目录
hvv蓝中面试题1
-
应急响应的流程
- 确定攻击事件
- 确认攻击范围
- 隔离受攻击系统
- 收集证据(日志文件、流量、系统快照)
- 使用工具对收集到的证据进行分析和调查这包括查找攻击痕迹、分析恶意代码、检测入侵路径等。
- 目的是确定攻击的来源、影响范围和方法,并评估已受到的损害、删除恶意代码、文件、修复漏洞,阻断攻击路径。恢复系统和数据、通知管理层业务部门。
-
入侵排查流程
- 检查异常账号、
- 检查异常端口进程、
- 检查启动项、计划任务、服务、
- 自动化查杀、日志分析
-
菜刀,蚁剑,冰蝎,哥斯拉的上传特征
-
菜刀:
- 1、webshell为一句话木马
- 2、ua头为百度爬虫
- 3、请求体中存在eavl,base64
- 4、响应为明文,格式为X@Y+内容+X@Y
-
蚁剑
- webshell同样有eval、base64
- ua头为蚁剑工具
- 请求体中存在@ini_set
- 响应为明文,格式为 随机数+结果+随机数
-
冰蝎:
- webshell同样头eval、base64
- webshell中有md5(密码)前16位
- 2.0有一次GET请求返回16位的密钥
-
哥斯拉
- webshell同样有eval、base64
- 请求为pass=
-
-
常见的框架漏洞
- shiro、weblogic、struts2、JBoss、Tomcat、Thinkphp、Wordpress
-
安全设备相关
-
WAF:
- 串行接入,部署在 web 服务器的前面的网络边界,用来隔离内外网。分析 web 应用层数据,能完整解析 HTTP,包括报文头部、参数和载荷。能够检测常见的 web 漏洞,具备拦截告警功能。
-
IPS:
- 部署在区域和区域的连接处,多以串联部署。分析传输层和网络层,可以分析协议。制定不同的规则和相应方式主动防御已知攻击阻断攻击如缓冲区溢出,SQL等
-
IDS:
- 旁路部署,直接通过交换机的监听口j进行网络报文采样或在需要监听的网络线路上放置侦听探针。属于审计类设备,对威胁不具备拦截性。
-
防火墙:
- 通过它可以隔离风险区域(即 Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问所以它一般连接在核心交换机与外网之间
-
EDR:
- 端点检测与响应,通过对端点进行持续检测,同时通过应用程序对操作系统调用等异常行为分析,检测和防护未知威胁,最终达到杀毒软件无法解决未知威胁的目的。
-
流量监控:
- 旁路采集、分析和存储所有流量。通过回溯分析数据包特征、异常网络行为,对网络安全事件进行精准的定性分析。
-
蜜罐:
- 部署在不同域之间,布置诱饵。交互式和非交互式。Hfish 威胁感知 威胁实体 环境管理 平台管理
-
-
Redis写Shell的方式有哪些?
- 1、直接写,config set
- 2、计划任务反弹 shell /cron//crontabs
- 3、写 ssh 公钥
- 4、设置备份路径,然后主从复制加载恶意模块然后切断主从
- 5、ssrf gopher 搭配未授权访问
-
勒索病毒布置方法:
- 僵尸网络、
- 特定网络漏洞、
- 持续攻击 gets he11、
- 钓鱼邮件、
- 软件捆绑下载等
-
如何研判 Shiro 反序列化攻击是否攻击成功:
- 1.先看 IP 是内部 IP 还是外部 IP,内部 IP 就去找对应的负责人问他在干嘛?
- 2.外部 IP 就是根据漏洞原理去看是否攻击成功,比如 SQL 注入,看有没有带出库名,表明列名;shiro 类的就看其有无回显,有回显危险信息的话就进入应急流程
- 3.攻击失败就封 IP,攻击成功就进入应急,并封 IP应急的话,是止损(尽量下线,通过安全设备查找安全事件,去定位恶意文件在哪里,然然后取证,删除),还原攻击链路(看涉及到这个恶意文件的全部流量,看他的行为,对症下药,出具应急报告),根据应急得到的情报去溯源(攻击 IP 等信息去溯源)
-
Shiro 密钥如何获取
- 爆破,
- 获取源码,
- heapdump 内存泄露
-
Linux 查看计划任务:
- crontab -l 查看计划任务
- -r 删除
- -e 编辑
- -u 制定所管理的计划任务属于哪个用户,默认是针对当前用户
-
SQL注入在攻击日志中有什么特征?如何修复?
- 出现 特殊字符 sq1语句 特殊函数 特殊编码 预编译、 特殊字符屏蔽 编码、waf 黑名单 规则修改
- 中间件漏洞:
- IIS: put 类似 tomcat;RCE exp 解析漏洞配合图片马 Apache 解析漏洞.php.exe 换行解析 .php\x0A 目录遍历
- Nginx:目录遍历目录穿越crlf weblogic 反序列化 弱口令ssrf(SearchPublicRegistries.jsp 可控参数 operator)
-
Windows 排查隐藏账户:
- HKEY LOCAL MACHINE\SAM\SAM\Domains\Account\Users\Names;查看系统日志:
- 通过“计算机管理”中的“事件查看器”可以查看到隐藏账户以及其登陆的时间
-
Linux 哪个路径保存 ssh 登录日志:
- var/log/secure
-
Nmap 流量特征:
- ACK RST UDP data域有 300个C字符 flag 位对应 syn fin ecn
-
WAF 识别外部攻击:
- 告警分析、日志分析、流量分析、威胁情报
-
PDR模型是?
- 保护-检测-响应
-
逻辑漏洞遇到过哪些,给你登录框有没有什么思路?
-
常见逻辑漏洞:
- 越权,
- 响应包修改,
- 支付金额修改,
- cookie爆破,
- 密码找回方面等等
-
登录页面思路:
- 爆破,
- session覆盖,
- sql注入,
- xss,
- 任意用户注册,
- js文件查看敏感信息,
- 短信轰炸,
- 万能密码,
- 二次注入,
- 模板注入等等
-
-
WAF绕过的手法你知道哪些?
- 这里从以sql注入为例,从三个层面简单总结一下手法。
- 1.从架构层面:找到服务器真实IP,同网段绕过,http和https同时开放服务绕
- 过,边缘资产漏洞利用绕过。
- 2.从协议层面:分块延时传输,利用pipline绕过,利用协议未覆盖绕过,POST
- 及GET提交绕过。
- 3.从规则层面:编码绕过,等价符号替换绕过,普通注释和内敛注释,缓冲区溢
- 出,mysql黑魔法,白名单及静态资源绕过,文件格式绕过,参数污染。
-
拿到webshell不出网情况下怎么办?
- reg上传去正向连接。探测出网协议,如dns,icmp。
-
ssrf怎么用redis写shell?
- SSRF服务端请求伪造:
- 一、对内网扫描,获取banner 。
- 二、攻击运行在内网的应用,主要是使用GET 参数就可以实现的攻击(比如Struts2,sqli 等)。
- 三、利用协议读取本地文件。
- 四、 云计算环境AWS Google Cloud 环境可以调用内网操作ECS 的 API。
- webligic SSRF漏洞:通过SSRF的gopher协议操作内网的redis,利用redis将反弹shell写入crontab定时任务,url编码,将\r字符串替换成%0d%0a。
- SSRF服务端请求伪造: