鑽石舞台

一. 設備誤報如何處理？

答：

來自外網的誤報說明安全設備需要進行策略升級，不需要處置。

如果是來自內網的誤報可以和負責人協商一下看能不能解決，有必要的話添加白名單處理。

二. 如何區分掃描流量和手工流量？

答：

1.掃描流量數據量大，請求流量有規律可循且頻率較高，手工流量請求少，間隔略長

2.使用工具掃描的流量一般在數據包中有相關特徵信息，比如說通過wireshark網絡封包分析工具對流量進行一個具體的排查分析，比如通過http contains "xxx"來查找數據包中的關鍵字。

比如常用的漏洞掃描工具AWVS，Nessus以及APPscan在請求的URL，Headers, Body三項里隨機包含了能代表自己的特徵信息。

三. 網站被上傳webshell如何處理？

答：

1.首先關閉網站，下線服務。有必要的話將服務器斷網隔離。

2.手工結合工具進行檢測。

工具方面比如使用D盾webshellkill，河馬webshell查殺，百度在線webshell查殺等工具對網站目錄進行排查查殺，如果是在護網期間可以將樣本備份再進行查殺。

手工方面對比未上傳webshell前的備份文件，從文件甚至代碼層面進行對比，檢查有無後門程序或者其他異常文件，實在不行就直接用備份文件替換了。

4.加強安全策略，比如定期備份網站配置文件，及時安裝服務器補丁，定期更新組件以及安全防護軟件，定期修改密碼等等措施。

四. 給你一個比較大的日誌，應該如何分析？

答：

攻擊規則匹配通過正則匹配日誌中的攻擊請求

統計方法，統計請求出現次數，次數少於同類請求平均次數則為異常請求

白名單模式，為正常請求建立白名單，不在名單範圍內則為異常請求

HMM 模型，類似於白名單，不同點在於可對正常請求自動化建立模型，從而通過正常模型找出不匹配者則為異常請求

使用日誌分析工具，如LogForensics，Graylog，Nagios，ELK Stack等等

五. 常見OA系統？

答：

PHP：通達OA、泛微 Eoffice

Java：泛微OA/雲橋、致遠OA、藍凌OA、用友OA

ASP：啟萊OA

六. 了解安全設備嗎？

答：

入侵防禦系統IPS

是計算機網絡安全設施，是對防病毒軟件和防火牆的補充。入侵預防系統是一部能夠監視網絡或網絡設備的網絡數據傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡數據傳輸行為。

入侵檢測系統IDS

積極主動的防護措施，按照一定的安全策略，通過軟件，硬件對網絡，系統的運行進行實時的監控，儘可能地發現網絡攻擊行為，積極主動的處理攻擊，保證網絡資源的機密性，完整性和可用性。

防火牆

防火牆是位於兩個(或多個)網絡間，實行網絡間訪問或控制的一組組件集合之硬件或軟件。隔離網絡，制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。

數據庫審計系統

是對數據庫訪問行為進行監管的系統，通過鏡像或者探針的方式採集所有數據庫的訪問流量，並基於SQL語法，語義的解析技術，記錄下對數據庫所有訪問和操作行為，例如訪問數據的用戶IP，賬號，時間等等，對數據進行操作的行為等等。

日誌審計系統

日誌審計系統能夠通過主被動結合的手段，實時且不間斷的採集用戶網絡中不同廠商的安全設備，網絡設備，主機，操作系統以及各種應用系統產生的海量日誌信息，並將這些信息匯集到審計中心，進行集中化存儲，備份，查詢，審計，告警，響應，並出具豐富的報表報告，獲悉全網的整體安全運行態勢，同時滿足等保關於安全管理中心的日誌保存時間大於6個月的要求。

堡壘機

是針對內部運維人員的運維安全審計系統。主要功能是對運維人員的運維操作進行審計和權限控制(比如要登錄某些平台或者系統只能通過堡壘機才可以，不用堡壘機是無法訪問的)。同時堡壘機還有賬號集中管理，單點登錄(在堡壘機上登錄即可實現對多個其他平台的無密登錄)等功能。

漏洞掃描系統

漏洞掃描工具或者設備是基於漏洞數據庫，通過掃描等手段對指定的遠程或本地計算機系統的安全脆弱性進行檢測，發現可利用漏洞的一種安全檢測系統(我們常用的針對WEB站點進行掃描的工具和此處漏洞掃描系統不是一個概念)。

數據安全態勢感知平台

以大數據平台為基礎，通過收集多元，異構的海量日誌，利用關聯分析，機器學習，威脅情報，可視化等技術，幫助用戶持續監測網絡安全態勢，實現從被動防禦向積極防禦的進階。

終端安全管理系統

是集防病毒，終端安全管控，終端准入，終端審計，外設管控，EDR等功能於一體，兼容不同操作系統和計算機平台，幫助客戶實現平台一體化，功能一體化，數據一體化的終端安全立體防護。

WAF

WAF是以網站或應用系統為核心的安全產品，通過對HTTP或HTTPS的Web攻擊行為進行分析並攔截，有效的降低網站安全風險。產品主要部署在網站服務器的前方。通過特徵提取和分塊檢索技術進行模式匹配來達到過濾，分析，校驗網絡請求包的目的，在保證正常網絡應用功能的同時，隔絕或者阻斷無效或者非法的攻擊請求。

蜜罐

蜜罐是一種安全威脅的主動防禦技術，它通過模擬一個或多個易受攻擊的主機或服務來吸引攻擊者，捕獲攻擊流量與樣本，發現網絡威脅，提取威脅特徵，蜜罐的價值在於被探測，攻陷。

七. 了解過系統加固嗎？

答：

賬戶安全

口令安全

服務與端口收斂

關閉或者限制常見的高危端口，比如說22端口(SSH)，23端口(Telnet)，3389端口(RDP)

compmgmt.msc排查計劃任務

linux上iptables封禁IP或者限制端口

文件權限管理

linux上chmod修改文件權限 chattr重要文件設置不可修改權限

系統日誌審計

linux上設置系統日誌策略配置文件

系統日誌 /var/log/message

cron日誌/var/log/cron

安全日誌/var/log/secure

設備和網絡控制

比如在涉密計算機上禁止訪問外網，為了避免用戶繞過策略可以禁止用戶修改IP

刪除默認路由配置，避免利用默認路由探測網絡

禁止使用USB設備比如U盤

禁止ping命令，即禁用ICMP協議訪問，不讓外部ping通服務器

八. 有沒有安全設備的使用經驗？

答：

態勢感知或者說安全運營方面開源項目OSSIM。

IPS(入侵防禦系統)方面Snort和安全洋蔥Security Onion。

防火牆方面TinyWall和ClearOS，或者說像火絨，騰訊安全管家等一些常規的防護軟件。

WAF（Web應用防火牆 ）方面ModSecurity和網站安全狗以及寶塔。

威脅情報方面MISP和OpenCTI。

漏洞掃描方面OpenVAS，針對web站點的漏洞掃描工具使用過AWVS，Nessus

堡壘機方面JumpServer(linux系統安裝，但可以添加windows主機作為資產)。

蜜罐方面T-Pot(基於Linux系統安裝)和微步的Hfish。

九. CS是什麼東西，知道怎麼使用嗎？

答：

簡介

CobaltStrike是一款滲透測試工具，被業界人稱為CS。CobaltStrike分為客戶端與服務端，服務端是一個，客戶端可以有多個，可用於團隊分布式協同操作。

功能

CobaltStrike 集成了端口轉發，服務掃描，自動化溢出，多模式端口監聽，windows exe 木 馬生成，windows dll 木馬生成，java 木馬生成，office 宏病毒生成，木馬捆綁。釣魚攻擊等功能。

使用

一般使用步驟就是，先啟動服務端，然後啟動客戶端連接獲得一個可視化的界面，新建監聽器來接收會話，生成木馬文件(常見.exe可執行文件，office宏病毒，html應用程序類型的後門文件)，上傳到受害者主機，當受害者運行該木馬文件時目標主機就在CS上線了。

十. WAF方面有沒有了解過，清楚WAF的分類和原理嗎？

答：

分類：

WAF分為非嵌入型WAF和嵌入型WAF，非嵌入型指的是硬WAF、雲WAF、虛擬機WAF之類的；嵌入型指的是web容器模塊類型WAF、代碼層WAF。

原理：

Web應用防火牆是通過執行一系列針對HTTP或者HTTPS的安全策略來專門為Web應用提供保護的一款產品。WAF對請求的內容進行規則匹配、行為分析等識別出惡意行為，並執行相關動作，這些動作包括阻斷、記錄、告警等。

