1.什么是CC攻击?

答:CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器资源的

2.设备误报如何处理

答:通过查看日志

3.如何查看区分扫描流量和手动流量?

答:扫描数据量大,请求有规律,手动扫描间隔较少

4.被拿shell了如何处理?

答:排查、清除、关站、看看可有即使修复的可能,没有可能就关站。

5.讲一下使过的中间件漏洞

答:
(1)IIS
1.PUT漏洞
2.短文件名猜解
3.远程代码执行
4.解析漏洞
(2)Apache
1.解析漏洞
2.目录遍历
(3)Nginx
1.文件解析
2.目录遍历
3.CRLF注入
4.目录穿越
(4)Tomacat
1.远程代码执行
2.WAR后门文件部署
(5)jBoss
1.反序列化漏洞
2.war后门文件部署
(6)WebLogic
1.反序列化漏洞
2.SSRF
3.任意文件上传
4.war后门文件部署
(7)其他中间件相关漏洞
1.FastCGI未授权访问,任意命令执行
2.PHPCGI远程代码执行

6.getshell后如何维持权限?

答:
1.影子账户
顾名思义,就是创建一个系统管理员的影子账户,这个账户有管理员的所有权限但是很难被发现,是权限维持中比较常用和好用的一种办法。

(1)创建办法:net user admin$ admin /add

(2)具体可以在注册表中找到,地址如下:
HKEY_LOCAL_MACHINESAMSAMDomainsaccountUsersNames

解决办法也比较简单,正常情况下用户是隐藏的,可以去 SAM 文件夹处点击右键 —> 权限(设置就好了)。

2.Shift后门

“SHIFT 后门的原理是 制作一个跟 SHIFT 一样的软件然后替换掉这个软件,模仿度很高。开启办法如下。

先删除缓存 C:WINDOWSsystem32dllcachesethc.exe
C:WINDOWSsystem32cmd.exe 将其复制并将名称更改为 sethc.exe

注。这里种 shift 后门目标是 2008 的机器的话 那么可以用 2003 的远程连接工具进行连接

修复办法:
在注册表中找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution 这个位置,对着 Image File Execution 右键新建项里面输入 sethc.exe, 然后在其中新建字符串值里面随便输入一下值确定即可。置完后最好设置下权限这样 就能防御了。

3.不死木马

常规木马很容易被杀死,而不死木马有很强的免杀效果,制作方法事先把上传成功的木马后门文件隐藏,在将木马名字伪装一下,改成一些不显眼的系统文件或者是报错文件,顺便修改一下系统文件的时间类型,这样就成功了。但是上述所有的前提就是要提前找好一个免杀的木马,可以去找一下循环不死马一类的木马

注意:现在很多不死马是上传成功后隔一段时间自己给自己备份一下,上面提到的循环不死马就是一个很好的栗子。所以谨慎使用。
防御手段就是严格控制系统目录的访问权限,不能任意用户都可以访问系统目录。另一个安装一些终端杀毒软件(天融信)或者经常使用 Windows 系统自带的扫描器进行安全扫描,及时删去一些有害文件。

4.利用.user.ini 文件自动包含木马文件

用成功前提下必须有以下三个文件,

PHP 的正常文件
修改后.user.ini 文件
luomiweixiong.gif 木马

其实除了 PHP_INI_SYSTEM 以外的模式(包括 PHP_INI_ALL)都是可以通过.user.ini 来设置的。

其中有个配置项 auto_prepend_file 就可以被利用导致后门的生成auto_prepend_file:指定一个文件,自动包含在要执行的文件前,类似于在文件前调用了 require () 函数。而 auto_append_file 类似,只是在文件后面包含。 使用方法很简单,直接写在.user.ini 中

某网站限制不允许上传.php 文件,你便可以上传一个.user.ini,再上传一个图片马,包含起来进行 getshell。不过前提是含有.user.ini 的文件夹下需要有正常的 php 文件,否则也不能包含了。 再比如,你只是想隐藏个后门,这个方式是最方便的。

这个防御办法就是 配置好 PHP,或者严格限制上传文件的类型

7.打点一般会用什么漏洞?

答:优先以java反序列化这些漏洞像shiro,fastjson,weblogic,用友oa等等进行打点,随后再找其他脆弱性易打进去的点。
因为javaweb程序运行都是以高权限有限运行,部分可能会降权。

8.平常怎么去发现shiro漏洞的?

