1.天眼判断文件上传漏洞是否成功
看告警 查看上传目录,上传日志,尝试访问上传的文件,使用漏洞测试工具
2.文件上传的特征,绕过方式
特征:数据包大小,数据包类型,数据包的传输协议等 绕过方式:系统特征绕过,前端js绕过,MIME检测绕过,利用黑白名单绕过,文件包含
3.文件包含的危害
(1)读取web配置文件以及敏感的数据 (2)web服务器的文件被用户浏览导致信息泄露 (3)与文件上传漏洞结合getshell,将恶意代码执行解析 (4)脚本被任意执行,导致网站被篡改
4.判断文件读取是否成功
(1)判断返回的内容是否与预期一致 (2)判断返回的内容是否为空 (3)判断返回的状态码是否为200 (4)判断返回的实际是否符合预期
5.挖矿病毒的特征
(1)占用cpu和gpu资源,电脑变卡变慢 (2)生成大量的日志文件 (3)生成大量的临时文件 (4)生成大量的网络流量 (5)生成大量的进程
6.日志排查暴力破解是否成功登录
通过查看日志文件排查暴力破解是否成功 在Linux系统,ssh登录的日志信息存储在/var/log/auth.log文件 在Windows系统,ssh登录的日志信息存储在 事件查看器->Windows日志->安全->ID为4624的事件 如果发现有大量的登录尝试,服务器就可能已经被暴力破解了
7.请求头的referer和x-forward-for的含义
referer是请求的来源 x-forward-for是服务器客户端的真实IP
8.常见的威胁情报平台
360,qax,微步,安恒,绿盟
9.判断弱口令攻击是否成功
1.查看请求包中的HOST地址和用户名密码,到被攻击网站输入相应用户名密码进行判断 2.验证登录IP是否为客户自己的IP,如果攻击者的IP属于客户的IP,此时可能是已经有客户机失陷 弱口令检查工具:hydra,ncrack,medusa
10.攻击成功的状态码一定是200吗
不一定,服务器可能会返回不同的状态码,具体取决于攻击的类型和目标系统的配置。例如,如果攻击者成功执行了sql注入攻击,那么服务器可能会返回500错误
11.如果攻击队新买的vps来打怎么溯源
那溯源会比较困难,因为攻击者可以使用虚假的身份信息来注册vps,从而隐藏自己的真实身份,攻击者还可以使用匿名代理服务器来隐藏自己的真实IP
12.命令执行漏洞一般出现在什么位置
web应用程序,例如php,asp,jsp,这种漏洞通常是由于web应用程序没有正确地验证用户输入导致
13.wireshark过滤器语法
host:根据IP地址过滤数据包,host 192.168.1.1 port:根据端口号过滤数据包,port 80 tcp:根据tcp协议过滤数据包,tcp.flags.syn==1 udp:根据udp协议过滤数据包 ip:根据ip协议过滤数据包,ip.addr==192.168.1.1
14.常用webshell检查工具
Webshell Scanner:基于python的webshell扫描器,扫描web服务器的webshell P.A.T.H.S:基于php的webshell扫描器,扫描php文件的webshell wassat:基于python的web安全扫描器,扫描web服务器的webshell yara:基于规则的文件扫描器,扫描web服务器的webshell lmd:基于Linux系统的恶意软件扫描器,检测web服务器上的webshell
15.windows如何建立隐藏用户
用户名加$,然后把SAM注册表下admin的name smile复制给创建的用户,把文件导出,再直接删了用户的注册表项,最后再双击运行这个导出文件
17.sql注入类型 错误型注入,联合查询注入,布尔注入,时间注入,盲注
18.自我介绍
19.渗透思路 先信息收集,然后找站点的功能点分析,然后利用漏洞
20.常见top10 (1)sql注入:通过构造恶意的sql语句,从而获取敏感信息或控制数据库 (2)xss:攻击者通过注入恶意脚本,从而获取用户的敏感信息 (3)csrf:攻击者可以利用这种漏洞来伪造用户的请求,从而执行恶意操作 (4)ddos:大量发送请求,使其无法正常工作 (5)文件包含:通过该漏洞读取服务器上的敏感文件 (6)命令执行:通过该漏洞来执行任意命令,控制服务器 (7)弱口令:密码容易被猜解,从而导致安全问题 (8)逻辑漏洞:程序逻辑错误导致安全问题 (9)信息泄露:程序设计或配置错误导致敏感信息泄露 (10)文件上传:上传恶意文件,从而控制服务器
21.sql注入原理以及防护
原理:通过构造恶意的sql语句,和获取敏感信息或控制数据库 防护:参数化查询,过滤输入数据,限制数据库用户权限
22.如何判断一个地方是不是sql注入点
单引号,双引号,括号,注释符,union
23.文件上传的修复方法
(1)限制文件类型 (2)限制上传文件大小 (3)对上传的文件进行检测 (4)将上传的文件存储在安全目录
24.文件上传如何绕过黑白名单
黑名单:修改后缀名,使用特殊字符,压缩文件,图片马 白名单:修改后缀名,使用特殊字符,压缩文件,图片马
25.一个攻击IP在内网,这是什么原因?
