之前护网做什么岗位的,主要干什么活?护网的设备用过什么?有什么功能。
就说看的qax的网神和qax的waf
然后可以检测恶意流量
请求的url中带有攻击payload
然后还可以对资产进行排查
后门检测之类的
弱口令或者漏洞检测
流量分析
溯源反制
思路一:反打扫描IP,分析该肉鸡失陷情况,进行各种信息链接的排查,然后溯源到攻击者真实身份。
思路二:反查扫描IP,进行IP定位或者whois信息的查询
思路三:利用蜜罐设备捕获攻击者指纹信息。
思路四:溯源钓鱼邮件。
进行IP识别,IP历史解析记录、域名信息、通讯样本信息收集,对IP查询结果进行分析。
获取黑客用户ID后进行信息收集,然后根据溯源结果进行绘制攻击者画像,最后在社工库查询关键字。
常见漏洞
shiro
判断Struts2框架
常规办法有
1、通过页面回显的错误消息来判断,页面不回显错误消息时则无效。
2、通过网页后缀来判断,如.do.action,有可能不准。
3、判断 /struts/webconsole.html 是否存在来进行判断,需要 devMode 为 true。
其它的方法:通过 actionErrors。要求是对应的 Action 需要继承自 ActionSupport 类。
利用方法:如原始 URL 为 https://threathunter.org/则检测所用的 URL 为 https://threathunter.org/?actionErrors=1111
如果返回的页面出现异常,则可以认定为目标是基于 Struts2 构建的。异常包括但不限于以下几种现象:
1、 页面直接出现 404 或者 500 等错误。
2、 页面上输出了与业务有关错误消息,或者 1111 被回显到了页面上。
3、 页面的内容结构发生了明显的改变。
4、 页面发生了重定向。
S2-001远程执行代码漏洞
漏洞简介
漏洞原理:该漏洞因用户提交表单数据并且验证失败时,后端将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL表达式解析,所以可以直接构造Payload进行命令执行
S2-005远程执行代码漏洞
漏洞简介
漏洞原理:s2-005漏洞起源于s2-003(受影响版本:低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过导致漏洞,攻击者可以利用OGNL表达式将这两个选项打开
S2-057远程代码执行漏洞
漏洞简介
漏洞原理
-alwaysSelectFullNamespace是-操作元素未设置名称空间属性,或使用了通配符
用户将从URL传递名称空间,并将其解析为OGNL表达式,最终导致远程代码执行漏洞
alwaysSelectFullNamespace为true
-action元素没有设置namespace属性,或者使用了通配符
命名空间将由用户从URL传递并解析为OGNL表达式,最终导致远程代码执行漏洞
sqlmap常用参数
-u(指定 url)
-r(读取需要注入的post 请求的文本)
-m(批量跑get 注入)
-p(指定注入参数)
-current-db:(获取当前数据库)
–table(枚举数据库表)
–tamper(使用过waf脚本)
Nmap进行完整全面的扫描
nmap –T4 –A –v
其他扫描方式
SYN扫描:利用基本的SYN扫描方式测试其端口开放状态
namp -sS -T4
误报
1、业务系统之间的调用请求,设备报警,内网渗透向;
2、业务公司人员上生产系统上的poc测试(直接执行注入和远程读取命令),被系统误报成渗透攻击(这一条应该不算是误报,毕竟有攻击行为,只不过是自己人干的);
3、centos系统自动更新系统文件,设备报警,未经授权的访问外网;
4、业务人员配置中间件,设备报警;
1939
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
