小chen妙妙屋

bash转义符\b 转义后相当于按退格键（backspace） ,但前提是”\b”后面存在字符，具体效果参考下方示例。 使用echo命令输出”\b”转义字符，在”\b”后面存在字符的前提下，”\b”表示删除前一个字符，”\b\b”表示删除前两个字符。 可以看到，上例中，在”\b”后面不存在任何字符时，”\b”并没有转义为”退格键”，当”\b”后面存在字符时，一个”\b”就相当于按一次backspace键。 \c 不换行输出，在”\c”后面不存在字符的情况下，作用相当于echo -n，具体效果参考下方示例。我们也可以使用\c转义符，表示不换行输出，但是当”\c”后面仍然存在字符时，”\c”后面的字符将不会被输出，如果”\c”后面不存在任何字符时，效果与使用”echo -n”相同,示例如下。 \n 换行\f 换行，但是换行后的新行的开头位置连接着上一行的行尾，具体效果查看示例；\v 与\f相同；\t 转以后表示插入tab，即制表符；\r 光标移至行首，但不换行，相当于使用”\r”以后的字符覆盖”\r”之前同等长度的字符，只看这段文字描述的话可能不容易理解，具体效果查看示例； \ 表示插 ...

系统常规日志/var/log/syslog (或者在一些系统上是 /var/log/messages) 是一个包含各种系统事件的通用日志文件。它通常是系统管理员和安全分析师在排查问题或调查安全事件时的首选资源。 /var/log/syslog 记录的信息非常广泛，包括但不限于： 系统启动和关机信息: 记录系统启动和关机过程中的关键事件。 硬件事件: 例如设备连接、驱动加载失败等。 邮件服务器信息: 例如邮件发送和接收的记录。 系统守护进程信息: 例如 cron、syslogd 等守护进程的运行状态和错误信息。 认证相关信息: 虽然 /var/log/auth.log 更专注于认证事件，但 /var/log/syslog 也可能包含一些认证相关的消息，尤其是在 auth.log 未配置或不可用时。 应用程序日志: 一些应用程序会将日志信息写入 syslog，而不是单独的日志文件。 内核消息: 虽然 /var/log/kern.log 更专注于内核消息，但 /var/log/syslog 也可能包含一些内核相关的消息，尤其是在 kern.log 未配置或不可用时。 其他系统事件: 例如网 ...

[toc] hosts文件概述​ hosts文件是linux系统中负责ip地址与域名快速解析的文件，以ASCII格式保存在/etc目录下，文件名为hosts，不同的linux版本，文件也可能不同，比如Debian的对应文件是/etc/hostname。hosts文件包含了ip地址和主机名之间的映射，包括主机名的别名，在没有域名服务器的情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的ip地址，否则就需要使用DNS服务程序来解决。通常可以将常用的域名和ip地址映射加入到hosts文件中，实现快速方便的访问 优先级：dns缓存>hosts>dns服务 hosts：the static table lookup for host name（主机名查询静态表） 在系统中的位置：/etc/hosts文件作用1 加快域名解析​ 对于经常访问的网站，我们可以通过在hosts文件中配置域名和 IP 的映射关系，提高域名的解析速度。由于有了映射关系，当我们输入域名后，计算机就能够快速解析出 IP 地址，而不用请求网络上的 DNS 服务器。 2 构 ...

登录日志Linux用户登录信息放在三个文件中： 1、/var/run/utmp：记录当前正在登录系统的用户信息，默认由who和w记录当前登录用户的信息，uptime记录系统启动时间； 2、/var/log/wtmp：记录当前正在登录和历史登录系统的用户信息，默认由last命令查看； 3、/var/log/btmp：记录失败的登录尝试信息，默认由lastb命令查看。 这三个文件都是二进制数据文件，并且三个文件结构完全相同，是由/usr/include/bits/utmp.h文件定义了这三个文件的结构体。 默认情况下文件的日志信息会通过logrotate日志管理工具定期清理。logrotate的配置文件是/etc/logrotate.conf，此处是logrotate的缺省设置，通常不需要对它进行修改。日志文件的轮循压缩等设置存放在独立的配置文件中，它（们）放在/etc/logrotate.d/目录下，它会覆盖缺省设置。 如果不想记录相关信息，则可以直接将相关文件删除即可。如果系统不存在该文件，则需要在此路径touch一个文件就可以继续记录相关信息了。 此外： 如果想禁用who命令，则只需 ...

进入单用户模式1）在Linux系统启动，内核启动顺序选择界面，按键盘任意键让Linux引导启动停留在内核选择阶段通过上下键让Linux引导启动停留在内核选择阶段 2）选择Linux内核启动项，根据提示键入小写字母e 进入下一步 3）选择kernel开头这项（第二个）按下按键e，进入下一步 内核启动时选 选项 含义 init=/sbin/init 告诉内核用/sbin/init作为它的init程序 init=/bin/bash 只启动bash，在紧急恢复时有用 root=/dev/foo 告诉内核用/dev/foo作为根设备 single 引导进入单用户模式 定位到linux16这一行，在最后加上一句rw single init=/bin/bash，然后按ctrl+x 需要注意的是会出现以下情况。 提示 passwd root command not found 这个时候只要运行chroot /sysroot/ 就可以了。 因为目前所在的环境就是一个安全模式，在内存系统里，还没有进入到我们原本的系统。这时候要修改root密码的话，需要切换到原 ...