答:登陆失败时候会返回rememberMe=deleteMe字段或者使用shiroScan被动扫描去发现
完整:
未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段
登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段
不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段

9. shiro有几种漏洞类型

shiro 550
shiro 721

10.weblogic权限绕过有没有了解?

答:好像是用./进行绕过的
参考文章:

11.fastjson漏洞利用原理

参考文章:
答:在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type字段进行过滤,从而导致攻击者可以传入恶意的TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,这就达到fastjson通过字段传入一个类,再通过这个类被生成时执行构造函数。

12.weblogic有几种漏洞

答:weblogic就好多了,基于T3协议的反序列化;基于xml解析时候造成的反序列化,还有ssrf,权限绕过等等

13.IIOP听说过吗,和什么类似

答:java RMI通信,也就是远程方法调用,默认是使用jrmp协议,也可以选择IIOP。

14.漏洞不出网情况下怎么办

答:让漏洞回显。

15.拿到webshell不出网情况下怎么办

答:reg上传去正向连接。探测出网协议,如dns,icmp

16.横向渗透命令执行手段

答:psexec,wmic,smbexec,winrm,net use共享+计划任务+type命令

17.域内攻击方法有了解过吗?

答:MS14-068、Roasting攻击离线爆破密码、委派攻击,非约束性委派、基于资源的约束委派、ntlm relay

18.桌面有管理员会话,想要做会话劫持怎么做?

答:提权到system权限,然后去通过工具,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。

19.请求方式几种?

答:目前常用八种请求方式,分别是GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT,get和post最常用)
API测试还有用到PUT和DELEATE

20.web十大漏洞?(OWASP)

答:
SQL注入
失效的身份认证
敏感数据泄露
XML外部实体(XXE)
失效的访问控制
安全配置错误
跨站脚本(XSS)
不安全的反序列化
使用含有已知漏洞的组件
不足的日志记录和监控

21.如何反溯源?

答:
(1)情报反溯源
在杀箱中,对恶意文件指向ip,进行反溯源,在情报中心,搜ip,反查域名,寻找投放者痕迹。因此,在投放前,需要全面考虑,木马投放后会不会被顺藤摸瓜,被溯源到,最后被人肉。最好是采用自动化攻击,尽可能转移溯源者的注意力,让他们在乱七八糟的假情报中风中迷乱。

(2)木马反查
一个思路是查进程,第二个思路是查对外连接,第三个思路是查流量,查流量不太懂。感觉不太妙的时候,换ip,不要下载恶意文件,一定要下载在虚拟机中进行,但是保证虚拟机中没有自己的任何特征,下载好后要过杀箱分析。对了,把摄像头封上

经测试,换ip,关机都会下线,但是不杀灭进程,运行起来后还会上线
查看可疑进程的位置
三个思路
进程查
用户查:查看可疑用户 lusrmgr.msc
日志查:打开日志查看器 eventvwr.msc

22.宏病毒?

答:宏病毒是利用系统的开放性专门制作的一个或多个具有病毒特点的宏的集合,这种病毒宏的集合影响到计算机的使用,并能通过文档及模板进行自我复制及传播。

23.APP加壳?

答:加壳是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。大多数病毒就是基于此原理。是应用加固的一种手法对原始二进制原文进行加密/隐藏/混淆

加壳的程序可以有效阻止对程序的反汇编分析,以达到它不可告人的目的。

24.序列化与反序列化的区别?

答:序列化:把对象转化为可传输的字节序列过程称为序列化。 反序列化:把字节序列还原为对象的过程称为反序列化。

25.SQL注入的防御?

预编译
PDO
正则表达式过滤

26.序列化与反序列化的区别?

答:
序列化:把对象转化为可传输的字节序列过程称为序列化。
反序列化:把字节序列还原为对象的过程称为反序列化。

27.PHP代码执行的危险函数?

call_user_func()
call_user_func_array()
create_function()
array_map()

28.PHP命令执行函数?

system
shell_exec
passthru
exec
popen
proc_open
putenv
assert

29.正向代理和反向代理的区别?

