1. 如果是iis系统,尝试对参数进行恶意传值,使其出现报错页面
2. 对目标网站进行js代码审计,查看是否存在信息泄露出站点的绝对路径
3. 使用字典猜解目标站点的绝对路径
4. 如果目标是thinkphp框架,尝试访问无效的路径,或者对参数进行而已传值使其报错
5. phpinfo页面泄露站点的绝对路径

1. 获取目标的真实ip,如果有cdn就绕一下
2. 通过真实去进行半开放的端口扫描,获取目标服务
3. 通过审计js代码 + jsfinder工具查看是否存在接口泄露可以使我们进一步的利用
4. 对站点进行指纹识别,查看cms历史漏洞
5. 通过乌云查找目标的历史漏洞,查看脆弱点
6. 通过google黑语法搜索目标站点的敏感关键词 如 登录 后台 学号 上传
7. 通过目录扫描工具扫描目标站点文件,查看是否存在未授权访问文件或者更多的功能点
8. 通过潮汐 在线子域名 layer子域名挖掘机进行子域名收集
9. 通过nmap goby对c端进行信息收集

1. 通过境外ip去平目标系统
2. 主动向我方的请求,如发邮件
3. 获取多个子域名ip对比
4. 查看dns记录
5. 通过网络搜索引擎去搜索

1. 密码找回凡是 发送邮件 手机号是否可用拦截
2. 登录时是否为前段验证,通过修改http回显包是否可用绕过个
3. 注册功能是否可用覆盖注册admin,注册页面是否存在二阶注入
4. 验证码是否可以绕过
5. 用户名是否可以进行暴力破解

1. 登录页面是否存在注入漏洞
2. 注册是否存在
3. 密码找回处是否存在

1. 有些功能点屏蔽掉,但是js代码可以看到,通过控制台可以触发
2. 通过jsfinder查看是否存在可用接口
3. 通过源码查看是否存在接口泄露

1. 探测是否存在未授权访问
2. 探测二级目录 三级目录

验证码无效

有验证码模块,但是验证模块与业务功能没有关联性,此为无效验证,无论输入什么都正确

验证码由客户端生成 验证

验证码由客户端js生成并且仅仅在客户端用js验证,通过抓包查看是否有验证码字段或者是关闭js看能否通过验证.

验证码有回显

验证码在html或者cookie中显示,或者输出到response headers的其他字段,可被直接查看

验证码固定

也叫验证码重复使用,是指验证码没有设置使用期限,在验证码首次认证成功后没有删除在session中的验证码,使得验证码可以被多次成功验证,从而造成危害.

验证码可以爆破

服务端未对验证时间 次数做出限制,存在爆破的可能性,简单的系统存在可以直接爆破的可能性,但是做过一些防护的系统还得进行一些绕过才能进行爆破

验证码可猜解

验证码比较简单,可以通过推测猜到有哪些验证吗

可绕过

burpsuite插件推荐：

短信轰炸

没有对发送短信验证码的发送时间 用户 ip做出限制

任意用户注册

任意用户密码重置

https://blog.csdn.net/m0_47418965/article/details/121613640

https://www.freebuf.com/vuls/253833.html

https://blog.csdn.net/ab_bcd/article/details/121157779

查看一下local_infile条件

更改可写,这里要注意,在每一次连接数据库之后都需要重新设置这个值.

尝试不用local写入文件

这是因为在mysql安装的时候限制了导入与导出目录权限,只允许在归定的目录下才能导入

• null 表示禁止
• 如果value值有文件夹目录,则表示只允许改目录下文件
• 如果为空则,表表示不限制目录

删除

笛卡尔积(因为连接表是一个分耗时的过程) A*B=(A和B中的每一个元素的组合所组成的集合,就是连接表)

• key 锁的名称
• timeout 加锁等待时间,时间内未加锁成功则事件回滚
• get_lock 加锁成功返回1

我们新建两个查询

先运行这个test 1,在运行这个test 5.

接着这个控制台,我们改成几就是查询几了.但是这个办法有限制,需要与mysql之间的连接是长连接.原因就是一旦关闭这个初次加锁的控制台,锁就自动断开了.

在php中

不会用,也不太好用https://www.cdxy.me/?p=789

https://www.cnblogs.com/forforever/p/13019703.html

执行原理

对于mysql数据库来说,–os-shell的本质就是写入两个shell文件,其中的一个可以让我们用来执行命令,另外一个,如果在网站访问的话可以让我们上传文件.

写shell的话有两个限制条件,首先,我们需要知道上传文件的两个限制条件,首先我们需要知道网站的绝对路径(我们的shell写到哪里),还需要有导入导出权限.

导入导出的权限在mysql数据库中是有secure_file_priv参数来控制的,当这个参数的后面为null的时候,表示不允许导入导出,如果为具体文件夹时,表示仅允许在这个文件夹下导入导出,secure_file_priv参数的默认值为null,也就是说,如果管理员没有修改过这个参数后面的数值的话,我们没有办法在5.7以上使用–os-shell

1. 已知目标站点的绝对路径
2. 已知目标站点的脚本语言
3. 当前数据库权限必须是dba sa权限
4. 网站不查杀木马文件

https://www.cnblogs.com/Xiaoming0/p/13951894.html

https://www.freebuf.com/articles/web/278879.html

https://plumstar.cn/2022/04/28/sqlmap-os-shell/

根据waf的固定规则去寻找有没有漏网之鱼.

架构层绕waf

1. 用户本身是进入waf后访问web页面的,只要我们找到web的真实ip,就可以绕过waf
2. 在同网段内,页面与页面之间,服务器与服务器之间,通过waf的防护,然后展示给我们,只要我们在内部服务之间进行访问,即可绕过waf
3. 边界漏洞,同样类似于同网段数据,我们可以利用已知服务器存在的ssrf漏洞,将数据直接发送给同网段的web2进行sql注入.

资源限制角度绕过waf

有的时候,由于数据太大,会导致waf无法将所有的数据都检测完成,这个时候会忽略掉我们带入的sql注入语句,从而绕过,使用post请求,对服务器请求很大资源逃逸sql注入语句

协议层面绕过waf

1. 基于协议层,有的waf只过滤get请求,而对post请求没有做别的限制,因此,可以将get类型转换成post请求

2. 文件格式,页面只对Content-Type为application/x-www-form-urlencoded数据格式进行过滤,因此我们可以将Content-Tyoe格式修改为multipart/form-data,即可绕过

3. 参数污染 有的waf仅对部分内容进行过滤如

   这样的参数id=1,waf也许仅对前面的 id进行检测,而后面的参数并不做处理

规则层面绕过

1. 首先使用比较特殊的方法进行绕过

   如果存在注入点,测试waf到底拦截了哪一部分数据,如果是空格,可以尝试,如果是对sql函数进行了过滤,可以尝试 sleep

2. 常见规则

​ 3.缓冲区溢出

​ 4.mysql特性绕过

​ 5.黑魔法

​ 6.内联注释

https://www.freebuf.com/vuls/229300.html

https://www.jianshu.com/p/d10785d22db2

12种报错注入+万能语句_董呆呆的博客-CSDN博客_报错注入语句

1. 数据库root权限
2. 数据库字段secure_file_priv没有具体的值
3. 获取网站的绝对路径

先查看有没有写文件的权限

查看是否开启了全局日志以及全局日志的存放位置

修改或者设置全局日志的保存目录为网站的web目录,并且日志保存为php文件

设置开启日志以及日志存储位置,这里日志存储位置为站点的根目录,执行命令写入日志文件

慢日志查询 记录所有执行时间超过字段long_query_time规定时间的所有查询或者不使用索引的查询,默认情况下慢查询日志为关闭,long_query_time值为10秒

查询相关配置

打开

写入

https://chowdera.com/2022/01/202201020402437761.html

这是一个完整的上传文件的数据包.这里在前段页面需要指定 Content-Type: multipart/form-data; 才能正常上传文件.

