASBR是谁 查看4类LSA的内容 4类LSA中只有ASBR的RID和通告者的RID 没有路由和掩码信息 在区域1中没有关于R5的4类LSA 外部COST值不累加 永远是1 总结 5类LSA的作用 通告外部路由 并在整个OSPF系统中直接泛洪同步 4类LSA的作用 介绍ASBR 优化5类LSA的路由 减少路由条目数量 使用Stub 去掉所有5类LSA 仅留下1条3类的默认路由 完全Stub的作用就是干掉3、4、5类LSA，只留下一条3类的默认路由 查看 7类LSA等于在NSSA区域中产生的5类LSA 6中LSA类型总结 Router 1类 Network 2类 Summary 3类 Asbr 4类 Ase 5类 Nssa 7类 精确汇总 汇总 就是找相同项 汇总5、7类LSA 直接在OSPF进程下做 不用进入区域 (不会换算十进制转二进制 ，打开电脑计算器选择程序员） 实验

在互联网如此发达的今天，用户数据的安全越来越重要，我们也经常会听到某某公司因为漏洞导致大量用户隐私数据泄露曝光，给公司造成很大的负面影响。AWS 在云安全方面做了哪些措施，提供了哪些解决方案，本文将为大家一一介绍 AWS 在云安全方面各项服务的特性，以及在哪些方面帮助用户解决了安全问题。 一、IAM 我想大家对 IAM 这个服务不会陌生，可能我们使用 AWS 云计算的第一个服务就是它，第一步就是需要创建账号授权等操作，它的全称是 Identity and Access Management，从名字我们可以知道，它是用来管理用户、访问密钥等安全凭证，以及控制用户和应用程序可以访问哪些 AWS 资源的权限的服务。 可以不过分的说，IAM 贯穿 AWS 云计算的各项服务，任何服务之间的请求都需要身份验证和授权，所有的身份验证和授权都由 IAM 这个服务来承担。正是因为 IAM 服务中的策略可以实现 API 级别细粒度的设置，所以我们可以对某个用户赋予特定 API 的操作权限，这样可以避免赋予过大的权限引起安全问题。 借助 AWS IAM 这项服务，使得我们在 AWS 云中的资源变得非常安全，任何用户想要访问云中的资源，哪怕是一个简单的 API 请求，都需要获得 IAM 的授权。除用户之外，你拥有的任何服务想要访问其他服务的数据，都需要经过 IAM 的验证和授权，可以说在 AWS

SSL证书根据验证级别分为三种类型，即域名型SSL证书（DV），企业型SSL证书（OV），增强型SSL证书（EV）。这三种类型的SSL证书均能起到对数据进行加密传输的作用。 但由于DV SSL证书只需要验证域名管理权限，不需要验证申请单位真实身份，因此不能向用户证明网站的真实身份。 而对于OV SSL证书，除了要验证域名管理权限外，还要验证网站企业身份，用户可以在地址栏点击查看证书详情中查看到该企业的名称和详细信息。 对于更高级别的EV SSL证书，需要通过极其严格的审查网站企业身份和域名管理权，具有最高级别的可信度和安全性，可以在地址栏直接显示公司名称，从而使用户更加确信也更加放心的相信他们所进行交易的网站是真实合法的，可以提升在线交易量。 虽然在价格上DV SSL证书要比O VSSL和EV SSL证书便宜很多，但与网站的安全比起来，选择OV SSL或EV SSL证书所投入的费用是值得的，它们能给网站带来额外的保护。有无数网络攻ji的现实案例告诉我们，遭遇网络攻ji的代价是惨痛的。而且网络攻ji是不可预测的，其攻击和传播速度非常快，而给企业所造成的损失也是非常大的。 所以选择SSL证书不能只看到眼前的小利而选择便宜的DV SSL证书或免费的SSL证书，当然那种只需要保证数据加密传输的个人网站可以选择DV SSL证书。要知道网站及其安全才是企业重要的资产

