HW的常见问题

一. 设备误报如何处理
1. 判断误报类型比如标签0的告警还是内网的告警
2. 判断误报是来自于外网还是内网
3. 如误报来源于内网可以和内网管理员沟通核实是否进行安全测试等情况。如果没有明确的的误报情况可以将误报添加到白名单避免不必要的处理
4. 处理大量的误报可以采取自动化处理方式，比如将威胁情报平台将误报按照类型进行分类并根据分类结果进行处理

二. 如何区分扫描流量和手工流量？
区分扫描流量和手工流量主要可以从以下几个方面入手：
1. 数据量和频率：扫描流量的数据量通常较大，请求流量也有规律可循，频率较高。而手工流量则请求较少，间隔较长。
2. 特征信息：通过网络封包分析工具（如Wireshark）对流量进行排查分析，在数据包中寻找相关特征信息，如特定的URL关键字等。
3. 工具检测：使用针对扫描流量的特定工具进行检测，如AWVS, Nessus以及APPscan等。这些工具可以对网站目录进行排查查杀，帮助你快速发现是否存在webshell等安全威胁。
4. 人工检测：结合手工操作进行检测，如通过对比网站备份文件，检查是否存在异常文件或后门程序等。
总的来说，扫描流量和手工流量在数据量、频率、特征信息和检测手段上都有所不同，通过以上方法可以更准确地区分两者。

三. 网站被上传webshell如何处理？
1. 确定并定位Webshell：通过文件管理或者FTP管理工具，查找上传的Webshell文件。
2. 停止Webshell运行：一旦找到Webshell文件，应立即停止其运行。可以通过删除文件或者更改文件权限来实现。
3. 修复Webshell文件：找到Webshell文件后，可以尝试修复文件，使其无法继续被利用。这可能包括删除危险代码或者修改文件权限。
4. 更新系统和软件：Webshell可能利用系统和软件的已知漏洞进行注入。因此，在修复Webshell后，应及时更新系统和软件，防止再次被Webshell利用。
5. 进行安全检查：修复Webshell后，应进行全面的安全检查，确保系统安全。这可能包括检查文件上传权限、修复数据库漏洞、检查Web服务接口等。
6. 告知网站管理员：如果Webshell是由网站管理员上传或者知道其存在，应该及时告知网站管理员，并配合他们进行修复。

四. 给你一个比较大的日志，应该如何分析？
对于一个比较大的日志，我们需要遵循以下步骤进行分析：
1. 首先，确定日志的类型和来源，了解日志中所包含的信息类型，以及信息的来源，这有助于我们快速定位问题。
2. 将日志进行分类整理，可以按照时间、来源、类型等进行分类，将日志按照相关性排序，以便更好地进行后续分析。
3. 分析日志中的异常行为，查找异常的模式或者行为，这可能包括大量的失败登录尝试、频繁的修改文件、大量的网络请求等。
4. 通过使用专业的日志分析工具，例如Splunk、Elasticsearch等，进行更深入的分析，这些工具可以提供更详细的搜索和分析功能，包括地理位置、用户行为、数据包信息等。
5. 最后，根据分析的结果，进行相应的响应和处理，包括修复系统漏洞、加强网络安全防护、修改系统配置等。

