Sweatzer/Lab-WriteUps

# 安全实验报告 来自 SOC 分诊警报、检测工程实验室、渗透测试课程、家庭实验室构建以及真实世界安全研究的技术报告。每份报告都记录了完整的调查或攻击链、使用的工具，以及映射到相关框架（MITRE ATT&CK、OWASP、CWE）的修复建议。 **作者：** Spencer Leach **背景：** 派克峰州立学院 (Pikes Peak State College) 网络安全专业学生 **认证：** CompTIA Security+ **专注领域：** SOC 分诊与检测工程、网络取证、Web 渗透、Active Directory 与 Linux 提权、IDS/IPS 规避、Session 安全、足迹收集与枚举 ## 真实安全工作 | 项目 | 范围 | 发现 | |---|---|---| | [ASP.NET WebForms 文件上传模块 — 客户端源代码审查](https://github.com/Sweatzer/Lab-WriteUps/blob/main/real-life-engagements/security_findings.md) | 负责任的披露，仅限客户端代码审查，未尝试利用 | 11 项发现：失效的 reCAPTCHA、仅限客户端的验证、宽松的扩展名白名单、下载处理程序中的路径遍历、通过 `controlID` 的 DOM 型 XSS、无来源检查的跨窗口 DOM 操作、潜在易受攻击的 ViewState、理论攻击链 | ## 检测工程与 SOC 分诊 ### SIEM 分诊 — LetsDefend 警报 | 事件 | 警报 / 规则 | 主题 | 框架 | |---|---|---|---| | [SOC257](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Defensive-Writeups/SIEM-Analysis/SOC257-VPN-Connection-Unauthorized-Country.md) | 检测到来自未授权国家的 VPN 连接 | 来自越南的撞库 VPN 登录，通过 OTP 暴力破解尝试绕过 MFA，IP 信誉分诊，防火墙 + 代理 + 电子邮件关联 | MITRE T1595 / T1133 / T1621 | | [SOC287](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Defensive-Writeups/SIEM-Analysis/CVE-2024-24919-Checkpoint-Arbitrary-File-Read.md) | CVE-2024-24919 — Check Point Quantum Spark 任意文件读取 | `/clients/MyCRL` 的路径遍历利用，`/etc/passwd` 和 `/etc/shadow` 泄露，双 IP 攻击者关联，遏制 + 凭据轮换 | MITRE T1190 / T1552.001 / T1005，CVSS 8.6 | | [SOC338](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Defensive-Writeups/SIEM-Analysis/lumma-stealer-clickfix-phishing.md) | 通过 ClickFix 网络钓鱼传播的 Lumma Stealer | 网络钓鱼 → ClickFix 社会工程学 → PowerShell → `mshta.exe` → C2 回连，电子邮件/沙箱/网络关联，主机隔离 | MITRE T1566.002 / T1204.001 / T1059.001 / T1218.005 / T1071.001 | | [检测工程实验室](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Defensive-Writeups/SIEM-Analysis/siem-use-case-development-splunk-elk.md) | Splunk & ELK 用例开发 | 8 个端到端检测：暴力破解（4624/4625 关联）、SQLi、XSS、Snort 扫描检测、不安全端口监控、PowerShell LotL、Mimikatz LSASS 访问 (0x1010)、Sysmon+VT 哈希 pivot | MITRE T1110 / T1190 / T1595 / T1046 / T1059.001 / T1003.001 / T1105 | ### DFIR — HTB Sherlocks | Sherlock | 场景 | 取证物 | 框架 | |---|---|---|---| | [Brutus](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Defensive-Writeups/DFIR-Sherlocks/brutus/brutus.md) | Linux SSH 暴力破解 → 交互式 root 权限获取 → 后门账户持久化（将 `cyberjunkie` 添加至 sudo） → `/etc/shadow` 导出 → 下载 `linper` 持久化工具包 | `/var/log/auth.log`、`/var/log/wtmp`（通过 Python utmp 解析器解析） | MITRE T1110.001 / T1078.003 / T1136.001 / T1098 / T1003.008 / T1105 | ### 网络取证 | 实验 | 主题 | 框架 | |---|---|---| | [网络流量分析 — DNS 与 ICMP 隧道](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Defensive-Writeups/Network-Analysis/network-traffic-analysis-dns-icmp-tunneling.md) | Wireshark，DNS 隧道，ICMP 隧道，C2 检测 | MITRE T1071 / T1095 | ## 家庭实验室 从零开始构建的动手实验环境，用于模拟真实世界的攻防场景。