• multipart/form-data: 表示该请求时一个上传文件请求
• 存在boundary字符串 : 作用为分隔符,以区分post数据
• Content-Disposition : 响应标头是指示内容是否预期在浏览器中内联显示的标题
• name : 包含改字段的内容引用的html字段的名称
• filename : 后面一个是一个包含传输文件的原始名称的字符串
• boundary的值就是Content-Type的值在最前面加了两个–,除了最后表示结束的boundary,在最后结束的boundary最后默认会多出两个–(当最后一行的boundary删掉也能上传成功)

• Content-Disposition 一般可以更改 name 表单参数值.
• 不能更改filename :文件名
• 可以更改Content-Type:文件MIME
• 视情况更改boundary:内容划分,可以更改

• 文件名:解析文件名,判断是否在黑名单内
• 文件内容:解析文件内容,判断是否为webshell
• 文件目录权限:这个由主机waf实现

1. 获取Request Header中Content-Type的boundary值
2. 根据boundary值,解析post数据,获取文件名
3. 判断文件名是否在拦截黑名单/白名单之外

字符变异

引号变换

头部字段的值既可以添加单引号也可以添加双引号,还可以不添加引号,都不会影响上传的结果,还可以去除filename字符串中的引号.

大小写变换

对关键字符进行大小写转换 Content-Disposition name filename.比如将name转换成NaMe,Content-Disposition转换成content-disposition

添加换行符

字符值与等号之间可以加入换行符,依然可以正常上传,如使用

多个分号

文件解析时,可能因为分号解析不到文件名,导致绕过

多个等号

在post中的内容中使用多个等号对文件上传没有影响

变换Content-Disposition的值

在某些waf解析的时候,认为Content-Dispostion的值一定是form-data,造成绕过,其实Content-Dispostion可以任意变换或为空

畸形的boundary头部

boundary可以变换为如下形式,且不影响上传

multipart/form-data大小写变换

multipart/form-data与boundary之间可以使用空格分割,且中间可以插入任何值

multipart/form-data与boundary之间可以使用逗号分割,且中间可以插入任何值

boundary之前可以直接加入任何值(php可行)

boundary末尾可以使用逗号或者分号隔开插入任何值

顺序颠倒

交换name和filename的顺序

因为规定了Content-Disposition必须在最前面,所以只能交换name和filename的顺序.有的waf可能会匹配name在前面,filename在后面,可以导致绕过

交换Content-Disposition和Content-Type的顺序

Content-Disposition和Content-Type也是能够交换顺序的

交换不同boundary内容的顺序

不同boundary内容也能够交换,且不影响文件上传

boundary内容重复

最后上传的文件是shell.php而非shell.jpg,但是如果取的文件名时只取了第一个就会被Bypass

下面这样也是可以正常上传的

filename重复

最终上传成功的文件名是shell.php。但是由于解析文件名时,会解析到第一个。正则默认都会匹配到第一个

数据溢出

name与filename之间插入垃圾数据

boundary字符串中加入垃圾数据

boundray字符串的值可以为任何数据（有一定的长度限制）,当长度达到WAF无法处理时,而Web服务器又能够处理,那么就可以绕过WAF上传文件

boundray末尾插入垃圾数据

刚才讲到过boundary末尾可以插入任何数据,那么就可以在boundary字符串末尾加入大量垃圾数据

multipart/form-data与boundary之间插入垃圾数据

刚才讲到过multipart/form-data与boundary之间可以插入任何数据,那么就可以在multipart/form-data与boundary之间加入大量垃圾数据

数据截断

回车换行截断

POST请求头的值（不是请求头）是可以换行的,但是中间不得有空行。若WAF匹配文件名到换行截止,则可以绕过

分号截断

若WAF匹配文件名到分号截止,则可以绕过

引号截断

php<5.3 单双引号截断特性

00截断

在url中%00表示ascll码中的0 ,而ascii中0作为特殊字符保留,所以当url中出现%00时就会认为读取已结束。这里使用[0x00]代替16进制的00字符

https://cloud.tencent.com/developer/article/1944142

https://zhuanlan.zhihu.com/p/89132768)

文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获取到了执行服务器端命令的能力.这种攻击凡是是最为直接和有效的,文件上传本身没有什么问题,有问题的是文件上传后,服务器端如何去处理,解释文件,如果服务器的处理逻辑做的不够安全,则会导致严重的后果

1. 上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传脚本,导致代码执行
2. 上传文件是木马或者病毒.主要用于诱骗用户或者管理员下载执行或者直接自动运行
3. 上传文件是flash的执行策略文件crossdomain.xml.黑客用以控制flash在该域下的行为(其他通过类似的凡是控制策略文件的情况类似)