五. 常见OA系统？
1. PHP：通达OA、泛微 Eoffice
2. Java：泛微OA/云桥、致远OA、蓝凌OA、用友OA
A SP：启莱OA

六. 了解安全设备吗？
1. IDS
2. IPS
3. WAF
4. web应用防火墙
5. 蜜罐
6. 堡垒机
7. VPN

七. 了解过系统加固吗？
系统加固是针对网络与应用系统的加固，旨在消除信息系统存在的已知漏洞，提升关键服务器、核心网络设备等重点保护对象的安全等级。安全加固的实施包括系统安全评估、制定安全加固实施方案、对系统进行安全加固，并进行全面的测试，确保加固对系统业务无影响，并达到了安全提升的目的。
具体来说，安全加固的实施对象包括操作系统、网络设备和数据库，以及通用应用软件。安全加固的工作主要通过人工的方式进行，也可以借助特定的安全加固工具。在加固过程中，应做好相应充分的风险规避措施，跟踪记录加固活动，以确保系统的可用性。
安全加固服务的主要目的是消除与降低安全隐患，以及周期性的评估和加固工作相结合，尽可能避免安全风险的发生。通过安全加固，可以给信息系统增加安全性，提高信息系统的可用性和可靠性。
系统加固包括
1. 配置加固：评估系统的可定制组件的状态和依赖关系，进行测试和实施变更，以确保配置和环境合规。
2. 应用程序加固：更新内部和第三方软件应用程序，以减少程序和不必要端点的漏洞。
3. 软件加固：针对操作系统、软件和应用程序的加固，包括安装更新和其他先进的安全措施。
4. 操作系统加固：包括保持系统更新、安装防病毒软件、禁用非必要服务、加强口令策略、限制用户权限、加密文件、监控安全日志等措施。
5. 服务器加固：包括服务器端口、权限、功能、组件安全等措施。
6. 数据库加固：安装更新和其他先进的安全措施，以确保数据库中的信息安全。
7. 网络加固：更新和保护客户网络上计算机和其他各种设备之间的数据传输或通信。

八. 有没有安全设备的使用经验？
有IDS,
1. 安装IDS软件：首先，需要选择适合你的操作系统和网络环境的IDS软件，并进行安装。
2. 配置IDS：在IDS软件中，你需要进行一些基本的配置，比如设置检测策略，警报级别，日志输出方式等。
3. 启动IDS：在完成配置后，你需要启动IDS软件，让它开始对网络流量和系统事件进行监控。
4. 监控和分析：IDS会实时监控网络流量和系统事件，并根据预设的策略进行检测和分析。你可以通过IDS提供的日志和警报，了解网络中是否存在入侵行为。
5. 应对入侵行为：如果IDS检测到异常的网络流量或系统事件，它会通过警报通知管理员，管理员可以根据警报信息，采取相应的应对措施，比如阻止网络攻击，隔离受感染的设备等。

九. CS是什么东西，知道怎么使用吗？
Cobalt Strike是一款用于模拟红队攻击的软件，其主要用于执行有目标的攻击和模拟高级威胁者的后渗透行动
服务端（A机器在公网上）、客户端（B机器）、被攻击者（C网站）
客户端去控制服务器端对C网站进行攻击，得到了权限，通过CS的马，让CS得到了一个shell。
这样做的好处在于我们不用考虑我们自己电脑的关机之类的操作，因为建立连接的实际上是服务器与C网站，所以我们本地重启电脑，或者ip的变化都不会使得服务器与C网站的连接中断。同时如果出现问题，追查也只能查到服务器而不会找打你

十. WAF方面有没有了解过，清楚WAF的分类和原理吗？
WAF分为软件,WAF硬件,WAF云WAF
WAF的原理主要包括以下几个方面：
1. 工作模式：WAF可以根据实际需求选择不同的工作模式，包括关闭模式、监听模式和防护模式。关闭模式是指对某个站点使用关闭模式，使其流量不会感受到WAF的存在。监听模式是同时进行规则和攻击的过滤，对请求进行多方面检测，并将结果传递给Web服务。防护模式则是直接对请求进行过滤，并将结果直接传递给Web服务，不会直接传递给Web服务的攻击。
2. 规则引擎：WAF的规则引擎主要负责拦截有害请求和伪装响应。它通过改变用户域名的DNS解析地址，将Web流量牵引到WAF引擎集群进行检测，再回源至真正的Web服务器。规则引擎可以根据实际需求进行自定义设置，包括拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，防护更精准。
3. 防护能力：WAF具有多种防护能力，包括OWASP常见攻击（SQL注入、XSS跨站脚本等）、恶意扫描、爬虫泄密、网站挂马、CC攻击、0-Day漏洞防御&异常行为检测等。这些能力帮助客户轻松抵御常见Web攻击，提高防护效率。
4. 挑战与解决方案：WAF目前面临的挑战包括入侵检测识别率的问题。攻击者的攻击手段隐蔽性高，WAF在检测新型攻击方式时可能会存在误判。但WAF厂商正在不断完善规则库和AI能力，为用户提供智能开启和推荐适合的规则，提升检测效率。同时，WAF也会不断进行更新和升级，以应对新的威胁。