1.正向代理,当客户端无法访问外部资源的时候(比如Google、YouTube),可以通过一个正向代理去间接地访问。
2.正向代理是一个位于客户端和原始服务器(origin
server)之间的服务器,为了从原始服务器取得内容,客户端向代理发送一个请求并指定目标(原始服务器),然后代理向原始服务器转交请求并将获得的内容返回给客户端。
3.反向代理,客户端是无感知代理的存在,以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端。此时代理服务器对外就表现为一个服务器

30.正向SHELL和反向SHELL的区别?

正向Shell:攻击者连接被攻击者机器,可用于攻击者处于内网,被攻击者处于公网的情况。
反向Shell:被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者处于内网的情况。
正向代理即是客户端代理, 代理客户端,服务端不知道实际发起请求的客户端.
反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端

31.漏洞复现过没?讲一下流程,vulhub怎么弄?

Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
这个环境应该都了解,虽然不经常复现,还是知道的,一键创建环境,复现方便得很
官网:https://vulhub.org/

32.永恒之蓝讲一下,怎么利用?

Ms17-010这个经典漏洞,不用说太多,直接说过程,msf说一下过程就可以了,这个简单,还问了一下rhost和lhost什么意思,这个也简单,永恒之蓝具体的可以百度,这个太多了

33.如何判断筛选攻击误报

答:研判工作要充分利用已有设备(需要提前了解客户的网路拓扑及部署设备情况),分析其近期设备警告,将全部流量日志(日志条件:原地址,目的地址,端口,事件名称,时间,规则ID,发生次数等)。根据研判标准进行筛选(像挖矿,蠕虫,病毒,拒绝服务这类不太可能为攻击方发起的攻击事件,直接过滤,减少告警数量)一把情况下,真实攻击不可能只持续一次,它一定是长时间,周期性,多IP的攻击。

对于告警结合威胁情报库如:微步、奇安信威胁情报中心、绿盟威胁情报云等对于流量日志的原 IP 地址进行分析,判断其是否为恶意攻击,推荐使用微步的插件,如果确认为攻击行为或者不能确认是否为攻击行为,进行下一步操作,在之前准备好的表格中查找 IP 是否为客户内网部署的设备,如果不是,继续进行下一步,在事件上报平台查看是否有其他人提交过,如果没有,则上报。

根据流量日志,对请求数据包和返回数据包分析判断其是否为误报,需要留意 X-Forwarded-For(简称XFF)和 x-real-ip 可以了解些 webshell 工具的流量特征,尤其是免杀 webshell,有可能不会被设备识别

34.远程命令执行

远程命令执行漏洞的概念
远程命令执行漏洞,指用户通过浏览器提交执行操作命令,
由于服务器端,没有针对执行函数做过滤,就执行了恶意命令

远程代码执行漏洞概念
代码执行漏洞也叫代码注入漏洞,指用户通过浏览器
提交执行恶意脚本代码,执行恶意构造的脚本代。

二者区别: 命令执行:一般指操作系统命令,远程代码执行: 一般指的是脚本代码。

造成原因: 造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意(操作系统命令 或 脚本代码)被执行。

命令执行漏洞的分类:
代码层:一些商业应用需要执行命令,商业应用的一些核心代码可能封装在
二进制文件中,在web应用中通过system函数来调用;

第三方组件层:很典型的就是wordpress中,可以选择使用imageMagick这个
常用的图片处理组件,对用户上传的图片进行处理,造成命令执行,
另外java中的命令执行漏洞(struts2/Elasticsearch等)

命令执行漏洞的危害:任意执行系统命令,恶意木马被种植,挂马,钓鱼,敏感信息泄露.....

35.如何防止命令执行漏洞?

答:1、过滤特殊字符或替换字符 2、严格验证输入的类型长度

36.网站被攻击如何解决,举个例子?