(1)内部人员泄露内网IP (2)攻击者利用内网存在的漏洞,进入内网 (3)通过社工获取内网IP,进入内网
26.如何给用户判断攻击是否真实
(1)检查日志 (2)分析攻击流量 (3)使用威胁情报平台,查看是否有相关的攻击记录 (4)使用漏扫,看有没有已知的漏洞 (5)使用安全监控工具,对系统进行实时监控
27.如何判断文件上传是不是真实攻击
(1)检查上传文件,是否包含恶意代码 (2)分析上传流量,是否符合已知攻击模式 (3)使用漏扫,查看是否有已知的漏洞 (4)使用安全监控工具,对系统进行监控
28.如何判断sql注入是不是真实攻击?如果是真实攻击下一步如何应急
(1)检查日志文件:检查web服务器和数据库服务器的日志文件,查看是否有异常请求或错误 (2)使用sql注入检测工具:sqlmap,检测web应用程序中的漏洞 (3)检查输入:检查web应用程序中的输入字段 (4)检查输出:检查web应用程序的输出,以确保它们不会泄露敏感信息
29.如何判断webshell是不是真实攻击?(回答冰蝎的流量特征)(四方面)
1.基于流量的Webshell检测:
基于流量的Webshell检测方便部署,我们可通过流量镜像直接分析原始信息
2.基于payload的行为分析:
我们不仅可对已知的Webshell进行检测,还可识别出未知的、伪装性强的Webshell,对Webshell的访问特征(IP/UA/Cookie)、payload 特征、path 特征、时间特征等进行关联分析,以时间为索引,可还原攻击事件
3.基于文件的Webshell检测:
我们通过检测文件是否加密(混淆处理),创建 Webshell 样本 hash 库,可对比分析可疑文件。对文件的创建时间、修改时间、文件权限等进行检测,以确认是否为 Webshell
4.基于日志的Webshell检测:
对常见的多种日志进行分析,可帮助我们有效识别 Webshell 的上传行为等。
通过综合分析,可回溯整个攻击过程 冰蝎的流量特征: 冰蝎1:冰蝎1有一个密钥协商过程,这个过程是明文传输,并且有两次流量,用来校验 冰蝎2:因为内置了很多的UA头,所以当某一个相同IP重复请求,但是UA头不一样的时候就需要注意了 冰蝎3:因为省去了协商过程,所以流量上可以绕过很多,但是其他特征依旧保留,比如ua头 冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream 还有他们的accept之类的长度总是等长,正常的根据应用场景和不同文件,长度是不同的
30.如何判断反序列化是不是真实攻击
通过查看反序列化后的数据,可以看到反序列化数据开头包含两字节的魔术数字,这两个字节始终为十六进制的0xACED
31.红队攻击成功,设备没有任何告警,这是什么情况
可能使用了0day或其他未知漏洞,这些不会被设备检测到 使用代理或其他技术隐藏了攻击来源 如何防护:使用入侵检测系统(IDS)和入侵防御系统(IPS)等安全设备来检测和组织攻击;实施网络隔离和访问控制策略,以限制攻击者的活动范围
32.文件上传0day没有任何告警,如何上机排查
(1)写个目录监控的脚本,如果有新文件直接咔擦掉 (2)根据文件创建的时间和后缀名 (3)webshell查杀先扫一波网络目录
33.用过什么设备,qax天眼都有哪些功能
功能:
-
1. 漏洞扫描:可对Web应用程序进行漏洞扫描,包括SQL注入、XSS、CSRF、文件上传等常见漏洞。 2. 漏洞利用:可对已发现的漏洞进行利用,例如对SQL注入漏洞进行数据盗取、修改、删除等操作。 3. 暴力破解:可对密码进行暴力破解,例如对登录页面、FTP、SSH等进行破解。 4. 网络嗅探:可对网络流量进行嗅探,例如对HTTP、SMTP、POP3等协议进行抓包。 5. 信息收集:可对目标进行信息收集,例如对Web应用程序的目录结构、服务器信息、域名信息等进行收集。 6. 漏洞分析:可对已发现的漏洞进行分析,例如对SQL注入漏洞的注入点、注入方式、注入语句等进行分析。 7. 批量操作:可对多个目标进行批量操作,例如对多个Web应用程序进行漏洞扫描、暴力破解等操作。
