ps(视频面 ,面得那叫一个一言难尽,这些是后续又进行了总结。 本人小白,不对请批评指正!)
1.天眼等安全设备使用的一些问题,一些基本语法 日志查看
日志检索语法:由“字段名称” “项” “运算符” 三大元素组成
eg:sip:"10.16.16.13" AND dip:"10.16.17.52"
范围查询:[ ] 和运算符 to构成
eg: ip范围:["192.168.200.0" to "192.168.200.5"]
2.天眼如何判断是误报还是真实攻击?
先查看告警,分析攻击ip是内网ip还是外网ip
1.若是内网ip,查看告警流量包中有无明显恶意请求,比如请求包中有whoami和ipconfig等,内网服务器极有可能失陷,ip立即上报研判组人员。
还有内网本身系统可能存在业务逻辑问题 上交研判人员跟客户确认,还要判断攻击ip在此告警的时间段附近有没有操作过 攻击来源ip地址是否已知为恶意ip地址,查询黑白名单验证。
2. 外网ip 将请求包和响应包进行对比,分析requests中有无payload,分析payload的具体类型,查看response是否做出了对应的响应。
3.shell地址如何排查攻击入口
1.审查shell日志:检查系统日志文件,(
/var/log/auth.log
、/var/log/secure、var/log/message
)查找异常登录或登录失败信息2.检查ssh配置:检查ssh配置文件,
(/var/log/auth.log
、/var/log/secure)确认是否有不安全的配置。
3.审计用户活动,用last和w命令查看最近用户登录和谁在线
4.检查可疑进程 ps -aux
5.检查恶意文件(find命令)
6.使用安全扫描工具查看系统是否被感染(chkrootkit)
7.使用netstat 查看开放的端口,ss查看网络连接
8.
入侵检测系统:使用fail2ban
等服务来监视登录尝试,并在达到阈值时屏蔽IP地址。4.反弹shell的流量特征
5.java反序列化
字符串转化为java对象
ObjectOutputStream类的writeObject()可以实现序列化
ObjectInputStream类的readObject()可以实现反序列化
java反序列化漏洞产生原因大多是产生反序列化时没有被校验,或者校验采用黑名单方式又被绕过,最终使包含恶意代码的序列化对象在服务器端 被反序列化执行。
如何发现java反序列化漏洞?
1.流量中有序列化关键字,ac ,ed 0c,05 rO0AB(为前者经过base64编码得到)
2.Java RMI的传输100%基于反序列化,Java RMI的默认端口是
1099
3.查看源码,被序列化的类一定实现了
Serializable
接口4.观察反序列化时的readObject()方法是否重写
6.勒索病毒 (触发条件 )
勒索病毒特征是磁盘文件被加密,一旦完成勒索,则文件无法恢复, (重装系统)这类病毒主要以预防为主,打补丁。装杀软,做备份,防钓鱼。
触发条件:
邮件附件 网页挂马 服务器入侵 移动截止传播(u盘,硬盘)远程桌面协议(RDP) 网络共享 系统或软件漏洞(勒索病毒可能利用系统或软件的安全漏洞进行传播和执行,如利用永恒之蓝(EternalBlue)漏洞进行传播的WannaCry勒索病毒)
7.挖矿病毒
最大特征:CPU占用率过高
分析:
1.登录网站服务器,查看进程是否异常,
2.看异常进程,选择可疑的服务项,停止服务,
3.查看计划任务是否可疑
中挖矿如何处理?
1.首先查看cpu占用情况,windows下点任务管理器 linux下ps -aux 查看进程分析,
2.top分析算力,含有矿池服务器的流量就是挖矿病毒。
3.记住进程名,然后去搜集一些相关信息
4.kill进程,删掉程序
最后对服务器进行完整化扫描,防止木马再次被写入。
8.sql注入的一系列东西
原理 分类
天眼中sql注入告警分析:
1.查看请求包合响应包,比如请求包中有sql语句,请求包中有执行成功的回显(有数据库版本)那么sql注入执行成功。
9.堆叠注入 和宽字节注入
堆叠注入
堆叠顾名思义就是多条sql语句一起执行
在sql中(;)标志着一个语句的结束,攻击者利用在结束一个sql语句后继续构造下一个语句。
局限性:可能受到API或数据库引擎的限制,或者由于权限不足而无法执行某些操作。
宽字节注入
代码层与数据库层的编码不一致,并且宽字节本身有“吞”ASCII字符的现象。
在 SQL 注入时,尝试使用单引号
'
逃逸时,发现被代码层自动加上了转义符号\
,变成了\'
,\编码是%5c, 在后面加上%df变成%df%5c,变成了一个有多个字节的字符,因为使用GBK编码,使这个为一个两字节,绕过了单引号闭合,逃逸了转义。
10.xss
原理 分类 (存储型,反射性,DOM型的区别)