提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
护网面试基础题
基础漏洞常问
1,sql注入
1,sql注入原理是什么?
用户输入的数据没有经过处理,传入数据库中当成sql语句执行。
2,sql注入种类?
显注,盲注。
3,研判中,如何发现是sql注入攻击/如何判断SQL注入成功?
发现攻击语句,sql注入的函数,200或成功访问数据 判断成功
4,sql注入写入文件条件?
绝对路径,dba权限,gpc
5,sql注入常用函数?
盲注:时间型 sleep 布尔型 length 报错型 updatexml
6,sql注入堆叠注入是什么?
;
7,sql注入没有回显怎么办?
dnslog外带
8,sqlmap --os shell 条件?
就是写入文件,详情看4
9,sql注入防范方法,如何修复?
过滤转移参数化查询
10,sql注入绕过方法?
大小写,双写,编码,内联…
2,xss
1,xss是什么
跨站脚本攻击
2,xss都分为几种
反射,存储,dom
3,xss的危害
偷管理员账号或者cookie;挂马,钓鱼邮件
4,如何防范xss
cookie标记为http only,过滤标签
3,csrf
1,csrf叫什么
跨站请求伪造
2,csrf如何防范
同源,token,双重cookie
4,ssrf
1,ssrf是什么
跨服务器请求伪造:服务端提供了从其他服务器获取数据的功能,但是没有对目标地址进行过滤和限制。比如从指定的URL地址获取网页内容,加载指定地址的图片、数据、下载等等。
2,xss和csrf与ssrf的区别
xss:XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。
csrf:CSRF是服务器端没有对用户提交的数据进行随机值校验,且对http请求包内的refer字段校验不严,导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。
ssrf:SSRF是服务器对用户提供的可控URL过于信任,没有对攻击者提供的RUL进行地址限制和足够的检测,导致攻击者可以以此为跳板攻击内网或其他服务器。
3,ssrf如何利用
对外网、服务器所在内网、本地进行端口扫描,攻击运行在内网或本地的应用,或者利用File协议进行读取本地文件 。
4,ssrf常使用的协议
http:探查主机存活状况
file:在有回显的情况下,实现任意文件的读取
dict:通过页面回显内容和时间猜测端口开放情况,探测浏览器版本信息等
5,ssrf 打 6379 的利用
通过header CRLF 注入,通过curl命令和gopher协议远程攻击内网redis,使用dict协议向Redis数据库写shell。
6,ssrf禁止127.0.0.1如何绕过?
进制转换,dns解析,句号和冒号
5,序列化
1,php序列化
魔法函数:serlize unserlize
2,java序列化
readobject writeobject
webshell/后门
1,冰蝎
冰蝎2.0和3.0区别:
1,加密方式不同,一个是RC4加密,一个AES加密。
2,编写语言不同,2.0采用的是c++,3.0采用的是java。
3,冰蝎流量检测,无论是get请求还是post请求,content-type为application/octet-stream。
冰蝎4.0流量分析:
1,十种ua头,可关键字拦截ua头进行匹配拦截。
2,流量特征,Content-type: Application/x-www-form-urlencoded。
3,accept字段:Accept:application/json, text/javascript, /; q=0.01
2,哥斯拉
1,强特征:cookie字段,最后一个Cookie的值出现;(尾值出现分号)
2,paylod特征:jsp会出现xc,pass字符和Java反射,base64加解码等特征,php,asp则为普通的一句话木马。
3,蚁剑
1,payload特征:Php中使用assert,eval执行;asp 使用eval;在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征。
2,流量特征:每个请求体都在:@ini_set(“diplay_erors”,“0”);@set_time_limit(0)开头。并且后面存在base64等字符
4,菜刀
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码,并且存在固定的数值
5,msf
1,端口号:msf默认使用4444端口作为反向连接端口
2,数据内容:msf数据包通常包含特定字符串:(“meterpreter”、"revshell"等)
6,cs
1,基础特征:心跳包
2,请求特征:下发的指令,url路径,老版本固定的ua头