十一. Powershell了解过吗？
是的，我了解Powershell。Powershell是一种现代的脚本语言和管理框架，它可以为Windows操作系统和各种应用程序提供可靠的自动化管理和安全控制。Powershell被广泛用于IT管理、自动化和安全方面，具有灵活性、可扩展性和安全性等优点

十二. MSF是什么？知道怎么使用吗？
MSF它是一款开源的渗透测试框架，用于开发和执行各种网络攻击。MSF拥有大量的漏洞库和攻击模块，可以针对各种软件漏洞进行攻击。
确定目标：明确渗透测试的目标，包括目标系统、网络架构、应用程序等信息。
信息收集：使用MSF的信息收集功能，收集目标系统的相关信息，包括开放的端口、存在的漏洞、用户权限等。
报告生成：完成渗透测试后，可以使用MSF的报告生成功能，生成详细的测试报告，包括攻击过程、漏洞利用情况、后门安装等

十三. 使用过什么XSS平台吗？
使用过1. xss-platform（https://github.com/trysec/xss-platform）
XSS平台主要涉及到对Web应用程序的攻击和利用，攻击者通过注入恶意脚本，使得用户在浏览页面时受到攻击。攻击者可以窃取用户的敏感信息、篡改页面内容，甚至控制用户的浏览器。

十四. SQL注入怎么写入webshell？
前提：
你有root权限
知道web的绝对路径
有文件写入的权力
然后：
SQl注入写入webshell的方法主要有以下几种：
1. 传统的SQL语句写shell：
   通过SQL注入select into outfile实现，如："1 union select 1,'',3 into outfile '/var/www/tmp/nb.php'#"，其中，''为webshell代码，'/var/www/tmp/nb.php'为文件路径。
   注意：关闭sqlmap文件就会被删除。
2. 使用sqlmap：
   sqlmap可以生成webshell，需要先在sqlmap的目录中创建mst目录，然后在该目录中创建mst.txt，内容为一句话木马，之后需要两个参数即本地文件地址和目标文件地址，例如："sqlmap -u "http://127.0.0.1/index.php?page=user-info.php&username=a%27f%27v&password=afv&user-info-php-submit-button=View+Account+Details" -p 'username' --file-write="shell.php" --file-dest="/tmp/shell.php"
   注意：需要最高权限。
3. MySQL写一句话木马：
   利用phpmyadmin中查询用户功能进行webshell，例如："union select 1,'',3 into outfile '/var/www/html/shell.php'#"

十五. 了解过反序列化漏洞吗？
1. 序列化反序列化漏洞：在序列化数据的传输过程中，如果未对反序列化接口进行访问控制，未对序列化数据进行加密和签名，或者使用了不安全的反序列化框架库，攻击者可以通过构造恶意的序列化数据来执行特定代码或命令。
2. 数据传输反序列化漏洞：在数据传输过程中，如果未对反序列化接口进行访问控制，未对序列化数据进行加密和签名，或者使用了不安全的反序列化框架库，攻击者可以通过构造恶意的序列化数据来执行特定代码或命令。
3. 身份验证反序列化漏洞：在身份验证过程中，如果未对反序列化接口进行访问控制，未对序列化数据进行加密和签名，或者使用了不安全的反序列化框架库，攻击者可以通过构造恶意的序列化数据来执行特定代码或命令。
4. 文件读写反序列化漏洞：在文件读写过程中，如果未对反序列化接口进行访问控制，未对序列化数据进行加密和签名，或者使用了不安全的反序列化框架库，攻击者可以通过构造恶意的序列化数据来执行特定代码或命令。
5. RMI协议反序列化漏洞：RMI协议是Java中常用的接口实现协议，如果未对反序列化接口进行访问控制，未对序列化数据进行加密和签名，或者使用了不安全的反序列化框架库，攻击者可以通过构造恶意的序列化数据来执行特定代码或命令。
6. 自定义类反序列化漏洞：如果自定义类的构造函数中存在危险的操作，例如动态调用，或者使用了不安全的反序列化框架库，攻击者可以通过构造恶意的序列化数据来执行特定代码或命令。

