蓝队安全设备与面试要点汇总

约 43 分钟读完

设备问题

一、天眼设备

1、在天眼设备中,sip、dip、sport、dport字段的含义?

答:sip是源IP、dip是目的IP;sport是源端口、dport是目的端口。

2、在天眼分析平台DNS协议中的dns type字段的含义是什么?

答:dns type表示DNS请求类型;0表示DNS请求、1表示DNS响应。

3、dns_type中的addr代表什么?

答:表示该host对应的IP地址信息.

4、天眼可以捕捉到远程的cmd命令吗?

答:可以捕捉到,比如攻击者远控你内网机器,执行cmd并返回结果。

5、天眼告警可以显示的结果,除了成功和失败还有什么嘛?

答:成功、失败、未知、尝试

未知:一般都是告警生成了错误,可以忽略。

尝试:可能成功也可能失败,需要全部分析。

6、内网横向有哪些告警类型?

答:cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解等。

补充:如果内网主机对内部其他主机进行攻击,说明该内网主机可能已经沦为攻击者的跳板机,企图控制更多的内网的其他主机。

7、使用天眼设备如何判断资产是否失陷?

答:受害资产不断对外联恶意地址,受害资产有shell连接或者隧道类告警。

8、当出现受害IP为源的时候是什么情况?

答:当网络攻击者使用IP伪造技术或IP欺骗技术时,可能会发生IP为源的情况。

9、在天眼分析中,SSL协议字段中表示服务器名称的字段是什么?

答:server name

10、在天眼分析中,威胁告警检索字段中attack sip字段的含义是什么?

答:指的是攻击者的IP

11、在天眼分析平台中,proto字段表示的含义是什么?举两个邮件应用的例子?

答:proto表示协议;邮件应用协议有ETP、POPIMAP

12、天眼分析平台中,IOC代表什么含义、反映?

答:IOC表示匹配成功的威胁情报

IOC反映的是主机或网络失陷的特征信息,包括入侵工具、恶意软件和攻击者的属性。

13、在天眼中怎么搜索一个在日志里指定的端口?怎么把两个端口连接一起查询?

答:sport eq 80

sport eq 80 OR sport eq 445

14、一个告警的目的IP是114.114.114.144,端口是53,在这样的告警,我们应该对其IP和端口进行封禁吗?

答:不能封禁,明显是dns服务器转发的地址和端口,我们需要进一步确认真实受害资产的IP信息。

15、在天眼分析平台中,如何搜索源IP为A,目的IP为B的网络日志?

答:ip(A) AND dip(B)

补充:AND运算符一定要大写。

16、在天眼分析平台中,有哪些运算符?

答:AND OR NOT  

17、天眼分析平台模糊搜索,应该怎么查询语句?

答:直接在日志检索模块里去搜索你要输入的关键字,使用“*”加部分名称进行检索。

18、GEO字段代表什么?

答:代表IP对应的地理位置

19、不出内网的主机通过哪种代理方式建立连接?

答:可以通过正向代理建立连接。

20、天眼告警主机外联的排查思路?

答:主机外联主要判断主机请求的外网地址是否是恶意,或者是dnslog相关平台域名,若地址在威胁情报查询是恶意或请求dnslog相关域名次数较多,可判断主机异常。

21、天眼中成功利用的告警如何处理?

根据告警类型,分析回显特征是否利用成功。若数据包无法判断,可以复现漏洞判断。判断告警如果确实利用成功,立刻通报到研判组或客户。

22、告警成功怎么处理?

答:首先验证一下是否是成功有效的,如果是有效的就写下问题的详情,然后同步给研判组或者客户。

失败的话,我们再判断攻击者是手动进行攻击还是使用工具进行攻击;

使用分析平台进一步分析,查看攻击IP是否存在其他攻击行为,记录攻击结果,将发现时间及攻击行为反馈给护网客户。

img

椒图设备

1、在椒图平台日志分析中result字段表示的含义是?

答:拦截结果;0表示已拦截,1表示未拦截。

2、在椒图平台中如何配置针对服务器非白名单账号和登录IP的监控?

答:通过威胁检测—异常登录—违规登录—登录规则设置,添加白名单账户和IP。

3、在椒图平台下发web类安全策略需要使用哪个功能?

