2024hw蓝队面试题--5

了解哪些中间件

我了解的中间件有很多种，其中包括但不限于：Nginx、Apache、Tomcat、Redis、RabbitMQ、Kafka、Zookeeper等。常见漏洞有：未授权的访问、代码执行漏洞、配置错误、解析错误漏洞等漏洞

struts2有哪些漏洞，有什么特征？

远程代码执行漏洞：如S2-045，在该漏洞中，当开发者使用基于Jakarta插件上传文件时，攻击者可以通过特殊构造的Content-Type头以激活Struts2的远程代码执行路径。特征就是Content-Type中有OGNL表达式的存在OGNL表达式注入：攻击者可以通过构造特定数据带入OGNL表达式即可能被解析并执行，这对服务端对象进行修改，即使是获取和设置Java对象的属性。** **合理的类型转换漏洞：某些情况下，Struts2允许将字符串类型的输入数据转换为其他类型。这在一定条件下可以被攻击者利用来绕过框架的安全检查。参数拦截器漏洞：一些早期的Struts2版本中，参数拦截器存在漏洞，允许攻击者访问并控制某些不应该被修改的数据成员。命名空间未正确验证：比如S2-057漏洞，对namespace进行错误配置时，会导致攻击者可以通过特殊构造的URL执行任意OGNL表达式。解析文件上传组件的漏洞：在解析文件上传时，不存在严格的验证逻辑时，可能会被攻击者用来执行远程代码。

你了解哪些jboss反序列化漏洞

1.JBoss JMXInvokerServlet 反序列化漏洞：这是一个典型的反序列化漏洞，在该漏洞中，JBoss在处理/invoker/JMXInvokerServlet请求时直接解析了用户传入的对象。如果攻击者利用Apache Commons Collections框架中的某些特殊类（又称为Gadget），则可以在服务器上执行任意代码。

2.CVE-2017-12149 JBOSS反序列化漏洞：在此漏洞中，JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器，在进行反序列化操作时并未制定任何安全检查。这意味着攻击者可以构造恶意的序列化数据，导致在服务器上执行任意代码。

log4j2漏洞你了解吗？有什么特征？怎么判断是否攻击成功？如何应对这种漏洞？

Apache Log4j2的一个严重漏洞（CVE-2021-44228），被广泛称为Log4Shell漏洞。漏洞的主要特征是：攻击者可以通过向Log4j2提供包含特殊JNDI引用的输入，导致Log4j2在处理该输入时尝试从提供的JNDI引用进行查找，可能导致被攻击者控制的远程代码执行。具体来说，只需要包含形如${jndi:ldap:[//host][:port]/[object]}的输入即可。判断此类攻击成功的方法主要包括：

1.检查日志中是否存在这种攻击的痕迹，具体上看是否存在形如${jndi:ldap:[//host][:port]/[object]}的日志输出。

2.检查网络流量。若出现了不寻常的LDAP请求到未知的、可疑的或者恶意的服务器，那么可能遭受了此类攻击。

3.服务器表现出异常行为，比如CPU、内存占用率异常增高，或者服务崩溃等。

应对此类漏洞的方式主要有：

1.立即对使用的Log4j2版本进行升级。Apache已经在2.15.0版本中修复了这个问题。但是由于2.15.0版本中存在新的DoS问题，建议更新到2.17.0及其以上版本。

2.将log4j2.formatMsgNoLookups的系统属性设为true。这可以通过添加-Dlog4j2.formatMsgNoLookups=true到JVM参数来完成。

3.如果不能升级，那么可以考虑移除或替换JndiLookup.class文件，这个文件包含了有漏洞的代码。

4.使用防火墙、IDS、IPS或者其他网络级别的防护措施，限制或者监控LDAP流量。

CS攻击流量特征说一下，如何应对？

流量特征：

1.心跳包特征：间隔一定时间，均有通信，且流级上的上下行数据长度固定。

2.域名/IP特征：如果没有使用CDN或者域前置技术，那么域名和IP-info都可能暴露出来。

3.流量大小：Cobalt Strike的初始载荷通常很小（约20KB），用于感染目标系统并为后续的攻击建立立足点。

对CS攻击的应对主要有以下几种方式：

1.流量监控：通过监控网络流量来检测是否存在上述的攻击流量特征。例如，可以检查是否存在规律性的心跳流量，或者检查是否有小尺寸的网络流量被发送到未知的、可疑的或者恶意的服务器。2.防火墙或IDS/IPS：将已知的恶意IP或者域名添加到阻止名单中，或者启用IDS/IPS的特性以自动检测和防止潜在的攻击。

3.系统和应用程序的更新：及时更新和打补丁的操作系统和应用程序可以在很大程度上缩小攻击者的攻击面，降低攻击的概率。

4.高级威胁防护：使用专门的高级威胁防护(ATP)解决方案，它能在网络和终端水平上检测、防止和响应高级威胁。

5.安全培训和意识：培训员工识别和防止潜在的钓鱼攻击和其他社会工程技巧，这是防止Cobalt Strike和其他攻击工具取得初步立足点的重要手段。

fastjson不出网且无回显怎么办？

1.使用本地加载的类：在一些Fastjson的不出网利用中，由于不能引用外部的类，需寻找到可以在目标环境中本地加载的类，以期实现某种形式的攻击。当然这偏向与代码设计。

2.通过类的属性加载：一些类可能有一些属性，这些属性在反序列化时会触发某种形式的载入。虽然可能无法直接执行命令，但可能可以修改环境，或者创建一个条件后续可以利用的情况。

3.利用系统命令：在某些情况下，可能能够通过反射来调用Java的Runtime.exec方法来执行系统命令。然而，这在没有回显的情况下可能难以确认命令的执行情况。

4.使用一些非标准的反射或者绕过方法：某些情况下，可能需要使用一些具有副作用的函数或者方法，通过观察这些副作用来判断是否成功执行了攻击。

5.尝试找寻回显：虽然得到直接的命令输出可能较困难，但是可以尝试寻找其他形式的回显。例如能观察到输入的命令对系统状态或者其他可访问的数据产生了改变，从而推断命令已经成功执行。也可以尝试将执行命令结果去写入到js文件或者一些静态文件里面，然后从web去访问。