一、信息收集流程
1.获取域名的
whois
信息
,
获取注册者邮箱姓名电话等。
2.通过站长之家、明小子、
k8
、站长之家等查询服务器旁站以及子域名站点,因为主站一般
比较难,所以先看看旁站有没有通用性的
cms
或者其他漏洞。
3、通过
DNS
域传送漏洞、备份号查询、
SSl
证书、
APP
、微信公众号、暴力破解、
DNS
历
史记录、
K8 C
段查询、
Jsfinder
、
360
或华为威胁情报、证书序列号获取企业二级域名与
ip
。
4、通过
Nmap
、
Wappalyzer
、御剑等查看服务器操作系统版本,
web
中间件,看看是否存
在已知的漏洞,比如
IIS
,
APACHE,NGINX
的解析漏洞
5.通过
7KB
、破壳扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如
php 探针(phpinfo.php
)、管理员备份文件。
6.google hack 进一步探测网站的信息,后台,敏感文件
7、敏感信息收集,如
github
源码、用
7kb
、破壳扫源代码泄露(
.hg
、
.git
、
cvs
、
svn
、
.DS_store 源代码泄露)、google hack
、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟 馗之眼、天眼查、威胁情报、微步在线等
8、通过
Wappalyzer
、御剑工具对网站指纹识别(包括,
cms
,
cdn
,证书等),
dns
记录
二、常见端口
三、sqlmap使用及防御
四、sql 注入的几种类型?
1
)报错注入
2
)
bool
型注入
3
)延时注入
4
)宽字节注入
五、常用中间件那些漏洞
IIS
PUT
漏洞、短文件名猜解、远程代码执行、解析漏洞
Apache
解析漏洞、目录遍历、任意文件读取
Nginx
文件解析、目录遍历、
CRLF
注入、目录穿越
Tomcat
远程代码执行、
war
后门文件部署
JBoss
反序列化漏洞、
war
后门文件部署
WebLogic
反序列化漏洞
SSRF
任意文件上传
war
后门文件部署
六、XSS、SSRF、CSRF、XXE 漏洞
七、应急响应流程(windows和Linux)
1. 取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后 门文件 - 注意文件的时间,用户,后缀等属性),调取日志(系统 日志,中间件日志,WAF 日 志等);
2. 处理,恢复备份(快照回滚,最近一次),确定入侵方法(漏洞
检测,并进行修复)
3. 溯源,查入侵 IP,入侵手法(网路攻击事件)的确定等
4. 记录,归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录 通用漏洞的应对等其他安全应急事件
(1)Windows应急
一、检查系统账号安全
1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远 程管理端口是否对公网开放。
2、Win+R 打开运行,输入“eventvwr.msc”打开操作系统日志,查 看管理员登录时间、用户名是否存在异常。
二、检查异常端口、进程
1、使用 netstat -ano 检查端口连接情况,是否有远程连接、可疑连接(主要定位 ESTABLISHED)。
2、根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”
3、也可以使用 D 盾_web 查杀工具、火绒剑、XueTr 等工具进行判 断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有 描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存 资源占用长时间过高的进程)
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项,如:单击开始菜单 >【运 行】,输入 msconfig 看一下启动项是否存在可疑启动,注册表 run 键值是否存在可疑启用文件,组策略,运行 gpedit.msc 查看脚本启 动是否存在启用文件等
2、检查计划任务,如单击【开始】>【设置】>【控制面板】>【任 务计划】,查看计划任务属性,便可以发现木马文件的路径
3、检查服务自启动,如单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。
四、检查系统相关信息
1、查看系统版本以及补丁信息
检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统 信息是否打了补丁
2、查找可疑目录及文件
检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查 看是否有新建用户目录。Window 2003 C:\Documents and Settings Window 2008R2 C:\Users\