重点关注基础设施设计、安全工具部署以及在隔离网络上执行端到端的攻击链。 | 实验 | 描述 | 工具与技术 | |---|---|---| | [实验 1 — 网络安全检测与攻击实验室](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Home-Labs/Lab-1/cybersecurity-homelab-build.md) | 具有用于紫队演练的 Wazuh SIEM、Suricata IDS 和 DVWA 的多虚拟机环境。在 VirtualBox 中进行网络架构设计，双网卡 pivot 配置，Suricata 到 Wazuh 的日志集成，通过命令注入进行 Web 应用程序利用，使用 `fodhelper.exe` 绕过 UAC，以及无文件 PowerShell 反向 shell。包含完整的故障排除日志。 | VirtualBox, Wazuh, Suricata, DVWA, XAMPP, PowerShell, netcat | ## 渗透测试报告 ### HTB 机器 — 端到端 CTF | 机器 | 难度 / 操作系统 | 攻击链 | 框架 | |---|---|---|---| | [Optimum](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/HTB-Machines/optimum/optimum.md) | 简单 / Windows Server 2012 R2 | HFS 2.3 RCE → 以 `kostas` 身份获取 x86 Meterpreter → autologon 注册表凭据（WOW64 重定向绕过） → `local_exploit_suggester` → `ms16_032` → `NT AUTHORITY\SYSTEM` | MITRE T1190 / T1552.002 / T1068 / T1134，CVE-2014-6287，CVE-2016-0099 | | [Cap](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/HTB-Machines/cap/cap.md) | 简单 / Linux | `/data/` 上的 IDOR → 包含明文 FTP 凭据的 `.pcap` → 以 `nathan` 身份进行 SSH → `getcap` 枚举 → `/usr/bin/python3.8` 上的 `cap_setuid` → root | MITRE T1190 / T1552.001 / T1040 / T1021.004 / T1548.001 | ### 侦察与枚举 | 实验 | 主题 | 框架 | |---|---|---| | [足迹收集 — HTB Academy 技能评估](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Infrastructure/recon-and-enumeration/footprinting/footprinting.md) | FTP、SSH、NFS、SMB、SNMP、RDP、MySQL 服务链，凭据获取，横向移动 | MITRE T1046 / T1078 / T1021 / T1552 / T1039 | ### Active Directory | 实验 | 主题 | 框架 | |---|---|---| | [AD 枚举与攻击 — HTB Academy 技能评估 II](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Infrastructure/active-directory/ad-enumeration-attacks-skills-assessment-ii/ad-enumeration-attacks-skills-assessment-ii.md) | LLMNR 投毒、NTLMv2 破解、密码喷洒、SMB 共享深挖、MSSQL `xp_cmdshell` + `SeImpersonate` → SYSTEM、LSA `DefaultPassword` 重用、对 Domain Admins 的 `GenericAll`、内部 Inveigh 哈希捕获、DCSync、哈希传递至 DC | MITRE T1557.001 / T1110.002 / T1110.003 / T1135 / T1552.001 / T1059.005 / T1134.001 / T1003.004 / T1484 / T1003.006 / T1550.002 | ### Web 渗透 | 实验 | 主题 | 框架 | |---|---|---| | [Session 安全 — XSS、开放重定向、Session 劫持](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Web/session-security-xss-hijacking/session-security-xss-hijacking.md) | 存储型 XSS、Cookie 窃取、开放重定向链接、PCAP 分析 | OWASP Top 10，CWE-79/601/614/319，MITRE T1539/T1040 | | [Web 攻击 — IDOR 与 XXE 利用](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Web/idor-xxe/web-attacks-idor-xxe.md) | IDOR 枚举、API token 收获、密码重置滥用、XXE 注入、Burp Suite | OWASP Top 10，CWE-639/611 | | [SQL 注入 — Union 注入提取与认证绕过](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Web/sql-injection/sql-injection.md) | 