Web应急响应0基础讲解国赛信安管理与评估二阶段

信安管理与评估二阶段应急响应0基础讲解（Web篇）

GeekSec着重为安全人员提供网络安全精华知识集，并且知识体系中涉及多个网络安全赛项和实战项目，包括但不限于：信息安全管理与评估，网络搭建与应用，各大CTF赛项，HVV，红蓝对抗等。我们将从赛事带领大家进入网络空间安全领域。

微信公众号：Geek_Team
网络建设与运维-网络安全
信息安全管理与评估

—前言—

针对信安评估这个赛项来讲，应急响应部分基本上都是基于Win/Linux的，包括但不限于各类服务 中间件 操作系统等，一般来讲，遇到的比较多的还是Web的日志比较多，很多省赛以及22 23国赛都是Web的日志

赛题还是老几样，无非就是：提交攻击者的IP地址，者首次攻击成功的时间，操作系统版本，后门路径，可以进程等，那么大致方向确定了，其实也可以进行练习了。
常见的三种备赛练习方式：
1.自己/他人打自己靶机溯源：常见的攻击手法进行攻击后看靶机的日志等进行溯源
2.互联网靶场环境：常见的有各大比赛的环境以及公开的靶场
3.如果你不想努力了，我们这边也有现成的环境

一、HTTP基础

1.1 HTTP 状态码

大家在上网的时候肯定见过404 403 500等报错吧，那我们直入主题，关于响应码，我们这里列出常见且有用的，以表格呈现，方便清晰和保存

responseCode	explanation
100-200
1xx	(表示请求已被接受，并需要处理)
100	（初始的请求已经接受），客户应当继续发送请求的其余部分
101	服务器将遵从客户的请求转换到另外一种协议
200-300
2xx	**（请求成功）**表示成功处理了请求的状态代码
200	**（成功）**服务器已成功处理了请求。通常，这表示服务器提供了请求的网页。
201	**（已创建）**请求成功并且服务器创建了新的资源
202	**（已接受）**服务器已接受请求，但尚未处理
203	**（非授权信息）**服务器已成功处理了请求，但返回的信息可能来自另一资源。
204	**（无内容）**服务器成功处理了请求，但没有返回任何内容
205	**（重置内容）**服务器成功处理了请求，但没有返回任何内容
206	**（部分内容）**服务器成功处理了部分 GET 请求
300-400
3开头	**（请求被重定向）**表示要完成请求，需要进一步操作。通常，这些状态代码用来重定向
300	**（多种选择）**针对请求，服务器可执行多种操作。服务器可根据请求者（user agent）选择一项操作，或提供操作列表供请求者选择
301	**（永久移动）**请求的网页已永久移动到新位置。服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新的位置
302	**（临时移动）**服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求
303	**（查看其他位置）**请求者应当对不同的位置使用单独的 GET 请求来检索响应时，服务器返回此代码
304	**（未修改）**自从上次请求后，请求的网页未修改过。服务器返回此响应，不会返回网页内容
305	**（使用代理）**请求者只能使用代理访问请求的网页。如果服务器返回此响应，还表示请求者应使用代理
307	**（临时重定向）**服务器目前从不同位置的网页响应请求，但请求者继续使用原有位置来进行以后的请求
400-500
4开头	**（请求错误）**这些状态码表示请求可能出错，妨碍了服务器的处理
400	**（错误请求）**服务器不理解请求的语法
401	**（未授权）**请求要求身份验证。对于需要登录的网页，服务器可能返回此响应
403	**（禁止）**服务器拒绝请求
404	**（未找到）**服务器找不到请求的网页
405	**（方法禁用）**禁用请求中指定的方法
406	**（不接受）**无法使用请求的内容特性响应请求的网页
407	**（需要代理授权）**此状态代码与 401 （未授权）类似，但指定请求者应当授权使用代理
408	**（请求超时）**服务器等候请求时发生超时
409	**（冲突）**服务器在完成请求时发生冲突。服务器必须在响应中包含有关冲突的信息
410	**（已删除）**如果请求的资源已永久删除，服务器就会返回此响应
411	**（需要有效长度）**服务器不接受不含有效内容长度标头字段的请求
412	**（未满足前提条件）**服务器未满足请求者在请求中设置的其中一个前提条件
413	**（请求实体过大）**服务器无法处理请求，因为请求实体过大，超出服务器的处理能力
414	**（请求的 URI 过长）**请求的URI（通常为网址）过长，服务器无法处理
415	**（不支持的媒体类型）**请求的格式不受请求页面的支持
416	**（请求范围不符合）**如果页面无法提供请求的范围，则服务器返回此状态代码
417	**（未满足期望值）**服务器未满足“期望”请求标头字段要求
500
5开头：	**（服务器错误）**这些状态代码表示服务器在尝试处理请求时发生内部错误。这些错误可能是服务器本身的错误，而不是请求出错。
500：	**（服务器内部错误）**服务器遇到错误，无法完成请求
501：	**（尚未实施）**服务器不具备完成请求的功能。例如，服务器无法识别请求方法时可能会返回此代码
502：	**（错误网关）**服务器作为网关或代理，从上游服务器收到无效响应
503：	**（服务不可用）**服务器目前无法使用（由于超载或停机维护）。通常，这只是暂时状态
504：	**（网关超时）**服务器作为网关或代理，但是没有及时从上游服务器收到请求
505：	**（HTTP 版本不受支持）**服务器不支持请求中所用的 HTTP 协议版本