答:安全防护—功能设置

4、在椒图平台日志分析中P字段是攻击者IP还是受害者IP呢?

答:攻击者IP

5、告警分析中,payload大概在什么位置?

答:通常在请求包中的请求头url中,post数据包也可能存在。

6、什么告警不难很快分析出来?

答:部分sql注入因为无明显回显,所以不能很快的分析出来。

7、分析中心有什么日志?

答:告警日志、原始日志、终端日志。

8、Referer字段是什么?

答:Referer是HTTP请i求header中的一部分,当浏览器向web服务器发送请求时,头信息里包含Referer字段。

9、如何确定web攻击是真实攻击还是误报攻击,从多角度回答,举例说明?

答:真实攻击查看请求报文和响应报文。比如:sql注入,特殊字符,比如and、or、union、select,再查看响应码为200,且出现success等字样。

10、.护网期间,如果客户的流量特别大,面对很多条告警应该去首先关注筛选哪些的告警?

答:1、 遇着这种情况一方面优先分析成功告警的,再分析成功之外的其他高危告警,如webshell、命令执行、shell连接等。最后分析剩余告警, 同时对于攻击频率较高的攻击ip及时上报封禁,可有效减少告警量。

web方面

1、sql注入的原理

答:指的是web应用程序对用户输入的sql语句没有进行严格的过滤和验证,导致攻击者可以将自己构造的sql语句与我们后端的sql语句进行拼合,在管理员不知情的情况下实现非法操作,比如攻击者可以在我们服务器上执行非授权的任意查询,从而是我们的信息泄露。

2、sql盲注的原理

答:sql盲注和sql注入差不多,只不过sql盲注需要通过页面的回显内容来判断注入的字符是否正确,攻击者需要一个字符一个字符的去猜测。

3、宽字节注入的原理

答:向系统提交表单或查询请求时,将一些特殊的字符以另外的编码方式提交给服务器,让服务器错误的解读字符,从而使请求出现异常。

4、堆叠注入的原理

答:mysql数据库sql语句的默认结束符是以“;”结尾,在执行多条sql语句时就要用结束符隔开,那么分号结束一条sql语句后继续构造下一条语句,然后去执行。

5、报错注入用到的函数以及原理

答:函数:updatexml、floor、exp

原理:updatexml()一共有三个参数,第一个是xml内容、第二个参数是update的位置XPATH路径、第三个参数是更新后的内容;这里报错的主要原理是利用第二个参数,当其校验输入的内容是否符合XPATH格式的时候,不符合就报错,我们将第二个参数替换为version()或者database()等等,因为不满足XPATH格式所以会输出错误,输出错误的时候将sql代码(verson()/database()等)执行了。

6、sql注入的分类

答:我们可以把sql注入直接的分为字符型和数字型,主要特点就是在进行sql注入的时候是否需要闭合传参的单引号,不需要闭合说明是数值型,反之就是字符型;还可以将sql注入分为有回显的注入和无回显的注入,无回显的注入又别称为盲注,盲注有三大类,布尔盲注、时间盲注以及报错盲注;根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等,根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。

7、sql注入的绕过方式

答:大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号等

8、文件上传漏洞的原理

答:在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。

9、文件下载漏洞的原理

答:是指攻击者利用Web应用程序中的漏洞,通过某种方式下载到了应该不被公开访问的文件,这些文件可能包含敏感信息,如用户凭证、密码等,从而造成安全风险。

10、为了防止文件下载漏洞,应该采取的措施

答:1. 对文件下载链接进行严格的访问控制,只有经过授权的用户才能访问;

2. 验证用户请求中的参数,防止攻击者利用构造的请求进行攻击;

3. 对应用程序进行安全测试,及时发现和修复漏洞。

11、命令执行漏洞的原理

答:命令执行漏洞是指攻击者能够通过向应用程序或系统发送恶意输入,从而使其执行未经验证或不受信任的命令。

12、命令执行漏洞的防御措施

答:1. 输入验证:应用程序必须对所有输入数据进行严格验证,以防止攻击者提交恶意数据。

2. 输入过滤:应用程序必须过滤掉不必要的字符和符号,以确保输入数据不包含任何恶意代码。

3. 最小权限原则:应用程序应该以最小的权限级别运行,以减少攻击者利用漏洞获取系统权限的可能性。

13、代码执行漏洞的原理:

