蓝队面试必看:2025最新面试题及答案

约 108 分钟读完

蓝队面试必看:2025最新面试题及答案

Colin旗下高端的网络安全攻防服务团队.安服内容包括渗透测试、代码审计、

应急响应、漏洞研究、威胁情报、安全运维、攻防演练等

本文约12400字,阅读约需30分钟。

前言

近期整理了2025HW蓝队面试题,主要分为自我介绍、流量分析、应急响应和溯

源,助力每一位热爱安全的人成长。

如何开展自我介绍

各位老师好我是XXX,来自XX地区,目前在XX担任安全服务工程师。 专注红蓝对

抗攻防、漏洞应急响应和防御体系搭建,曾参与多次HW行动并主导省级/国家级重大项

目的安全防护,下面介绍一下工作经历。

目前接触安全服务工作XX年了,2022年参加XX国家级/省级HW项目,2023年参加

XXX重保项目..........................,2024年参加国家级/省级HW项目,前期主要协助客户资

产梳理、安全测试、整改加固、安全策略优化、安全意识培训等等,HW期间主要担任

角色是告警监测人员/分析研判人员/溯源反制人员/应急处置人员,主要工作是通过安全

设备监控恶意攻击事件(WEB、网络攻击),将发现的可疑攻击事件进行记录上报;然

后对事件进行分析,同时结合在线威胁情报中心对恶意攻击线索进行研判,最终判断该

攻击是否真实有效,最后通过定位攻击者IP、域名、恶意样本特征等虚拟身份信息,展

开溯源反制措施通过技术手段获取攻击者真实身份信息,编写溯源报告提交项目组审

核。2025年参加XXX渗透测试项目,发现高风险漏洞5+个(1个被CNVD/CVE收

录),其中通过供应链攻击模拟(利用Log4j2漏洞+Redis未授权访问),发现后台管

理后台提权漏洞,直接避免潜在数据泄露风险。

不会自我介绍的师傅可以套用上面的模板结合自身的经验经历进行介绍。

分析研判

01

02

03

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

1/161.常用的威胁情报平台有哪些?

2.木马驻留系统的方式有哪些?

3.常用的 webshell 检测工具有哪些?

4.应急响应的基本思路是什么?(主机发生安全事件处置流程)

5.在项目上,漏洞扫描需要注意哪些事项

6.HW前期通常有哪些事情需要准备?

1

微步在线威胁情报中心、安恒威胁情报中心、奇安信威胁情报中心、绿盟威胁情报中心等。

1

2

3

4

5

1)、注册表

2)、计划任务

3)、服务

4)、启动目录、临时目录

5)、关联文件类型

1

2

3

4

1)、D盾

2)、河马webshell查杀

3)、百度webdir

4)、阿里云webshell检测平台

1

2

3

4

5

6

1)、准备工作,收集信息:收集告警信息、客户反馈信息、设备主机信息等。

2)、检测,判断类型:安全事件类型的判断(钓鱼邮件,webshell,爆破,勒索,挖矿等)。

3)、抑制,控制范围,隔离失陷设备。

4)、根除,分析研判,将收集的信息分析。

5)、恢复,处置事件类型(进程、文件、邮件、启动项,注册表等)。

6)、输出报告。

1

2

1)、跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破解,什么时间段扫描

2)、通知客户备份一下数据,开启业务系统及网站运维监控,以免断机可及时恢复。

1

2

3

4

5

1)、前期比较重要的就是资产梳理、安全测试、整改加固、安全策略优化、安全意识培训等等

资产梳理:主要协助客户对旗下资产进行梳理汇总

安全测试:组织几次安全渗透测试可分为内外网渗透测试

安全意识培训:宣讲钓鱼邮件防范,个人不使用弱密码,安装杀软等

2)、HW期间下线部分服务器,或者某段时间暂停对外开放服务。

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

2/167.HW中常见的安全设备有哪些?

8.谈谈IDS和IPS是什么?有什么作用?

9.态势感知、soc产品的功能

10.EDR是什么?举例,作用?

11.WAF产品如何来拦截攻击?

1

2

3

4

5

6

7

8

9

10

11

12

13

入侵检测:IDS

入侵防御:IPS

8、谈谈IDS和IPS是什么?有什么作用?

9、态势感知、soc产品的功能

10、EDR是什么?举例,作用?

11、WAF产品如何来拦截攻击?

流量威胁检测设备:腾讯御界、奇安信天眼、绿盟、深信服等

流量监测:科来

应用防火墙(WAF):绿盟WAF、腾讯云WAF、深信服WAF、阿里云WAF等

蜜罐:默安蜜罐、知道创宇蜜罐等

防火墙:防火墙(玄武盾)、山石防火墙、360网康/网神防火墙

态势感知:绿盟态势感知、奇安信态势感知(目前部分金融客户对攻击IP封禁在态势感知系统上统一

SOC:绿盟、奇安信

1

2

入侵检测:IDS,类似防火墙,主要用于入网流量检测

入侵防御:IPS,对杀软和防火墙的补充,阻止病毒攻击以及点到点应用滥用

1

2

3

4

全流量收集、大数据分析、访问日志展示、攻击日志展示告警、资产管理、大屏展示、

脆弱性识别-弱口令-数据传输未加密-漏洞、

受害主机攻击汇总、内网横向攻击分析、

报表功能

1

2

EDR是终端检测与响应,如360天擎、深信服EDR、亚信EDR

作用:通过云端的威胁情报、机器学习、异常行为分析等,主动发现安全威胁,自动化阻止攻击。

1

2

3

4

5

6

Waf 产品有三种

1)、云 Waf

用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实

利用 DNS 技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,

求则进行拦截否则将请求转发至真实服务器

2)、Web 防护软件

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

3/1612.WAF有哪些防护方式?

13.根据设备告警(WEB)如何分析流量

14.web中间件加固:tomcat、apache、iis有哪些加固点?

15.windows和linux加固?(操作系统加固)

16.mysql加固呢?(数据库加固)

7

8

9

10

安装在需要防护的服务器上,实现方式通常是 Waf 监听端口或以 Web 容器扩展方式进行请求检测

3、硬件Web防火墙

Waf 串行部署在 Web 服务器前端,用于检测、阻断异常流量。常规硬件 Waf 的实现方式是通过代

理来自外部的流量

1

2

3

4

5

6

7

8

9

10

11

12

1)、Web基础防护

可防范常规的 web 应用攻击,如 SQL 注入攻击、XSS 跨站攻击等,可检测 webshell,检查 HT

通道中的网页木马,打开开关即实时生效。

2)、CC 攻击防护

可根据 IP、Cookie 或者 Referer 字段名设置灵活的限速策略,有效缓解 CC 攻击。

3)、精准访问防护

对常见 HTTP 字段进行条件组合, 支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精

别恶意伪造请求、保护网站敏感信息、提高防护精准性。

4)、IP 黑白名单

添加终拦截与始终放行的黑白名单 IP,增加防御准确性。

5)、网页防篡改

对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被

1

2

3

1)、下载告警pcap数据包,根据告警提示攻击类型,过滤payload信息,定位流量。

2)、 判断是否攻击成功,需具体分析攻击请求响应内容或使⽤其payload进⾏攻击测试等。

3)、 最终可根据流量分析给出判定类型:扫描、攻击尝试、攻击成功、攻击失败。

1 web中间件:更改默认端口、低权限运维、降权网站根目录、自定义错误页面、删除自带网页

1

2

3

windows:删除无用账号、禁用来宾账号、设置密码复杂度、关闭默认共享、关闭自启。

linux:删除无用账号、配置密码策略(复杂度、过期时间)、限制su命令使用、限制ssh远程登录r

令记录数(.bash_history)、升级内核版本。

1 mysql:使用低权限用户配置网站、启用mysql日志记录、禁用文件导入导出

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

4/1617.JAVA内存马如何排查?

18.php内存马如何排查?

19.aspx内存马如何排查?

20.根据设备告警(内⽹)如何展开排查?

21.发现一条攻击告警如何判断是否为真实有效攻击事件思路?

2 sql server:使用低权限用户配置网站、关闭xp—cmdshell功能

1

2

3

4

5

6

7

8

9

10

11

如何查杀:

使⽤⼯具进⾏检测查杀

如何排查:

1)、如果是jsp注入,日志中排查可疑jsp的访问请求。

2)、如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方

3)、根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框

反序列化漏洞。

4)、如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志(日志

关闭,不一定有),根据url最早访问时间确定被注入时间。

5)、如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求不

但带有相同的参数,或者页面并不存在但返回200。

1

2

3

如何查杀:使⽤⼯具进⾏检测查杀

如何排查:php不死马也就是内存马,排查就两点;检测执行文件是否在文件系统真实存在;确认攻击

消除内存执行。

1

2

3

如何查杀:使⽤⼯具进⾏检测查杀

如何排查:github有人写了一个排查的aspx脚本,放到网站目录下访问,会返回内存中filter(过

知、可疑),检测执行文件是否在文件系统真实存在的就行。

1

2

3

4

5

6

1)、定位主要扫描、攻击机器

2)、根据业务情况,进⾏隔离处理

3)、排查主要扫描、攻击机器正在执⾏进程、历史命令,定位攻击者扫描⼯具、扫描结果等

4)、提取攻击者操作信息、攻击样本后,清理查杀攻击者后⻔、⼯具等

5)、根据攻击者扫描结果,对存在的漏洞展开修补⼯作

6)、分析主要扫描、攻击机器如何沦陷,溯源攻击链,展开攻击链修补⼯作

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

5/1622.安全设备出现误报怎么办?

23.如何区分扫描流量和手动攻击流量?

24.如何分析被代理出来的数据流?

25.在攻击队变更攻击IP的情况下,如何在流量中找到该攻击者的所有攻击IP?

26.如何判断DNS和ICMP(隧道)信道?

27.常见web日志组成格式?

1

2

3

4

5

分析请求、响应内容,判断是否攻击成功;

首先看告警事件名称判断是网络攻击事件还是web攻击事件,

网络攻击事件:定位五元组信息(源IP、目的IP、源端口、目的端口、协议),对整个僵尸、木马、

行分析,以攻击IP作为受害IP进行检索查找攻击源,

WEB攻击事件:通过数据包的请求体、响应体、状态码等。

1

2

可以对事件进行分析,如果确认不构成实际危害(通常体现在部分web低危攻击事件)考虑对事件进行

加白(通常体现在内网僵尸网络、木马事件、蠕虫等等)需要对安全事件进行更细致的分析,定位问

1

2

扫描数据量大,请求有规律

手动攻击流量数据量较少,攻击流量大多和业务关联性较大

1

分析数据包请求头中的 xff、referer、UA 等收集有用的信息,基于网络欺骗与浏览器指纹的WEB攻

1 cookie、ua、session、被利用账号ID等用户特征

1

2

3

4

5

dns流量的txt记录比例异常:正常的DNS网络流量中,TXT记录的比例可能只有1%-2%,如果时间窗口

者A记录的比例激增,就可能存在异常。

同一来源的ICMP数据包量异常:一个正常的ping命令每秒最多发送两个数据包,而使用ICMP隧道则会

内产生上千个ICMP数据包,可以检测同一来源的ICMP数据包的数量。

1

2

3

xx.xx.xx.xx – - [22/Feb/2010:09:51:46 +0800] “GET / HTTP/1.1″ 206 6326 ”

http://www.google.cn/search?q=webdataanalysis” “Mozilla/4.0 (compatible; MSIE

Windows NT 5.1)”

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

6/1628.CS shellcode 特征

29.Log4j rce漏洞有了解过?攻击特征是什么?

30.如何区分菜刀、蚁剑、冰蝎、哥斯拉WENSHELL特征?

4 ip、时间、请求类型、请求url、响应状态、响应大小、UA头

1

2

3

4

5

1)、RWX(可读可写可执行)权限的内存空间。

2)、异或密钥固定,3.x 是 0x69,4.x 是 0x2e。

3)、命名管道名称字符串

\\.\pipe\MSSE-1676-server

%c%c%c%c%c%c%c%cMSSE-%d-sever

1

2

3

4

5

log4j 是 javaweb 的日志组件,用来记录 web 日志,特征是${jndi:ldap://url} ,去指定下

url 在搜索框或者搜索的 url 里面,加上 ${jndi:ldap://127.0.0.1/test}log4j 会对这

表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被

的。后面再去指定下载文件的 url,去下载我们的恶意文件。比如是 x.class 下载完成后,并且会

修复:升级 Log4j 到最新版本,根据业务判断是否关闭 lookup

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

菜刀:

1)、webshell 为一句话木马。

2)、ua 头为百度爬虫。

3)、请求体中存在 eavl,base64。

4)、响应为明文,格式为 X@Y +内容 + X@Y。

蚁剑:

1)、webshell 同样有 eavl,base64。

2)、ua 头为蚁剑工具。

3)、请求体中存在 @ini_set。

4)、响应为明文,格式为 随机数+结果 +随机数。

冰蝎:

1)、webshell 同样有 eavl,base64

2)、webshell 中有 md5(密码)前16位

3)、AES使用动态密钥对通信进行加密

4)、2.0 有一次GET请求返回16位的密钥

5)、3.0连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-

6)、4.0连接端口在49700左右;使用长连接,请求头和响应头里会带有 Connection:Keep-Al

哥斯拉:

1)、webshell 同样有 eavl,base64

2)、请求为pass=

3)、在响应包的cache-control字段中有no-store,no-cache等特征。

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

7/1631.简单说下服务器被上传webshell处置思路是什么?

32.讲一下windows机器被攻陷排查思路?

33.Windows被创建影子用户怎么办?

34.windows端口进程间怎么关联查找?

35.windows怎么查看进程对应的程序位置?

36.查看windows进程的方法

22 4)、所有请求中的cookie字段最后面都存在;特征。

1

2

3

4

5

1)、及时隔离主机。

2)、使用webshell查杀工具定位webshell(Linux服务器使用find命令查找),对webshell进行

web日志分析。

3)、清除webshell及残留文件。

4)、结合webshell日志,找出攻击者利用的漏洞,修复该漏洞

1

2

3

4

1)、检查系统账号安全。

2)、检查异常端口、进程。

3)、检查启动项、计划任务、服务。

4)、日志分析。

1

2

1)、可以通过控制面板管理账户查看

2)、注册表中查看是否存在影子账户:HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User

1

2

netstat -ano | findstr "port" *//*查看目前的网络连接,定位可疑的 ESTABLISHED

根据netstat定位出的 pid,再通过tasklist命令进行进程定位tasklist | findstr “PID”

1

2

通过进程id定位可疑样本:wmic process where processid=3132 get executablepath

通过进程名称定位可疑样本:wmic process where name="Typora.exe" get executablepath

1

2

3

第一种:

开始 -- 运行 -- 输入msinfo32 命令,依次点击 "软件环境 -- 正在运行任务" 就可以查看到进

细信息,比如进程路径、进程ID、文件创建日期以及启动时间等。

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

8/1637.Windows日志存放位置?