天眼模块
威胁情报
威胁情报来自奇安信云端的分析成果,可对 APT攻击、新型木马、特种免杀木马进行 规则化描述。奇安信公司依托于云端的海量数据,通过基于人工智能自学习的自动化数据 处理技术,依靠以顶尖研究资源为基础的多个国内高水平安全研究实验室为未知威胁的最 终确认提供专业高水平的技术支撑,所有大数据分析出的未知威胁都会通过专业的人员进 行人工干预,做到精细分析,确认攻击手段、攻击对象以及攻击的目的,通过人工智能结 合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码 风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击 者,持续的发现未知威胁,最终确保发现的未知威胁的准确性,并生成了可供天眼系统使 用的威胁情报。
分析平台
天眼分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的 告警日志;其次天眼分析平台不仅可对所有数据进行快速的处理并为检索提供支持,还能 将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警并能在 4K的屏幕上展 示威胁态势;此外天眼分析平台支持对告警进行深度分析,支持以告警字段进行狩猎分析 及可视化展示,以攻击链的视角还原告警中的受害主机被攻击的整个过程;最后,对于判 定为威胁事件的告警,分析平台提供自定义编排流程进行相应的处置指令下发。
分析平台承担对所有数据进行存储、预处理和检索的工作,由于传统关系型数据库在 面对大量数据存储时经常出现性能不足导致查询相关数据缓慢,天眼分析平台底层的数据 检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理,可通过多台设备建立集 群以保证存储空间和计算能力的供应。结合全包存储系统,分析平台可以实现针对精确告 警的全包取证分析和自定义数据包分析能力。
流量传感器
天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加 密传输给天眼分析平台,流量镜像中的 PE和非 PE文件还原后则加密传输给天眼文件威胁 鉴定器进行检测。天眼传感器通过对网络流量进行解码还原出真实流量,提取网络层、传 输层和应用层的头部信息,甚至是重要负载信息,这些信息将通过加密通道传送到分析平 台进行统一处理。传感器中应用的自主知识产权的协议分析模块,可以在 IPv4/IPv6 网络 环境下,支持 HTTP (网页)、SMTP/POP3(邮件)等主流协议的高性能分析。
同时,天眼传感器内置的威胁检测进程 serverids,可检测多种网络协议中的攻击行 为,提供 ids、webids、webshell、威胁情报多种维度的告警展示,可检测如多种网络应 用、木马、广告、exploit 等多种网络攻击行为,也可检测如 sql 注入、跨站、Web shell、命令执行、文件包含等多种 web攻击行为,内置的 webshell 沙箱可以精准检测
php 后门并记录相关信息,拥有威胁情报实时匹配能力,能发现恶意软件、APT事件等威 胁,产生的多种告警都会加密,并传输给天眼分析平台进行统一分析管理。
文件威胁鉴定器
天眼文件威胁鉴定器主要负责对传感器、手动提交、FTP、SMB、URL等多数据来源通 道的样本进行检测。整个检测过程中文件进行威胁情报匹配、沙箱检测、静态检测与动态 检测等多种检测,及时发现有恶意行为的文件并告警,告警日志可传给天眼分析平台供统 一分析。天眼通过文件威胁鉴定器对文件进行高级威胁检测,文件威胁鉴定器可以接收还 原自传感器的大量 PE和非 PE文件,使用静态检测、动态检测、沙箱检测等一系列无签名 检测方式发现传统安全设备无法发现的高级威胁,并将威胁相关情况以报告行为提供给企 业安全管理人员。天眼文件威胁鉴定器上的相关告警也可发送至分析平台实现告警的统一 管理和后续的进一步分析。