答:代码执行漏洞是指攻击者能够在Web应用程序中执行自己的恶意代码。这种漏洞可能会导致攻击者控制整个应用程序,从而窃取敏感信息、篡改数据、甚至在服务器上执行命令。

14、为了避免代码执行漏洞,可以采取以下预防措施:

答:1. 对于用户输入的数据,需要进行严格的过滤和验证,避免用户输入的数据被当做代码执行。

2. 在服务器上,需要正确设置文件和目录的访问权限,避免攻击者利用目录遍历漏洞在服

务器上执行命令。

15、XSS漏洞的原理(简称为跨站脚本攻击)

答:是一种常见的Web安全漏洞,攻击者可以通过注入恶意脚本,获取用户的敏感信息或者控制用户的浏览器。XSS攻击通常发生在网站中的表单、搜索框、评论等交互式页面中。常见的payload:Script标签、Img标签、a标签。

*17、*XSS*漏洞可以分为以下三种类型*

答:1. 存储型XSS:攻击者将恶意脚本存储在数据库中,当用户浏览页面时,恶意脚本会从数据库中取出并执行,从而攻击用户。

2. 反射型XSS:攻击者通过URL或者表单提交等方式将恶意脚本注入到页面中,用户打开页面后,恶意脚本会被执行,从而攻击用户。

3. DOM型XSS:攻击者通过修改页面的DOM节点,注入恶意脚本,当用户与页面交互时,恶意脚本会被执行,从而攻击用户。

*18、*XSS*漏洞的预防措施包括:*

答:1. 过滤用户输入的数据,特别是用户的HTML、JavaScript等代码,以防止注入攻击。

2. 对用户输入的数据进行编码,例如使用HTML实体编码、URL编码等。

3. 限制用户输入的数据长度,避免攻击者通过输入超长数据来进行攻击。

4. 及时更新Web应用程序的安全补丁,避免已知的安全漏洞被攻击者利用。

5. 对于需要认证的页面,需要验证用户的身份,以避免攻击者通过伪造用户身份进行攻击。

6. 使用HTTP-only,禁止javaScript读取cookie。

19、CSRF漏洞的原理(简称为跨站请求伪造攻击)

答:是一种常见的Web安全漏洞,攻击者利用用户已登录的身份,向Web应用程序发起恶意请求,以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。

*20、*CSRF*攻击的过程可以简单描述为以下几步:*

答:1. 攻击者构造恶意请求,其中包含攻击目标的关键操作,例如转账、修改密码等。

2. 攻击者将恶意请求嵌入到诱骗用户点击的链接、图片等元素中。

3. 用户在登录状态下访问包含恶意请求的页面时,浏览器会自动发送请求,攻击目标就会执行,从而达到攻击者的目的。

21、*为了避免CSRF漏洞,可以采取以下预防措施*

答:1. 在关键操作之前,先进行身份验证,例如输入密码、输入验证码等。

2. 在Web应用程序中加入随机令牌机制,防止攻击者伪造请求。

3. 使用HTTP-only,禁止javaScript读取cookie。

22、SSRF(简称服务器端请求伪造)

答:是一种常见的Web安全漏洞,攻击者通过构造恶意请求,利用Web应用程序的漏洞,将请求发送到内部网络中的其他服务,进而获取敏感信息或者获得内部服务的控制权。

23、*SSRF攻击的过程可以简单描述为以下几步:*

答:1. 攻击者构造恶意请求,其中包含攻击目标的关键操作,例如读取文件、获取机密信息等。

2. 攻击者将恶意请求发送给Web应用程序,Web应用程序将恶意请求发送到内部网络中的其他服务。

3. 内部网络中的其他服务执行了恶意请求,将敏感信息或者控制权返回给攻击者。

24、*为了避免SSRF漏洞,可以采取以下预防措施:*

答:1. 对于外部请求,需要进行严格的输入验证和过滤,避免攻击者通过构造恶意URL来绕过防护措施。

2. 对于内部请求,需要对请求的URL进行白名单校验,只允许请求已经明确授权的内部服务。

25、文件包含漏洞

答:web应用程序中没有正确的过滤或验证用户输入,导致攻击者可以通过构造恶意请求,将任意文件包含到web应用程序中,从而执行恶意代码或读取敏感数据等操作。

26、文件包含漏洞的防御措施

答:1、 对用户输入的数据进行过滤和安全验证。

2、检查系统配置,确保 PHP 中禁用了 allow_url_fopen 和 allow_url_include 选项。这将禁止远程文件包含和文件读取操作,从而减少了攻击者利用文件包含漏洞的机会。