38.windows日志分析工具有哪些?

39.遇到日志文件量大的时候怎么去分析?

40.讲一下Linux机器被攻陷排查思路?

4

5

6

7

8

9

10

11

12

13

第二种:

打开D盾_web查杀工具,进程查看,关注没有签名信息的进程。

第三种:

通过微软官方提供的 Process Explorer 等工具进行排查。

查看可疑的进程及其子进程。可以通过观察以下内容:

1)、没有签名验证信息的进程。

2)、没有描述信息的进程。

3)、进程的属主。

4)、进程的路径是否合法。

5)、CPU 或内存资源占用长时间过高的进程

1

2

3

4

在System32的Logs目录下

系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx

1 Log Parser、LogParser Lizard、Event Log Explorer、360星图

1

2

3

4

5

6

1)、攻击规则匹配通过正则匹配日志中的攻击请求。

2)、统计方法,统计请求出现次数,次数少于同类请求平均次数则为异常请求。

3)、白名单模式,为正常请求建立白名单,不在名单范围内则为异常请求。

4)、HMM 模型,类似于白名单,不同点在于可对正常请求自动化建立模型,从而通过正常模型找出不

异常请求。

5)、使用日志分析工具,如LogForensics,Graylog,Nagios,ELK Stack等等

1

2

3

4

5

6

7

8

1)、账号排查(/etc/passwd存储用户信息、/etc/shadow存储用户密码信息)

2)、历史命令查看:.bash_history

3)、检查异常进程:ps aux | grep pid

4)、检查开机启动项:/etc/rc.local

5)、查看定时任务:crontab -l

6)、检查网站目录下是否存在可疑文件:

find /var/www/html -name "*.php" |xargs egrep 'assert|eval|phpinfo()|\

(base64_decoolcode|shell_exec|passthru|file_put_contents(.*$|base64_decode

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

9/1641.Linux日志存放位置?

42.一台主机在内网进行横向攻击,怎么处理?

43.HW期间发现在野0day利用怎么处置?

44.如何发现钓鱼邮件?

45.遇到钓鱼邮件如何处置?

46.说说钓鱼邮件处置实际操作

9

答出前面的find命令结构即可)

1

2

日志默认存放位置:/var/log/

查看日志配置情况:more /etc/rsyslog.conf

1

2

3

4

5

6

7

1.隔离受感染的主机:立即将受攻击的主机从网络中隔离出来,以防止攻击扩散到其他主机或数据。

2.收集证据:搜集有关攻击的证据,包括日志文件、网络流量记录、被修改或受感染的文件等。

3.确定攻击方式:分析攻击的行为模式,确定攻击的具体方法和来源,这有助于制定有效的应对措施

4.清除恶意代码:使用反病毒工具清除主机上的恶意软件,并更新操作系统和应用程序以修补已知的

5.密码和凭证重置:重置所有可能的密码和凭证,尤其是受影响主机的管理员账户密码,以防止攻击

6.安全审查和加固:对主机和整个网络进行审查,强化安全措施,例如调整防火墙设置、增加入侵检

7.教育和培训:对网络用户和管理员进行安全教育和培训,提高他们对网络安全威胁的认识和防范能

1

2

3

4

1)、首先确认0day影响产品,危害程度

2)、下线应用

3)、排查应用日志查找是否有攻击请求

4)、更新官方发布的最新补丁或者升级版本

1

2

3

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警。

推荐接入微步或奇安信的情报数据。

对邮件内容出现的 URL 做扫描,可以发现大量的异常链接。

1

2

3

4

1)、第一时间隔离被钓鱼的主机。

2)、通过第三方联系方式对攻击进行预警,防止其他员工再次上钩。

3)、对钓鱼邮件中的样本进行取样,分析溯源。

4)、HW前期针对安全意识进行培训。

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

10/1647.说一个项目中发生的应急案例

48.网站被上传webshell如何处理?

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

1)、屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问。

2)、根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽邮件内容涉及域名、

行屏蔽,对访问钓鱼网站的内网 IP 进行记录,以便后续排查溯源可能的后果。

3)、屏蔽钓鱼邮件。

4)、屏蔽钓鱼邮件来源邮箱域名。

5)、屏蔽钓鱼邮件来源 IP。

6)、有条件的可以根据邮件内容进行屏蔽。

7)、删除还在邮件服务器未被客户端收取钓鱼邮件。

8)、处理接收到钓鱼邮件的用户。

9)、根据钓鱼邮件发件人进行日志回溯。

此处除了需要排查有多少人接收到钓鱼邮件之外,还需要排查是否公司通讯录泄露。采用 TOP500

鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职

员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

10)、通知已接收钓鱼邮件的用户进行处理

11)、删除钓鱼邮件

12)、系统改密

13)、全盘扫毒

14)、后续:溯源、员工培训提升安全意识

1

2

3

4

5

6

7

8

9

10

11

12

xx大学邮件钓鱼应急 | 2023年05月10日

项目内容:大学教师邮箱向其他邮箱发送大量钓鱼邮件,前去该单位做应急响应、溯源工作。

项目成果:

1)、大学教师点击攻击者发的邮件后泄露邮箱账户密码,然后向其他邮箱发送大量钓鱼邮件。

2)、攻击者的邮件钓鱼域名是恶意的,通过邮件登录日志分析,攻击者的IP集中于安徽黄山。

3)、域名whois信息查找到注册人和qq邮箱,成功溯源到个人。

xx单位应急 | 2024年01月23日

项目内容:xx单位致远OA M3系统遭受境外黑客入侵,前去该单位做应急响应、溯源反制。

项目成果:

1)、由于致远OA M3系统未开启访问日志,所以无法通过日志进行溯源研判。

2)、致远OA M3系统存在反序列化漏洞,境外黑客可能是通过该漏洞入侵的。

3)、服务器上发现fscan、frp、ladon、goby、超级弱口令检测工具等攻击痕迹。

1

2

3

4

5

6

7

1)、首先关闭网站,下线服务。有必要的话将服务器断网隔离。

2)、手工结合工具进行检测。

工具方面比如使用D盾webshellkill,河马webshell查杀,百度在线webshell查杀等工具对网站目

排查查杀,如果是在护网期间可以将样本备份再进行查杀。

手工方面对比未上传webshell前的备份文件,从文件甚至代码层面进行对比,检查有无后门程序或者

常文件,实在不行就直接用备份文件替换了。

3)、加强安全策略,比如定期备份网站配置文件,及时安装服务器补丁,定期更新组件以及安全防护

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

11/1649.常见OA系统?

50.了解安全设备吗?

8

改密码等等措施。

1

2

3

PHP:通达OA、泛微 Eoffice

Java:泛微OA/云桥、致远OA、蓝凌OA、用友OA

ASP:启莱OA

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

1)、入侵防御系统IPS

是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络

络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的

行为。

2)、入侵检测系统IDS

积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,

发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。

3)、防火墙

防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络

不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

4)、数据库审计系统

是对数据库访问行为进行监管的系统,通过镜像或者探针的方式采集所有数据库的访问流量,并基于

法,语义的解析技术,记录下对数据库所有访问和操作行为,例如访问数据的用户IP,账号,时间等

行操作的行为等等。

5)、日志审计系统

日志审计系统能够通过主被动结合的手段,实时且不间断的采集用户网络中不同厂商的安全设备,网

主机,操作系统以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化

查询,审计,告警,响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,同时满足等保关

心的日志保存时间大于6个月的要求。

6)、堡垒机

1

2

3

4

5

6

7

8

9

10

是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(

录某些平台或者系统只能通过堡垒机才可以,不用堡垒机是无法访问的)。同时堡垒机还有账号集中

(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。

7)、漏洞扫描系统

漏洞扫描工具或者设备是基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆

检测,发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描

概念)。

8)、数据安全态势感知平台

以大数据平台为基础,通过收集多元,异构的海量日志,利用关联分析,机器学习,威胁情报,可视

术,帮助用户持续监测网络安全态势,实现从被动防御向积极防御的进阶。

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

12/1651、了解过系统加固吗?

账户安全

口令安全

服务与端口收敛

文件权限管理

11

12

13

14

15

16

17

18

19

20

9)、终端安全管理系统

是集防病毒,终端安全管控,终端准入,终端审计,外设管控,EDR等功能于一体,兼容不同操作系

机平台,帮助客户实现平台一体化,功能一体化,数据一体化的终端安全立体防护。

10)、WAF

WAF是以网站或应用系统为核心的安全产品,通过对HTTP或HTTPS的Web攻击行为进行分析并拦截,

低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来

析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请

11)、蜜罐

蜜罐是一种安全威胁的主动防御技术,它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,

流量与样本,发现网络威胁,提取威胁特征,蜜罐的价值在于被探测,攻陷。

1

2

3

4

5

6

7

8

windows

1.比如设置登录时不显示上次登录的用户名,防止弱口令爆破。

2.设置账户锁定策略,比如说登录行为限制次数,达到次数后锁定多长时间。

linux

1.禁用root之外的超级用户 使用password -l <用户名>命令来锁定用户 -u解锁

2.限制普通用户使用sudo提权,或者说限制提权的权限大小

3.锁定系统中多余的自建账号

4.设置账户锁定登录失败锁定次数,锁定时间 faillog -u <用户名>命令来解锁用户

1

2

3

4

5

windows

1.设置密码必须符合复杂性要求,比如设置时数字,大写字母,小写字母,特殊字符都要具备

2.设置最小密码长度不能为0,设置不能使用历史密码

linux

1.检查shadow中空口令账号,修改口令复杂度,设置密码有效期vim /etc/login.def命令

1

2

3

关闭或者限制常见的高危端口,比如说22端口(SSH),23端口(Telnet),3389端口(RDP)

compmgmt.msc排查计划任务

linux上iptables封禁IP或者限制端口

1 linux上chmod修改文件权限 chattr重要文件设置不可修改权限

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

13/16系统日志审计

设备和网络控制

溯源

1.什么是溯源反制?

2.蓝队常用的反制手段有哪些?

3.说一下你的溯源思路?

1

2

3

4

linux上设置系统日志策略配置文件

系统日志 /var/log/message

cron日志/var/log/cron

安全日志/var/log/secure

1

2

3

4

比如在涉密计算机上禁止访问外网,为了避免用户绕过策略可以禁止用户修改IP

删除默认路由配置,避免利用默认路由探测网络

禁止使用USB设备比如U盘

禁止ping命令,即禁用ICMP协议访问,不让外部ping通服务器

1

2

溯源:通过攻击源分析攻击路径

反制:根据攻击源反向入侵攻击者vps(虚拟专用服务器)

1

2

3

4

5

6

1)、蜜罐平台反制:模拟SSL VPN等平台,诱导攻击者下载应⽤软件及安装使⽤,上线攻击者主机

2)、对攻击目标进行反渗透(IP 定位、IP 端口扫描、web 站点扫描) 。

4)、钓⻥反制:根据蜜罐捕获信息,通过社交软件平台、⼿机短信、邮件等⽅式进⾏钓⻥(钓鱼网站

xss 盲打)。

5)、木马文件—>同源样本关联,反钓鱼也逐渐被蓝队重视,通过在服务器上故意放置钓鱼文件,吸引

安装,完成反钓鱼。

1

2

3

4

5

6

7

8

1)、可从安全设备告警的扫描IP、威胁阻断IP、上传病毒木马的IP、入侵IP,进行反向查找。

2)、日志流量,查看异常流量的ip,域名(长时间外联ip)。

3)、木马文件,进行逆向分析,查看外联IP。域名。

4)、webshell,分析webshell所指向的地址,分析shell信息。

5)、钓鱼邮件,查看攻击者发送的钓鱼网站ip,域名进行反向溯源。

6)、蜜罐捕捉,查看蜜罐捕捉到的ip,可利用mysql漏洞读取攻击者的攻击机器信息。

7)、通过恶意样本文件特征进行溯源渠道(github、网盘、博客、论坛等等)。

8)、微信、支付宝、淘宝等平台查找姓氏。

04

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

14/164.蜜罐是怎么获取攻击者社交账号信息的?怎么防

5.对攻击者进行身份画像有哪些?

6.获取到钓鱼邮件exe如何分析?

7.通过手机号后怎么获取攻击者信息?

8.通过域名、ip怎么确认攻击者身份?

声明

由 于 传 播 、 利 用 此 文 所 提 供 的 信 息 而 造 成 的 任 何 直 接 或 者 间 接 的

后 果 及 损 失 , 均 由 使 用 者 本 人 负 责 , Col in 网 络 安 全 联 盟 及 文 章 作 者

1

2

3

浏览器信息读取,利用jsonp,跨域访问社交平台接口,提取包含的个人信息。

防御方式:

使用浏览器隐私模式,或虚拟机内实施攻击操作。

1

2

3

4

虚拟身份:ID、昵称、网名

真实身份:姓名、物理位置

联系方式:手机号、qq/微信、邮箱

组织情况:单位名称、职位信息

1

2

3

4

1)、看创建日期,看备注信息

2)、ida看调试信息,可能有个人id、网名

3)、上传查杀、威胁检测平台,分析行为特征,获取内部url、ip地址等

4)、各大威胁平台结果判断木马生成时间,是否已

1

2

3

4

1)、各大社交平台。

2)、百度、谷歌搜索。

3)、各种app,如csdn、支付宝、钉钉、脉脉等,qq、微信好友。

4)、社工库

1

2

3

4

1)、云平台域名、ip找回账号方式,获取手机号部分信息

2)、搜索引擎查ip现有服务,历史服务,有无攻击特征

3)、威胁情报、沙箱获取信息

4)、百度贴吧、个人博客、技术论坛、网站备案等

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

15/16不为此承担任何责任。

Col in网络安全联盟拥有对此文章的修改和解释权。如欲转载或传

播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未

经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以

任何方式将其用于商业目的。

# 长按二维码 关注我们 #

2025/3/8 21:17

蓝队面试必看:2025最新面试题及答案

16/16

1

⾯经

⼗⼤漏洞

sql

  1. SQL 注⼊的⼏种类型
  2. 如何从根本上解决SQL注⼊
  3. SQL 盲注(Blind SQL Injection)是什么 它与其他的 SQL 注⼊类型有什么不同
  4. SQL注⼊在MySQL和SQL Server中有什么区别
  5. 过滤逗号的SQL注⼊如何绕过
  6. ⽬前防御SQL注⼊的⽅式有哪些
  7. SQL注⼊绕WAF的⽅式尽可能多说
  8. oracle数据库注⼊绕过
  9. SQLserver提权
  10. MySQL写shell的问题

1 . Mysql⼏种提权⽅式

  1. mssql写shell绕过
  2. MySQL的⽤户名密码是存放在哪张表⾥⾯ MySQL密码采⽤哪种加密⽅式

CSRF

⽂件包含

⽂件上传

SSRF

逻辑漏洞

XSS

  1. XSS的⼏种类型及漏洞原理
  2. XSS 能⽤来做什么
  3. 如何快速判定XSS类型?

XXE

哪些地⽅存在xxe

CSRF、SSRF和重放攻击有什么区别

CSRF 和 XSS 和 XXE 有什么区别,以及修复⽅式

SecAiden2

CSRF XSS和SSRF之间的区别

中间件漏洞

Apache

IIS

Nginx

其他

前渗透

对⽹站信息收集的内容和⼯具

⼏种webshell脚本的区别

常⻅的端⼝和对应的服务

渗透测试流程:

如何绕过CDN查真实IP

GPC是什么?GPC之后怎么绕过?