b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最 近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查 找可疑文件。
五、自动化查杀
用 360、卡巴斯基等病毒查杀系统病毒木马,Web 可以用 D 盾、河马 工具查杀 Webshell 后门
(2)linux应急
1、检查用户及密码文件
/etc/passwd
、
/etc/shadow
是否存在多余帐号,主要看一下帐号后面是否是 nologin,
如果没有
nologin
就要注意;
2、通过
who
命令查看当前登录用户(
tty
本地登陆
pts
远程登录)、
w
命令查看系统信息,想知道某一时刻用户的行为、uptime
查看登陆多久、多少用户,负载;
3、修改
/etc/profile
的文件,在尾部添加相应显示时间、日期、
ip
、命令脚本代码,这样输入 history
命令就会详细显示攻击者
ip
、时间历史命令等;
4、用
netstat -antlp|more
命令分析可疑端口、
IP
、
PID
,查看下
pid
所对应的进程文件路径,运行 ls -l /proc/$PID/exe
或
file /proc/$PID/exe
(
$PID
为对应的
pid
号);
5、使用
ps
命令,分析进程
ps aux | grep pid
6、使用
vi /etc/inittab
查看系统当前运行级别,通过运行级别找到
/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件;
7、看一下
crontab
定时任务是否存在可疑启用脚本;
8、使用
chkconfig --list
查看是否存在可疑服务;
9、通过
grep awk
命令分析
/var/log/secure
安全日志里面是否存在攻击痕迹;
10、
chkrootkit
、
rkhunter
、
Clamav
病毒后门查杀工具对
Linux
系统文件查杀;
八、冰蝎、哥斯拉特征码
冰蝎特征码
1
、
http 包头中,content-type 为 application/octet-stream 强行特征码
2
、
冰蝎 3.0 内置的默认 16 个 userAgent 都比较老,属于 N 年前的浏览器产品。
现实生活中很少有人使用。所以这个也可以作为 waf 规则特征
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
QQBrowser/6.9.11079.201
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko)
Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
3
、
Accept 头一般为:text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
哥斯拉特征码
总结木马特征:
1、run()方法是写死在攻击荷载里面的,代码一定会调用这个方法执行传
入的参数。
2、有一个向 SESSION 中存储攻击荷载的过程,就是会有一个
$_SESSION[$XXX]=P 的过程,这里的 P 是通过 POST 方法传进来的参数。
3、会将传入的参数解密、拼接后取 MD5,前 16 位加到回显的前端,其
余的部分加到回显的后端。
九、CS特征码
1
、默认端口是
50050
2
、请求的
url
为
/jquery-3.3.1.min.js
,返回包的大小为
5543
3
、在流量包中可以从域名
/IP
、指令长度(心跳长度默认
5
秒)、指令结果长度(返回结
果包长度)、指令执行时间(
POST
包与指令包时间间隔)
4
、
cookie
有一串固定的加密
值
十、MSF特征码
1
、端口号:
msf
默认使用
4444
端口作为反向连接端口
2
、数据内容:
msf
数据包通常包含特定字符串
:("meterpreter"
、
"revshell"
等
)
十一、shiro反序列化
Apache shiro
是一个开源的框架,提供身份验证,授权 密码学和会话管理
漏洞引用
:
服务端在接受
cookie
时,得到
rememberme
的
cookie
值。
shiro<=1fa.2.4
版本
默认使用
cookie remembermemanager
,由于
AES
使用的
key
泄露导致反序列化的
cookie 可控,从而引发反序列化攻击。
特征码,回包里面有
rememberme=deleteme
使用的就是
apache shiro
框架
十二、常用日志文件位置
windows
系统日志:
`%SystemRoot%\System32\Winevt\Logs\System.evtx`
应用程序日志:
%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:
`%SystemRoot%\System32\Winevt\Logs\Security.evtx``
Linux
:
日志默认存放位置:
/var/log/
查看日志配置情况:
more /etc/rsyslog.conf