chris12x1/TKH-Phase1

# 🛡️ 高级网络安全工程组合 — Christopher Diaz 通过实际操作展示网络安全工程组合，体现多层级系统加固、渗透测试、数字取证、安全自动化和企业深度防御基础设施等方面的实际经验。 此存储库反映了全面的基于场景的实验室，模拟现实世界的先进持续性威胁（APT）、企业基础设施故障、应用层漏洞和事件响应生命周期。 ## 👨‍💻 关于我 专注于网络安全的系统与安全工程师，具有设计、攻击和防御复杂 Linux、Windows 和容器化云网络的实战经验。 擅长： - **进攻性安全和渗透测试** — 网络应用程序利用（OWASP Top 10）、权限提升和横向移动。 - **防御性工程和加固** — 内核级防火墙（`iptables`/UFW）、自定义 IDS 部署和基于主机的 EDR 工程。 - **数字取证和事件响应（DFIR）** — 易失性内存雕刻、低级磁盘扇区数据雕刻和 SIEM 时间线重建。 - **安全脚本和自动化** — 使用 Python、Bash 和 PowerShell 开发程序化日志解析器、网络扫描器和系统监控器。 - **企业基础设施和架构** — 活动目录身份域、多层容器网络和安全的 DMZ 路由拓扑。 ## 🧰 技术 & 工具 **操作系统** - Linux（Ubuntu，Kali Linux） - Windows Server 2022 **防御和取证工具** - 集中式 SIEM 架构（Elasticsearch，Kibana，ELK Stack） - 入侵检测系统（Suricata IDS） - 端点检测与响应（Sysmon / SysmonForLinux） - The Sleuth Kit (`fls`，`icat`) 和高级内存诊断 **网络和边界控制** - 状态化内核防火墙（`iptables`），简单防火墙（UFW） - 核心协议：TCP/IP（握手分析）、DNS、路由、CIDR 子网划分 - 网络诊断和流量拦截：`nmap`、Burp Suite、SOCKS5 代理 **编程和基础设施自动化** - Python、Bash Shell 脚本、PowerShell Core - 容器化架构：Docker 和 Docker Compose ## 📂 存储库结构 此存储库中的工程工件和技术文档按操作重点按时间顺序组织： * [**`Week1-Artifact/`**](./Week1-Artifact) → Linux 安全基础、文件系统权限和基线防御自动化。 * [**`Week2-Artifact/`**](./Week2-Artifact) → OSI 层网络诊断、网关恢复和 CIDR 子网设计。 * [**`Week3-Artifact/`**](./Week3-Artifact) → Python 驱动的威胁情报自动化、端口扫描器和实时身份验证日志解析。 * [**`Week4-Artifact/`**](./Week4-Artifact) → 多层容器化架构安全和前端/后端微服务隔离。 * [**`Week5-Artifact/`**](./Week5-Artifact) → 活动目录域集成、自动 IAM 配置和企业管理组策略强制执行。 * [**`Week6-Artifact/`**](./Week6-Artifact) → 跨层基础设施故障排除、SSH 安全审计和正式安全架构设计（SAD）。 * [**`Week7-Artifact/`**](./Week7-Artifact) → 活动边界侦察、端口/服务版本询问和风险调整漏洞分级。 * [**`Week8-Artifact/`**](./Week8-Artifact) → 漏洞武器化、持久后门构建、权限提升和 SOCKS5 子网跳转。 * [**`Week9-Artifact/`**](./Week9-Artifact) → Web 应用程序漏洞链（SQLi、XSS、CSRF）和 API 破坏对象级别授权（BOLA）利用。 * [**`Week10-Artifact/`**](./Week10-Artifact) → 实时易失性分级、加密证据处理、原始磁盘块数据雕刻和 ELK SIEM 攻击时间线分析。 * [**`Week11-Artifact/`**](./Week11-Artifact) → 三层防御深度架构工程，包括防火墙、网络 IDS 签名和主机 EDR 策略。 * [**`Week12-Artifact/`**](./Week12-Artifact) → 综合最终阶段事后文档、服务加固和完整结构存储库审计。 ## 📌 突出工程里程碑 ### 🪓 1. 多层防御深度工程（第 11 和 12 周） * **边界防火墙**：在安全的 DMZ 区域内部署内核级 `iptables` 规则集，强制执行严格的出口流量参数，丢弃所有指向内部子网（`10.0.5.0/24`）和数据库中心（`10.0.5.50:3306`）的未经授权的流量。 * **网络入侵检测（IDS）**：在 **Suricata** 中编写自定义签名配置文件，以识别应用程序利用尝试，为自动 ICMP 扫描和未经授权的第 7 层恶意 User-Agent 签名（`Ghost_Scanner_v1`）生成高优先级跟踪警报。 * **主机端点 EDR 策略**：通过 **Sysmon** 架构和加载自定义 XML 检测模式，以跟踪易失性进程行为，捕获未经授权的卷操作和先发制人的勒索软件事件（`delete shadows`）。 ### 🩻 2. 数字取证和 SIEM 事件响应（第 10 周） * **易失性内存和磁盘雕刻**：使用低级字符串提取查询原始内存转储（`memdump.raw`），并使用 The Sleuth Kit (`fls -r`，`icat`) 解析原始文件系统媒体块，以克服反取证删除并直接从未分配扇区提取活动恶意软件有效负载（`Resume.exe`）。 * **ELK SIEM 威胁狩猎**：在 Elasticsearch 和 Kibana 中标准化遥测聚合模式，以处理成千上万的分布式服务器事件，映射活动主机暴力破解向量、利用受损害的域管理员账户的横向 Active Directory 跳转和外部数据泄露阈值。 ### 🌪️ 3. 全栈 Web 应用程序和 API 链式利用（第 9 周） * **漏洞链**：通过结合基于自反性的 SQL 注入（`' OR 1=1 --`）身份验证绕过、通过高级 `UNION SELECT` 提取进行数据库模式映射和持久性存储 XSS 会话劫持，对内部门户进行端到端妥协。 * **API 安全性和业务逻辑审计**：使用 Burp Suite 分析、操纵和执行 ID 交换请求，以发现破坏对象级别授权（BOLA）缺陷，并通过 Burp Intruder 执行参数操纵来破坏后端事务逻辑。 ### ⛓️ 4. 权限提升、横向移动和跳转（第 8 周） * **垂直权限提升**：通过 Metasploit 执行低级利用向量，建立自动化的持久 cron-job 反向 shell 并通过 GTFOBins（`/usr/bin/find`）利用配置不当的二进制文件执行 shell 跳转。 * **子网跳转**：在受损害的面向互联网的节点中构建战术代理，使用自动化路由规则和 SOCKS5 代理网关将扫描工具隧道到隔离的数据库网络中。 ## 📊 核心验证工件摘要 | 功能重点 | 核心工件参考 | 技术影响描述 | | :--- | :--- | :--- | | **防御性工程** | [`firewall_config.sh`](./Week11-Artifact/firewall_config.sh) | 脚本化状态化访问规则、默认拒绝姿态和自动 DMZ 网络路由控制。 | | **检测工程** | [`custom_ids.rules`](./Week11-Artifact/custom_ids.rules) | 优化 Suricata 签名以跟踪网络扫描和应用程序层签名配置文件。 | | **端点安全** | [`edr_policy.xml`](./Week11-Artifact/edr_policy.xml) | 隔离恶意 PowerShell 行为和勒索软件卷修改尝试的目标 XML 配置文件。 | | **安全架构**| [`HardenedOutpost_SAD.pdf`](./Week6-Artifact/HardenedOutpost_SAD.pdf)| 综合架构设计计划，映射安全网络拓扑配置和基于主机的访问控制。 | | **漏洞评估**| [`OmniPortal_Assessment.md`](./Week9-Artifact/OmniPortal_Assessment.md)| 详细记录多阶段 Web 应用程序漏洞和源代码级别参数化修复策略的取证审计日志。 | | **数字取证** | [`Incident_Response_Report.md`](./Week10-Artifact/Incident_Response_Report.md)| 详细记录内存字符串提取、磁盘块扇区操作和核心 SIEM 日志关联的工业级 DFIR 报告。 | | **系统自动化** | [`incident_response.py`](./Week3-Artifact/incident_response.py) | 动态 Python 处理引擎，解析实时服务器身份验证日志以提取实时暴力破解攻击者足迹。 | | **身份与 IAM** | [`onboard_engineers.ps1`](./Week5-Artifact/onboard_engineers.ps1)| 脚本化 PowerShell Core 配置工具，自动化 Active Directory 对象生成和资产组访问映射。 | ## 🎯 职业目标 高度技术性的实战网络安全从业者，希望加入企业安全团队担任 **网络安全分析师 / SOC 分析师 / 检测工程师 / 初级事件响应人员**。 准备将强大的实际经验应用于实时网络防御、自动化脚本缓解、取证工具利用和企业威胁检测架构，以保护生产资产。 ## 📬 让我们建立联系 * **GitHub 存储库**： [github.com/chris12x1](https://github.com/chris12x1) * **专业 LinkedIn**： [linkedin.com/in/christopherdiaz87](https://linkedin.com/in/christopherdiaz87)

标签：AI合规, 事件响应, 域环境安全, 应用安全, 请求拦截, 逆向工具