首先上传文件能够被web容器解释执行,所以文件上传后所在的目录要是web容器所覆盖到的路径,其次,用户能够从web访问这个文件,如果文件上传了,但是用户无法通过web 访问,或者无法得到web容器解释这个脚本,那么也不能称为漏洞,最后,文件上传的文件若被安全检查,格式化,图片压缩等功能改变了内容,则也可能攻击不成功

https://www.freebuf.com/vuls/279171.html

原理简单,之间上代码

可以利用session.upload_progress进行文件包含,在php5.4之后添加了这个功能

php的几个默认配置

我们来看一下这两个.

php中的session中的内容并不是存储在内存中,而是以文件的方式进行存储,存储方式是有配置项session.save_handler来进行确定的,默认便是以文件进行存储,存储文件的名字便是有sess_sessionid来进行命名的,文件的内容便是session值序列化之后的内容,至于存储路径便是由配置项session.save_path来进行决定的.

一般session存储的路径都不会去更改,默认便是.

默认的存储路径知道了,但是还有一个问题,就是代码中没有session_start()函数,怎么创建出session文件呢?其实如果配置项session.auto_start=On 是打开的,那么php在接收请求的时候就会自动化session,不在需要执行该函数,但是默认都是关闭的,在session中还有一个默认选项,便是上面的session.use_strict_mode=0默认值off,用户可以自己定义sessionid.

即使此时用户没有初始化session,php也会自动初始化session,并产生一个键值,这个键值由ini.get(“session.upload_progress.prefix”)+由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。

Ctfshow/文件包含—web78-88 · 语雀 (yuque.com)

https://blog.csdn.net/qq_46150940/article/details/115639419

https://www.freebuf.com/sectool/200890.html

1. web容器设置404错误页面,服务端返回404状态码.这种情况之下我们可以根据返回的状态码来判断是不是404页面
2. 将404错误页面指向一个新的页面,页面上显示404信息,但是此时状态码不是404,一般返回状态码有301 302,或者直接返回状态码为200的错误页面.这种情况下我们可以从状态码是否是404来进行判断,或者获取域名的404页面,然后判断请求的页面和404页面是否相似,相似则可以判断404页面

那么第一个问题就是页面的相似度.如何判断这两个页面的相似度呢?可以使用hashes.simhash,对两个页面的body计算hash值,在调用similarity获取两个页面的相似值,自定义一个阈值作为标准判断是否相似,radio可以根据具体请求调整

构造404页面的时候可以产生一个随机字符串去访问页面,这样一定会是错误页面,但是还要注意的是当你本身的第一个请求都是404的话,就没有后面的事情了.

https://xz.aliyun.com/t/4404

如果在cookie中设置了http only属性,那么将不能从js脚本中获取到cookie的信息,也就是说补鞥呢用document.cookie()来获取cookie

1. 配置错误,htto only只是对特定的cookie做了保护
2. 如果apache版本低,可以通过发送超长cookie,可以获取http only保护下的cookie

常规用到的就是盗取cookie js做钓鱼工具 流量指向等.主要作用是盗取管理员的凭证,就意味着得到后台的权限,可以直接利用.还能配合别的漏洞,比如可以和网站木马结合,扔到哪里去跳转

https://www.freebuf.com/articles/web/276998.html

https://xz.aliyun.com/t/5084

https://xz.aliyun.com/t/2179

1. xss是单一网站不需要登录就能获取cookie,csrf是有一个漏洞网站,和一个攻击网站需要先登录漏洞网站
2. xss是向网站注入js代码,执行js代码.csrf利用网站本身漏洞去执行网站功能

1. 分享:通过url地址分享网页内容
2. 转码服务: 通过url地址把原地址的网页内容调优使其适合收集屏幕浏览
3. 在线翻译 : 他弄个url地址翻译对应文本的内容,比如百度翻译,有道等
4. 图片加载与下载: 通过指定url地址加载或者下载图片
5. 图片文章的收藏功能:从分享的url中读取原文的标题等
6. 从未公开的api实现以及其他调用url的功能

https://xz.aliyun.com/t/11215

https://zhuanlan.zhihu.com/p/346220565

https://www.buaq.net/go-66428.html

https://blog.csdn.net/qq_39101049/article/details/102501839

eval()

assert

preg_replace()

create_function()

array_map()

call_user_func()

call_user_func_array()

array_filter()