1.2 HTTP 请求

所有HTTP消息（请求与响应）中都包含一个或几个单行显示的消息头（header），然后是一个强制空白行，最后是消息主体（可选）。以下是一个典型的HTTP请求：

这需要我们具备捕获数据包的基本操作

其中包含一些其他参数，比如我们常见的 cookie，host，User-Agent 等，我们在后面会讲解

HTTP请求方式主要分类如下，我们一个一个讲解：

• Get
• Post
• HEAD
• TRACE
• OPTIONS
• PUT

1.Get

**GET方法的作用在于获取资源。**它可以用于URL查询字符串的形式向所请求的资源发送参数。这使用户可将一个包含动态资源的URL标注为书签，用户自己或其他用户随后可重复利用该书签来获取等价的资源（作用与标注为书签的搜索查询相似）。URL显示在屏幕上，并被记录在许多地方，如浏览器的历史记录和Web服务器的访问日志中。如果单击外部链接，还可以用Referer消息头将它们传送到其他站点。因此，请勿使用查询字符串传送任何敏感信息。

2.Post

**POST方法的主要作用是执行操作。使用这个方法可以在URL查询字符串与消息主体中发送请求参数。**尽管仍然可以将URL标注为书签，但书签中并不包含消息主体发送的任何参数。许多维护URL日志的位置及Referer消息头也将这些参数排除在外。因为POST方法旨在执行操作，如果用户单击浏览器上的“后退”按钮，返回一个使用这种方法访问的页面，那么浏览器不会自动重新发送请求，而是就即将发生的操作向用户发出警告，如图3-1所示。这样做可防止用户无意中多次执行同一个操作。因此，在执行某一操作时必须使用POST请求。

3.HEAD

这个方法的功能与GET方法相似，不同之处在于服务器不会在其响应中返回消息主体。==服务器返回的消息头应与对应GET请求返回的消息头相同。因此，这种方法可用于检查某一资源在向其提交GET请求前是否存在。

4.TRACE

这种方法主要用于诊断。服务器应在响应主体中返回其收到的请求消息的具体内容。这种方法可用于检测客户端与服务器之间是否存在任何操纵请求的代理服务器。

5.OPTIONS

这种方法要求服务器报告对某一特殊资源有效的HTTP方法。服务器通常返回一个包含Allow消息头的响应，并在其中列出所有有效的方法。

6.PUT

这个方法试图使用包含在请求主体中的内容，向服务器上传指定的资源。如果激活这个方法，渗透测试员就可以利用它来攻击应用程序。例如，通过上传任意一段脚本并在服务器上执行该脚本来攻击应用程序。