十一. Powershell了解過嗎？

答：

簡介

PowerShell 是一種命令行外殼程序和腳本環境，主要用於Windows計算機方便管理員進行系統管理並有可能在未來取代Windows上的默認命令提示符。PowerShell腳本因其良好的功能特性常用於正常的系統管理和安全配置工作。

使用

常見的操作 pwd ls cd mkdir rm

get-process獲取所有進程信息

get-date獲取當前時間信息

get-host獲取當前主機信息

然後就是使用PowersSploit(基於Powershell的後滲透框架軟件，包括了很多Power shell攻擊腳本，主要用於滲透中的信息收集，權限提升，權限維持)的時候在Powshell上使用過一些下載和運行攻擊腳本的命令。

十二. MSF是什麼？知道怎麼使用嗎？

答：

簡介：

Metasploit Framework(MSF)是一款開源安全漏洞檢測工具，附帶數千個已知的軟件漏洞，並保持持續更新。Metasploit可以用來信息收集、漏洞探測、漏洞利用等滲透測試的全流程。

模塊：

Auxiliary（輔助模塊）

為滲透測試信息搜集提供了大量的輔助模塊支持

Exploits（攻擊模塊）

利用發現的安全漏洞或配置弱點對遠程目標系統 進行攻擊，從而獲得對遠程目標系統訪問權的代碼組件。

Payload（攻擊載荷模塊）

攻擊成功後促使靶機運行的一段植入代碼

Post （後滲透攻擊模塊）

收集更多信息或進一步訪問被利用的目標系統

Encoders（編碼模塊）

將攻擊載荷進行編碼，來繞過防護軟件攔截

使用：

首先利用Auxiliary輔助探測模塊掃描，嗅探，指紋識別相關漏洞，然後確認漏洞存在使用Exploit漏洞利用模塊對漏洞進行利用，包括設置payload攻擊載荷，設置本機監聽等等。漏洞利用成功目標主機就會通過設置的端口主動連接，產生會話。進而可以進行後滲透。

功能：

木馬免殺，抓取用戶密碼，關閉殺毒軟件，屏幕截圖，新建賬號，遠程登錄，遷移進程，提權操作，網絡嗅探，端口轉發 ，內網代理，內網掃描，生成後門，清除日誌等等。

十三. 使用過什麼XSS平台嗎？

答：

1.清華藍蓮花戰隊的BlueLotus。

2.xss-platform平台。

2.kali中的beef平台。

3.利用工具Postman。

十四. SQL注入怎麼寫入webshell？

答：

條件：

1、知道web絕對路徑

2、有文件寫入權限(一般情況只有ROOT用戶有)

3、數據庫開啟了secure_file_priv設置

然後就能用select into outfile寫入webshell

常見手法：

聯合注入寫入

dumpfile函數寫入

lines terminated by 寫入

lines starting by 寫入

fields terminated by 寫入

columns terminated by 寫入

sqlmap寫入

十五. 了解過反序列化漏洞嗎？

答：

原理：

序列化是指程序將對象轉化為字節序列從而便於存儲運輸的一種方式，反序列化則與其相反，即將字節序列轉化為對象供程序使用。程序在進行反序列化時會調用一些函數，比如常見的PHP反序列化函數unserialize()以及一些常見的魔術方法，比如構造函數_construct()，析構函數_destruct()，_wakeup()，_toString()，_sleep()等等。如果這些函數在傳遞參數時沒有進行嚴格的過濾措施，那麼攻擊者就可以構造惡意代碼並將其序列化後傳入函數中，從而導致反序列化漏洞。

Java反序列化

Java反序列化就是將java對象轉化為字節序列的過程。反序列化的過程就是

1，創建一個對象輸出流

2，通過對象輸出流的ReadObject()方法來讀取對象

十六. 常見的框架漏洞？

答；

log4j遠程代碼執行漏洞

原理：

Log4j 是Apache 的一個開源項目，是一款基於Java 的開源日誌記錄工具。該漏洞主要是由於日誌在打印時當遇到`${`後，以:號作為分割，將表達式內容分割成兩部分，前面一部分prefix，後面部分作為key，然後通過prefix去找對應的lookup，通過對應的lookup實例調用lookup方法，最後將key作為參數帶入執行，引發遠程代碼執行漏洞。

