aihua002的博客

1.shiro系列漏洞指纹：2.struts2漏洞指纹：Struts.action.do.action!

3.编程基础，例如nmap，它的流量特征很明显，几乎所有的流量设备都能够识别nmap的流量特征，在扫描的时候流量里面会有很明显的nmap字样，但当你的编程基础够好时，对其进行所谓的魔改，可以大大提升被检测的概率。16.对目标的公众号 小程序 进行流量的收集，因为一些单位的主要业务安全防护的很好，但是公众号小程序这些可能防护相对来说没有主要业务那么完善。8.在Git上对目标进行信息检索，寻找各类目标的泄露信息，账号密码，敏感文件，在运气爆棚的情况下还可能赵到目标泄露的云Key。

1.信息收集：熟悉内部网络环境，了解目标机制、服务器参数、应用信息等。工具包括方正、nmap、Wireshare等。2.漏洞扫描：利用工具对目标内网进行扫描，发现系统漏洞或者敏感信息泄漏问题。3.漏洞利用：通过已知的漏洞，获取操作系统的控制权限。这里的工具可以包括Metasploit、Cobalt Strike等。4.权限提升：利用一些技术，进一步提升已经获取的权限，目标是得到最高权限（如root或administrator）。5.水平和垂直移动：网络内部的进一步探索，以获取更多资产的访问权限。6.获取域控

我了解的中间件有很多种，其中包括但不限于：Nginx、Apache、Tomcat、Redis、RabbitMQ、Kafka、Zookeeper等。常见漏洞有：未授权的访问、代码执行漏洞、配置错误、解析错误漏洞等漏洞远程代码执行漏洞：如S2-045，在该漏洞中，当开发者使用基于Jakarta插件上传文件时，攻击者可以通过特殊构造的Content-Type头以激活Struts2的远程代码执行路径。特征就是Content-Type中有OGNL表达式的存在OGNL表达式注入：攻击者可以通过构造特定数据带入OGNL表

【代码】2024hw蓝队面试题--4。

常用的有以下几种：1.SUID提权：在Linux中，如果一个可执行文件的SUID被设置，那么该文件将以拥有者的权限运行，而不是以执行者的权限运行。因此，如果用户找到了一个SUID为root的文件并成功地使其执行了恶意代码，那么该用户将会获得root权限。2.利用系统漏洞：这是最常见的攻击方式，通过研究和利用Linux内核或者系统服务中的漏洞，以此实现权限提升。3.安全配置错误：例如配置错误的sudo权限、cron任务、文件系统权限等，都有可能被利用来提权。4.利用软件漏洞：如果系统上运行的某个软件存在漏洞，

1.最小权限原则：应用最少权限原则，只对需要的服务和程序提供必要的权限。例如，应避免使用root或管理员账户进行日常操作。同样，服务和应用程序也只应有执行其功能所需要的最小权限。2.开启必要的服务和进程：应关闭不必要的服务和进程。每个运行在系统上的服务和进程都可能成为抵挡外部攻击的一个点，所以只开启必要的服务和进程可以降低风险。3.防火墙配置：应使用防火墙来限制网络访问，只允许必要的网络连接，并拒绝其它所有连接。尽可能只开放必要的端口。4.打补丁和更新：应保持系统、应用程序、网络设备等的补丁和更新为最新。这

我使用过的设备包括各种防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、安全信息和事件管理(SIEM)系统等。在遇到误报时，我通常会首先确认这是一个真正的误报，而不是对系统的实际威胁。确认后，我会分析误报产生的原因，这可以包括查看规则配置、检查硬件和软件是否存在漏洞等。然后依据我所调查分析的结果，调整设备设置或是规则以避免在未来再发生同样的误报。在这个过程中，我们还需要在一段时间内继续监视该设备，确认新的设置和规则是否有效。规则配置不当、威胁情报不准确、设备漏洞或缺陷、用户正常活动、软件或服务更新等当

需要注意的是，在匹配不可见字符时，需要排除文件上传，也就是multipart/form-data数据包，因为文件上传的流量也会包含大量的不可见字符。因为无法准确识别加密的请求体，所以只能采用比较宽泛的匹配条件去匹配请求体特征，宽泛的匹配思路其实就是基于区别大部分正常的数据包，加密数据包自身体现的特征。我：shiro550记住密码处 字段 序列化 加密aes加密 base64加密 ，服务端则是相反，密钥是硬编码，很容易得到，721则不是，需要爆破出来，时间很久，一般在活动中不用。

很多攻击看着唬人，似乎碰见高玩了，一看返回404，笑都笑死他，在防守力量充足、且客户资产理的干净的情况下可以稍稍分析一下，确定这小子在玩大的就封IP，不过封了他也会换IP测试，小打小闹，只要是返回404的，防守力量不足的情况下能忽略就忽略了，集中力量看重要的。这里请注意甄别，不是说完全忽略内网之间攻击，而是如果出现什么内网访问未授权、内网xss、目录遍历诸如此类，当然了，仅仅针对非集权系统（堡垒机、ac网闸之类的），如果只是很普通的某个小打卡机之类的，价值意义不大、无法连接重要资产的忽略掉。

1.查看cpu占用率(判断CPU占用率高不高) 2.查看天眼的流量分析，是否去别的有危险的网站下载东西，然后在本地执行了挖矿的一些命令: (结合天眼设备分析，看是否去可疑网站下载过东西或在本地执行挖矿命令) 3.是否有外连，向远程ip的请求:(是否有外连或者远程ip请求 netstart -ano 查看所有端口)查看是否是误报，如果不是误报采取以下措施 1、隔离受感染的主机 2、收集证据：收集有关攻击的证据，包括日志、网络流量、被修改或受感染的文件等。3、确定攻击的方式和方法，采取措施停止攻击行为。

1.1、从部署角度来讲：首先是从核心交换机上镜像流量到探针，探针内部有规则库，会进行第一波分析，然后分析的结果会交给分析平台处理，然后分析进行整合。部署一些作为诱饵的主机，诱使攻击方对蜜罐进行过攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强增强真实系统的安全防护能力。web应用防火墙，专门针对于HTTP和https请求，对客户端的请求内容进行检测，确保其合法性和安全性，还会对非法的请求进行及时的阻断。流量传感器:状态监听，威胁告警，规则配置，策略配置，系统配置。

红队：蓝队：

职责划分：

护网时候会有很多人，有领导，有员工，还有厂商的专家，项目经理，销售等，所以可以去和这些人认识认识，可以获得自己的人脉”。

2016年，公安部会同民航局、国家电网组织开展了“护网2016”网络安全攻防演习活动。同年，《网络安全法》颁布，出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。自此“护网行动”进入人们视野，成为网络安全建设重要的一环。网传的HW指的就是护网，从2020年起，就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安保工作的重要组成部分。