十六. 常见的框架漏洞？
1. GStreamer 安全漏洞：GStreamer是一个用于处理流媒体的框架，存在安全漏洞，该漏洞源于媒体框架及其编解码器和解复用器的插件存在问题，如果打开格式错误的媒体文件，可能会导致拒绝服务或执行任意代码。
2. aiohttp 拒绝服务漏洞：aiohttp是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架，在 aiohttp 3.9.4 之前版本中存在拒绝服务漏洞，该漏洞源于当 aiohttp 服务器处理特制的 POST 请求时，服务器将进入无限循环，并无法处理任何进一步的请求。攻击者可以通过发送单个请求停止应用程序提供服务。
3. Rapid7 MailCleaner 安全漏洞：Rapid7 MailCleaner是一个渗透测试框架，在2024年3月14日的版本中存在安全漏洞，该漏洞源于存在操作系统命令注入漏洞。

十七.了解过redis数据库和常见的漏洞吗？
1.达梦新云缓存数据库(DMCDM)存在拒绝服务漏洞：该漏洞是达梦新云缓存数据库(DMCDM)自行发现的，达梦新云缓存数据库(DMCDM)是达梦数据技术（江苏）有限公司自主研发的深度兼容原生Redis协议的Key-Value数据库。攻击者可利用该漏洞导致拒绝服务。
2.Redis 远程代码执行漏洞：该漏洞是在Redis 7.2.4之前、7.0.15之前版本中存在的安全漏洞，源于 sdsResize中存在堆缓冲区溢出。成功利用该漏洞可导致远程代码执行。

十八. SSRF怎么结合Redis相关漏洞利用？
gopher协议利用redis未授权访问漏洞写入webshell：
攻击者可以直接访问Redis服务器，进行未授权的读取和写入操作。结合这两种漏洞，攻击者可以利用Redis提供的gopher协议将webshell写入服务器
    利用SSRF漏洞发起请求，读取Redis的配置文件，获取Redis的连接信息。
    利用获取到的连接信息，构造gopher协议的请求，将webshell写入Redis数据库中。
    在目标服务器上，利用Redis提供的eval命令执行gopher协议中存储的webshell。
需要注意的是，这种攻击方式需要满足以下条件：
    目标服务器上存在Redis未授权访问漏洞。
    Redis数据库开启了gopher协议支持。
    目标服务器上存在SSRF漏洞。

十九. windows应急响应时排查分析的相关细节？
1. 异常进程和用户：检查系统中是否存在异常的进程和用户，包括可能存在的恶意进程和未授权的用户。
2. 敏感端口开放情况：检查系统中是否开放了敏感的网络端口，如SSH、FTP等，以及这些端口是否被未经授权的用户或程序使用。
3. 密码强度：检查系统中所有用户的密码强度，包括密码的复杂度和随机性，以及密码是否被泄漏。
4. 日志分析：通过分析系统日志，找出可能的异常行为和攻击行为。
5. 异常启动项、服务、计划任务：检查系统中是否存在异常的启动项、服务和计划任务，包括可能存在的恶意启动项和服务。
6. 注册表信息：检查系统中是否存在异常的注册表信息，包括可能存在的恶意注册表项。
7. 其他：根据具体情况，进行其他方面的排查分析，如网络流量、系统文件等。

二十. 常见的webshell连接工具流量？
蚁剑连接工具的流量主要包括以下几种：
1. 文件管理流量：包括上传和下载文件的请求，文件的读取和写入请求等。
2. 命令执行流量：包括执行各种命令的请求，如操作系统命令、编程语言命令等。
3. 数据库管理流量：包括查询数据库、修改数据库、连接数据库等的数据库操作请求。
4. WebShell管理流量：包括创建、修改、删除WebShell的请求。
5. 自定义编码流量：包括使用自定义编码方式进行数据传输的请求。
6. 自定义Header流量：包括设置自定义Header的请求，用于混淆和隐藏工具的特征。
7. 请求包成功加密流量：包括连接成功后传输的加密数据包。
8. 请求包解码流量：包括连接成功后接收的解码数据包。
9. 动态密钥协商流量：用于动态获取密钥的请求。
10. 预共享密钥流量：用于使用预共享密钥进行加密传输的请求