前提是对方服务器未开启文件锁，允许新文件诞生。

1.3 HTTP 消息头讲解

该知识点是重点

我们将消息头分为如下二种：

• 请求消息头
• 响应消息头

有一些消息头对我们没多大用处，所以我们记住重点即可，其他作为参考就行。

常用消息头

• Connection：这个消息头用于告诉通信的另一端，在完成HTTP传输后是关闭TCP连接，还是保持连接开放以接收其他消息。

• Content-Encoding：这个消息头为消息主体中的内容指定编码形式（如gzip），一些应用程序使用它来压缩响应以加快传输速度。

• Content-Length：这个消息头用于规定消息主体的字节长度。（HEAD语法的响应例外，它在对应的GET请求的响应中指出主体的长度。）

• Content-Type：这个消息头用于规定消息主体的内容类型。例如，HTML文档的内容类型为 text/html。

• Transfer-Encoding：这个消息头指定为方便其通过HTTP传输而对消息主体使用的任何编码。如果使用这个消息头，通常用它指定块编码。

请求消息头

• Accept：这个消息头用于告诉服务器客户端愿意接受哪些内容，如图像类型、办公文档格式等。

• Accept-Encoding：这个消息头用于告诉服务器，客户端愿意接受哪些内容编码。

• Authorization：这个消息头用于为一种内置HTTP身份验证向服务器提交证书。

• Cookie：这个消息头用于向服务器提交它以前发布的cookie。

• Host：这个消息头用于指定出现在所请求的完整URL中的主机名称。

• if-Modified-Since：这个消息头用于说明浏览器最后一次收到所请求的资源的时间。

如果自那以后资源没有发生变化，服务器就会发出一个带状态码304的响应，指示客户端使用资源的缓存副本。

• If-None-Match：这个消息头用于指定一个实体标签。实体标签是一个说明消息主体内容的标识符。当最后一次收到所请求的资源时，浏览器提交服务器发布的实体标签。服务器可以使用实体标签确定浏览器是否使用资源的缓存副本。

• Origin：这个消息头用在跨域Ajax请求中，用于指示提出请求的域

• Referer：这个消息头用于指示提出当前请求的原始URL。

• User-Agent：这个消息头提供与浏览器或生成请求的其他客户端软件有关的信息。

响应消息头

• Access-Control-Allow-Origin：这个消息头用于指示可否通过跨域Ajax请求获取资源。

• Cache-Control：这个消息头用于向浏览器传送缓存指令（如M-cache）。

• ETag：这个消息头用于指定一个实体标签。客户端可在将来的请求中提交这个标识符，获得和If-None-Match消息头中相同的资源，通知服务器浏览器当前缓存中保存的是哪个版本的资源。

• Expires：这个消息头用于向浏览器说明消息主体内容的有效时间。在这个时间之前，浏览器可以使用这个资源的缓存副本。

• Location：这个消息头用于在重定向响应（那些状态码以3开头的响应）中说明重定向的目标。

• Pragma：这个消息头用于向浏览器传送缓存指令（如no-cache）。

• Server：这个消息头提供所使用的Web服务器软件的相关信息。

• Set-Cookie：这个消息头用于向浏览器发布cookie，浏览器会在随后的请求中将其返回给服务器。

• WWW-Authenticate：这个消息头用在带401状态码的响应中，提供与服务器所支持的身份验证类型有关的信息。

• X-Frame-Options：这个消息头指示浏览器框架是否及如何加载当前响应

二、中间件日志分析

2.1 IIS中间件日志

一、应用顺序日志、平安日志、系统日志、DNS日志默认位置：%systemroot%\system32\config默认文件大小512KB管理员都会改变这个默认大小。