27、XXE漏洞的原理

答:是指攻击者通过构造恶意XML数据来触发XML解析器漏洞,从而读取本地文件、执行任意命令等操作。

28、XXE漏洞的防范

答:1、应该使用验证器和解析器,清除不信任的输入数据,以防止注入攻击。

2、禁止外部实体,设置解析器的特定属性来进行解析。

29、目录遍历漏洞

答:目录遍历通常是由于web服务器配置错误,或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。

30、反序列化漏洞原理

答:序列化是指Java对象转化为二进制文件的过程,反序列化指的是这个文件再转化为Java对象的过程,本身是个正常过程,但如果被转化的这个文件是个恶意的,转化后的对象也是会是恶意的,由此可造成命令执行等等威胁。

31、反序列化漏洞修复建议

答:一般我们遇到的反序列化漏洞,基本都是使用了具有反序列化漏洞的组件或者类造成的,一般我们打补丁或者升级到最新版本就可以防御。

32、Shiro反序列化漏洞

答:Shiro < 1.2.4版本会存在此漏洞,挖掘的时候删除请求包中的rememberMe参数,返回包中包含rememberMe=deleteMe字段。说明使用了shiro组件,可以尝试此漏洞。

如果返回包无此字段,可以通过在发送数据包的cookie中增加字段:rememberMe=,然后查看返回数据包中是否存在关键字。

33、Fastjson反序列化漏洞

答:Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名,由此造成反序列化漏洞。

34、Log4j漏洞

答:本身是Apache日志功能,他有个日志遍历的功能,当碰到${jndi:// } ,会遍历执行,JNDI功能又可以使用ldap或者rmi来引入class文件,我们只需要在class文件中加入需要执行的恶意代码,就可以造成代码注入。

35、中间件漏洞 解析漏洞

答:Apache文件名解析

从后往前解析,如果解析文件a.php.abc,先解析abc,Apache发现不认识,就会往前,解析PHP,最终文件会以PHP方式解析

IIS解析漏洞

1、目录解析:IIS从前往后解析,解析a.asp/a.jpg文件时,会先发现asp后缀,以为文件格式为asp,按照asp的方式解析

2、文件名解析:IIS从前往后解析,解析a.asp;.jpg文件时,会先发现asp后缀,以为文件格式为asp,按照asp的方式解析

3、Nginx 畸形文件名解析

解析文件a.jpg文件时,访问a.jpg/.php,查找文件内容时,.php不是完整文件名,因此从后往前找到a.jpg文件,确认文件类型时,nginx关注的是后缀,.php有完整的后缀,所以按照php去解析,因此a.jpg文件就会被解析成php。

36、有反序列化漏洞的中间件

答:Tomcat、Jboss、weblogic

常用的webshell管理工具的流量特征

一、菜刀流量特征 最开始是明文传输,后来采用base64加密:

PHP类WebShell链接流量

如下:

第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;

第二:(base64_decode(P O S T [ z 0 ] ) ) , ( b a s e 6 4 d e c o d e ( _POST[z0])),(base64_decode(POST[z0])),(base64 ecode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;

第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。

注:

1.有少数时候eval方法会被assert方法替代。

2.POST 也会被 _POST也会被、POST也会被_GET、$_REQUEST替代。 3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。

二、蚁剑(PHP用base64加密) PHP类WebShell链接流量

将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。

蚁剑绕过特征流量

由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。

三、冰蝎(AES对称加密) 通过HTTP请求特征检测

1、冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream。

2、冰蝎3.0内置的默认内置16个ua(user-agent)头。

3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长。

四、哥斯拉(base64加密)

特征:

1、发送一段固定代码(payload),http响应为空

2、发送一段固定代码(test),执行结果为固定内容

3、发送一段固定代码(getBacisInfo)