通过日志查找攻击特征
日志文档access_log一般在/var/log/nginx/access.log中,如果找不到可使用 find / -name access.log 来查找,但是慎用,很耗费资源。
首先要检查的就是对网站的访问日志进行打包压缩,完整的保存下来,根据客户反映的问题时间,被攻击的特征等等方面进行记录,然后一一的对网站日志进行分析,网站的访问日志记录了所有用户对网站的访问记录,以及访问了那些页面,网站出现的错误提示,都可以有利于我们查找攻击源,网站存在的那些漏洞也都可以查找出来,并对网站的漏洞进行修复。

举例:先看下这个日志记录:

2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET /Review.aspx class=1&byid=23571

80 - 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE

T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6

.0;+.NET4.0C;+.NET4.0E;+InfoPath.3;+rv:11.0)+like+Gecko 200 0 0

我们可以看出,用户的访问IP,以及访问网站的时间,使用的是windows系统,还有使用的浏览器版本

客户沟通确定网站被攻击的时间具体在哪一个时间段里,通过时间缩小日志范围
网站日志逐一的进行检查,还可以通过检测网站存在的木马文件名,进行日志查找,找到文件名,然后追查攻击者的IP

使用more命令翻页看

某客户网站被上传了webshell木马文件,攻击者通过访问该脚本文件进行篡改网站。
根据攻击特征对网站的访问日志进行提取,并追查网站的攻击源与网站存在的漏洞。通过时间,检查了当天的所有用户IP的访问记录,并且检查到了网站的根目录下的webshell文件,通过该demo.php查找日志,看到有一个IP在不停的访问该文件,我们对该IP的所有访问记录进行提取,分析,发现该攻击者访问了网站的上传页面,通过上传功能上传了网站木马后门。

37.谈谈webshell

答:"web" - 显然需要服务器开放web服务,"shell" - 取得对服务器某种程度上操作权限。
webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现,也有人称之为网站后门工具。

webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等,但如果被入侵者利用,就会达到控制网站服务器的目的。

脚本木马,目前比较流行的asp或php木马,也有基于.NET的脚本木马。

有些恶意网页脚本可以嵌套在正常网页中运行,且不容易被查杀。

38.webshell的隐蔽性

webshell可以穿越服务器防火墙,由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的,因此不会被防火墙拦截。并且使用webshell一般不会在系统日志中留下记录,只会在网站的web日志中留下一些数据提交记录,没有经验的管理员是很难看出入侵痕迹的。

39.如何防范恶意后门?

从根本上解决动态网页脚本的安全问题,要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等,务必配置好服务器FSO权限。

40.常见的WAF

1.ModSecurity是目前世界上使用最多的开源WAF产品,可谓是WAF界的鼻祖
2.ShareWAF,是一款动态防御WAF(Web应用防火墙)、也是功能强大的下一代WAF。是用于Web安全防护、防止各种网络攻击的网站防护利器。
3.免费云WEB应用防火墙,全面防御web/SQL/XSS/0day/爬虫等攻击,具备防篡改,防数据泄露,防盗链等功能,终身免费使用,保护企业web业务安全。
4.HiHTTPS是一款高性能Web安全SSL防火墙,[开源版提供基础防护功能] [专业版提供高级防护功能]
5.第一个全方位开源的Web应用防护系统(WAF),更全面的防护功能,更多样的防护策略
6.百度安全推出的一款 免费、开源 的应用运行时自我保护产品

41.查看系统进程?

第一种:

ps aux
a:显示当前终端下的所有进程信息,包括其他用户的进程。
u:使用以用户为主的格式输出进程信息。
x:显示当前用户在所有终端下的进程。

ps命令用于报告当前系统的进程状态。可以搭配kill指令随时中断、删除不必要的程序。ps命令是最基本同时也是非常强大的进程查看命令,使用该命令可以确定有哪些进程正在运行和运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等等,总之大部分信息都是可以通过执行该命令得到的。

USER:启动该进程的用户账号名称
PID:该进程的ID号,在当前系统中是唯一的
%CPU:CPU占用的百分比
%MEM:内存占用的百分比

VSZ:占用虚拟内存(swap空间)的大小
RSS:占用常驻内存(物理内存)的大小

TTY:该进程在哪个终端上运行。“?”表未知或不需要终端
STAT:显示了进程当前的状态,如S(休眠)、R(运行)、Z(僵死)、<(高优先级)、N(低优先级)、s(父进程)、+(前台进程)。对处于僵死状态的进程应予以手动终止。

START:启动该进程的时间
TIME:该进程占用CPU时间
COMMAND:启动该进程的命令的名称

第二种

ps -elf
-e:显示系统内的所有进程信息。
-l:使用长(long)格式显示进程信息。
-f:使用完整的(full)格式显示进程信息。

大部分跟第一种一样,PPID为父进程的PID。
第三种:

top

以全屏交互式的界面显示进程排名,及时跟踪包括CPU、内存等系统资源占用情况,默认情况下每三秒刷新一次,其作用基本类似于Windows系统中的任务管理器。
Tasks(系统任务)信息:total,总进程数;running,正在运行的进程数;sleeping,休眠的进程数;stopped,中止的进程数;zombie,僵死无响应的进程数。