/usr/usr 最庞大的目录，要用到的应用程序和文件几乎都在这个目录。其中包含：/usr/X11R6 存放X window的目录/usr/bin 众多的应用程序/usr/sbin 超级用户的一些管理程序/usr/doc linux文档/usr/include linux下开发和编译应用程序所需要的头文件/usr/lib 常用的动态链接库和软件包的配置文件/usr/man 帮助文档/usr/src 源代码，linux内核的源代码就放在/usr/src/linux里/usr/local/bin 本地增加的命令/usr/local/lib 本地增加的库 /home/home 用户主目录的基点，比如用户user的主目录就是/home/user，可以用~user表示 /bin/bin 二进制可执行命令 /dev/dev 设备特殊文件 /var/var 某些大文件的溢出区，比方说各种服务的日志文件 /etc/etc 系统管理和配置文件/etc/rc.d 启动的配置文件和脚本

Linux常见配置文件目录结构：12345678910111213141516171819202122/boot 用于自举加载程序（LILO 或GRUB）的文件。当计算机启动时（如果有多个操作系统，有可能允许你选择启动哪一个操作系统），这些文件首先被装载。这个目录也会包含LINUX 核（压缩文件vmlinuz），但LINUX 核也可以存在别处，只要配置LILO 并且LILO 知道LINUX 核在哪儿。/bin 系统启动时需要的引导程序(二进制执行文件)，这些文件可以被普通用户使用/dev 代表硬件组件的设备文件目录。LINUX 下设备被当成文件，这样一来硬件被抽象化，便于读写、网络共享以及需要临时装载到文件系统中。正常情况下，设备会有一个独立的子目录。这些设备的内容会出现在独立的子目录下。LINUX 没有所谓的驱动符。/etc 存放各种配置文件/etc/rc.d 启动的配置文件和脚本/home 用户主目录，包含参数设置文件、个性化文件、文档、数据、EMAIL、缓存数据等/lib 标准程序设计库，又叫动态链接共享库，作用类似windows 里的.dll 文件/sbin 为系统管理员保留的 ...

杂项是什么CTF中MISC与现实中的取证不同，现实中的取证很少会涉及巧妙的编码加密、数据隐藏，被分散嵌套在各处的文件字符串，或者其他脑洞的challenge。很多时候是需要精心恢复一个残损的文件、挖掘损坏硬盘中的蛛丝马迹，或者从内存镜像中抽取有用的信息 现实中的取证需要从业者能够找出间接的恶意行为证据：攻击者攻击系统的痕迹，或者内部威胁行为的痕迹，实际工作中大部分取证都是从日志、内存、文件系统中找出犯罪线索，并找出文件或文件系统中数据的关系。而流量取证相比起内容数据的分析，更注重元数据的分析，也就是不同端点间常用TLS加密的网络会话 MISC是切入CTF竞赛领域、培养兴趣的最佳入口，MISC考察基本知识，对安全技能的各个层面都有不同程度的设计，可以很大程度上启发思维

密码学基础1.体系12345678910graph TD; 密码学--->现代密码学; 密码学--->古典密码学; 现代密码学-->密码编码学; 现代密码学-->密码分析学; 密码编码学-->对称加密体制; 密码编码学-->非对称加密体制; 密码编码学-->密码协议; 对称加密体制-->流加密算法; 对称加密体制-->分组加密算法; 密码编码学编码是信息按照预先规定方式从一种形式转换为另一种形式的过程 古典密码常见的编码ASCII是基于拉丁字母的一套电脑编码系统，是最通用的信息交换标准 主要分为三个部分： 不可打印的控制字符(0~31) 可打印字符(32~127) 扩展ASCII打印字符(128~255)对称加密体制 加密双方共享同一个密钥来进行加解密计算 模式 12345678flowchart LR id0[m] id1["E(k,m)=c"] id2["D(k,c)=m"] id3[k] id3-->Alice id0-->Alice--&g ...

文件头文件尾1、图片 JPEG 文件头：FF D8 FF 文件尾：FF D9 TGA 未压缩的前4字节 00 00 02 00 RLE压缩的前5字节 00 00 10 00 00 PNG 文件头：89 50 4E 47 0D 0A 1A 0A 文件尾：AE 42 60 82 GIF 文件头：47 49 46 38 39(37) 61 文件尾：00 3B BMP 文件头：42 4D 文件头标识(2 bytes) 42(B) 4D(M) TIFF (tif) 文件头：49 49 2A 00 ico 文件头：00 00 01 00 Adobe Photoshop (psd) 文件头：38 42 50 53 2、office文件 MS Word/Excel (xls.or.doc) 文件头：D0 CF 11 E0 MS Access (mdb) 文件头：53 74 61 6E 64 61 72 64 20 4A WordPerfect (wpd) 文件头：FF 57 50 43 Adobe Acrobat (pdf) 文件头：25 50 44 46 2D 31 2E applicati ...