…

https://wiki.wgpsec.org/knowledge/code-audit/php-code-audit.html

https://www.anquanke.com/post/id/261910#h3-4

https://blog.csdn.net/weixin_43376075/article/details/105189017

https://baijiahao.baidu.com/s?id=1720302213380803056&wfr=spider&for=pc

https://www.cxymm.net/article/MCTSOG/123241396

https://blog.51cto.com/u_15072903/4074634

https://www.hackinn.com/index.php/archives/672/

https://xz.aliyun.com/t/9409

https://xz.aliyun.com/t/10997

base64+bash -i

https://www.anquanke.com/post/id/202672

dnslog、当前环境中找响应对象、抛出异常、web目录里写入html

https://xz.aliyun.com/t/7740

http://www.lmxspace.com/2020/08/24/%E4%B8%80%E7%A7%8D%E5%8F%A6%E7%B1%BB%E7%9A%84shiro%E6%A3%80%E6%B5%8B%E6%96%B9%E5%BC%8F/

https://www.freebuf.com/articles/web/323529.html

https://www.anquanke.com/post/id/240033

http://www.ctfiot.com/13929.html

http://moonflower.fun/index.php/2022/02/21/277/

https://cloud.tencent.com/developer/article/1925830

1. servlet-api类
   • filter型
   • servlet型
2. spring类
   • 拦截器
   • controller型
3. java Instrumentation类
   • agent型

利用java agent技术遍历所有已经加载到内存中的class,先判断是否是内存马,是则进入内存查杀

filter名字很特别

内存马的filter名一般比较特别,有shell或者随机数等关键字.这个特征较弱,因为这取决于内存马的构造者的习惯,构造完全可以设置一个看起来很正常的名字

filter优先级是第一位

为了确保内存马在各种环境下都可以访问,往往需要把filter匹配优先级调至最高,这在shiro反序列化中是刚需.但是在其他场景之下就非必须,之能作为一个可疑点

对比web.xml中没有filter配置

由于内存马的filter是动态注册的,所以在web.xml中肯定没有配置,这个是个可以的特征.但servlet 3.0引入了@WebFiler标签方便开发这个动态注册filter.这种情况也存在没有在web.xml中显式声明,这个特征可以作为较强的特征.

特殊class loader加载

我们都知道filter也是class,也是必须有特定的class loader加载.正常的filter都是由中间件的webappclassloader加载的.反序列化漏洞喜欢利用Templatesimpl和bcel执行任意代码.所以这些class往往就是下面这两个

这个特征是一个特别可疑的点.有的内存马还是比较狡猾的,他会注入class到当前线程中,然后实例化注入内存马.这个时候内存马就有可能不是上面的两个classloader

对应的classloader路径下面没有class文件

所谓内存马就是代码驻留在内存中,本地无对应的class文件,所以我们只要检测filter对应的classloader目录下是否存在class文件

dilter的dofilter方法中有恶意代码

我们可把内存中所有的filter的class dump出来,使用fernflower等反编译工具分析看看,是否存在而已代码,比如调用了以下恶意方法

不难分析,内存马的命门在于5 和 6 也就是说filter型内存马首先是一个filter类,同时它在硬盘上面没有对应的class文件,若dump出的class文件还有而已代码,那么必定是内存马了.

清除内存马中的filter的恶意代码

模拟中间件注销filter

两种方法各有优势,第一种方法比较通用,直接适配所有中间件,但是恶意的filter依然还在,只是恶意代码被清除了.第二种方法比较优雅,恶意的filter会被清除掉.但每种中间件注销filter的逻辑不尽相同,需要一一适配

https://gv7.me/articles/2020/kill-java-web-filter-memshell/

Tomcat 内存马学习(一)：Filter型 (qq.com)

IDEA Plugin — Arthas 3.62 文档 (aliyun.com)

简单来说就是fastJSON在解析json数据的时候会自动触发一些方法.比如set get tostring ,当我们构造一些恶意的方法名字如果满足这个条件时,也会像set和get一样执行.

