渗透岗—面试

绕cdn查找真实ip
1.利用“全球Ping”快速检测目标网址是否存在CDN，如果得到的IP归属地是某CDN服务商，或者每个地区得到的IP地址都不一样则说明可能存在CDN,全球Ping有一定机率可以得到目标服务器真实IP地址，因为CDN服务商没有某些地区CDN节点。
2.phpinfo等探针找到真实IP
3. 网站根域或子域找到真实IP
4. 利用邮件服务器找到真实IP
5. Web跟Email服务属同服务器的情况下可以通过Email来查询目标真实IP地址,常见发送邮件的功能有：注册用户、找回密码等等。
6. 域名历史解析记录找到真实IP,查询目标域名历史解析记录可能会找到部署CDN前的解析记录（真实IP地址）
7.FOFA查询网站标题找到真实IP，利用“FOFA网络空间安全搜索引擎”搜索网站源代码中的title标签内容即可得到真实IP地址。
title="*** ***** – Multi Asset Fund"
linux被入侵应急
1.查看/etc/passwd /etc/shadow等文件，看是否有新用户加入。
2.查看一下重点日志搭配正则使用
var/log/cron 计划任务
var/log/lastlog　记录登录的用户，可以使用命令lastlog查看
var/log/secure　记录大多数应用输入的账号与密码，登录成功与否
var/log/wtmp　 记录登录系统成功的账户信息，等同于命令last
var/log/faillog　记录登录系统不成功的账号信息
/var/log/syslog 事件记录监控程序日志
/var/log/access.log web服务器日志
2.查看异常端口
netstat -ano | grep “”
3.查看异常进程
ps -aux | grep “”
3.知道被入侵时间段查看下最近被修改的文件
find . -maxdepth 1 -newermt “2016-12-06”
查看根目录/下最近1天增加的文件
find / -ctime -1 （数据比较多）
4.通过.bash_history查看帐号执行过的系统命令
(1)、root的历史命令
histroy
(2)、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令
5.查杀
用工具对服务器进行病毒查杀
将web目录down下D盾进行下webshell查杀
6.RPM check检查
统完整性可以通过rpm自带的-Va来校验检查所有的rpm软件包，查看哪些命令是否被替换了：
./rpm -Va > rpm.log
如果一切均校验正常将不会产生任何输出，如果有不一致的地方，就会显示出来，输出格式是8位长字符串，每个字符都用以表示文件与RPM数据库中一种属性的比较结果 ，如果是. (点) 则表示测试通过。
windows被入侵应急
1.查看服务器是否有弱口令，远程管理端口是否对公网开放
2.查看服务器是否存在可疑账号、新增账号。
检查方法：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。
3.查看服务器是否存在隐藏账号、克隆账号。
检查方法：a、打开注册表 ，查看管理员对应键值。b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。
4.结合日志，查看管理员登录时间、用户名是否存在异常。
检查方法：
前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。
WEB访问日志
分析方法：
找到中间件的web日志，打包到本地方便进行分析。
推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。 Linux下，使用Shell命令组合查询分析
Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。
导出Windows日志–安全，利用Log Parser进行分析
5.自动化查杀
病毒查杀—火绒
webshell查杀