登录⻚⾯的漏洞

熟悉的语⾔ ⽤Python写过什么脚本 使⽤过的Python库

Nmap命令

ARP欺骗攻击原理及解决⽅案

SYN Flood攻击原理及解决⽅案

HTTPS 证书机制介绍

Nmap 的基本操作

DNS 解析的流程

密码学的对称密码和⾮对称密码

在浏览器中输⼊⼀个域名去访问时 浏览器做了什么

对钓⻥邮件的了解

什么叫CC攻击

⼗⼤漏洞讲讲

渗透测试的类型

遇到⽬标有IDS IPS怎么对抗

什么是⼿机"越狱" 如何root Android设备或越狱iOS设备

Frida和Xposed框架

如何降低逻辑漏洞的出现率?

Windows/Linux环境下的抓包⼯具及基本的抓包分析⼿法

SecAiden3

Windows常⽤的命令

Linux常⽤的命令

Windows中查看进程的命令

内⽹

内⽹渗透的流程

拿到webshell不出⽹情况下怎么办

⽩银票据与⻩⾦票据的原理?

⾦票

⻩⾦票的条件要求?

银票

⾦票和银票的区别

针对kerbores的攻击有哪些?

mimikatz使⽤⽅法

隐藏痕迹

linux的提权⽅式

如何建⽴隐藏⽤户

给你⼀个内⽹Windows你如何渗透

给你⼀个内⽹Linux你如何渗透

拿到win权限后 权限维持

清理⽇志要清理哪些

框架

struts2框架漏洞原理

weblogic权限绕过

log4j反序列化

Shiro反序列化漏洞

weblogic有⼏种漏洞

fastjson反序列化漏洞

redis未授权与权限获取

SSRF利⽤Redis写shell

常⻅反序列化的流量特征

webshell⼯具流量

应急

SecAiden4

应急流程

windows登录成功/失败的id

⽹站被挂⻢如何应急

Windows中毒了 如何应急

Linux⼊侵排查思路

windows⼊侵排查

常⻅的安全设备

⽹站被劫持

⽇志被删除如何处理

内存⻢排查

apache⽇志位置

linux常⻅命令

安全设备出现误报怎么办?

cs shellcode 特征

溯源思路

只给csdn id 溯源

对攻击者进⾏身份画像有哪些?

蜜罐主要可以抓取到那些信息

被攻击扣分 在外⽹没看到其他流量和⽇志

在linux下 现在有⼀个拥有⼤量IP地址的txt⽂本⽂档 但是⾥⾯有很多重复的 如何快速去重

如果⼀台服务器被⼊侵后 你会如何做应急响应

怎么溯源攻击 举⼀个溯源攻击的例⼦

挖矿病毒判断 中了挖矿病毒会有哪些特征

是否有⽇志分析经验 如果拿到⼀个⽐较⼤的⽇志⽂件 应该如何分析处理

DDoS如何防护

对安全服务是怎么理解的

判断系统是否存在后⻔的⼯具

1.SQL注⼊

2.失效的身份认证和会话管理

⼗⼤漏洞

SecAiden5

3.跨站脚本攻击XSS

4.直接引⽤不安全的对象

5.安全配置错误

6.敏感信息泄露

7.缺少功能级的访问控制

8.跨站请求伪造CSRF

9.实验含有已知漏洞的组件

10.未验证的重定向和转发

原理:产⽣SQL注⼊漏洞的根本原因在于代码中没有对⽤户输⼊项进⾏验证和处理便直接拼接到查询语

句中。利⽤SQL注⼊漏洞,攻击者可以在应⽤的查询语句中插⼊⾃⼰的SQL代码并传递给后台SQL服务

器时加以解析并执⾏。

分类:联合注⼊、报错注⼊、布尔盲注、时间盲注、堆叠注⼊、⼆次注⼊

危害:

  1. 数据库信息泄露
  2. ⽹⻚篡改
  3. ⽹站被挂⻢,传播恶意软件
  4. 数据库被恶意操作
  5. 服务器被植⼊后⻔
  6. 破坏硬盘或者服务器等硬件设备

如何进⾏SQL注⼊的防御

  1. 关闭应⽤的错误提示
  2. 加waf
  3. 对输⼊进⾏过滤
  4. 限制输⼊⻓度
  5. 限制好数据库权限,drop/create/truncate等权限谨慎grant
  6. 预编译好sql语句,python和Php中⼀般使⽤?作为占位符。

延时函数

sql

SecAiden6

SLEEP

benckmark

GET_LOCK

RLIKE

SQL注⼊通常可以分为以下⼏种类型

⾮盲注 In-band SQLi 攻击者通过相同的通信渠道发送数据和获取结果 包括错误型 错误信息透露

出数据库信息 和联合查询型 利⽤UNION语句获取数据

盲注 Blind SQLi 攻击者⽆法直接看到数据库返回的数据 需要通过逻辑问题来推断 这分为布尔盲

注和时间盲注 通过返回⻚⾯的逻辑变化或响应时间来判断查询结果

基于时间的盲注 Time-based Blind SQLi 通过观察查询响应时间来推断信息

堆叠查询 Stacked Queries 通过在同⼀语句中插⼊多条SQL命令 执⾏额外的SQL语句

Out-of-band SQLi 通过数据库服务器使⽤不同的通道 如HTTP请求或DNS查询 来传输数据

从根本上解决SQL注⼊涉及到编码和配置的多个层⾯ 重点措施包括

使⽤预处理语句 Prepared Statements 这是防⽌SQL注⼊的最有效⽅式 预处理语句与参数化查询

确保了SQL语句结构的固定 数据以参数形式传递 从⽽避免了解释为SQL代码的⻛险

使⽤ORM框架 现代的ORM 对象关系映射 框架通常提供了内置的防注⼊机制

限制数据库权限 为应⽤程序数据库账户设置最⼩权限 仅赋予其完成任务所需的权限

对输⼊数据进⾏严格验证和过滤 尽管这不是主要的防御措施 但它可以作为其他防御措施的补充

使⽤Web应⽤防⽕墙 WAF 它可以帮助识别和阻⽌SQL注⼊攻击

SQL盲注是⼀种SQL注⼊攻击 其中攻击者不能直接观察到数据库返回的任何数据 攻击者需要依靠其他

间 接的⽅式来判断注⼊的成功与否 例如通过⻚⾯返回内容的变化 ⻚⾯执⾏时间的⻓短等来判断后台数

据库

查询的结果

1. SQL 注⼊的⼏种类型

2. 如何从根本上解决SQL注⼊

3. SQL 盲注(Blind SQL Injection)是什么 它与其他的 SQL 注⼊类型有什么

不同

SecAiden7

与其他SQL注⼊的主要区别是盲注不会直接返回数据 ⽽是需要攻击者根据其他指标 如逻辑响应或时间

延迟 来推测结果

SQL注⼊的基本原理在不同的数据库管理系统 如MySQL和SQL Server 中是相似的 都是通过将不当输

⼊ 插⼊到SQL命令中以欺骗数据库执⾏⾮预期的命令 然⽽ 由于这些系统的SQL语法和内部功能的差

异 具

体的注⼊技术和有效的利⽤⽅式可能有所不同

MySQL ⽀持⼀些独特的SQL语法和函数 ⽐如可以利⽤ LOAD_FILE()来读取服务器⽂件 如果权限设

置不当的话

SQL Server 有不同的系统存储过程和功能 如可以利⽤ xp_cmdshell来执⾏操作系统命令 如果该功

能被启⽤且攻击者拥有⾜够权限的话

过滤逗号是⼀种常⻅的防御措施 因为逗号在SQL中⽤于分隔多个SQL语句或函数参数 要绕过这种过滤

可以采⽤以下⽅法

使⽤其他SQL功能或命令 不需要逗号也能执⾏ 例如 在没有逗号的情况下使⽤嵌套的查询或使⽤联

合 UNION 来提取数据

利⽤编码或替代字符 如使⽤URL编码或⼗六进制编码来表示逗号 如果过滤器没有处理这些编码的话

除了之前提到的预处理语句和输⼊验证之外 防御SQL注⼊还包括

使⽤Web应⽤防⽕墙 WAF WAF可以配置规则来识别和阻挡SQL注⼊攻击

安全编码培训 教育开发⼈员关于安全编码的最佳实践 减少编码错误

定期的代码审查和安全测试 通过⾃动和⼿动检查来识别潜在的安全漏洞

使⽤最少权限原则 确保数据库账户只具有完成其功能所必需的最少权限

绕过WAF Web应⽤防⽕墙 可能涉及以下技术

4. SQL注⼊在MySQL和SQL Server中有什么区别

5. 过滤逗号的SQL注⼊如何绕过

6. ⽬前防御SQL注⼊的⽅式有哪些

7. SQL注⼊绕WAF的⽅式尽可能多说

SecAiden8

编码和混淆 使⽤不同的编码⽅法 如Base64 ⼗六进制 或混淆技术来隐藏恶意输⼊

使⽤多字节字符和同义替换 替换SQL语句中的关键字和运算符 或者使⽤WAF不识别的多字节字符

逻辑混淆 改变查询的逻辑结构 使其在逻辑上等效 但看起来与原始查询截然不同

利⽤WAF配置和缺陷 如果WAF配置不当或存在缺陷 可能会有绕过的⽅法

  1. 空格替换

以?id=1 and 1=1为例,fuzz可以替换空格的常⻅字符

%2d、%2e 、%0a、%0b、%2b、%0c、%0d、%00、%20、%09

其他字符如/**/、/60001/、/!/、+、()也可以替换空格

  1. ⼤⼩写替换

对关键字进⾏⼤⼩写随机替换

  1. 拼接换⾏回⻋符

Oracle中⽤CHR(10)表示换⾏、CHR(13)表示回⻋、字符串拼接使⽤||,那么回⻋换⾏即是

chr(13)||chr(10)。

只要是select from XXX中的都可以拼接回⻋或换⾏,*不限于列名、字段名、正常字符串。如下

图在user前拼接回⻋符

  1. 替换注⼊⽅法&结合替换

有的时候,真的⼀直⽆法显错注⼊、报错注⼊,这种时候,不妨试试盲注,虽然盲注获取数据难,

耗费时间⻓,但是注⼊成功率却⽐显错、报错更⾼。

下⾯是通过延时盲注,加前⾯的%00替换空格,成功bypass

8. oracle数据库注⼊绕过

http://192.168.150.6/oracle.php?id=-1 uNIon ALl sELEct 1,'2',(SelEct chr(1

3)||uSEr fROm test wHEre id=1) fROm dUAl --

1

Java

SecAiden9

  1. 分块传输

编码之后发送数据包即可,成功绕过,这⾥放上数据包。

http://192.168.150.6/oracle.php?id=1 and%001=(select decode(substr(user,1,

1),'S',dbms_pipe.receive_message('o',5),0) from dual) -

http://192.168.150.6/oracle.php?id=1 and%001=(select decode(user,'SYSTEM',

1,0) from dual)

http://192.168.150.6/oracle.php?id=1 and%001=(select decode(user,'SYSTEM1',

1,0) from dual) --

1

2

3

Java

POST /oracle.php HTTP/1.1Host: 192.168.150.6User-Agent: Mozilla/5.0 (Macint

osh; Intel Mac OS X 10.15; rv:93.0) Gecko/20100101 Firefox/93.0Accept: text

/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,/

;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,e

n;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: safedog-flow

item=081E092AB3A2707489C52CCAF4678FACUpgrade-Insecure-Requests: 1Content-Ty

pe: application/x-www-form-urlencodedContent-Length: 1156Transfer-Encoding

: chunked2;xV1fjate8Q2XVoid3;FBbE5aPh1njsaBHT0t8amN=-13;DShr5ncZWnci6BodOiY

RfspzR%202;pP4mnFcEQkyiQl6jC3ZuN3;Wx7ThDIon3;4NUgobBzQmvdJJgZwG%203;NXVKpLV

5sALl1;lJalLMNAhnO8ffdGzL%2;pteuvLkGgZtSFG7wu4jh203;ft8CiaQjsEL1;ovy3F7LND8

VHfkE3;RAyIuvoLAOWnSqxct%2;d6QXVbZb203;hNC48x1,%2;GCe40272;tz5rvVKedF2%1;G3

myIfs0GAPu2eH7922;pThPJsudDL7,3;2yEVY8frLisFHPF4CDIR(Se3;gz14uhleOIDF74XtBF

cXlEc2;QfmWbtNKcpt%3;a9jkXA20u2;LzU0pITPWYYSE3;tq3Kj9GTFfRqKymRnxr%22;LtPJF

i3QoCTfQl0f2;EhqBiFNv8QXNqlcdgsRO1;bFragm1;DNn9kgy1%3;kswkTXdypO8iRNnAXQNy5

gh20t3;Qjsv8Smfch2anhgwadest1;RJZ3Cf97d2iC5Yu%1;AomRcv23;KKFeF9ciN4Vwp6Rn26

W530wH1;BMyXT4jl33E3;PPdD7Vdju0re%2;rsWVY36Q2ZmSh201;WQRwnvb7i2;uEAKtk5xd=3

;c5E5JxcbYZ1)%2;FdTC5clj3AK5TO3201;13Am4uFf3;6Kz1J8BRdROm1;djnsRxzDiylbhAn4

rapq%2;DlOc4poqaBWkrdVbG201;VUyDTYwHuog9fXrYxKm3WQF4d2;l10VFVhUA1;hAY6RlsGl

1;CFQY7BhysEhkSmRVRgUIea%1;ENwHkBbAM8Rp623;9VNJ2r6HJRqRmBl3A7DmzAoiN0--3;AK

xfqTuP7AstNrPdKtBFy9B/**1;5knHpLVmWn8kUWZkVfUSm8YJD/0

1

Java

SecAiden10

  1. 万能脏数据

waf对于每⼀个数据包都进⾏检测,这是很耗费资源的,所以⼀般只会在固定⻓度范围内进⾏检

测,那么这⾥在语句中插⼊⼤量⽆⽤字符,便可以成功绕过。

xp_cmdshell提权

xp_cmdshell是Sql Server中的⼀个组件,可以⽤来执⾏系统命令,在拿到sa⼝令之

后,经常可以通过xp_cmdshell来进⾏提权

前提:

getshell或者存在sql注⼊并且能够执⾏命令。

sql server是system权限,sql server默认就是system权限

  1. 写shell⽤什么函数?