通过 OpenSSL 深入了解密码学的细节：哈希值、数字签名、数字证书等。 本系列的第一篇文章 通过 OpenSSL 库和命令行实用程序介绍了哈希、加密/解密、数字签名和数字证书。这第二篇文章将对细节进行深入探讨。让我们从计算中无处不在的哈希开始，并考虑是什么使哈希函数 具备密码学意义 。 密码学哈希 OpenSSL 源代码的 下载页面 包含了一个带有最新版本的表格。每个版本都有两个哈希值hash：160 位 SHA1 和 256 位 SHA256。这些值可以用来验证下载的文件是否与存储库中的原始文件相匹配：下载者在本地重新计算下载文件的哈希值，然后将结果与原始文件进行比较。现代系统有计算这种哈希值的实用程序。例如，Linux 有 md5sum 和 sha256sum 。OpenSSL 本身也提供了类似的命令行实用程序。 哈希值被用于计算的许多领域。例如，比特币区块链使用 SHA256 哈希值作为区块标识符。挖比特币就是生成一个低于指定阈值的 SHA256 哈希值，也就是至少有 N 个前导零的哈希值。（N 的值可以上升或下降，这取决于特定时间的挖矿生产力）。作为一个兴趣点，如今的矿机是为并行生成 SHA256 哈希值而设计的硬件集群。在 2018 年的一个高峰期，全球的比特币矿工每秒产生约 7500 万个太哈希值terahash —— 这真是一个不可思议的数字。

SpringBoot配置HTTPS 在工作中时长会遇到配置https，SpringBoot自带的是tomcat服务器一般使用的.jks文件配置SSL加密。 过程中会用到两个工具：OpenSSL，Keytool工具。 OpenSSL：下载地址： http://slproweb.com/products/Win32OpenSSL.html keytool工具，这是jdk自带的工具，在jdk的/bin目录下可以找到。 自己生成CSR https供应商不会直接提供.jks文件。所以，我们就需要将加密文件转换成所需要的jks文件。 解压已下载的证书压缩包，获得“xxx.pem”文件和xxx.key文件 “server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 使用OpenSSL工具，将pem格式证书转换为PFX格式证书，得到“server.pfx”文件。 找到openssl的bin目录，找到openssl.exe文件，单击右键以管理员身份运行，打开命令行，输入命令： pkcs12 -export -out D:\xxx.pfx -in D:\xxx.pem -inkey D:\xxx.key 按照要求输入两次密码，这时在d盘生成了xxx.pfx文件

https验证过程 首先有三个角色：客户端、服务端、CA证书中心 服务端使用非对称加密算法生成公钥和私钥 服务端将公钥发给CA证书中心，并获得CA证书（ssl证书） 客户端https证书请求服务器，服务器将公钥和证书发给客户端 客户端请求CA证书中心，验证证书，验证请求的https服务器是真实的，证书的验证也是用非对称加密算法 CA中心验证证书， 如果通过 客户端用服务器发送的公钥加密对称加密密钥发给服务器 服务器用私钥解密，获得对称加密密钥，于是客户端和服务器使用这个对称加密密钥通讯，至于为什么用对称加密，是因为对称加密币非对称加密性能好、更快 来源： oschina 链接： https://my.oschina.net/u/3407699/blog/4428153

实验说明: Task1：创建 IAM 用户使其访问特定存储桶 Task2：通过变量方式，动态 IAM 用户访问特定存储桶下的特定文件夹(prefix). 场景： 1.某个用户只能上传下载，不能更新存储桶中的文件。 2.希望 A 用户访问存储桶下的 A 文件夹，B 用户访问到 B 文件夹， 以此类推，如果单独给每一个用户创建策略就会比较麻烦。好消息是 IAM 策略支持变量 的方式，我们可以通过${aws:username} 变量来使用户只能访问到和用户名完全一致的存 储桶。 Task1: 创建 IAM 用户使其访问特定存储桶 在本实验中，我们将创建一个 IAM 用户，使该用户有权限向特定的 S3 存储桶中上 传和下载对象，但无权修改对象的属性(如: 修改对象存储类别，无法把对象公开化 等). 操作步骤: 首先创建一个存储桶，在 AWS 控制台界面，点击左上角”服务”，在所有服务列表 中选择”S3”。在 S3 界面，点击 “创建存储桶” 输入要创建的存储桶名字，如 awsdemo2018。请注意: S3 存储桶名字是全球唯一 的，这意味着如果某个 AWS 用户使用了这个存储桶名字，那么您将无法再使用。 如果您遇到 “存储桶名称已经存在” 的提示信息，请尝试输入另外一个存储桶名字. 输入完成之后，点击左下角”创建”按钮. 在 AWS 控制台界面，点击左上角”服务”，在所有服务列表中选择