具體操作：

在正常的log處理過程中對**${**這兩個緊鄰的字符做了檢測，一旦匹配到類似於表達式結構的字符串就會觸發替換機制，將表達式的內容替換為表達式解析後的內容，而不是表達式本身，從而導致攻擊者構造符合要求的表達式供系統執行

Fastjson反序列化漏洞

判斷：

正常請求是get請求並且沒有請求體，可以通過構造錯誤的POST請求，即可查看在返回包中是否有fastjson這個字符串來判斷。

原理：

fastjson是阿里巴巴開發的一款將json字符串和java對象進行序列化和反序列化的開源json解析庫。fastjson提供了autotype功能，在請求過程中，我們可以在請求包中通過修改@type的值，來反序列化為指定的類型，而fastjson在反序列化過程中會設置和獲取類中的屬性，如果類中存在惡意方法，就會導致代碼執行等這類問題。

無回顯怎麼辦：

1.一種是直接將命令執行結果寫入到靜態資源文件里，如html、js等，然後通過http訪問就可以直接看到結果

2.通過dnslog進行數據外帶，但如果無法執行dns請求就無法驗證了

3.直接將命令執行結果回顯到請求Poc的HTTP響應中

Shiro反序列化漏洞

原理：

Shiro是Apache下的一個開源Java安全框架，執行身份認證，授權，密碼和會話管理。shiro在用戶登錄時除了賬號密碼外還提供了可傳遞選項remember me。用戶在登錄時如果勾選了remember me選項，那麼在下一次登錄時瀏覽器會攜帶cookie中的remember me字段發起請求，就不需要重新輸入用戶名和密碼。

判斷：

1.數據返回包中包含rememberMe=deleteMe字段。

2.直接發送原數據包，返回的數據中不存在關鍵字可以通過在發送數據包的cookie中增加字段：****rememberMe=然後查看返回數據包中是否存在關鍵字。

shiro-550：

shiro反序列化漏洞利用有兩個關鍵點，首先是在shiro<1.2.4時，AES加密的密鑰Key被硬編碼在代碼里，只要能獲取到這個key就可以構造惡意數據讓shiro識別為正常數據。另外就是shiro在驗證rememberMe時使用了readObject方法，readObject用來執行反序列化後需要執行的代碼片段，從而造成惡意命令可以被執行。攻擊者構造惡意代碼，並且序列化，AES加密，base64編碼後，作為cookie的rememberMe字段發送。Shiro將rememberMe進行編碼，解密並且反序列化，最終造成反序列化漏洞。

shiro-721：

不需要key，利用Padding Oracle Attack構造出RememberMe字段後段的值結合合法的Remember。

十七.了解過redis數據庫和常見的漏洞嗎？

答：

redis是一個非關係型數據庫，使用的默認端口是6379。常見的漏洞是未授權訪問漏洞，攻擊者無需認證就可以訪問內部數據。利用手段主要有：

1.向root權限賬戶寫入ssh公鑰文件，直接免密登錄服務器。(受害者redis非root權限運行會報錯)

2.寫入webshell

3.反彈連接shell

4.定時任務反彈shell

利用定時任務反彈shell在目標系統是Centos上可用，Ubuntu上有限制

理由如下：

利用主從複製getshell

redis未授權訪問漏洞的防範措施：

十八. SSRF怎麼結合Redis相關漏洞利用？

答：

主要通過兩種協議，dict協議和gopher協議。

dict協議利用redis相關漏洞：

探測端口：

ssrf.php?url=dict://x.x.x.x:$端口$ 利用burpsuite爆破端口

探測是否設置弱口令：

ssrf.php?url=dict://x.x.x.x:6379/info 已知端口利用info探測是否設置了密碼

爆破密碼：

ssrf.php?url=dict://x.x.x.x:6379/auth:$密碼$ 利用burpsuite爆破密碼

寫入webshell：

1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切換文件目錄

2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 設置保存文件名

3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"