- select '<?php phpinfo()> into outfile 'D:/shelltest.php'

- dumpfile

9. SQLserver提权

10. MySQL写shell的问题

SecAiden11

- file_put_contents

  1. outfile不能⽤了怎么办? `select unhex('udf.dll hex code') into

dumpfile 'c:/mysql/mysql server 5.1/lib/plugin/xxoo.dll';`可以UDF提权

https://www.cnblogs.com/milantgh/p/5444398.html

  1. dumpfile和outfile有什么不⼀样?outfile适合导库,在⾏末尾会写⼊新⾏并转义,

因此不能写⼊⼆进制可执⾏⽂件。

  1. sleep()能不能写shell?
  2. 写shell的条件?

- ⽤户权限

- ⽬录读写权限

- 防⽌命令执⾏:disable_functions,禁⽌了

`disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_ope

n,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source`,但是可

以⽤dl扩展执⾏命令或者ImageMagick漏洞

https://www.waitalone.cn/imagemagic-bypass-disable_function.html

open_basedir: 将⽤户可操作的⽂件限制在某⽬录下

mysql写shell的条件

  1. ⽹站可访问路径的绝对路径
  2. secure_file_priv 的值⾮NULL或包含了导出的绝对路径

secure_file_priv的值在mysql配置⽂件my.ini中设置,这个参数⽤来限制数据导⼊导出

Mysql>=5.5.53 默认为NULL,即默认禁⽌导⼊导出

Mysql<5.5.53 默认为空,即默认⽆限制

  1. mysql服务有对⽹站可访问路径的写权限
  2. mysql连接⽤户有FILE权限/ROOT⽤户或ROOT权限
  3. GPC关闭//未对闭合⽤的引号转义

outfile 和 dumpfile的路径不⽀持hex,必须有引号包裹

mysql⽇志写shell

SecAiden12

与导出函数写Shell相⽐,规避了 secure_file_priv 的限制

  1. ⽹站可访问路径的绝对路径
  2. mysql服务有对⽹站可访问路径的写权限
  3. mysql连接⽤户有权限开启⽇志记录和更换⽇志路径/ROOT权限
  4. GPC关闭/未对闭合⽤的引号转义

虽然⽇志路径可以hex编码,但被记⼊⽇志的查询语句中的shell内容需要引号包裹,加

\后传到数据库执⾏会报错,⽆法记录进⽇志

root权限

GPC 关闭(能使⽤单引号),magic_quotes_gpc=On

有绝对路径(读⽂件可以不⽤,写⽂件必须)

没有配置–secure-file-priv

成功条件:有读写的权限,有 create、insert、select 的权限

Mysql_UDF 提权

利⽤了root⾼权限,创建带有调⽤ cmd 的函数的 udf.dll 动态链接库,

导出 udf.dll ⽂件后,我们就可以直接在命令框输⼊ cmd

限制条件:

  1. -MySQL 数据库没有开启安全模式(确认secure_file_priv=''是否为空)
  2. -已知的数据库账号具有对MySQL数据库insert和delete的权限,最好是root最⾼权限。
  3. -shell有写⼊到数据库安装⽬录的权限。

MOF提权:

MOF提权是⼀个有历史的漏洞,基本上在Windows Server 2003的环境下才可以成功。提权的原

理是C:/Windows/system32/wbem/mof/⽬录下的mof⽂件每隔⼀段时间(⼏秒钟左右)都会被

系统执⾏,因为这个 MOF ⾥⾯有⼀部分是 VBS脚本,所以可以利⽤这个VBS脚本来调⽤CMD来

执⾏系统命令,如果 MySQL有权限操作 mof ⽬录的话,就可以来执⾏任意命令了。

11. Mysql⼏种提权⽅式

12. mssql写shell绕过

SecAiden13

xp_cmdshell不可⽤了,还是有可能在服务器上运⾏CMD并得到回显结果的,这⾥要⽤到SQL服务

器另外的⼏个系统存储过程:sp_OACreate,sp_OAGetProperty和sp_OAMethod。前提是服务

器上的Wscript.shell和Scripting.FileSystemObject可⽤。

先在SQL Server 上建⽴⼀个Wscript.Shell,调⽤其run Method,将cmd.exe执⾏的结果输出到⼀

个⽂件中,然后再建⽴⼀个Scripting.FileSystemObject,通过它建⽴⼀个TextStream对象,读出

临时⽂件中的字符,⼀⾏⼀⾏的添加到⼀个临时表中。

MySQL数据库的⽤户名和密码存储在 mysql.user表中 从MySQL 5.7及更⾼版本开始 密码采⽤

SHA-256加密算法 具体实现为 caching_sha2_password 在⼀些旧版本中 密码使⽤

mysql_native_password插件 该插件基于SHA-1

原理:CSRF跨站点请求伪造。攻击者盗⽤了受害者的身份,以受害者的名义发送恶意请求,对

服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的⼀个操作

危害:

  1. 对⽹站管理员进⾏攻击
  2. 修改受害⽹站上的⽤户账户和数据
  3. 账户劫持
  4. 传播CSRF蠕⾍进⾏⼤规模攻击
  5. 利⽤csrf进⾏拖库
  6. 利⽤其他漏洞进⾏组合拳攻击
  7. 针对路由器的csrf攻击

如何防护:

  1. 尽量使⽤POST,限制GET;
  2. 浏览器Cookie策略;
  3. 加验证码;

13. MySQL的⽤户名密码是存放在哪张表⾥⾯ MySQL密码采⽤哪种加密⽅

CSRF

⽂件包含

SecAiden14

类型

  1. 本地⽂件包含
  2. 远程⽂件包含 :即加载远程⽂件,在php.ini中开allow_url_include 、allow_url_fopen选项。开启

后可以直接执⾏任意代码。

PHP⽂件包含函数

  1. include():使⽤此函数,只有代码执⾏到此函数时才将⽂件包含进来,发⽣错误时只警告并继续执

⾏。

  1. inclue_once():功能和前者⼀样,区别在于当重复调⽤同⼀⽂件时,程序只调⽤⼀次。
  2. require():使⽤此函数,只要程序执⾏,⽴即调⽤此函数包含⽂件,发⽣错误时,会输出错误信息

并⽴即终⽌程序。

  1. require_once():功能和前者⼀样,区别在于当重复调⽤同⼀⽂件时,程序只调⽤⼀次。

利⽤:

  1. 读取敏感⽂件
  2. 远程包含shell
  3. 图⽚上传并包含图⽚shenll
  4. 使⽤伪协议
  5. 包含⽇志⽂件GetShell
  6. 截断包含

修复⽅案

  1. 禁⽌远程⽂件包含allow_url_include=off
  2. 配置open_basedir=指定⽬录,限制访问区域。
  3. 过滤../等特殊符号
  4. 修改Apache⽇志⽂件的存放地址
  5. 开启魔术引号magic_quotes_qpc=on
  6. 尽量不要使⽤动态变量调⽤⽂件,直接写要包含的⽂件

原理:由于程序员在对⽤户⽂件上传功能实现代码没有严格限制⽤户上传⽂件后缀

以及⽂件类型或者处理缺陷,⽽导致⽤户可以越过本身权限向服务器上传⽊⻢去控制服务器.

危害

⽂件上传

SecAiden15

操作⽊⻢⽂件提权 获取⽹站权限

绕过⽅法:

  1. ⿊名单

a. 后缀名不完整 .php5 .phtml等

b. 上传.htacess

c. ⼤⼩写

d. 在数据包中 后⽂件缀名前加空格

e. 后缀名前加.

f. 加上::$DATA

g. 未循环验证,可以使⽤x.php..类似的⽅法

  1. ⽩名单(⼀般需要配合其他漏洞⼀起利⽤)

a. %00截断

b. 图⽚⻢

c. 条件竞争

修复:

  1. 后端验证:采⽤服务端验证模式
  2. 后缀验证:基于⽩名单,⿊名单过滤
  3. MIME验证:基于上传⾃带类型艰检测
  4. 内容检测:⽂件头,完整性检测
  5. ⾃带函数过滤
  6. WAF防护软件:宝塔、云盾等

利⽤⼀个可以发起⽹络请求的服务当作跳板来攻击内部其他服务。

ssrf危害:

  1. 探测内⽹信息,⽤协议探ftp%26ip={ip}%26port={port}
  2. 攻击内⽹或本地其他服务
  3. 穿透防⽕墙

具体利⽤的⽅式:

具体操作需要查看⽀持的协议,file协议查看⽂件、dict协议探测端⼝、ophergopher协议

SSRF

SecAiden16

⽀持GET&POST请求,同时在攻击内⽹ftp、redis、telnet、Memcache上有极⼤作⽤利⽤

gopher协议访问redis反弹shell

漏洞存在的地⽅:

  1. 能够对外发起⽹络请求的地⽅
  2. 请求远程服务器资源的地⽅
  3. 数据库内置功能
  4. 邮件系统
  5. ⽂件处理
  6. 在线处理⼯具

举⼏个例⼦:

  1. 在线识图,在线⽂档翻译,分享,订阅等,这些有的都会发起⽹络请求。
  2. 根据远程URL上传,静态资源图⽚等,这些会请求远程服务器的资源。
  3. 数据库的⽐如mongodb的copyDatabase函数,这点看猪猪侠讲的吧,没实践过。
  4. 邮件系统就是接收邮件服务器地址这些地⽅。
  5. ⽂件就找ImageMagick,xml这些。
  6. 从URL关键字中寻找,⽐如:source,share,link,src,imageurl,target等。

绕过姿势

  1. http://example.com@127.0.0.1`
  2. 利⽤IP地址的省略写法绕过,[::]绕过localhost
  3. DNS解析 http://127.0.0.1.xip.io/可以指向任意ip的域名:xip.io
  4. 利⽤⼋进制IP地址绕过,利⽤⼗六进制IP地址,绕过利⽤⼗进制的IP地址绕过

修复:

  1. 地址做⽩名单处理
  2. 域名识别IP 过滤内部IP
  3. 校验返回的内容对⽐是否与假定的⼀致
  4. 挖过的逻辑漏洞

订单任意⾦额修改\相同价格增加订单数量,相同订单数量减少产品价格,订单价格设定为负数。

预防思路:

逻辑漏洞

SecAiden17

- 订单需要多重效验

- 订单数值较⼤的时候需要⼈⼯审核

  1. 验证码回传

漏洞⼀般发⽣在账号密码找回、账号注册、⽀付订单等。验证码发送途径⼀般为⼿机短信、邮箱邮件

预防思路:

- response数据内不包含验证码,验证⽅式主要采取后端验证,但是缺点是服务器的运算压⼒也会随之

增加

- 如果要进⾏前端验证的话也可以,但是需要进⾏加密

  1. 未进⾏登陆凭证验证

有些业务的接⼝,因为缺少了对⽤户的登陆凭证的效验或者是验证存在缺陷,导致⿊客可以未

经授权访问这些敏感信息甚⾄是越权操作。⽐如后台⻚⾯、订单ID枚举、敏感信息可下载、没

验证ID或cookie验证导致越权。

预防思路:

- 对敏感数据存在的接⼝和⻚⾯做cookie,ssid,token或者其它验证

  1. 接⼝⽆限制枚举

- 某电商登陆接⼝⽆验证导致撞库

- 某招聘⽹验证码⽆限制枚举

- 某快递公司优惠券枚举

- 某电商会员卡卡号枚举

预防思路:

- 在输⼊接⼝设置验证,如token,验证码等。如果设定验证码,最好不要单纯的采取⼀个前

端验证,最好选择后端验证。如果设定token,请确保每个token只能采⽤⼀次,并且对

token设定时间参数。

- 注册界⾯的接⼝不要返回太多敏感信息,以防遭到⿊客制作枚举字典。

- 验证码不要⽤短数字,尽量6位以上,最好是以字⺟加数字进⾏组合,并且验证码需要设定

时间期限。

- 优惠券,VIP卡号请尽量不要存在规律性和简短性,并且优惠券最好是以数字加字⺟进⾏组

SecAiden18

  1. cookie设置存在缺陷

- Cookie的效验值过于简单。有些web对于cookie的⽣成过于单⼀或者简单,导致⿊客可以

对cookie的效验值进⾏⼀个枚举.

- cookie存在被盗⻛险,即⽤户重置密码后使⽤⽼cookie依然可以通过验证

- ⽤户的cookie数据加密应严格使⽤标准加密算法,并注意密钥管理。不能采取简单的

base64等算法

- 越权:平⾏越权:权限类型不变,权限ID改变;垂直越权:权限ID不变,权限类型改变;交

叉越权:即改变ID,也改变权限

预防思路

  1. cookie中设定多个验证,⽐如⾃如APP的cookie中,需要sign和ssid两个参数配对,才能返回数据。
  2. ⽤户的cookie数据加密应严格使⽤标准加密算法,并注意密钥管理。
  3. ⽤户的cookie的⽣成过程中最好带⼊⽤户的密码,⼀旦密码改变,cookie的值也会改变。
  4. cookie中设定session参数,以防cookie可以⻓时间⽣效。
  5. 根据业务不同还有很多⽅法

原理: 通过插⼊恶意脚本,实现对⽤户浏览器的攻击

类型: 存储、反射、dom

反射和dom的区别: DOM-XSS是javascript处理输出, ⽽反射性xss是后台程序处理

XSS绕过:

  1. ⼤⼩写
  2. js伪协议
  3. 没有分号
  4. Flash
  5. Html5新标签
  6. Fuzz进⾏测试
  7. 双层标签绕过

修复防御:

  1. 对输⼊内容的特定字符进⾏编码,例如表示html标记的 < > 等符号。

XSS

SecAiden19

  1. 对重要的cookie设置httpOnly, 防⽌客户端通过document.cookie读取 cookie,此HTTP头由服务端

设置。

  1. 将不可信的值输出URL参数之前,进⾏URLEncode操作,⽽对于从URL参数中获取值⼀定要进⾏格

式检测(⽐如你需要的时URL,就判读是否满⾜URL格式)。

  1. 不要使⽤Eval来解析并运⾏不确定的数据或代码,对于JSON解析请使⽤ JSON.parse()⽅法。

跨站脚本 XSS 主要有三种类型

反射型XSS 这种XSS攻击通过⽤户的输⼊ 如通过URL参数 直接反射到⻚⾯上 通常需要⽤户的

交互

如点击链接 来触发

存储型XSS 此类攻击将恶意脚本保存在⽬标服务器上 如数据库 消息论坛 访客⽇志等 当其

他⽤

户访问存储这些脚本的⻚⾯时 脚本会被执⾏

DOM型XSS 这种类型的攻击是通过客户端脚本 如JavaScript 来修改DOM的⽅式实现的 不涉及

务器端的脚本处理

漏洞原理通常是由于Web应⽤程序没有正确地过滤⽤户的输⼊ 允许注⼊未经过滤的HTML或

JavaScript代

码 这些代码可以在其他⽤户的浏览器中执⾏

1. XSS的⼏种类型及漏洞原理

SecAiden20

XSS可以⽤于多种恶意⽬的 包括但不限于

窃取Cookies 攻击者可以利⽤XSS窃取其他⽤户的会话Cookies 进⽽冒⽤这些⽤户的身份

会话劫持 通过获取或修改⽤户的会话令牌来控制⽤户的会话

植⼊恶意软件 通过XSS植⼊恶意软件或其他恶意代码

进⾏钓⻥攻击 修改⻚⾯内容或重定向⽤户到钓⻥⽹站 诱导⽤户提供敏感信息

散布虚假信息 修改⽹站内容 显示错误或虚假信息

存储型XSS:

你发送⼀次带XSS代码的请求,以后这个⻚⾯的返回包⾥都会有XSS代码;

反射型XSS:

你发送⼀次带XSS代码的请求,只能在当前返回的数据包中发现XSS代码;

DOM型XSS:

你发送⼀次带XSS代码的请求,在返回包⾥压根⼉就找不到XSS代码的影⼦;

原理: 解析⽤户传⼊的xml

作⽤: 内⽹端⼝扫描、利⽤file协议等读取⽂件、攻击内⽹web应⽤使⽤

get(struts2等)

2. XSS 能⽤来做什么

3. 如何快速判定XSS类型?