布尔型 SQLi、UNION 注入、INFORMATION_SCHEMA 枚举、密码哈希提取、Burp Suite | OWASP Top 10，CWE-89，MITRE T1190 | | [常见 Web 应用程序 — HTB Academy 技能评估 I/II/III](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Web/common-applications/common-web-applications-enum-exploit.md) | Apache Tomcat CGIServlet RCE、CGI 目录模糊测试、Metasploit `ForceExploit` 工作流、GitLab 公开仓库信息泄露、源代码控制中硬编码的数据库凭据、Nagios XI 认证后 RCE、使用 dnSpy 进行 .NET DLL 反编译、编译程序集中硬编码的凭据 | MITRE T1190 / T1078 / T1552.001 / T1213.003 / T1059.003 / T1518，NIST SP 800-53 (SI-2, IA-5(7), CM-7, SC-28, SA-15)，ISO/IEC 27001:2022 (A.5.17, A.8.8, A.8.25, A.8.28)，CVE-2019-0232 / CVE-2020-35578 | ### 权限提升 | 实验 | 主题 | 框架 | |---|---|---| | [Linux 权限提升 — PwnKit (CVE-2021-4034)](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Infrastructure/privilege-escalation/linux-privesc/Linux-PrivEsc-PwnKit-Skills-Assessment.md) | SUID 枚举、PolicyKit 利用、SSH 密钥持久化、利用后分析 | MITRE T1548.001 / T1098.004，CWE-787 | ### 规避 | 实验 | 主题 | 框架 | |---|---|---| | [IDS/IPS 与防火墙规避](https://github.com/Sweatzer/Lab-WriteUps/blob/main/Pentest-Writeups/Infrastructure/evasion/ids-ips-firewall-evasion/ids-ips-firewall-evasion.md) | 隐蔽扫描、源端口欺骗、Banner 抓取 | CWE-200 | ## 个人研究 探索结构化课程之外的基础设施和操作员主题的自主学习报告。 | 主题 | 描述 | |---|---| | [构建您自己的 VPS — 自托管虚拟化](https://github.com/Sweatzer/Lab-WriteUps/blob/main/personal-research/diy-vps-own-infrastructure.md) | 使用基于 Proxmox 的家庭实验室替代商业 VPS 订阅的实用指南：硬件选择、Hypervisor 安装、VM/容器配置、网络、互联网暴露、加固和成本分析。 | | [单人红队基础设施](https://github.com/Sweatzer/Lab-WriteUps/blob/main/personal-research/solo-red-team-infrastructure.md) | 一次性、隔离的攻击基础设施的端到端架构：家庭实验室基础、云重定向器、自托管 VPN 隧道、Terraform/Ansible 自动化、功能分离，以及 Tor 的适用场景（与不适用场景）。 | ## 引用的工具 `nmap` · `netcat` · `whatweb` · `Wireshark` · `Burp Suite` · `Splunk` · `ELK Stack` · `Sysmon` · `Winlogbeat` · `Wazuh` · `Suricata` · `Snort` · `Hydra` · `Mimikatz` · `PowerShell` · `Metasploit` · `pkexec` · `ssh-keygen` · `crackmapexec` · `smbclient` · `xfreerdp` · `onesixtyone` · `snmpwalk` · `mysql` · `curl` · `hashcat` · `Proxmox VE` · `Terraform` · `Ansible` · `Responder` · `Inveigh` · `Impacket` (`secretsdump`, `psexec`, `mssqlclient`) · `fping` · `dnSpy` ## 备注 报告中引用的截图存储在每个实验室目录的 `images/` 子文件夹中。所有真实世界的项目内容均已进行脱敏处理，以保护应用程序及其运营者的身份——未执行任何漏洞利用、测试或未经授权的访问。

标签：Active Directory, AI合规, Cloudflare, CompTIA Security+, CTF学习, CTI, CVE, HackTheBox, HTB, IDS/IPS绕过, Linux提权, Metaprompt, MFA绕过, MITRE ATT&CK, Plaso, PoC, SOC分析, VPN安全, Web安全, Web渗透, Windows提权, XSS, 会话安全, 内网渗透, 凭证填充, 协议分析, 反取证, 告警研判, 安全基线, 安全实验室, 安全评估, 安全运营, 客户端安全, 家庭实验室, 密码管理, 库, 应急响应, 扫描框架, 技术文章, 提权, 教学环境, 数字取证, 数字签名, 数据统计, 文件上传漏洞, 日志关联分析, 暴力破解, 权限提升, 活动目录, 漏洞情报, 端口扫描, 系统提示词, 网络安全, 网络安全专业, 自动化分析, 自动化脚本, 蓝队分析, 跨站脚本, 路径遍历, 防火墙, 隐私保护, 靶场写题, 靶场搭建