有杀软存在如何注入命令
对要注入的命令进行加密或混淆
内存注入:将命令注入到目标进程的内存中
利用漏洞或后门:如果目标系统存在已知的漏洞或后门
绕过cdn寻找黑客真实IP
查询域名的历史解析记录,可能会找到网站使用CDN前的解析记录,从而获取真实ip, 如微步 DNS查询
如果黑客给你发邮件的话查看邮件头
shiro反序列化
shiro流量特征:cookie中带有remenberme字段,remenberme字段中会带有加密的恶意字段
550和721区别:550有一个默认的key 而721的key是生成的,我们就需要去爆破他的key,Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的
redis
写入ssh公钥实现ssh登录
原理:在数据库中插入一条数据,将本机的公钥作为value,key值随意,然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys,把缓冲的数据保存在文件里,这样就可以在服务器端的/root/.ssh下生一个授权的key。
通过写入webshell
利用条件:目标开启了web服务器,并且知道web路径(可以利用phpinfo或者错误暴路径等),还需要具有读写增删改查权限
linux计划任务反弹shell
原理:利用了redis数据库的备份功能,在我们不知道网站绝对路径的时候,可以利用linux的定时任务特性:Linux会监测/etc/crontab的内容,当我们将反弹shell的命令使用redis备份到/etc/crontab中,就可以获得反弹shell。
mysqlgetshell条件
上传目录要有写入的权限
知道网站的绝对路径
能找的木马上传上去以后得位置
木马上传以后能被解析
挂马用的函数 :uniom seect,into outfile
提权方式:udf提权 mof提权
内存马排查
把内存马放到盒马和沙盒中去测试
过什么方法注入的内存马,如果是jsp注入,日志中排查可疑jsp的访问请求,如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志
如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者到大量请求不同url但带有相同的参数,或者页面不存在但返回值为200,查看是否有类似哥斯拉、冰蝎相同的url请求,
sql注入二次注入如何防范
采用预编译的方式
检查变量数据类型和格式
对于传入的值进行清洗,过滤特殊符号
xss绕过waf
大小写
不常见的标签绕过
代码执行和命令执行执行
代码执行使用编译语言来执行特定功能,而代码执行是将系统直接调用系统的语句,
fastjison
templateslmpl(汤姆派的sinbo)
只要我们传入一个json类型数据包含@type,程序在调用JSON.parseObject这个方法处理json对象时,程序就会反序列化生成一个对象。因此,了解了Fastjson处理json的机制,攻击者只需要将@type值设为Templateslmpl,构造一个恶意类,而这个类还有一个字段是_bytecodes,程序根据_bytecodes生成了一个java实例。问题在于java实例生成的同时,会自动调用构造函数。那么攻击者只要把恶意代码赋值给_bytecodes字段,恶意代码就会执行
修复:对@type过滤
内网提权
脏牛提权
passduid提权
sudo提权
暴力破解用户提权
已经定位到IP溯源
IP定位技术
根据IP定位物理地址—代理IP
溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
ID追踪术
ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
网站url
域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护
溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
社交账号
基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3、攻击者画像
攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS等
网络代理:代理IP、跳板机、C2服务器等
攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
攻击者身份画像
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、qq/微信、邮箱
组织情况:单位名称、职位信息
内网渗透
frp隧道流量特征:
他是用tcp和udp来通信的
端口有特征,frp使用特殊的端口7000和7500
windos运维
在cmd终端输入“tasklist”,即可查看系统所有进程,包括隐藏进程
查看隐藏用户:net user
这个命令可以列出所有的用户账户,包括隐藏的用户账户。 导航栏中单击“本地用户和组 " 可以看到所有的用户账户,包括隐藏的用户账户。
LIunx运维
查看隐藏进程cat /proc/mounts ps aux ps -ef ps -efl 查看计划任务,命令:cat /etc/crontab
查看启动项
CentOS7以下版本:chkconfig –list;
CentOS7及以上版本:systemctl list-unit-files;
关闭启动项
CentOS7以下版本:chkconfig 服务名 off;
CentOS7及以上版本:systemctl disable 服务名;
查看隐藏用户 查看/etc/passwd文件。set user
有一个进程你把他关闭了,后有弹出来,发现关不掉
命令行工具如ntsd或taskill来强行终止该进程
查看是否有其他可疑进程或活动
在防火墙关闭不必要的访问端口号或服务
websehll被删除的情况下如何溯源攻击时间
查看日志,如果攻击者将日志给删了的话,jsp型就看 查看tomcat中间件\work\Catalina\localhost_\org\apache\jsp目录