nagex常用于代理

nagex.config会定义一些配置，如报错页面，端口域名等（可能包含其他文件做补充配置）

include cisp.txt的方式进行包含调用

systemctl statvs ssh

volatility做内存取证

php审计

header跳转

PACK包含目的地址文本

网站的日志文件位置/var/log/apache2/access.log

可以netstat -antlp检查当前开放端口已确认中间件来确认要找啥日志。

php代码是后端代码，要使用后段搭建的网页环境查看

find / -name "*lll"可以找*文件位置

通过管道|sh &在后台执行*的脚本

16为进制的形式要注意

（kali靶机要新建虚拟机，磁盘类型要改成第一个，网络虚拟机之间要选择相同的模式相同的网卡已保证互通）

定时任务不要只查crontad -l。还要去定时任务文件检查下，天月年等

注意rpm还原指令

telnet协议，传输参数看data

批量解码脚本。

select (sleep (1-(if (1)))

sleep语句的作用，通过if报错确认字符

可注意数据包大小的以便快速找到需要的日志

协议的结构，每个部分的信息有何用，读懂流量。

icmp（ping）可能存在相似的ping请求，但只变换内容部分特定位置。故可能借由传输。（头部的验证信息可能一直边，要注意后面的内容信息）

挖矿木马可能会黑掉资源管理器，导致虽然很卡但是信息看着正常。清除后，封堵上传路径。清除时不排除是其他程序*启动木马。重点：熟悉木马排查时，和上传木马的命令语句

流量分析第一套题：

可以第一步分析有哪些通讯ip判断有哪些会话，后再分开统一的看流量分析行为。

跳转页面可以注意request源访问地址判断为何跳转，题中为登录失败后跳转为登录页面

需了解常见的扫描器的特征awvs，appscan，nessus有哪些

有时在content-type中存在特征

学习wires塞选语句，塞选请求，响应码等

z1/z2信息不同，可更具该信息大致了解解码后的内容，如z2是命令，z1是路径

了解一些常见配置文件内容