//利用dict協議寫入webshell 以上的字符編碼是<?php phpinfo();?>的十六進制

4.ssrf.php?url=dict://x.x.x.x:6379/save 保存

dict協議利用計劃任務反彈shell或者寫入ssh公鑰的手段類似

gopher協議利用redis未授權訪問漏洞寫入webshell：

常規利用步驟：

兩次url編碼後構造url：

//第一次url解碼和第二次url解碼

//同理其他類似計劃任務反彈和寫入ssh公鑰等getshell方式相似

十九. windows應急響應時排查分析的相關細節？

答：

可疑賬號排查 lusrmgr.msc

1.檢查服務器是否有弱口令。比如空口令或者密碼複雜度不夠。

2.高危端口是否對外開放，比如SSH服務22端口，RDP服務3389端口等。

3.查看服務器是否有可疑賬號。

手工方面：lusrmgr.msc命令查看用戶和組，查看是否有新增賬號，隱藏賬號，克隆賬號。

工具方面：比如利用D盾等工具來檢測隱藏賬號。

4.結合日誌分析 eventvwr.msc 查看管理員登錄時間，相關事件是否有異常。

敏感事件ID：

4624 登錄成功

4625 登錄失敗

4672 使用超級管理員進行登錄

4720 創建用戶

5.使用query user查看當前系統的會話，比如查看是否有人使用遠程登錄服務器。

可疑進程和服務排查 taskmgr services.msc

1.查看CPU，內存，網絡等資源是否有可疑狀況。比如CPU占用率過高可能是中了挖礦病毒，磁盤空間大量占用可能是腳本或病毒大量生成和複製隱藏文件。

2.檢查進程名

某些進程名是大量隨機的情況，比如hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多個名字相似的進程，基本上可以斷定是異常進程。

異常進程名偽裝成系統進程或者說常見服務的進程名，此時可以通過進程描述來判斷，並且需要手工對比。

3.檢查進程和服務描述，修改時間或者數字簽名是否有異常。

4.利用工具進行檢測，比如Process Hunter或者火絨劍等專門針對進程服務信息的排查分析工具，主要查看的是公司名，描述，安全狀態和啟動類型等方面來排查。

可疑啟動項排查 msconfig

1. msconfig或者任務管理器中的啟動項查看名稱，發布者和啟動影響，以及右鍵查看屬性來看數字簽名和修改時間。

2. 結合工具進行排查，比如火絨劍等工具，會將啟動項分類為登錄，驅動程序，計劃任務，映像劫持等，利用分析排查

可疑文件排查

1.各個磁盤的Temp/tmp目錄中是Windows產生的臨時文件，查看有無異常文件。

2.Recent目錄會記錄最近打開的文檔以及程序的相關記錄。

3.查看文件的創建時間，修改時間和訪問時間，比如說攻擊者利用菜刀等工具對文件進行修改會改變修改時間，如果修改時間在創建時間之前，那就是很明顯的可疑文件。

4.windows系統我的電腦快速訪問，可以看到最近使用的文件，比如說圖片或者壓縮包等文件的使用歷史和文件路徑都會顯示。

惡意樣本排查

1.惡意樣本指的一般是webshell，病毒，木馬或者後門程序或文件，可以根據設備的告警信息來查找相關路徑，再排查相關的進程和啟動項。

2.不知道路徑的話可以利用相關的安全設備來進行檢測，比如說通過D盾，河馬查殺等工具對webshell可能存在的目錄進行一個排查查殺，利用常規的防火牆軟件來對全盤或者可疑目錄掃描病毒。

二十. 常見的webshell連接工具流量？

答：

中國菜刀

連接過程中使用base64編碼對發送的指令進行加密，其中兩個關鍵payload z1 和 z2，名字都是可變的。

然後還有一段以QG開頭，7J結尾的固定代碼。

蟻劍

默認的user-agent請求頭是antsword xxx，不過可以修改。

一般將payload進行分段，然後分別進行base64編碼，一般具有像eval這樣的關鍵字，然後呢大概率還有@ini_set("display","0");這段代碼。

冰蠍

php代碼中可能存在eval，assert等關鍵詞，jsp代碼中可能會有getclass()，getclassLoader()等字符特徵。

冰蠍2.0

第一階段請求中返回包的狀態碼是200，返回內容是16位的密鑰。建立連接後的cookie格式都是Cookie：PHPSessid=xxxx ；path=/；特徵。

冰蠍3.0

請求包中的conten-length字段是5740或者5720，然後請求頭也具有特徵信息，不過這個比較長，沒有記住。

哥斯拉

1.jsp代碼中可能會具有getclass，getclassLoader等關鍵字，payload使用base64編碼等特徵。php和asp則是普通的一句話木馬。

2.在響應包的cache-control字段中有no-store，no-cache等特徵。

3.所有請求中的cookie字段最後面都存在；特徵

————————————————

作者：熱愛畫家夫人

原文鏈接：https://blog.csdn.net/zlloveyouforever/article/details/125174473