https://kingx.me/Exploit-FastJson-Without-Reverse-Connect.html

https://www.anquanke.com/post/id/170471

https://xz.aliyun.com/t/9902

https://netsecurity.51cto.com/article/703608.html

https://www.freebuf.com/articles/web/280398.html

https://www.iceswordlab.com/2022/02/10/CVE-2021-4034/

https://blog.csdn.net/qq_48985780/article/details/122297100

一般来说,红队大部分都是使用代理节点进行测试,假如我们捕获或者从样本里面分析拿到了真实的ip,那么以下的操作场景就有用了,或者使用钓鱼反调的方式去获取到真实的ip

来自创宇盾等节点的流量ip

ip,假设前面还有一层云waf cdn厂商等.那么需要协调到提供服务的厂商,快速获取到云waf或者cdn之前的节点真实ip.然后拿到了真实的ip,就变成了一些常规的溯源操作

whois 域名反查

ip,初步可以进行whois查询,以及域名反查,查看历史的解析,以及历史的ip用有记录,运气好的话,假如攻击队队员使用的是自己的博客之类的vps常用节点,那么很有可能通过这个手法进行溯源到相关人员

探测端口 服务 进行反渗透

ip,对该ip进行端口探测,服务探测,进行反渗透,一般来说红队的vps都是在一些国内的一些vps主机供应商或者云服务供应商那边购买,假如是国内的话,可以通过公安网警来进行协助查水表,获取真实人员的身份.假如我们反渗透成功,那么可以提取历史登入记录,历史ip,网络连接,进程 以及攻击工具 进程 内存镜像等方式进行取证分析.

威胁情报

ip,对使用威胁情报进行综合分析,查看该ip他人对该ip打的标签,历史解析记录,历史变更记录,以及该ip上面关联的相关样本,这些都能够获取到进行进一步分析.

邮箱 qq 手机号 社工库

通过ip的whois获取到了相关人员的qq或者邮箱或者手机号,那么可以使用社工库,进行社工查询.比如twitter的社工库机器人或者自行研究的社工库进行综合关联分析

qq 微信 抖音 陌陌 等接口

获取到了手机号,那么可以通过qq 微信 抖音 陌陌 等接口进行关联,一般获取到了手机号初步可以通过这种简单易行的手法去溯源到红队人员

ga数据 运营商数据

有办法能通过ga资源,或者直接通过运营商拿数据,那就更好了

1. 使用个人工作pc,且浏览器里面保存了百度 163 sina等登录凭据,攻击对抗过程中踩到蓝队的蜜罐,被jsonp劫持漏洞捕获安全社交id,从而被溯源到了真实的姓名和所在公司
2. 可能是蓝队封禁ip太厉害的原因,红队个人或者团队,使用自己的网站进行vps进行扫描,vps上含有团伙组织https证书,或者vps ip绑定的域名跟安全社交id对应,从而被溯源到真实姓名和所在的公司
3. 部分攻击队写的扫描器payload里面含有攻击者的信息,如使用了私有的dnslog 攻击载荷里面含有安全社交id 含有个人博客资源请求等
4. 投递的钓鱼邮件里面的木马样本被蓝队采集,逆向 反控c2c 溯源到个人信息
5. 虚拟机逃逸打到实体机,暴露个人全部真实信息的

cobalt strike反制

在防守里面,必不可少的是钓鱼邮件,或者社工钓鱼,一般来说钓鱼的样本无非这几种,exe elf可执行文件,以及加了料的doc类宏木马,一般而言,目前红队主要是通过cobalt strike生成相关上线的shell 那么针对cobalt strike如何进行反制呢

1. 批量上线钓鱼马,启几百个进程mddos红方的cs端.假如我们获取到了红方的cs样本,那么第一种方法可以批量启几百个进程运行该样本(注意隔离环境),然后红方的cs端几乎瘫痪,无法使用
2. 爆破cs密码 一般而言,红队的cs设施为了多人运动,密码通常不会太复杂,很大机会是弱口令为主,甚至teamserver端口50050,那么针对cs端控制端,可以直接进行密码爆破,