    1平安日志文件：%systemroot%\system32\config\SecEvent.EVT

    2系统日志文件：%systemroot%\system32\config\SysEvent.EVT

    3应用顺序日志文件：%systemroot%\system32\config\A ppEvent.EVT

    二、Internet信息服务日志

    1FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\默认每天一个日志

    2WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\默认每天一个日志

    三、Schedul服务日志默认位置：%systemroot%\schedlgu.txt

    以上日志在注册表里的键：

    应用顺序日志，平安日志，系统日志，DNS服务器日志，这些LOG文件在注册表中的

    HKEY_LOCA L_MA CHINE\System\CurrentControlSet\Services\Eventlog

    有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。

    Schedlul服务日志在注册表中
    HKEY_LOCA L_MA CHINE\SOFTWA RE\Microsoft\SchedulingAgent

2.2 Apache中间件日志

Apache的httpd.conf配置文件中写了日志的储存位置，一般是access_log和error_log两种，并且在httpd.conf配置文件可以查看apache日志路径：

grep -i"CustomLog" /etc/httpd/conf/httpd.conf
grep -i"ErrorLog" /etc/httpd/conf/httpd.conf

access_log：访问日志,记录对apache服务器请求的访问日志
error_log：错误日志,记录下报错的处理请求

2.3 Nginx中间件日志

Nginx的日志也是主要分为access.log、error.log，可通过查看nginx.conf文件来查找相关日志路径，默认日志会放在Nginx安装路径的logs目录中。如果通过yum源安装Nginx，那么access.log的默认路径为“var/log/nginx/access.log”。
日志内容同上

2.4 Tomcat中间件日志

tomcat一般为catalina.out、localhost、manager、localhost_access_log四种日志。
位于Tomcat目录下的“/conf/logging.properties”。

2.5 Weblogic中间件日志

weblogic在安装结束后会默认开启日志记录，默认配置下，会有3种日志，accesslog, Server log和domain log，WebLogic8.x 和 9及以后的版本目录结构有所不同。

WebLogic 9及以后版本：

access log在$MW_HOME\user_projects\domains\servers\logs\access.log

server log在$MW_HOME\user_projects\domains\servers\logs.log

domain log在 $MW_HOME\user_projects\domains\servers\logs.log

WebLogic 8.x版本：

access log路径如下：$MW_HOME\user_projects\domains\\access.log

server log路径如下：$MW_HOME\user_projects\domains\.log

domain log路径如下： $MW_HOME\user_projects\domains\.log

三、总结

3.1 思路总结

在常规的信安评估比赛中，目前见到的多的还是Linux下的Web日志，包括查询攻击者的IP、首次成功攻击时间、后门路径等
1.那么在Linux下我们要学会熟悉的掌握grep过滤的一些语法，因为日志文件的量是非常大的，尤其是遇到扫描 爆破等题目，熟练的使用语法可以很大程度帮助我们更快的定位到相关位置，以及统计数据。
2.其次是对各个中间件的熟悉，哪些日志在哪些文件夹下应该要有肌肉记忆，可以快速的定位到相关文件。
3.熟悉各类攻击手法，了解攻击原理才能够第一时间判断攻击者的攻击手段和思维，如：看到大量404的请求，首先应该想到攻击者在爆破，那我们直接过滤200的请求即可看到哪一条web被成功访问到了。如果看到大量?id=1等累死请求，那肯定是在sql注入，那我们也可以通过200的响应码去排查哪个参数被成功访问了，然后再去看数据库的相关日志来联合排查

2023年国赛答案汇总与解析

另外，我们Geek-Team为大家整理了23年十套样题的知识点汇总和答案，长达72页的PDF解析答案，有需要的各大院校欢迎前来合作！

还有一件事！

GeekSec与机构合作为大家争取到了比较实惠的考证相关资料以及报考，
网络安全相关的NISP1-2 CISP CISP-PTE等等都有，名额有限哦~

最后祝大家备赛顺利！