3,源码特征:checksum8 (92L 93L)
框架/组件/中间件/端口
1,apache/shiro/log4j
apache:文件解析,目标遍利,rce
文件解析:夏小芸.php.nb.666.yyds 从最右解析,解析到正确的。
shiro:550 和 721
流量特征:remberme=delectme
区别:550不需要remembercookie,721需要
log4j:
原理:jndi下载攻击机上的class文件造成getshell。
流量特征:数据包里面有{jndi:ldap/}字段
2,nginx
文件解析:任意文件名后面添加/xxx.php 将文件作为php解析
目标遍历
crlf注入
3,iis
任意文件上传
文件解析:**.asp;.jpg此类格式的文件名,当成asp解析*,*.asp目录下
也默认为asp解析。
短文件名
4,struts2
1,URL中存在特定的Struts2命名空间(namespace)和操作名(action)
2,HTTP请求中包含特定的Struts2参数名称。
5,Fastjson
原理:Fastjson 是一个 Java 序列化/反序列化框架,可以将 Java 对象转换成 JSON 格式的字符串,并将 JSON 字符串转换为 Java 对象。
利用时候怎么发现是fastjson站点:
1,查看网站源代码搜索关键词。
2,开发者工具,查看请求代码是否存在fastjson"或"com.alibaba.fastjson
6,weblogic
weblogic存在:反序列化漏洞,远程代码执行漏洞,未授权访问,ddos共环节等。
weblogic原理:比如CVE-2021-2109,远程代码执行漏洞,攻击者可以通过构造恶意的HTTP请求,触发WebLogic Server的漏洞,从而实现远程代码执行。
weblogic端口:7001
weblogic反序列化原理:Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。
xml反序列化流量特征:wls-wsat
弱口令:上传war包造成getshell
7,tomact
弱口令-上传war包
文件上传-put-直接写后门
文件包含
8,redis
1,redis默认端口为6379
2,redis存在哪些漏洞:远程代码执行,未授权访问,ddos,缓冲区溢出漏洞等
应急响应
1,内存马
重启,工具:河马查杀,阿尔萨斯。
不用工具如何排杀:查看日志是否执行相关命令,注入流量特征我那个,可疑jsp请求,是否落地等。
2,后门
1,首先及时隔离机器,断网,防止攻击者利用该台机器继续攻击。
2,其次,确定被攻击范围,是否通过内网渗透了更多机器。
3,保留样本,分析攻击者是怎么攻击进来的,通过哪里攻击进来的,看看流量包,及时对攻击者ip进行封锁和反制,成功反制后得分。
4,恢复机器,清理干净后门,重新安装系统及其应用,保证一切正常运转。
5,及时更改密码,防止攻击者已获得多种密码,进行下一步攻击。
6,加强安全教育~未知链接不要点,陌生邮件不要信等。
3,挖矿病毒
1,首先询问状况,什么时候发现的
2,寻找攻击遗迹,看看cpu占用,进程,计划任务,可疑用户等,
3,备份样本分析,上传沙箱获取行为并尝试朔源加分。
4,及时清理根除后门,删除可疑计划任务,进程,启动项,文件等。5,提出修改建议。
4,勒索病毒
1,首先分析家族,根据加密格式后缀分析,桌面样式分析,勒索信内容分析,各大平台分析。
2,根据特征寻找相应工具,(这个一般找不到工具就只能gg了)
3,咸鱼求助,GitHub找开源工具等等。
5,钓鱼邮件
1、看指纹信息(什么发送工具平台)
2、看发送IP地址(服务器IP或攻击IP)
3、根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)
4、可能存在个人的ID昵称用户名(利用社工的技术手段进行画像)
溯源反制
1,溯源流程
1,通过设备,查询到IP,进行反查,微步查网站框架,域名信息查注册人,天眼查,站长之家,ip地址定位,🐍工库等手段。
2,反制篇章
1,攻击者画像(溯源加分)
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、qq/微信、邮箱
组织情况:单位名称、职位信息
2,cs反制
伪造流量上线,小于4.7 xss反弹
3,goby反制
扫描分析反制,构造好存在漏洞网页,让对方点击以反制
4,蚁剑反制
修改后门代码进行反制,xss
5,sqlmap反制
命令管道符
6,蜜罐反制
获取攻击者的P(真实IP,代理IP等)、ID、操作系统、设备信息等,也可通过诱饵进行钓鱼反制。
模拟真景
1,如果出现大量的id4625日志怎么办
4624:成功登录,不是自己登录,可能遭受密码泄露
4625:登陆失败,可能遭受暴力破解,口令爆破事件
2,攻击IP和目的IP反了是什么情况?