附cs 爆破密码脚本

​ 3.假上线,我们只需要发送心跳包,即可模拟上线,并且攻击者无法执行命令.使用时更改换IP或域名、port、cookie

针对dnslog的反制

通过流量设备审计到他人的dnslog平台的url payload,那么针对他的url payload可以进行反制.一般而言,常见的dnslog平台,蓝队防守的时候可以对厂家爱你的dnslog平台进行屏蔽.那么针对自行搭建的dnslog平台有以下思路

dnslog反制,可以批量ping捕获到的dnslog,然后而已扰乱他自行搭建的,恶意制造各种垃圾dnslog数据,让他无法获取到有效的信息,直接让红队人员被迫抛弃一个红队基础设施.具体可以写一个脚本比如站长之家之类的进行批量平,进行探测存活

httplog反制同理,可以使用爬虫节点,批量进行request请求捕获的http url即可,这样红队的dnslog平台几乎彻底报废.

红队基础建设:隐藏你的C2 server - 先知社区 (aliyun.com)

https://xz.aliyun.com/t/8385

https://www.secrss.com/articles/27611

https://www.likecs.com/show-305577004.html

AS_REQ & AS_REP - windows protocol (gitbook.io)

https://www.jianshu.com/p/4936da524040

https://blog.csdn.net/Ping_Pig/article/details/121228886

https://www.cnblogs.com/1-Ry/p/15418602.html

静态检测

静态检测通过匹配特征码，特征值，危险函数函数来查找 webshell 的方法，只能查找已知的 webshell

动态检测

webshell 传到服务器了，在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据

日志检测

使用 webshell 一般不会在系统日志中留下记录，但是会在网站的 web 日志中留下 webshell 页面的访问数据和数据提交记录

语法检测

语法语义分析形式，是根据 php 语言扫描编译的实现方式，进行剥离代码、注释，分析变量、函数、字符串、语言结构的分析方式，来实现关键危险函数的捕捉方式这样可以完美解决漏报的情况但误报上

网络连接：netstat -antlp 查看CPU占用率：top
查看操作命令中的相关信息：history | grep xmrig
查看登陆信息：last 失败的登陆信息：lastb

查看是否存在其它特权用户：
awk -F: ‘$3==0{print _=<>){ /for(.*?) from/; print “$1 ”;}’|uniq -c|sort -nr
管理员最近登录情况
grep "Accepted " /var/log/secure | awk ‘{print $1,$2,$3,$9,$11}’
登录成功的IP
grep "Accepted " /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr | more
网络连接
netstat -antlp | more
异常外联对应程序位置
ls -l /proc/9637
定时任务
cat /var/spool/cron/
自启服务及对应文件
chkconfig --list
find / -name centos_core.sh
自启服务文件时间
stat /etc/rc.d/init.d/centos_core.sh
定时任务日志
cat /var/log/cron
添加用户日志
grep “useradd” /var/log/secure
异常文件时间信息
stat /root/centos_core.elf
stat /shell.elf
计算文件哈希值
md5sum /shell.elf
md5sum /root/centos_core.elf

https://blog.riskivy.com/%E5%9F%BA%E4%BA%8E%E6%9C%BA%E5%99%A8%E5%AD%A6%E4%B9%A0%E7%9A%84webshell%E6%A3%80%E6%B5%8B%E6%96%B9%E6%B3%95%E4%B8%8E%E5%AE%9E%E7%8E%B0%EF%BC%88%E4%B8%8A%EF%BC%89/

菜刀

菜刀 webshell 只使用了 url 编码 + base64 编码

shell 特征就是传输参数名为 z0,还存在字符串特征

蚁剑

默认的蚁剑 shell,连接时会请求两次,其请求体只是经过 url 编码,其流量中也存在和蚁剑一样的代码

第一次请求,关闭报错和 magic_quotes,接下来去获取主机的信息

第二次请求,会把主机目录列出来

蚁剑单向加密,支持客户端传入信息

冰蝎3.0

使用 aes 加密发起两次请求

冰蝎是双向加密的

哥斯拉

支持 n 种加密

采用了和冰蝎 3.0 一样的密钥交换方式,哥斯拉建立连接时会发起三次请求,第一次请求数据超级长,建立 session,第二三次请求确认连接

Weevely

信息payload放于accetp头中,采用gzip压缩传输,使用异或加密.进行base64加密

https://www.freebuf.com/vuls/244095.html

https://cloud.tencent.com/developer/article/1802226

由于防火墙对于系统中正常的网络相关进程(例如Services.exe、Svchost.exe等)默认都是放行的，因此，木马一般都是注入到这些系统进程当中，并以此来穿透防火墙。