一、log4j远程代码执行漏洞

原理: Log4j是Apache的一个开源项目,是一款基于Java的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到"${"后,以:号作为分割,将表达式内容分割成两部分,前面一部分prefix,后面部分作为key,然后通过prefix去找对应的lookup,通过对应的lookup实例调用lookup方法,最后将key作为参数带入执行,引发远程代码执行漏洞。

具体操作: 在正常的log处理过程中对"$["这两个紧邻的字符做了检测,一旦匹配到类似于表达式结构的字符串就会触发替换机制,将表达式的内容替换为表达式解析后的内容,而不是表达式本身,从而导致攻击者构造符合要求的表达式供系统执行。

二、fastjison漏洞

判断:

正常请求是get请求并且没有请求体,可以通过构造错误的POST请求,即可查看在返回包中是否有fastison这个字符串来判断。

原理: fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。

无回显怎么办?

1.一种是直接将命令执行结果写入到静态资源文件里,如html、js等,然后通过http访问就可以直接看到结果。

2.通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了。

3.直接将命令执行结果回显到请求Poc的HTTP响应中。

三、shrio反序列化漏洞

原理: Shiro是Apache下的一个开源Java安全框架,执行身份认证,授权,密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项rememberme。用户在登录时如果勾选了rememberme选项,那么在下一次登录时浏览器会携带cookie中的rememberme字段发起请求,就不需要重新输入用户名和密码。

判断: 1.数据返回包中包含rememberMe=deleteMe字段。

2.直接发送原数据包,返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段:rememberMe=然后查看返回数据包中是否存在关键字。

shiro-550: shiro反序列化漏洞利用有两个关键点,首先是在shiro<1.24时,AES加密的密钥Key被硬编码在代码里,只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法。 readObject用来执行反序列化后需要执行的代码片段,从而造成恶意命令可以被执行。攻击者构造恶意代码,并且序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码,解密并且反序列化,最终造成反序列化漏洞。 shiro-721: 不需要key,利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。

一、权限提升(重要内容)

Windows提权方式

1、内核提权,利用WinSystemHelper跑一下,给出适合的内核漏洞编号,尝试就可以了

2、数据库提权(漏洞提权、弱口令、into outfile),MySQL UDF提权,SQLserver使用xp_cmdshell提权

3、应用提权

4、中间人劫持等

Linux提权

1、内核漏洞提权

2、SUID提权,文件设置SUID 权限,会允许用户执行此文件时,以属主的身份运行,如果此文件的属主为root,则以root身份执行

3、sudo提权 sudo命令可以使任意用户使用root权限执行命令,此命令被滥用会造成提权

4、定时任务提权 利用crontab设置定时任务,会默认以root身份执行

5、curl提权 sudo curl file:///etc/shadow 会访问存有所以用户密码哈希值的shadow文件,以此获取到高权限用户密码

一、渗透测试

1、信息收集:

主要使用nmap、御剑、fofa等工具,收集端口、同网段的IP、子域名、相关服务、框架、以及使用的中间件等组件的版本信息,还有就是历史漏洞信息等。

2、漏洞扫描:

根据收集到的信息使用漏扫等工具进行扫描爆破等自动化探测,按照扫描结果进行漏洞验证。

3、手工漏洞挖掘:

进行手工漏洞验证和手工漏洞的挖掘,先将收集到的框架漏洞、组件漏洞进行手工验证;然后对主要功能点,比如登录页面、文件上传页面、信息查询页面、密码重置页面等,使用burpsuite等工具进行漏洞挖掘。

4、提权:

在客户许可后,对拿到shell权限的漏洞点进一步提权或者内网渗透。

5、痕迹清除:

清理渗透过程中留下的木马、账号等内容。

6、报告书写:

根据检查出的漏洞及漏洞修复建议,写漏洞报告。

7、漏洞复测:

在客户修复完成之后,进行漏洞复测,检查漏洞是否修复完成,完成闭环。

二、应急响应

基本流程:

1. 检查服务器进程列表,排查是否存在异常进程。 2. 进一步检查可疑的进程,如果是可疑进程,立即杀掉进程。 3. 检查服务器上的可疑文件,找出是否有异常修改并追溯攻击来源。 4. 检查服务器的网络连接记录,查看流量和连接的来源,排除外部攻击的可能。 5. 报告相关情况给公司负责人以及溯源人员。