攻击流量的源IP地址(攻击者)伪装成目标IP地址(受害者),或者攻击流量的目标IP地址(受害者)被伪装成源IP地址(攻击者)。这种情况也称为IP欺骗或IP伪造。
3,客户找到你:安全设备联到网络里了,影响到客户业务的网络环境了,你有什么分析思路呢
4,如果有1w条告警怎么办:
看200,找寻找外联,打看命令执行,看ip,看流量信息。
5,被攻击后设备没报警怎么办?
1,及时更新设备
2,手动检查,检查设备并查看是否存在异常行为或文件。观察网络流量、查看系统日志、执行漏洞扫描和安全审计
6,加固怎么加固?
配置防火墙和安全策略,加强密码策略,禁用不必要的服务和端口,配置安全审计和日志监控。
设备
IDS
入侵检测系统,只检测警告
IPS
入侵防御系统,实时检查和阻止入侵
WAF
Web应用防护系统,WEB攻击防护和防止WEB信息泄露
EDR
终端安全管理系统:检测和响应来自终端设备的安全事件和威胁,包括恶意软件、未经授权的访问、数据泄露等
蜜罐
1,你用过蜜罐吗?蜜罐是什么干什么用的
通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁、提取威胁特征
2,低,中,高交互蜜罐的区别?
低交互蜜罐最大的特点就是模拟,它的服务都是模拟的行为,数据不够真实。
中交互蜜罐是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获取更多的信息
高交互蜜罐具有一个真实的操作系统,更加仿真。
模拟的场景越来越真实,数据越来越真实。
天眼
天眼主要是进行流量分析和流量监控,并且可以用他的日志检索模块进行溯源。
天眼日志检索常用的语法:
dip–受害者的ip(被攻击的ip)
dport–受害者的端口 (被攻击的端口)
sip–源ip
sport–源端口
url–请求的url地址
data–请求包的正文内容
status–响应包的状态码
host–域名
杂七杂八
1,awvs和xray有什么区别?
awvs主动扫描
xray被动扫描
2,Linux护网过程中常用命令:
进程资源占用:top
如何查看进程:ps -aux
查看网络连接:netstat -antpl
查看开放端口:lsof
3,状态码:
200成功
302移动
400语法错误
401身份验证
402保留
403懂请求,禁止访问
404找不到资源
4,渗透思路:
先进行信息收集,收集渗透目标的资产,比如天眼查查该家公司的备案域名,利用灯塔等工具,确保详细资产
扫完资产,扫目录,扫完目录扫端口
扫描器扫漏洞,查看渗透目标什么框架,什么架构,有什么功能点,可能存在哪些漏洞
验证阶段:验证漏洞是否存在,存在漏洞的话
信息收集—漏洞扫描–漏洞验证–提权—权限维持–内网
5,权限提升:
windos:cs,msf提权,版本号,数据库mysql:udf,mof;sqlserver_xpcmd,第三方,teamviver,todsk,向日葵
Linux:suid,sudo,扫面器内核,定时任务等
6,常见端口:
3306 端口:MySQL 数据库服务的默认端口。
6379:redis
7001:weblogic
3389:远程桌面服务端口,可以通过这个端口远程连接服务器。
22 端口:SSH(Secure Shell)服务的默认端口,用于远程登录和管理 Linux 系统。
7,win计划任务在哪里看:
任务计划程序
4048
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