CPU信息:

1、0.0% us — 用户空间占用CPU的百分比。
2、0.1% sy — 内核空间占用CPU的百分比。
3、0.0% ni — 改变过优先级的进程占用CPU的百分比

4、99.8% id — 空闲CPU百分比
5、0.0% wa — IO等待占用CPU的百分比
6、0.0% hi — 硬中断(Hardware IRQ)占用CPU的百分比

7、0.0% si — 软中断(Software Interrupts)占用CPU的百分比
8、0.0% st— 实时百分比

Mem(内存)信息:total,总内存空间;used,已用内存;free,空闲内存;buffers,缓存区域。

Swap(交换空间)信息:total,总交换空间;used,已用交换空间;free,空闲交换空间;cached,缓存空间。

第四种:

pstree -aup
以树状图的方式展现进程之间的派生关系,显示效果比较直观。
-a:显示每个程序的完整指令,包含路径,参数或是常驻服务的标示;
-c:不使用精简标示法;
-G:使用VT100终端机的列绘图字符;
-h:列出树状图时,特别标明现在执行的程序;
-H<程序识别码>:此参数的效果和指定"-h"参数类似,但特别标明指定的程序;
-l:采用长列格式显示树状图;
-n:用程序识别码排序。预设是以程序名称来排序;
-p:显示程序识别码;
-u:显示用户名称;

42.如何查看隐藏文件?

ls -a -l

43.开放端口?

Windows:netstat
Linux:sudo netstat -tunlp
-t-显示TCP端口。
-u -显示UDP端口。
-n -显示数字地址而不是解析主机。
-l -仅显示监听端口。
-p -显示侦听器进程的PID和名称。仅当你以root用户或 sudo 用户身份运行命令时,才会显示此信息。

如果要过滤结果,请使用 grep命令

sudo netstat -tnlp | grep :22

netstat –lnp查看监听端口(查看网络连接状况)

netstat -an 可以查看当前网络以及端口

44.如何查看ssh登录日志

答:less /var/log/secure | grep 'Accepted'

45.如何查看文件所在位置

答:使用find命令

46.敏感文件在哪?

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

47.什么是iptables?

答:netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

48.windows如何查看系统日志?

同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」
事件id

49.被ms17入侵了怎么办?

答:
1.为计算机安装最新的安全补丁
2.及时备份,一定要离线备份重要文件
3.开启防火墙
4.关闭445、135、137、138、139端口,关闭网络共享。
WIN+R :regedit
找到注册表项“HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters”
选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。(64位 32位根据自己需求)
将DWORD值重命名为“SMBDeviceEnabled”
修改"数值数据"的值为0,点击确定,完成设置
。。。。

50Windows有哪些后门?

答:
1.嗅探欺骗
2.放大镜程序
3.组策略欺骗
4.Telnet欺骗
参考文章:

51.如何清空日志?

1.>/logs/file.log
2.cat /dev/null >/logs/file.log
3.echo  "">/logs/file.log
4.:>/logs/file.log

52.有哪些常见的安全产品?

答:
防火墙:天融信、网御星云、东软、中科曙光、蓝盾、中航鸿电、中船综合院、706所
入侵检测/防御:中科神威、网神、中科曙光、安恒信息 、绿盟科技
漏洞扫描系统:中科神威、安恒信息 、绿盟科技
安全管理平台:启明星辰、中科神威、360
网闸/安全隔离与信息单向导入设备:国保金泰、中科神威、北京安盟、赛博兴安
加密机:江南天安
终端安全:北信源、江民科技
Web应用防火墙:上海天泰
堡垒机:建恒信安、江南寰宇
负载均衡:般固科技
防毒墙:江民科技
备份一体机:壹进制
网络流量分析:北京卓迅
网络准入控制:画方科技
存储:创新科、同有飞骥
溯源:微步

最后修改:2022 年 03 月 19 日 08 : 30 PM
如果觉得这篇文章不错,不妨赏我碎银几两。