案例:

在之前的护网期间,有一次我们的服务器遭到了攻击,我们立即展开应急响应工作,我们首先做的是向攻击者的IP范围加入防火墙,限制恶意流量进入服务器,当时我们的服务器已经接收到了一部分恶意流量,我们当时选择了丢弃,因为我们不能让其影响服务器的带宽和处理能力,然后我们在服务器上查看进程信息,发现恶意进程后,我们也是第一时间关闭了恶意进程,我们也删除了攻击者留下的恶意文件,因为攻击者是利用我们服务器的一些安全漏洞从而攻击我们的服务器,所以我们也是给服务器做了安全修复并且也打了补丁,最后我们维护日志文件并进行调查,在确定了攻击方式、攻击目的和攻击来源后,向研判进行汇报。

1、SQL注入类告警该怎么处理?

答:根据数据包回显,判断注入是否成功,如果成功可以直接上报研判,如果没有成功,但一直在尝试攻击,我们也可以上报研判,进行封禁IP。

2、SQL注入告警有什么特征?

答:请求报文中有特殊的sql字符,比如,and、or、id=1、updatexml、select、union等。

响应报文中有一些sql回显,就比如一些错误回显或者登陆成功的回显。

3、怎么在告警里面判断是否有sql注入?

答:请求报文中有特殊的sql字符,比如,and、or、id=1、updatexml、select、union等。

响应报文中有一些sql回显,就比如一些错误回显或者登陆成功的回显。(同上)

4、告警成功该怎么去处理?

答:首先要判断告警是否有效,如果是有效的话,我们可以直接上报给研判组。

5、告警日志的分析思路

答:首先要收集所有的告警日志,然后我们对收集的告警日志进行全面分析,根据告警的重要性和紧急程度确定告警的等级,然后我们再持续对告警日志进行监控和分析。

6、网络攻击类告警该怎么判断?

答:首先要确认目的资产是不是公司资产,如果不是就可以忽略;

然后再次判断总体的告警次数多不多,如果多就需要重点关注;

最后再看攻击载荷是否出现登陆成功的关键字,就如success等。

7、如何判断无效告警,使用安全设备?

答:可以通过特征规则将无效告警、误报告警过滤掉;

通过对告警日志进行研判分析,从中找出真实有效的攻击事件。

8、代理工具类告警怎么判断?

答:排除业务人员私自搭建代理的可能;

植入服务器之前,必定存在漏洞利用的情况,就比如文件上传、命令执行等漏洞;

查看受害资产所有的告警,确定再代理告警前后没有其他告警。

9、代理工具设备分析?

答:查看流量是否有代理工具的具体流量,就比如frp、ngroc等,都有公开的流量特征。

**10、怎么判断文件上传告警是否攻击成功? **

答:通过响应结果判断上传请求,上传成功的状态码通常是200;

也可以通过查看日志来判断上传是否成功;

也可以登录受害者主机全局搜索上传文件;

回显状态码为200,并且有上传成功路径,返回access等字样。

11、文件上传的排查思路?

web目录下进行目录扫描,可以用D盾或者河马;

查看web目录近期新增或修改的文件,排查是否有恶意文件。

12、XFF字段原理?哪一个可能是客户端真实地址?

答:XFF是指HTTP请求头中的一个字段,用来标识客户端的IP地址的; 最后的IP地址就是客户端的真实IP地址

13、XFF是否可信?或多个地址的情况?

答:不可信,存在伪造的可能 存在多个IP地址的情况

14、告警显示的ip是2.2.1,但xff里的ip是2.2.2,请求的真实ip是哪个?

答:以xff为准

15、XFF有可能会被伪造吗,原因是什么?

答:有可能,XFF通过多个代理服务器,在BP抓包的过程中,可以对其进行更改伪造。

16、内网横向有哪些告警类型?

答:cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解;

内网主机对内部其他主机的攻击行为,该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机。

17、设备内网攻击你怎么分析的?

答:是否有隧道流量、是否有横向攻击流量、是否有内网暴力破解的流量;

记录下内网有恶意行为机器的ip

18、 水坑攻击:(利用社会工程学)

答:分析攻击目标的上网活动规律;

寻找攻击目标经常访问的网站的漏洞;

将网站攻破并植入恶意程序,等待目标访问

19、鱼叉攻击:(钓鱼诱骗对方)

答:指利用电子邮件伪装,附上木马程序;

发送到目标电脑上;

诱导受害者去打开附件来感染木马。

20、钓鱼邮件的处理方法?