https://xz.aliyun.com/t/2549

https://www.anquanke.com/post/id/175364nnnn

在日志中寻找已知的漏洞特征

在攻击过程中,需要对系统进行各种特定的访问,这些访问与正常使用的用户访问区别较大,每一种工具行为都有不同的特征

漏洞扫描检查

可以匹配user-agent特征的方式进行检测

暴力破解检测

webshell检测

https://zhuanlan.zhihu.com/p/456903115

https://www.freebuf.com/articles/web/262005.html

https://www.freebuf.com/articles/web/274466.html

1. 查看系统账号安全
2. 查看注册表中是否有隐藏账号
3. 检查异常端口 进程
4. 检查启动项 计划任务 服务
5. 检查系统相关信息
6. 日志分析 (C:WindowsSystem32winevtLogs) 事件查看器
7. 搜索一下有没有可疑bat exe文件

1. 账号安全查看/etc/passwd /etc/shadow
2. 历史命令 .bash_history
3. 异常端口 netstat -a -t -u
4. 检查异常进程 ps
5. 检查开机启动项 /etc/rc.local
6. 检查定时任务 crontab -l
7. 检查服务 chkconfig -list
8. 检查异常文件 找.php后缀文件
9. 检查系统日志

1. 删除无用账号
2. 检查特殊账号
3. 添加口令策略
4. 限制su
5. 进制root直接登录
6. 设置隐藏文件属性(先最小,后加)
7. 关闭不必要服务
8. 更改ssh端口号 防爆破
9. 记录日志

1. 在win ser2016中如何管理重命名administrator,禁用GUEST
2. 系统不显示上次登录的账户名。
3. 清理系统无效账户.
4. 按用户类型分配账号
5. 配置密码策略
6. 账户锁定策略
7. 远端系统强制关机设置
8. 本地关机设置
9. 用户权限指派
10. 授权账户本地登录
11. 授权账户从网络访问

https://zhuanlan.zhihu.com/p/32059190

https://blog.csdn.net/smileiam/article/details/78226816

免杀大概分为两种情况

1. 二进制免杀(无源码),只能通过修改asm代码 二进制数据 其他数据来完成免杀
2. 有源码的免杀,可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术

免杀也可以分为这两种情况

1. 静态文件免杀,被杀毒软件病毒 云查杀了,也就是文件特征码在病毒库了.免杀方式可能是上面的两种方式,看情况
2. 动态行为免杀,运行中执行的某些行为被杀毒软件拦截报读.行为免杀如果没有源码就不是很好搞了

静态免杀针对的是杀毒软件的静态文件扫描,云查杀(病毒库).杀毒是提取文件一段特征码来识别病毒文件.

如果我们知道了一个文件是病毒,那么通过md5可定可以判断就是这个病毒文件.那么如果该病毒文件做了小小的变动呢,直接md5肯定不行了,那么杀毒软件是怎么做的呢?那么这里有一个叫做模糊哈希算法的东西

大致就可以理解为,不要把一个文件的所有内容都拿来计算hash,而通过分片,取出部分重要(不易改变)的内容进行hash计算,这样就能达到通过特征码找到类似的病毒变种

具体杀毒软件是不是通过这个算法来计算特征码的,也不是很清楚

1. 特征码会有多个串组合(减少误报)

https://cn-sec.com/archives/834733.html

https://cloud.tencent.com/developer/article/1593705

https://www.freebuf.com/articles/web/322370.html

https://zhuanlan.zhihu.com/p/160763126

https://xz.aliyun.com/t/10507

https://yeasy.gitbook.io/docker_practice/image/build

    以上就是本篇文章【网络安全面试题目及详解】的全部内容了，欢迎阅览 ！ 文章地址：http://dfvalve.xrbh.cn/news/6290.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 迅博思语资讯移动站 http://keant.xrbh.cn/ , 查看更多