其他周边组件
除了以上组件,奇安信天眼支持与邮件威胁检测系统、奇安信天堤防火墙、网神云 锁、补天漏洞响应平台、全包存储等系统进行对接,可实现多种告警数据的接收与统一。 结合多种处置设备,分析平台支持运用奇安信自主研发的 SOAR编排技术完成自动化响应处 置工作。
34.邮箱协议有哪些?
smtp,pop3,imap
35.sql注入说一下
sql注入是通过在web应用程序中事先定义好的查询语句的结尾添加上额外的sql语句,从而欺骗数据库服务器执行非授权的任意查询,进而获取或修改数据库中的数据 sql注入类型有:联合注入,布尔盲注,时间盲注,堆叠注入,数字型注入,字符型注入和搜索型注入
36.xss说一下
xss是跨站脚本攻击,是指在web页面中注入恶意脚本,使其在用户浏览器上运行,从而达到攻击的目的 xss类型有:反射型,存储型,dom型
37.反序列化说一下
反序列化是将序列化形式转回内存变量和程序对象的相反过程,是一种数据从持久性存储区域(如磁盘文件,数据库记录)中读出并还原成内存中对象的操作 是指攻击者利用程序在反序列化过程中对数据的信任,注入恶意数据,从而导致程序执行攻击者预期的代码
38.文件上传说一下
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,从而导致的用户可以越过其本身权限向服务器上上传可执行化的动态脚本文件。这些脚本文件可以被服务器解析并执行,从而导致服务器被攻击者控制。 造成文件上传漏洞的原因:服务器配置不当,开源编辑器上传漏洞,本地文件上传限制被绕过,过滤不严格被绕过,文件解析漏洞导致文件执行,文件路径截断等 文件上传的攻击方式:1.绕过文件类型验证;2.上传危险文件;3.目录遍历攻击;4.二次文件执行;4.溢出文件上传目录
39.哥斯拉流量特征
cookie这个值的地方有一个小纰漏,就是正常请求cookie最后结尾是没有分号的,可能后续作者会进行调整修改 还有响应,哥斯拉会响应三次,而且我认为还有一个地方需要注意的就是webshell连接,所以一般会设置长时间连接,所以connection这里会是keep-alive
40.蚁剑流量特征
ini_set ini_set_time ini_set_limit @ini_set(“display_errors”,“0”) 部分代码明文传输,较好辨认
41.中间件漏洞有哪些
Apache,IIS,Nginx,Tomcat等。其中,Apache和Nginx的漏洞比较多,而IIS的漏洞相对较少 这些漏洞可能回导致远程代码执行,任意文件上传,文件解析,文件包含,war后门上传等安全问题
42.天眼中的函数说一下
43.抓包软件会多少?详细讲一个 burp suite 配置证书在中间和信任 pc的后缀是der,模拟器手机的后缀是cer 有爆破,弱口令等功能 还有一些插件,比如可以利用sessionkey的插件,和一些js插件等
44.天眼日志分析
-
1. 收集日志:首先需要从QAX天眼中获取日志文件,通常可以通过下载或者导出的方式获取。 2. 筛选日志:对于大规模的日志文件,需要进行筛选和过滤,只保留有用的信息,以便后续分析。 3. 分析日志:对于筛选后的日志文件,需要进行深入分析,包括查找异常行为、识别攻击类型等。 4. 建立模型:通过对日志的分析,可以建立起相应的模型,用于预测未来可能出现的安全威胁。 5. 实施安全措施:通过对日志的分析和模型的建立,可以及时采取相应的安全措施,保护系统的安全。
天眼日志检索常用的语法
1- dip -- 被攻击的ip 2- dport -- 被攻击的端口 3- sip -- 源ip 4- sport -- 源端口 5- uri -- 请求的url地址 6- data -- 请求包的正文内容 7- status -- 响应包的状态码 8- host -- 域名