XXE

SecAiden21

危害:

  1. 导致可以加载恶意外部⽂件
  2. 造成⽂件读取
  3. 内⽹端⼝扫描
  4. 攻击内⽹ 站
  5. 发起dos攻击等危害

防御: 过滤⽤户提交的XML数据、如果你当前使⽤的程序为PHP,则可以将

libxml_disable_entity_loader设置为TRUE来禁⽤外部实体,从⽽起到防御的⽬的

xxe常⻅场景是如pdf在线解析、word在线解析、定制协议,留⾔板等,跟逻辑设计有关⽽与语⾔⽆关,

最好是不要让XML作为参数传输或整体结构可被⽤户篡改。如果⼀定要使⽤,⾄少要禁⽤DTD、Entity。

xxe危害 读取本地⽂件,执⾏系统命令,探测内⽹端⼝,攻击内⽹服务

探测内⽹端⼝的协议有gopher file dict,不同语⾔⽀持不同的协议,是具体情况⽽定

file http ftp是常⽤的防范,python⽤lxml时可以对resolve_entities设为false。或者过滤⽤户提交的xml

客户端也可以有xxe攻击,有的⽹站会使⽤office打开docx进⾏解析

Java解析XML的常⽤三⽅库,如果不禁⽤DTD、Entity都会导致XXE漏洞:

javax.xml.stream.XMLStreamReader;

javax.xml.parsers.DocumentBuilderFactory;

CSRF 跨站请求伪造 攻击者诱使已经认证的⽤户在不知情的情况下发送恶意请求 例如 通过隐

藏的

图像请求或伪造的表单

SSRF 服务器端请求伪造 攻击者利⽤服务器功能发送从服务器发起的请求 ⽤来探测内⽹ 与内

部系

统交互或发起恶意请求

哪些地⽅存在xxe

CSRF、SSRF和重放攻击有什么区别

SecAiden22

重放攻击 攻击者拦截合法的数据传输然后重新发送 ⽬的是欺骗系统重复执⾏原来的操作

XSS是跨站脚本攻击,⽤户提交的数据中可以构造代码来执⾏,从⽽实现窃取⽤户信息等攻击。修复⽅

式:对字符实体进⾏转义、使⽤HTTP Only来禁⽌JavaScript读取Cookie值、输⼊时校验、浏览器与

Web应⽤端采⽤相同的字符编码。

CSRF是跨站请求伪造攻击,XSS是实现CSRF的诸多⼿段中的⼀种,是由于没有在关键操作执⾏时进⾏

是否由⽤户⾃愿发起的确认。修复⽅式:筛选出需要防范CSRF的⻚⾯然后嵌⼊Token、再次输⼊密码、

检验Referer.

XXE是XML外部实体注⼊攻击,XML中可以通过调⽤实体来请求本地或者远程内容,和远程⽂件保护类

似,会引发相关安全问题,例如敏感⽂件读取。修复⽅式:XML解析库在调⽤时严格禁⽌对外部实体的

解析。

CSRF 跨站请求伪造 攻击者诱导⽤户执⾏⾮预期的⽹站操作 如发送邮件或更改密码

XSS 跨站脚本 攻击者在⽬标⽹站注⼊恶意脚本 直接影响⽤户浏览器

CSRF 和 XSS 和 XXE 有什么区别,以及修复⽅式

CSRF XSS和SSRF之间的区别

SecAiden23

SSRF 服务器端请求伪造 攻击者诱导服务器对外部系统进⾏意外的请求

  1. 解析漏洞:多后缀名解析漏洞(从后往前解析,⼀直解析到可识别的后缀)、罕⻅后缀名解析

漏洞、.htaccess解析漏洞

  1. 命令执⾏漏洞:CVE-2021-42013
  2. ⽂件名解析漏洞,从前往后解析,遇到分号就截断,忽略分号后⾯的内容,例如:1.asp;.jpg
  3. 罕⻅后缀名,例如:.asa、.cer、.cdx
  4. IIS 5.X/6.0的⽂件夹解析漏洞,例如:将⽂件夹以1.asp命名,该⽂件夹中的所有⽂件都会被

当做asp⽂件执⾏:1.asp/1.jpg、1.asa/1.jpg、1.cer/1.jpg、1.cdx/1.jpg

  1. IIS 7.0/IIS 7.5的CGI解析漏洞,例如上传1.jpg然后访问1.jpg/.php
  2. IIS PUT⽂件上传漏洞
  3. HTTP.sys远程代码执⾏漏洞:MS15-034
  4. CGI解析漏洞,例如上传1.jpg然后访问1.jpg/.php
  5. IIS:⽬录解析漏洞、分号截断、CGI解析漏洞、PUT⽂件上传漏洞、MS15-034
  6. Apache:多后缀名解析漏洞、⽬录遍历、命令执⾏漏洞:CVE-2021-42013
  7. Nginx:CGI解析漏洞
  8. Tomcat:后台部署war包、PUT⽂件上传漏洞、反序列化漏洞、样例⽬录session操控漏洞
  9. Weblogic:后台部署war包、⼀⼤堆反序列化漏洞、未授权RCE漏洞

中间件漏洞

Apache

IIS

Nginx

其他

SecAiden24

  1. Jboss:后台部署war包、⼀堆反序列化

⽹站信息收集包括

域名信息 注册⼈ 注册⽇期 DNS服务器

服务器信息 IP地址 服务器类型 开放端⼝

技术栈信息 使⽤的Web服务器 编程语⾔ 框架

邮件服务器 ⽤于确定邮件服务的配置和⽤途

常⽤⼯具和插件包括

Whois查询⼯具 ⽤于获取域名注册信息

Nmap ⽤于端⼝扫描和服务识别

BuiltWith 和 Wappalyzer 识别⽹站使⽤的技术

  1. PHP

PHP是⼀种跨平台的服务器端的嵌⼊式脚本语⾔。它⼤量地借⽤C、Java 和 Perl 语⾔的语法,并耦合

PHP⾃⼰的特性,使WEB开发者能够快速地写出动态产⽣⻚⾯。它⽀持⽬前绝⼤多数数据库。还有⼀

点,PHP是完全免费的,不⽤花钱,你可以从PHP官⽅站点⾃由下载。⽽且你可以不受限制地获得源

码,甚⾄可以从中加进你⾃⼰需要的特⾊。PHP脚本语⾔的⽂件后缀名是 .php

  1. JSP

JSP是Sun公司推出的新⼀代⽹站开发语⾔,Sun公司借助⾃⼰在Java上的不凡造诣,将Java从Java应⽤

程序和JavaApplet之外,⼜有新的硕果,就是JSP,JavaServerPage。JSP可以在Serverlet和JavaBean

的⽀持下,完成功能强⼤的站点程序。JSP脚本语⾔的⽂件后缀名是 .jsp

前渗透

对⽹站信息收集的内容和⼯具

⼏种webshell脚本的区别

SecAiden25

  1. ASP

ASP全名ActiveServerPages,是MicroSoft公司开发的服务器端脚本环境,是⼀个WEB服务器端的开发

环境,利⽤它可以产⽣和执⾏动态的、互动的、⾼性能的WEB服务应⽤程序。ASP采⽤脚本语⾔

VBScript(Javascript)作为⾃⼰的开发语⾔。asp⽂件后缀名是 .asp

  1. ASP.NET

ASP.net⼜称为ASP+,不仅仅是ASP的简单升级,⽽是微软公司推出的新⼀代脚本语⾔。他不是asp的简

单升级,因为他的编程⽅法和asp有很⼤的不同,他是在服务器端靠服务器编译执⾏的程序代码。ASP

使⽤脚本语⾔,每次请求的时候,服务器调⽤脚本解析引擎来解析执⾏其中的程序代码,⽽ASP.NET 则

可以使⽤多种语⾔编写,⽽且是全编译执⾏的,⽐ASP 快,⽽且,不仅仅是快的问题,有很多优点。

ASP.NET基于.NET Framework的Web开发平台,不但吸收了ASP以前版本的最⼤优点并参照Java、VB

语⾔的开发优势加⼊了许多新的特⾊,同时也修正了以前的ASP版本的运⾏错误。 他还⽀持很多语⾔的

编写,⽐如java、c#、vb.net ,功能很强。 asp.net的⽂件后缀名是 .aspx

aspx使⽤的是.net技术。IIS 中默认不⽀持,ASP只是脚本语⾔⽽已。

  1. web类

这部分常有的漏洞有:(web漏洞/敏感⽬录)第三⽅通⽤组件漏洞struts、thinkphp、

jboss、ganglia、zabbix

80 web

80-89 web

8000-9090 web

  1. 数据库类(扫描弱⼝令)

1433 MSSQL

1521 Oracle

常⻅的端⼝和对应的服务

SecAiden26

3306 MySQL

5432 PostgreSQL

  1. 特殊服务类(未授权/命令执⾏/漏洞)

443 SSL⼼脏滴⾎

873 Rsync未授权

5984 CouchDB http://xxx:5984/_utils/

6379 redis未授权

7001、7002 weblogic默认弱⼝令、反序列化

9200、9300 elasticsearch 参考乌云:多玩某服务器ElasticSearch命令执⾏漏洞

11211 memcache未授权访问

50000 SAP命令执⾏

50070、50030 hadoop默认端⼝未授权访问

  1. 常⽤端⼝类(扫描弱⼝令/端⼝爆破)

21 ftp

22 ssh

23 telnet

2601、2604 zebra路由,默认密码zebra

3389 远程桌⾯

常⻅的端⼝漏洞

21 ftp FTP服务端有很多 anonymous 匿名未授权访问 爆破

22 ssh root密码爆破 后⻔⽤户 可以google查⼀些关于ssh后⻔的⽂章 ⾥⾯的默认密

码 可能会登⼊进去

23 telnet ⼀般会发⽣在 路由器 或者交换机 嵌⼊式设备 管理端⼝ 攻击⽅法 弱⼝令

25 smtp 默认⽤户 默认密码 邮件账号爆破

80 http web 常⻅的Owasp top 10 中间件反序列化 中间件溢出 fastcgi配置不

当 造成fastcgi端⼝泄露

110 pop3 默认⽤户 默认密码 邮件账号爆破

443 https openssl ⼼脏滴⾎(影响范围较⼩) SSL/TLS低版本存在的漏洞

SecAiden27

135 139 445 netbios smb MS17010

3389 RDP CVE-2019-0708

3389和443、445有什么漏洞?

445:ms06_040,蠕⾍,勒索病毒、MS17-010

443:ssl⼼脏滴⾎

3389:rdp漏洞、弱⼝令、cve-2019-0708、ms12-20

端⼝合计详情

161 SNMP

389 LDAP

512、513、514 Rexec

873 Rsync未授权

1025、1111 NSF

1433 sqlserver

1521 Oracle:(iSqlPlus port:5560、7778)

2082/2083 cpanel主机管理系统登录

2222 DA虚拟主机管理系统登录

2601、2604 zebra路由,默认密码zebra

3128 squid代理默认端⼝,如果没设置⼝令很可能直接漫游内⽹

3306 Mysql

3312/3311 kangle主机管理系统登录

4440 rundeck 参考乌云:借⽤新浪某服务成功漫游新浪内⽹

5432 PostgreSQL

5900 vnc

5984 CouchDB

6082 varnish

6379 redis未授权

7001、7002 weblogic默认弱⼝令、反序列化

7778 kloxo主机控制⾯板登录

SecAiden28

8000-9090 都是⼀些常⻅的web端⼝,有些运维谢欢吧管理后台开放在这些⾮80端⼝上

8080 tomcat/wDCP主机管理系统,默认弱⼝令

8080、8089、9090 jboss

8083 Vestacp主机管理系统

8649 ganglia

8888 amh/LuManager 主机管理系统默认端⼝

9200、9300 elasticsearch 参考乌云:多玩某服务器ElasticSearch命令执⾏漏洞

10000 Virtualmin/Webmin 服务器虚拟主机管理系统

11211 memcache未授权访问

27017、27018 Mongodb未授权访问

28017 mongodb统计⻚⾯

50000 SAP命令执⾏

50070、50030 hadoop默认端⼝未授权访问

  1. 项⽬前期准备⼯作
  2. 信息收集:whois、⽹站源IP、旁站、C段⽹站、服务器系统版本、容器版本、程序版本、数据库类

型、⼆级域名、防⽕墙、维护者信息

  1. 漏洞扫描:Nessus, AWVS
  2. ⼿动挖掘:逻辑漏洞
  3. 验证漏洞
  4. 修复建议
  5. (如果有)基线检查/复验漏洞
  6. 输出报告
  7. 多地ping看是否有cdn
  8. 邮件订阅或者rss订阅
  9. ⼆级域名可能不会做cdn

渗透测试流程:

如何绕过CDN查真实IP

SecAiden29

  1. nslookup http://xxx.com 国外dns
  2. 查找域名历史解析记录,因为域名在上CDN之前⽤的IP,很有可能就是CDN的真实源IP地址
  3. phpinfo上显示的信息
  4. cloudflare github可以获取真实IP
  5. ⼀个⽹站有icon 可以根据icon hash 来查找真实IP
  6. ⼦域名绑定 测试⼦域可能回源
  7. SSL证书信息 检查SSL证书的详细信息 有时候会包含原始IP地址信息

转义

注⼊点以及万能密码

敏感信息泄露

验证码绕过

⽆限注册帐号

任意密码重置

明⽂传输

越权漏洞

GPC是什么?GPC之后怎么绕过?