答:a、先确认邮件发送者信息是否正常,否则不要打开邮件

b、如果要排查是否有问题的话,推荐接入微步在线或奇安信的情报分析中心,对邮件内容出现的URL做扫描。

21、如何分析排查钓鱼邮件事件?

答:1.查看邮件发送时间点 2.排查邮箱登录日志,发现恶意IP在什么时间通过web登录成功 3.查看邮件内容,确认钓鱼邮件的影响和目的 4.排查浏览器或上网行为,判断是否访问过钓鱼页面 5.对访问过的设备进行全盘查杀

22、邮件服务器告警有两种可能,产生原因是什么?

答:一、是邮件服务器负责转发邮件至各个用户,所以钓鱼或病毒邮件接收端首先是邮件服务器ip

二、是邮件服务器假设的网站存在漏洞可能被攻陷(邮件服务器一般放在内网中)

23、中挖矿病毒的现象和处理方法?

答:系统CPU占用接近100%;

系统内存异常,占用不稳定。

处理:

a.kill死进程

b.使用漏扫工具扫描 c.找到可疑程序并删除 d.更新系统补丁

24、挖矿木马告警怎么判断?

答:1、如果有挖矿协议流量,判断下数据包里的协议是否是挖矿协议;

2、如果是威胁情报告警,将目的ip地址放入到威胁检测平台做检测,看是否被打上矿池标签。

25、如果有一个告警发现有挖矿木马,怎么在威胁感知上怎么从流量方面来确定是挖矿木马?

**答:如果从流量判断挖矿木马,**需要确认是否有挖矿协议流量,常见的有开头jsonrpc、Stratum之类的协议流量。

Stratum是一种用于矿池与矿工之间通信的开放式协议,用于协调矿池中的多个矿工进行加密货币挖掘。

Stratum协议流量通常使用TCP端口3333或3334。

26、天眼告警主机外联的排查思路?

答:主机外联主要判断主机请求的外网地址是否是恶意,或者是dnslog相关平台域名,若地址在威胁情报查询是恶意或请求dnslog相关域名次数较多,可判断主机异常。

windows

1、系统账户排查

**net user列出所有用户,进行可疑账号排查。 **

2、检查异常端口

netstat -ano

3、检查可疑进程和服务

tasklist

4、可疑启动项排查

msconfig

5、查看登录日志

eventvwr.msc

6、恶意样本排查

linux

1、查看用户信息

查看用户的账号文件信息 cat/etc/passwd

用于储存在linux系统中用户的密码信息 cat/etc/shadow

2、查看历史命令

history

3、检查异常端口的进程,杀死进程

检查异常端口 netstat -tunlp

检查异常进程 ps aux

杀死进程 kill -9 PID号

4、检查linux的启动项和系统的定时任务

crontab -l crontab查看是否有异常的任务编写进来

5、检查linux的日志信息

/var/log目录下的一些系统日志信息、安全日志信息等。

一、AWVS的使用

1.配置目标:打开AWVS软件后,需要配置目标网站或Web应用程序进行漏洞扫描。在AWVS的工具栏中,选择"Targets"(目标)菜单,在"Target Setup"(目标设置)中点击"Add"(添加)按钮,输入目标URL或IP地址,并点击"Add"(添加)按钮。

2.开始扫描:配置完目标后,你可以选择要执行的扫描任务类型。AWVS提供了多种扫描选项,包括全面扫描、高风险漏洞扫描、安全合规性扫描等。选择合适的扫描类型,并点击"Start Scan"(开始扫描)按钮。

3.监视和分析扫描结果:AWVS将自动进行扫描,并在扫描进程中提供实时的扫描结果。你可以监视扫描的进度,并查看发现的漏洞和弱点报告。AWVS提供了详细的漏洞描述、影响分析和建议的修复措施。

4.解决漏洞:一旦扫描完成,可以根据AWVS提供的漏洞报告,采取相应的措施来修复发现的漏洞和弱点。此过程可能需要与开发人员或网络管理员合作,以实施必要的安全补丁或配置更改。