45.fastjon
这是阿里巴巴的开源JSON解析库,用于对JSON格式的数据进行解析和打包。Fastjon可以将java对象转为JSON格式,也可将JSON字符串转换为Java对象 实现反序列化远程代码执行 原理是jdni注入,利用就是构造一个json字符,用@type指定一个类库,流量特征就是json autotyp
46.哥斯拉流量特征
检测User-Agent,Accept,Cookie,请求头特征和相应体特征
47.天眼日志分析和告警的区别
告警管理的主要作用是检测基站系统、OMC服务器节点和数据库以及外部电源的运行状态,收集运行中产生的故障信息和异常情况,并将这些信息以文字、图形、声音、灯光等形式显示出来,以便操作维护人员能及时了解,并作出相应处理,从而保证基站系统正常可靠地运行。 同时告警管理部分还将告警信息记录在数据库中以备日后查阅分析。通过日志管理系统,用户可以查看操作日志、系统日志。并且可以按照用户的过滤条件过滤日志和按照先进先出或先进后出的顺序显示日志,使得用户可以方便的查看到有用的日志信息。
48.log4j
是java日志框架,它可以帮助开发人员记录日志信息。 log4j2.x被发现存在一个严重的漏洞,该漏洞允许攻击者通过构造恶意的日志消息来远程执行任意代码 处理日志存在“katex parse error:expected '}', got 'EOF' at end of input:..入,流量特点就是数据包里面有“}”字段
49.springboot框架漏洞
springboot是一个基于spring框架的开源java web框架,它开源帮助开发人员快速构建web应用程序。 springboot有远程代码执行漏洞,未授权访问漏洞等
50.最近的一个fastjon框架漏洞版本
fastjon<=1.2.80
52.jsp,asp,php命令执行的函数
在JSP中,可以使用Runtime.getRuntime().exec()函数来执行系统命令 在ASP中,可以使用WScript.Shell对象的Run()方法来执行系统命令 在PHP中,可以使用exec(), shell_exec(), system(), passthru(), popen(), proc_open()等函数来执行系统命令
53.shiro漏洞
Apache shiro是一个强大灵活的开源安全框架,可以完全处理身份验证、授权、密码和会话管理
cve编号:CVE-2016-4437 shiro550反序列化原理:Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞
cve编号:CVE-2016-4437 shiro721反序列化漏洞原理: 1、shiro-721用到的加密方式是AES-128-CBC,而且其中的ase加密的key基本猜不到了,是系统随机生成的 2、这种加密方式容易受到Padding Oracle Attack(填充提示攻击),利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击 3、利用该漏洞可以破解出密文的明文以及将明文加密成密文,该漏洞存在条件如下: (1)、攻击者能够获取到密文(基于分组密码模式),以及IV向量(通常附带在密文前面,初始化向量) (2)、攻击者能够修改密文触发解密过程,解密成功和解密失败存在差异性
shrio550和721的区别: (1)主要区别在于Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的 (2)Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,再去构造反序列化攻击
4465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