登录⻚⾯的漏洞

SecAiden30

我可以编写多种类型的Python脚本 例如⾃动化脚本 数据分析 ⽹络请求处理等 我熟悉的

Python库包

Pandas 数据分析和操作

NumPy 数值计算

Requests HTTP请求处理

BeautifulSoup ⽹⻚解析

熟悉的语⾔ ⽤Python写过什么脚本 使⽤过的Python库

SecAiden31

Scikit-learn 机器学习

Matplotlib 数据可视化

使⽤Nmap进⾏SYN扫描 不进⾏DNS查找 不ping主机 只返回tcp/139和tcp/445的开放端⼝的

命令如

nmap -Pn -p139,445 -sS --open -n [⽬标IP或域名]

这⾥ -Pn 选项禁⽌ping主机, -sS 为SYN扫描, --open 仅显示开放的端⼝, -n 防⽌DNS解析

原理 ARP 地址解析协议 欺骗是⼀种攻击类型 其中攻击者发送虚假的ARP消息到局域⽹内 这些

消息可 以让攻击者将⾃⼰的MAC地址与⽹络中另⼀台机器的IP地址关联起来 从⽽拦截到该机器

的数据包 解决

⽅案

静态ARP表 在关键设备上使⽤静态ARP记录 不依赖动态ARP响应

使⽤ARP防护⼯具 如ArpON ARP handler inspection 来保护⽹络不受ARP欺骗

⽹络隔离和访问控制 通过VLAN等技术隔离敏感⽹络 控制⽹络访问

原理 SYN Flood 是⼀种DoS攻击 攻击者发送⼤量的SYN请求给⽬标服务器 但故意不完成TCP

三次握⼿

过程 这会消耗服务器的资源 导致合法⽤户⽆法连接

解决⽅案

Nmap命令

ARP欺骗攻击原理及解决⽅案

SYN Flood攻击原理及解决⽅案

SecAiden32

SYN cookies ⼀种技术 服务器不⽴即分配资源 ⽽是通过特殊的初次响应 SYN-ACK 计算得出

cookie 仅当客户端响应时才分配资源

防⽕墙和WAF配置 配置规则以限制SYN请求的速率

增加后备资源 扩展服务器能⼒以处理⾼量的请求

HTTPS 证书是基于SSL/TLS协议的 ⽤于在服务器与客户端之间建⽴加密连接 它包含

公钥 ⽤于加密发送到服务器的数据

证书颁发机构 CA 签名 确保证书的真实性和信任

证书持有者信息 包括域名和组织信息 证书通过这些元素保证了数据传输的安全性和完整性

Nmap ⽹络映射器 是⼀个强⼤的⽹络扫描和安全审核⼯具 基本操作包括

端⼝扫描: nmap -p 1-65535 [⽬标IP] 扫描所有端⼝

操作系统识别: nmap -O [⽬标IP] 推测⽬标操作系统类型

服务版本检测: nmap -sV [⽬标IP] 探测开放端⼝上运⾏的服务版本

HTTPS 证书机制介绍

Nmap 的基本操作

DNS 解析的流程

浏览器缓存检查 ⾸先检查是否有缓存的DNS记录

1

Plain Text

本地DNS服务器 如果缓存中没有 请求发送到配置的本地DNS服务器

1

Plain Text

根DNS服务器 如果本地DNS服务器没有记录 查询将发送到根DNS服务器

1

Plain Text

SecAiden33

对称密码 使⽤相同的密钥进⾏数据的加密和解密 例如AES和DES ⾮对称密码 使⽤⼀对密钥

即公钥

和私钥 公钥⽤于加密数据 私钥⽤于解密 常⻅的⾮对称加密算法包括RSA和ECDSA

当在浏览器中输⼊域名并访问时

密码学的对称密码和⾮对称密码

在浏览器中输⼊⼀个域名去访问时 浏览器做了什么

顶级域DNS服务器 根服务器指向对应的顶级域 如.com或.net 的DNS服务器

1

Plain Text

权威DNS服务器 最后 顶级域服务器指向权威DNS服务器 它存储具体的域名信息

1

Plain Text

DNS解析 将域名转换为IP地址

1

Plain Text

TCP连接 使⽤得到的IP地址 浏览器与服务器建⽴TCP连接

1

Plain Text

发送HTTP请求 浏览器向服务器发送⼀个HTTP请求

1

Plain Text

处理服务器响应 服务器响应请求并返回数据 浏览器接收并处理数据 显示⽹⻚内容

1

Plain Text

SecAiden34

钓⻥邮件是⼀种社会⼯程技巧 ⽤于诱导邮件接收者点击恶意链接 下载附件或提供敏感信息 如⽤

户名

密码和银⾏账号等 这些邮件通常伪装成来⾃可信来源的正式通信 以诱骗⽤户执⾏上述危险操作

CC攻击 Challenge Collapsar攻击 通常指的是⼀种分布式拒绝服务攻击 DDoS 其中攻击者

利⽤多个被控 制的系统同时向⽬标发送⼤量请求 ⽬的是消耗⽬标资源⾄崩溃 CC攻击主要是通

过⼤量并发连接请求来实现

参照OWASP 开放⽹络应⽤安全项⽬ 公布的最常⻅的⼗⼤⽹络应⽤安全⻛险

对钓⻥邮件的了解

什么叫CC攻击

⼗⼤漏洞讲讲

注⼊ 如SQL注⼊ 命令注⼊等

1

Plain Text

失效的身份认证 系统未能正确实施⽤户身份认证 导致攻击者可绕过身份认证

1

Plain Text

敏感数据泄露 敏感信息如信⽤卡数据 健康记录未经加密或不当保护

1

Plain Text

XML外部实体 XXE 攻击 对含有外部实体引⽤的XML输⼊处理不当

1

Plain Text

失效的访问控制 访问控制不当使得未授权⽤户可以访问应该受限的数据

1

Plain Text

SecAiden35

⿊盒测试 测试⼈员没有任何系统信息 完全从外部攻击者的⻆度进⾏测试

⽩盒测试 测试⼈员具有完整的系统信息 包括架构图 源代码等 可以进⾏更深⼊的测试

灰盒测试 介于⿊盒和⽩盒之间 测试⼈员拥有部分系统信息

对抗⼊侵检测系统 IDS 和⼊侵防御系统 IPS 的策略包括

分割攻击 将攻击分成多个较⼩ 较难检测的部分

加密通道 使⽤SSL/TLS等加密⼿段来隐藏攻击流量

混淆和编码 使⽤不同的编码或混淆技术使攻击⾏为难以被签名识别

流量模仿 模仿正常的⽤户流量 避免产⽣异常模式

渗透测试的类型

遇到⽬标有IDS IPS怎么对抗

安全配置错误 错误配置的服务器 数据库和平台安全设置

1

Plain Text

跨站脚本 XSS 攻击者通过将恶意脚本注⼊⽹⻚ 攻击浏览该⽹⻚的⽤户

1

Plain Text

不安全的反序列化 导致远程代码执⾏ 注⼊攻击等

1

Plain Text

使⽤含有已知漏洞的组件 软件组件含有未修复的安全漏洞

1

Plain Text

不⾜的⽇志与监控 缺乏⾜够的⽇志记录和监控使得攻击检测和响应变得困难

1

Plain Text

SecAiden36

⼿机越狱和root是指获取⼿机操作系统的最⾼权限

越狱 iOS 通过越狱 ⽤户可以安装未经苹果官⽅App Store批准的应⽤程序 ⾃定义系统界⾯和

功能

Root Android Rooting则允许⽤户访问Android设备的root权限 可以删除预装应⽤ 安装特殊权

应⽤等

如何进⾏

iOS越狱 使⽤如Checkra1n或Unc0ver等越狱⼯具 这些⼯具通常利⽤iOS系统漏洞进⾏越狱

Android Root 使⽤如Magisk或SuperSU等⼯具进⾏Root 这些⼯具提供了管理Root权限的界⾯

和功

Frida 是⼀个动态代码插桩⼯具 ⽤于在运⾏时检查和修改应⽤和进程 Frida适⽤于Android iOS

Windows Mac和Linux ⾮常适合进⾏应⽤的逆向⼯程和安全测试

Xposed 是⼀个框架 ⽤于在Android设备上修改系统和应⽤程序的⾏为 不需要修改APK 这使得

户可以安装模块来实现定制功能和修补漏洞

降低逻辑漏洞的出现率可以采取以下措施

彻底的需求和设计审查 确保在开发前彻底理解需求 避免逻辑错误

代码审查和对等编程 定期进⾏代码审查 促进开发团队成员之间的知识分享

使⽤静态和动态代码分析⼯具 ⾃动检测潜在的逻辑错误

实施安全开发周期 SDL 将安全措施整合到软件开发过程中的每⼀个阶段

什么是⼿机"越狱" 如何root Android设备或越狱iOS设备

Frida和Xposed框架

如何降低逻辑漏洞的出现率?

SecAiden37

Windows Wireshark, Tcpdump (通过WSL), Microsoft Network Monitor, Fiddler

Linux Wireshark, Tcpdump, SSLSplit

基本的抓包分析⼿法

过滤和搜索 使⽤⼯具的过滤功能来定位特定类型的包

分析协议层 检查各个⽹络层的数据 查看是否存在异常

跟踪会话流 分析TCP会话的建⽴ 数据传输和结束过程

ipconfig 显示⽹络配置信息

ping 检测⽹络连接

tracert 追踪数据包的路由

netstat 显示⽹络连接 路由表 接⼝统计等信息

tasklist 显示当前运⾏的进程

net user 管理⽤户账户

ifconfig/ ip a 查看或配置⽹络接⼝

ping 测试⽹络连通性

grep 搜索⽂本或⽂件

netstat 显示⽹络连接信息

ps 查看当前运⾏的进程

top 显示实时系统状态

Windows/Linux环境下的抓包⼯具及基本的抓包分析⼿法

Windows常⽤的命令

Linux常⽤的命令

Windows中查看进程的命令

SecAiden38

tasklist 显示当前运⾏的所有进程信息

Get-Process 在PowerShell中使⽤ 功能同 tasklist

拿到跳板后,先探测⼀波内⽹存活主机,⽤net user /domian命令查看跳板机是否在域

内,探测存活主机、提权、提取hash、进⾏横向移动,定位dc位置,查看是否有能直接提权域管的漏

洞,拿到dc控制权后进⾏提权,然后制作⻩⾦票据做好维权,清理⼀路过来的⽇志擦擦脚印

reg上传去正向连接。或探测出⽹协议,如dns,icmp,http

Kerberos认证中就需要通过查询AD中数据来判断发出请求的客户端是否合法。

Ticket :票据,是⽹络对象互相访问的凭证。

TGT(Ticket Granting Ticket):票据授权票据,通过票据授权票据可以获得⼀个票据,类似临

时凭证。

ST(Service Ticket):服务票据

在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给 Client

⼀个Logon Session Key 和 TGT,⽽ Logon Session Key 并不会保存在 KDC 中,

krbtgt 的NTLM Hash ⼜是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造

TGT 和Logon Session Key 来进⼊下⼀步 Client 与 TGS 的交互。⽽已有了⾦票后,

就跳过AS 验证,不⽤验证账户和密码,所以也不担⼼域管密码修改

内⽹

内⽹渗透的流程

拿到webshell不出⽹情况下怎么办

⽩银票据与⻩⾦票据的原理?

⾦票

SecAiden39

  1. 域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot]
  2. 域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value](就是域成员SID值去掉

最后的)

  1. ⽬标服务器的 FQDN
  2. 可利⽤的服务
  3. 域的KRBTGT账户NTLM密码哈希
  4. 需要伪造的⽤户名⼀旦攻击者拥有管理员访问域控制器的权限,就可以使⽤Mimikatz来提取

KRBTGT帐户密码哈希值

如果说⻩⾦票据是伪造的 TGT,那么⽩银票据就是伪造的 ST。在 Kerberos 认证的

第三步,Client 带着 ST 和Authenticator3 向 Server 上的某个服务进⾏请求,

Server 接收到 Client 的请求之后,通过⾃⼰的 Master Key 解密 ST,从⽽获得

Session Key。通过 Session Key 解密 Authenticator3,进⽽验证对⽅的身份,验证

成功就让 Client 访问 server 上的指定服务了。所以我们只需要知道 Server ⽤户的

Hash 就可以伪造出⼀个 ST,且不会经过 KDC,但是伪造的⻔票只对部分服务起作⽤

获取的权限不同

认证流程不同

加密⽅式不同

  1. ⽤户名爆破
  2. 密码喷洒和密码爆破
  3. Kerberoasting
  4. ASRepRoasting
  5. ⻩⾦票据和⽩银票据

⻩⾦票的条件要求?

银票

⾦票和银票的区别

针对kerbores的攻击有哪些?

SecAiden40

  1. MS14-068
  2. ⾮约束委派、约束委派、基于资源的约束委派
  3. 票据传递(ptt/ptk/ptc)
  4. mimikatz加密降级攻击(万能钥匙)
  5. 使⽤恶意的kerberos证书做权限维持

mimikatz是⼀款强⼤的系统密码破解获取⼯具。可以破解哈希值,是⼀个可加载的

Meterpreter模块。

如果system的权限⽆法执⾏执⾏。需要先进⾏提权。

在meterpreter中输⼊run post/multi/recon/local_exploit_sugge

ster,进⾏提权漏洞检测。

  1. 跳板
  2. 代理服务器
  3. Tor
  4. ⽇志
  5. 清除历史记录
  6. 粉碎⽂件

利⽤内核栈溢出提权

明⽂ root 密码提权

密码复⽤

sudo 滥⽤

NFS

suid

计划任务

mimikatz使⽤⽅法

隐藏痕迹

linux的提权⽅式

SecAiden41

在Linux系统中建⽴⼀个对普通⽤户不可⻅的隐藏⽤户 可以通过修改 /etc/passwd⽂件实现 可

以将⽤户 的登录shell设置为 /sbin/nologin或 /bin/false 这样⽤户就不能登录到系统 但为了进

⼀步隐藏 可 以将⽤户ID设置为负数或极⾼的值 通常不会检查这些范围的UID 这样在⼤多数

系统⼯具中⽤户将不会显

示 这种⽅法的安全性有限 可能会被有经验的⽤户或管理员发现

内⽹渗透通常依赖于多种技术和⼯具 步骤可能包括

内⽹Linux系统的渗透步骤与Windows类似 不同之处在于利⽤的⼯具和技术

如何建⽴隐藏⽤户

给你⼀个内⽹Windows你如何渗透

给你⼀个内⽹Linux你如何渗透

信息收集 使⽤如NetBIOS SNMP等⼯具收集⽹络结构 主机名 IP地址等信息

1

Plain Text

漏洞扫描 使⽤漏洞扫描⼯具如Nessus或OpenVAS扫描内部系统的已知漏洞

1

Plain Text

利⽤漏洞 针对发现的漏洞 使⽤Exploit⼯具 如Metasploit 进⾏利⽤ 尝试获得系统访问权

1

Plain Text

提权 获取初步的权限后 尝试通过各种提权技术获得更⾼级别的权限

1

Plain Text

横向移动 在内⽹中移动 寻找更多的⽬标机器进⾏攻击 使⽤如Pass-the-Hash Kerberoast

ing等技术

1

Plain Text

SecAiden42

拿到Windows系统权限后 维持访问通常包括

植⼊后⻔ 安装后⻔程序或使⽤现有的远程管理⼯具

替换合法⽂件 ⽤恶意⽂件替换系统中的合法⽂件

注册表修改 修改注册表来保持恶意代码的启动

清理系统⽇志时应注意

安全⽇志 如登录尝试 账户更改等

系统⽇志 系统启动 运⾏错误等

应⽤⽇志 具体应⽤产⽣的⽇志 可能包含操作记录

⽹络⽇志 如防⽕墙 路由器⽇志

拿到win权限后 权限维持

清理⽇志要清理哪些

框架

信息收集 通过⽹络扫描⼯具如Nmap收集开放的服务和运⾏的应⽤程序

1

Plain Text

漏洞扫描和利⽤ 利⽤⼯具如OpenVAS进⾏漏洞扫描 利⽤具体漏洞 如SSH FTP服务漏洞 尝试获

取访问权限

1

Plain Text

提权 ⼀旦进⼊系统 通过查找sudo权限配置不当 过时软件 内核漏洞等⽅法尝试提升权限

1

Plain Text

横向移动 利⽤SSH密钥 Kerberos票据等进⾏内⽹其他系统的横向移动

1

Plain Text

SecAiden43

(1)struts 是 java 的 web 框架

(2)采取 OGNL 表达式,处理 view 层数据字符串到 controller 层转换成 java对象

(3)重点关注的编号加粗如下

判断:

⼀般st2开发的应⽤,会以.do.action为结尾后缀,但是spingweb同样可以这样结尾来定

义相关接⼝,所以通过在相关接⼝追加actionErrors参数,st2应⽤会触发报错

⽽spring的话,类似user.do/的访问和user.do的结果⼀样

st2-045这就是看Content-Type,这部分是达到命令执⾏的部分

  1. CVE-2020-14882:

远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic 管理控制台。 攻击者

可以构造特殊请求的URL,即可未授权访问到管理后台⻚⾯,访问后台后是⼀个低权限的⽤ 户,⽆法安

装应⽤, 也⽆法直接执⾏任意代码。

  1. CVE-2020-14883:

允许后台任意⽤户通过HTTP协议执⾏任意命令。使⽤这两个漏洞组成的利⽤链,可通过⼀个HTTP 请求

在远程Weblogic 服务器上以未授权的任意⽤户身份执⾏命令。

  1. 漏洞利⽤

第⼀种⽅法是通过com.tangosol.coherence.mvel2.sh.ShellSession

第⼆种⽅法是通过

com.bea.core.repackaged.springframework.context.support.FileSystemX

mlApplic ationContext

struts2框架漏洞原理

weblogic权限绕过

log4j反序列化

SecAiden44

该漏洞主要是由于⽇志在打印时当遇到${后,以:号作为分割,将表达式内容分割成两部分,前⾯⼀部分

prefix,后⾯部分作为key,然后通过prefix去找对应的lookup,通过对应的lookup实例调⽤lookup⽅

法,最后将key作为参数带⼊执⾏,引发远程代码执⾏漏洞核⼼原理为,在正常的log处理过程中对

**${**这两个紧邻的字符做了检测,⼀旦匹配到类似于表达式结构的字符串就会触发替换机制,将表达

式的内容替换为表达式解析后的内容,⽽不是表达式本身,从⽽导致攻击者构造符合要求的表达式供系

统执⾏⽇志在打印时当遇到${后,Interpolator类以:号作为分割,将表达式内容分割成两部分,

前⾯部分作为 prefix,后⾯部分作为 key。然后通过prefix去找对应的 lookup,通过对应的lookup实例

调⽤lookup⽅法,最后将key作为参数带⼊执⾏

shiro提供记住密码功能,Payload产⽣的过程:命令=》序列化=》AES加密=》base64编

码=》RememberMe Cookie值

影响版本:Apache Shiro < 1.2.4

特征判断:返回包中包含rememberMe=deleteMe字段。

第⼆种 直接发送原数据包,返回的数据中不存在关键字可以通过在发送数据包的cookie中增

加字段:****rememberMe=然后查看返回数据包中是否存在关键字

利⽤:⽤⽣成的Payload,构造数据包,伪造cookie发送payload

  1. SHIRO-550:

shiro默认使⽤了CookieRememberMeManager,其处理cookie的流程是:

得到rememberMe的cookie值-->Base64解码-->AES解密-->反序列化

AES的密钥是硬编码在代码⾥,就导致了反序列化的RCE漏洞

这两个漏洞主要区别在于Shiro550使⽤已知密钥碰撞,只要有⾜够密钥库(条件较低),不需要

Remember Cookie

  1. SHIRO-721反序列化漏洞

不需要key,利⽤Padding Oracle Attack构造出RememberMe字段后段的值结合合法的

RememberMe cookie即可完成攻击

Shiro721的ase加密的key基本猜不到,系统随机⽣成,可使⽤登录后rememberMe去爆破正确的key值,

即利⽤有效的RememberMe Cookie作为Padding Oracle Attack的前缀,然后精⼼构造 RememberMe

Cookie 值来实现反序列化漏洞攻击,难度⾼

Shiro反序列化漏洞

SecAiden45

Padding Oracle Attack(填充提示攻击)

  1. 分组密码的填充 分组带来⼀个问题,就是明⽂不可能恰好是block的整数倍,对于不能整除剩余

的部分数据就涉及到填充操作。 在解密时会校验明⽂的填充是否满⾜该规则,如果是以N个0x0N

结束,则意味着解密操作执⾏成功,否则解密操作失败。

weblogic就好多了,基于T3协议的反序列化;基于xml解析时候造成的反序列化,还有

反序列化漏洞

Weblogic(及其他很多java服务器应⽤)在通信过程中传输数据对象,涉及到序列化和反序

列化操 作,如果能找到某个类在反序列化过程中能执⾏某些奇怪的代码,就有可能通过控制这

些代码达到RCE 的效果

常⻅的weblogic漏洞

  1. #CVE-2016-0638 Weblogic 直接反序列化基于Weblogic t3协议引起远程代码执⾏的反序列化漏

洞 漏洞实为CVE-2015-4852绕过 拜Oracle⼀直以来的⿊名单修复⽅式所赐

  1. #CVE-2016-3510 基于Weblogic t3协议引起远程代码执⾏的反序列化漏洞
  2. #CVE-2017-3248 基于Weblogic t3协议引起远程代码执⾏的反序列化漏洞 属于Weblogic JRMP

反序列化

  1. #CVE-2018-2628 基于Weblogic t3协议引起远程代码执⾏的反序列化漏洞 属于Weblogic JRMP

反序列化

  1. #CVE-2018-2893 基于Weblogic t3协议引起远程代码执⾏的反序列化漏洞 实为CVE-2018-2628

绕过 同样拜Oracle⼀直以来的⿊名单修复⽅式所赐 属于Weblogic

T3协议是Oracle WebLogic Server中的⼀种专有协议,⽤于在客户端和服务器之间进⾏通信。

正常请求是get请求并且没有请求体,可以通过构造错误的POST请求,即可查看在返回包中是否有

fastjson这个字符串来判断fastjson漏洞利⽤原理

weblogic有⼏种漏洞

fastjson反序列化漏洞

SecAiden46

在请求包⾥⾯中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type字段进⾏过

滤,从⽽导致攻击者可以传⼊恶意的TemplatesImpl类,⽽这个类有⼀个字段就是_bytecodes,有部分

函数会根据这个_bytecodes⽣成java实例,这就达到fastjson通过字段传⼊⼀个类,再通过这个类被⽣成

时执⾏构造函数

⽆回显怎么办

  1. ⼀种是直接将命令执⾏结果写⼊到静态资源⽂件⾥,如html、js等,然后通过http访问就可以直接看

到结果

  1. 通过dnslog进⾏数据外带,但如果⽆法执⾏dns请求就⽆法验证了
  2. 直接将命令执⾏结果回显到请求Poc的HTTP响应中

Redis默认情况下,会绑定在0.0.0.0:6379,这样将会将Redis服务暴露到公⽹上,如果在

没有开启认证的情况下,可以导致任意⽤户在可以访问⽬标服务器的情况下未授权访问Redis

以及读取Redis的数据。攻击者在未授权访问Redis的情况下可以利⽤Redis的相关⽅法,可

以成功在Redis服务器上写⼊公钥,进⽽可以使⽤对应私钥直接登录⽬标服务器

条件:

a、redis 服务以 root 账户运⾏

b、redis ⽆密码或弱密码进⾏认证

c、redis 监听在 0.0.0.0 公⽹上

⽅法:

a、通过Redis的INFO命令,可以查看服务器相关的参数和敏感信息,为攻击者的后续渗透做铺

b、上传SSH公钥获得SSH登录权限

c、通过crontab反弹shell

d、slave主从模式利⽤

修复:

密码验证

降权运⾏

redis未授权与权限获取

SecAiden47

限制 ip/修改端⼝

  1. redis写⼊webshell:服务端的redis链接存在未授权,在攻击机上⾯能⽤redis-cli直接登录链接,并未

登录验证.

  1. 利⽤redis写⼊ssh公钥:服务端的redis连接存在未授权,在攻击机上⾯能⽤redis-cli直接登录链接 并

未登录验证,服务端存在ssh⽬录并且有写⼊的权限.

  1. redis写⼊计划任务:这个⽅法只能在Centos上使⽤,Ubuntu上是⾏不通的

原因如下: 因为默认redis写⽂件后是644的权限,但ubuntu要求执⾏定时任务⽂

件/var/spool/cron/crontabs/权限必须是600也就是-rw———-才会执

⾏,否则会报 错(root) INSECURE MODE (mode 0600 expected),⽽Centos的定时

任务⽂ 件/var/spool/cron/权限644也能执⾏因为redis保存RDB会存在乱

码,在Ubuntu上 会报错,⽽在Centos上不会报错 然后由于系统的不同,crontrab定时⽂

件位置也会不同

  1. 主从复制

1.SSRF 服务端请求伪造

⼀、对内⽹扫描,获取 banner

⼆、攻击运⾏在内⽹的应⽤,主要是使⽤ GET 参数就可以实现的攻击(⽐如

Struts2,sqli 等)

三、利⽤协议读取本地⽂件

四、云计算环境 AWS Google Cloud 环境可以调⽤内⽹操作 ECS 的 API

2.如 webligic SSRF 漏洞

通过 SSRF 的 gopher 协议操作内⽹的 redis,利⽤ redis 将反弹 shell 写⼊

crontab 定时任务,url 编码,将\r 字符串替换成%0d%0a

shiro就看cookie中Rememberme字段,什么都要从这⾥传

fastjson:可以在提交的包中找找json格式的数据,重点看⼀下有⽆rmi或者出⽹的⼀些⾏

SSRF利⽤Redis写shell

常⻅反序列化的流量特征

SecAiden48

为,(在⼗六进制中会呈现ACED开头,这段不确定)

st2-045:请求头中的Content-Type字段

菜⼑特征

使⽤了base64的⽅式加密了发送给“菜⼑⻢”的指令,其中的两个关键payload z1和z2,这

个名字是可变的

蚁剑特征

默认的USER-agent请求头 是 antsword xxx,但是 可以通过修

改:/modules/request.js ⽂件中 请求UA绕过

其中流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有

WebShell客户端链接PHP类WebShell都有的⼀种代码

蚁剑混淆加密后还有⼀个⽐较明显的特征,即为参数名⼤多以“_0x......=”这种形式(下划

线可替换),所以以_0x开头的参数名也很可能就是恶意流量

冰蝎 AES

看包没有发现什么特征,但是可以发现它是POST请求的

1、Accept头有application/xhtml+xmlapplication/xmlapplication/signed exchange属于弱特征(UA

头的浏览器版本很⽼)

2、特征分析Content-Type: application/octet-stream 这是⼀个强特征查阅资料可

知octet-stream的意思是,只能提交⼆进制,⽽且只能提交⼀个⼆进制,如果提交⽂件的

话,只能提交⼀个⽂件,后台接收参数只能有⼀个,⽽且只能是流(或者字节数组);很少使⽤

#冰蝎2特征:

默认Accept字段的值很特殊,⽽且每个阶段都⼀样冰蝎内置了⼗余种UserAgent ,每次连接 q=.2

shell 会随机选择⼀个进⾏使⽤。但都是⽐较⽼的,r容易被检测到,但是可以在burp中修改

ua头。

webshell⼯具流量

SecAiden49

Content-Length: 16, 16就是冰蝎2连接的特征

#冰蝎3特征:

冰蝎3取消动态密钥获取,⽬前很多waf等设备都做了冰蝎2的流量特征分析,所以3取消了动态

密 钥获取;php抓包看包没有发现什么特征,但是可以发现它是POST请求的

1)Accept头application/xhtml+xmlapplication/xmlapplication/signed exchange属于弱特征 q=.2

2)ua头该特征属于弱特征。通过burp可以修改,冰蝎3.0内置的默认16个userAgent都⽐较⽼。现实⽣活

中很少有⼈使⽤,所以这个也可以作为waf规则特征

jsp抓包特征分析Content-Type: application/octet-stream 这是⼀个强特征查阅

资料可知 octet-stream的意思是,只能提交⼆进制,⽽且只能提交⼀个⼆进制,如果提交

⽂件的话,只能提交 ⼀个⽂件,后台接收参数只能有⼀个,⽽且只能是流(或者字节数组);