5.定期扫描:为了保持网站和Web应用程序的安全性,建议定期重复以上的扫描过程。通过定期扫描,可以快速发现和解决新的漏洞,以确保系统的安全性。

二、CS的使用说明

1.侦查和扫描:使用CS进行侦查和扫描活动。可以使用内置的工具,如ping和portscan,来发现目标网络中的活跃主机和开放端口。CS还提供了其他更高级的侦查功能,例如域名信息收集和漏洞扫描。

2.可以建立CS团队服务器:在CS中,您可以设置一个CS团队服务器来与被攻击目标建立C2通信。这个团队服务器将作为攻击者和被攻击系统之间的中间节点。

3.入侵和渗透:使用CS来进行内网渗透和攻击。它提供了各种渗透技术和攻击向量,如钓鱼攻击、漏洞利用、无线网络攻击等。可以使用CS的"Beacon"模块来建立持久性访问和执行各种命令。

4.横向移动和权限提升:在内网渗透中,横向移动和权限提升是常见的目标。CS提供了各种工具和技术来获取更高级别的访问权限,如凭证盗取、提权漏洞利用等。

CS分为服务端和客户端

三、灯塔ARL的使用说明

1.数据收集:灯塔ARL提供了多种方式收集和导入安全相关数据,包括网络资产信息、安全日志、入侵检测系统(IDS)、入侵防御系统(IPS)日志、网络流量数据等。可以根据需要配置和集成不同的数据源。

2.威胁情报分析:灯塔ARL可以帮助我们分析和理解来自多个威胁情报源的数据,并生成相关的威胁情报报告。通过与已知威胁情报的比对,灯塔ARL可以帮助您识别可能的APT活动和威胁行为。

3.威胁检测和分析:灯塔ARL具备威胁检测和分析功能,可通过各种技术手段(如规则匹配、行为分析、机器学习等)对收集的数据进行威胁检测和分析。灯塔ARL可以帮助我们识别潜在的恶意活动、异常行为和安全事件。

4.威胁响应和处置:在识别到潜在的APT威胁后,灯塔ARL提供了响应和处置功能,支持采取相应的安全措施来应对威胁。这可能包括隔离受感染的主机、阻止恶意网络流量、修复漏洞等。

四、Burp Suite的使用

抓包的原理:BurpSuite抓包的实现方法是通过代理服务器来实现的。用户需要将自己的浏览器或其他应用程序的代理设置为 BurpSuite代理服务器,并启动代理服务器,然后正常访问目标网站。这时,所有的请求和响应都会经过BurpSuite代理服务器,被BurpSuite截获并分析。

代理:单纯的拦截数据包

测试器:可以爆破一些web网站密码、web网站目录

重发器:对流量包修改后,可以进行发送,进行测试

四种爆破方式:狙击手、音叉、破城锤、集束炸弹。

五、wireshark使用

wireshark简单的过滤规则

过滤 ip: 过滤源 ip 地址:ip.src==1.1.1.1;,目的 ip 地址:ip.dst==1.1.1.1;

过滤端口: 过滤 80 端口:tcp.port==80,源端口:tcp.srcport==80,目的端口:tcp.dstport==80

协议过滤: 直接输入协议名即可,如 http 协议 http

http 模式过滤: 过滤 get/post 包 http.request.mothod=="GET/POST"

状态码 短语 描述 100 Continue 服务端已收到请求并要求客户端继续发送主体 200 Ok 已成功提交,且响应主体中包含请求结果 201 Created PUT 请求方法的返回状态,请求成功提交 301 Moved Permanently 请求永久重定向 302 Found 暂时重定向 304 Not Modified 指示浏览器使用缓存中的资源副本 400 Bad Request 客户端提交请求无效 401 Unauthorized 服务端要求身份验证 403 Forbidden 禁止访问被请求资源 404 Not Found 所请求的资源不存在 405 Method Not Allowed 请求方法不支持 413 Request Entity Too Large 请求主体过长 414 Request URI Too Long 请求URL过长 500 Internal Server Error 服务器执行请求时遇到错误 503 Service Unavailable Web 服务器正常,但请求无法被响应

img

X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。

← HW蓝高面试题1 蓝队面试必看:2025最新面试题及答案 →