很少使⽤。

冰蝎4

Accept: application/json, text/javascript, /; q=0.01

Content-type: Application/x-www-form-urlencoded

冰蝎设置了10种User-Agent,每次连接shell时会随机选择⼀个进⾏使⽤。

固定的请求头和响应头

哥斯拉流量特征

### PHP连接特征

(1)php_XOR_BASE64

设置代理,⽤burp抓包。截取到特征发现请求都含有"pass="第⼀个包

第⼆个包

POST /hackable/uploads/base.php HTTP/1.1

User-Agent: Java/1.8.0_131

Host: 192.168.0.132:777

Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2

SecAiden50

Content-type: application/x-www-form-urlencoded

Content-Length: 51

Connection: close

pass=AWEzAAN%2FWFI3XHNGaGBQWDEHPwY4fSQAM2AIDw%3D%3D

###jsp连接特征

(1)java_AES_BASE64

POST /gejs.jsp HTTP/1.1

User-Agent: Java/1.8.0_131

Host: 192.168.0.132:555

Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2

Content-type: application/x-www-form-urlencoded

Content-Length: 33035

Connection: close

pass=0%2FMHwbBP6vuX0WyYztOU9DrUPcD0Zwx0KhArobwwHBDld91Y8xrUqPxo40dK

oSbGd%2FxDF4yJopsUIHMI8NMfFUl0oxBzWPyMdTmxAntagmMGLGiqB1ckbl5G%2Fla

pnewWrvhhdqtj0eT2zvUes%2Bg6yhFGVjLstoOdJxkYPY6XB70AeffugDlCkUYAyHyr

TymPocUs14sKD5ItAn5147goo9TAdBH0kgSNlxbqxMqTPbgjKljsvC53fFB%2BO5jKU

BCBvsCR1W%2FLhPA42qp1e%2Fl0cmUohwSAT3N0s9r%2FzRVlB3lQkXnV895dz48DyP

bYjJp%2Bhpf1qFjbCy1o8Zd771ObGbKvWr1O5PZOTNKBu

与php请求⼀样都含有"pass="⽽且发起连接时服务器返回的Content-Length是0

(2)java_AES_RAW

POST /rwj.jsp HTTP/1.1

User-Agent: Java/1.8.0_131

Host: 192.168.0.132:555

Accept: text/html, image/gif, image/jpeg, *; q=.2, /; q=.2

Content-type: application/x-www-form-urlencoded

Content-Length: 23360

Connection: close

SecAiden51

Óó•Á°Oêû•Ñl•ÎÓ•ô:Ô=Àôg•t*•+

¡¼0••åwÝXó•Ô¨ühãGJ¡&ÆwüC•••¢••s•ðÓ••It£•sXü•u9±•{Z•c•,hª•W$n^FþV©•ì

•®øav«cÑäöÎõ•³è:Ê

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=1C26762D96A561D4A63BDE104E22930C; Path=/;

HttpOnly

Content-Type: text/html

Content-Length: 0

Date: Wed, 18 Nov 2020 15:19:56 GMT

Connection: close

1、抑制范围:主机断⽹或者隔离使受害⾯不继续扩⼤

2、收集信息:收集客户信息和中毒主机信息,包括样本

3、判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断⽹、DoS 等等

4、深⼊分析:⽇志分析、进程分析、启动项分析、样本分析⽅便后期溯源

5、清理处置:杀掉进程,删除⽂件,打补丁,删除异常系统服务,清除后⻔账号防⽌事件扩⼤,处理完

毕后恢复⽣产

6、产出报告:整理并输出完整的安全事件报告

4624/4625

应急

应急流程

windows登录成功/失败的id

⽹站被挂⻢如何应急

SecAiden52

1.取证,登录服务器,备份,检查服务器敏感⽬录,查毒(搜索后⻔⽂件-注意⽂件的时间,

⽤户,后缀等属性),调取⽇志(系统,中间件⽇志,WAF⽇志等);

2.处理,恢复备份(快照回滚最近⼀次),确定⼊侵⽅法(漏洞检测并进⾏修复)

3.溯源,查⼊侵IP,⼊侵⼿法(⽹路攻击事件)的确定等

4.记录,归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通⽤漏洞的应对等其他

安全应急事件

⼀、检查系统账号安全

1、查看服务器是否有弱⼝令、可疑账号、隐藏账号、克隆账号、远

程管理端⼝是否对公⽹开放。

2、Win+R 打开运⾏,输⼊“eventvwr.msc”打开操作系统⽇志,查

看管理员登录时间、⽤户名是否存在异常

⼆、检查异常端⼝、进程

1、使⽤ netstat -ano 检查端⼝连接情况,是否有远程连接、可疑

连接(主要定位 ESTABLISHED)。

2、根据 netstat 定位出的 pid,再通过 tasklist 命令进⾏进程定位

tasklist | findstr “PID”

3、也可以使⽤ D 盾_web 查杀⼯具、⽕绒剑、XueTr 等⼯具进⾏判断可疑进程(如蓝⾊、

红⾊进程、没有签名验证信息的进程、没有描述信息的进程、进程的属主、进程的路径是否合

法、 CPU 或内存资源占⽤⻓时间过⾼的进程)

三、检查启动项、计划任务、服务

1、检查服务器是否有异常的启动项,如:单击开始菜单 >【运⾏】,输⼊ msconfig看⼀下

启动项是否存在可疑启动,注册表run键值是否存在可疑启⽤⽂件,组策略,运⾏

gpedit.msc 查看脚本启动是否存在启⽤⽂件等

2、检查计划任务,如单击【开始】>【设置】>【控制⾯板】>【任务计划】,查看计划任务属

性,便可以发现⽊⻢⽂件的路径

Windows中毒了 如何应急

SecAiden53

3、检查服务⾃启动,如单击【开始】>【运⾏】,输⼊ services.msc,注意服务状态和启

动类型,检查是否有异常服务。

四、检查系统相关信息

1、查看系统版本以及补丁信息

检查⽅法:单击【开始】>【运⾏】,输⼊ systeminfo,查看系统信

息是否打了补丁

2、查找可疑⽬录及⽂件

检查⽅法:

a、查看⽤户⽬录,新建账号会在这个⽬录⽣成⼀个⽤户⽬录,查看

是否有新建⽤户⽬录。

Window 2003 C:\Documents and Settings

Window 2008R2 C:\Users\ b、单击【开始】>【运⾏】,输

⼊%UserProfile%\Recent,分析最近打开分析可疑⽂件。

c、在服务器各个⽬录,可根据⽂件夹内⽂件列表时间进⾏排序,查

找可疑⽂件。

五、⾃动化查杀

⽤360、卡巴斯基等病毒查杀系统病毒⽊⻢,Web 可以⽤ D 盾、河⻢

⼯具查杀 Webshell 后⻔

六、⽇志分析

⽤ 360 星图⽇志分析⼯具进⾏分析攻击痕迹或⼿⼯结合 EmEditor 进

⾏⽇志分析

1、账号安全

2、历史命令

3、检查异常端⼝

4、检查异常进程

5、检查开机启动项

Linux⼊侵排查思路

SecAiden54

6、检查定时任务

7、检查服务

8、检查异常⽂件

9、检查系统⽇志

## windows⼊侵排查

  1. 检查系统账号安全
  2. 历史命令
  3. 检查异常端⼝、进程
  4. 检查启动项、计划任务、服务
  5. ⽇志分析
    1. ⽇志中搜索关键字:如:union,select等
  6. 分析状态码:

1xx information

200 successful

300 redirection

4xx client error

5xx server error

7.查找可疑⽂件

防⽕墙 utm 负载均衡设备

IPS IDS(HIDS基于主机型⼊侵检测系统)

堡垒机

蜜罐

⽹闸

windows⼊侵排查

常⻅的安全设备

SecAiden55

waf

扫描器

soc(ossim开源安全信息管理系统)

第⼀步:排查第三⽅⼴告、统计插件、⽹站优化等⾮本站代码(劫持重灾区);

第⼆部:排查⽹站⾃身是否存在可疑的JS代码;

第三步:使⽤模拟IP访问⽹站,定位劫持问题。

将⽂件 /proc/544/fd/7 拷⻉到 /var/log/messages ,执⾏命令: cp /proc/544/fd/7

/var/log/messages 重新启动 rsyslog 服务即可恢复被误删除的⽇志⽂件

先查看检查服务器web⽇志,查看是否有可疑的web访问⽇志,⽐如说filter或者listener类型的内存⻢,

会有⼤量url请求路径相同参数不同的,或者⻚⾯不存在但是返回200的请求。

如在web⽇志中并未发现异常,可以排查是否为中间件漏洞导致代码执⾏注⼊内存⻢,排查中间件的

error.log⽇志查看是否有可疑的报错,根据注⼊时间和⽅法根据业务使⽤的组件排查是否可能存在java代

码执⾏漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。

查看是否有类似哥斯拉、冰蝎特征的url请求,哥斯拉和冰蝎的内存⻢注⼊流量特征与普通webshell的流

量特征基本吻合。

通过查找返回200的url路径对⽐web⽬录下是否真实存在⽂件,如不存在⼤概率为内存⻢。

/var/log/apache2/

ls:显示当前⽂件夹的内容

⽹站被劫持

⽇志被删除如何处理

内存⻢排查

apache⽇志位置

linux常⻅命令

SecAiden56

ifconfig:查看ip地址

whoami:查看⽤户

netstat:查看端⼝

ps:查看进程列表

grep:⽂件中搜索字符串

crontal:检查定时任务

可以对事件进⾏分析如果确认不构成实际危害(通常体现在部分web低危攻击事件)考虑对事件进⾏加

⽩,如不能加⽩(通常体现在内⽹僵⼫⽹络、⽊⻢事件、蠕⾍等等)需要对安全事件进⾏更细致的分

析,定位问题发⽣点。

1、RWX(可读可写可执⾏)权限的内存空间

2、异或密钥固定,3.x 是 0x69,4.x 是 0x2e

3、命名管道名称字符串

\\.\pipe\MSSE-1676-server

%c%c%c%c%c%c%c%cMSSE-%d-sever

1、通过恶意样本⽂件特征进⾏溯源渠道(github、⽹盘、博客、论坛等等)

2、域名、IP反查⽬标个⼈信息

3、微信、⽀付宝、淘宝等平台查找姓⽒

4、蜜罐:浏览器指纹技术、⽹络欺骗技术

爆破⼿机号 前三后四爆破

安全设备出现误报怎么办?

cs shellcode 特征

溯源思路

只给csdn id 溯源

SecAiden57

⼿机号社⼯库查

虚拟身份:ID、昵称、⽹名3

真实身份:姓名、物理位置

联系⽅式:⼿机号、qq/微信、邮箱

组织情况:单位名称、职位信息

  1. 设备指纹
  2. 社交信息
  3. 位置信息
  4. 机器没纳⼊设备管理
  5. 0day
  6. 查看外连流量
  7. 查看操作记录
  8. 抓包看流量 设备加⼿⼯分析
  9. 精准排查 快速定位⽅法:查看hids 定位哪台机器异常

在Linux系统中 可以使⽤如下命令⾏⼯具快速去重

sort file.txt | uniq > newfile.txt

这⾥ sort命令⾸先对⽂件中的IP地址进⾏排序, uniq命令去除排序后连续的重复⾏ 结果存储在

newfile.txt中

对攻击者进⾏身份画像有哪些?

蜜罐主要可以抓取到那些信息

被攻击扣分 在外⽹没看到其他流量和⽇志

在linux下 现在有⼀个拥有⼤量IP地址的txt⽂本⽂档 但是⾥⾯

有很多重复的 如何快速去重

SecAiden58

应对服务器⼊侵的应急响应步骤通常包括以下⼏个关键部分

  1. 隔离 ⾸先要隔离受影响的服务器 防⽌攻击者进⼀步扩散到⽹络中的其他部分
  2. 记录和采集证据 在保证不破坏证据的情况下 记录所有相关⽇志和系统信息 包括内存 硬

盘镜像

登录记录和⽹络流量

  1. 分析 分析⽇志⽂件和系统信息 确定攻击者的⼊侵路径及其可能进⾏的活动
  2. 清除和恢复 根据分析结果 清除系统中的恶意软件和后⻔ 然后开始恢复数据和服务
  3. 安全加固 对系统进⾏安全加固 修复⼊侵漏洞 更新安全策略 以防⽌未来的⼊侵

溯源攻击通常涉及以下⼏个步骤

收集信息 从⽹络⽇志 系统⽇志 IDS/IPS系统等收集关于攻击的所有信息

分析攻击模式 识别攻击的模式 使⽤的⼯具 产⽣的流量特征等

追踪IP地址 分析攻击流量中的IP地址 可能涉及到与ISP合作以确定IP地址的具体归属

合作调查 与其他组织或执法机构合作 分享信息 提⾼追踪成功率

例⼦ 如果⼀个公司的服务被DDoS攻击 安全团队可以从防⽕墙和流量监控系统中提取攻击流量数

据 识

别出主要的攻击源IP地址 然后与互联⽹服务提供商合作 追踪这些IP地址的实际⽤户和地理位置

感染了挖矿病毒的系统通常会表现出以下特征

CPU或GPU使⽤率异常⾼ 即使在系统空闲时 也会看到持续的⾼资源使⽤

系统响应变慢 由于病毒占⽤⼤量处理能⼒ 正常操作变得迟缓

电⼒消耗增加 因为病毒增加了处理负荷 电⼒消耗会明显上升

如果⼀台服务器被⼊侵后 你会如何做应急响应

怎么溯源攻击 举⼀个溯源攻击的例⼦

挖矿病毒判断 中了挖矿病毒会有哪些特征

SecAiden59

⽹络流量异常 病毒需要与外部控制服务器通信以及提交挖矿数据 可能会看到未知的⽹络连接或

流量

增加

未知进程运⾏ 在任务管理器中可能会发现未知的或可疑的进程活动

具备⽇志分析经验 可以使⽤多种⽅法处理⼤型⽇志⽂件

使⽤⽇志管理⼯具 如ELK栈 Elasticsearch, Logstash, Kibana 或Splunk等⼯具 它们可以有效

地导

⼊ 索引和分析⼤量⽇志数据

⽇志分割 对⼤型⽇志⽂件进⾏时间或⼤⼩上的分割 便于管理和分析

⾃动化脚本 编写脚本 如使⽤Python的Pandas库 来解析 过滤和统计⽇志数据

关键字搜索和模式匹配 使⽤正则表达式或其他搜索技术 根据需要检索特定事件或错误

防护DDoS攻击可以采取以下措施

增加带宽 增加带宽可以在⼀定程度上抵御攻击 使⽹络能够处理更多流量

配置⽹络设备 正确配置边界路由器和防⽕墙 设置速率限制和流量过滤规则

使⽤DDoS保护服务 如Cloudflare Akamai等 这些服务可以帮助分散和吸收攻击流量

建⽴冗余和分布式系统 多节点和地理分布的系统可以提⾼容错性 减轻单点故障的⻛险

安全服务是指那些提供数据保护 防⽌未授权访问 确保数据完整性和隐私保护的服务 这些服务可

以包括

但不限于

⽹络安全监控 持续监控⽹络活动 及时发现并应对安全威胁

是否有⽇志分析经验 如果拿到⼀个⽐较⼤的⽇志⽂件 应该如何

分析处理

DDoS如何防护

对安全服务是怎么理解的

SecAiden60

防病毒和反恶意软件解决⽅案 保护系统不受病毒和其他恶意软件的侵害

⼊侵检测和预防系统 IDS/IPS 监测⽹络和系统活动 识别潜在的攻击⾏为

数据加密服务 对存储和传输的数据进⾏加密 保护数据不被未授权访问

安全审计和合规性评估 评估组织的安全措施是否符合相关安全标准和法规要求

应急响应和事故处理 在安全事件发⽣时 提供快速响应和恢复服务

Antivirus/Anti-malware软件 如Kaspersky, Norton, Malwarebytes

⽹络监控⼯具 如Wireshark 可以监控异常的⽹络流量

系统监控⼯具 如Sysinternals Suite中的Process Explorer和Autoruns 可以检测⾮正常的系统⾏

为和⾃

启动项

判断系统是否存在后⻔的⼯具

SecAiden

← 蓝队安全设备与面试要点汇总 Linux安全加固常用命令速查 →