(1)目标:对目标服务器所在的内网资源进行渗透最终获取域控制权限的过程(域控制权限可以控制内网中所有的用户和设备);管理员以一台主机作为域控制器,将内网中其余主机加入到域控当中,那么这台域控制器就可以控制其余的所有主机;所以内网的渗透最终目的就是拿下与控制器的权限
通过域成员主机,定位出域控制器IP以及域管理员账号,利用域成员主机作为跳板,扩大渗透范围。利用域管理员可以登陆域中任何成员主机的特性,定位出域管理员登陆过的主机IP,设法从该域成员主机内存中dump出域管理员密码,进而拿下域控制器。(1)如何找到域控(域控制器)去寻找DNS服务器,一般域控就是DNS域名服务器,一般域控主机会开启DNS服务和LTAP服务,可能开放53,389端口
有过简单的了解,可以用msf或者cs结合其它的框架生成免杀马,主要就是静态免杀和动态免杀方式:可以通过替换api,重写api,合理替换调用顺序,绕过调用源来免杀静态免杀方式:替换特征码,替换资源,修改入口点,(peid工具加壳)加壳。
1、基于业务方面的0day防御系统维护升级!!(24小时一般官方升级补丁或者0day防御手段出现)2、基于技术方面0day防御0day爆发前拿到poc,根据poc漏洞攻击规则,进行代码修补虚拟补丁进行流量封堵设:流量规则/index.phpcmd=whoami;访问index.php页面的并且函数为cmd,存在whoami,pwd等流量,直接拦截
内容分发网络;让用户就近获取信息;降低网络拥塞使用超级Ping在线工具进行判断,国外地址请求,查看dns历史记录
(1)首先肯定就是尝试爆破,看是否存在弱口令(2)爆破不行的话然后就是看是否存在sql注入漏洞,看看传输的数据是否可以拼接命令执行,或者看看是否存在其他漏洞(3)看是是否有忘记密码之类的操作,看看是否存在逻辑漏洞(4)看看网站的语言,框架,看看是否存在已知的漏洞,使用AWVS等漏扫工具扫扫看看是否有漏洞,然后手动验证一下
namp-p1-65535192.168.1.1-v扫描全端口(-v表示显示扫描过程)nmap-sTip使用TCPconnect扫描nmap-Pnip非ping扫描,不执行主机发现nmap-sPipping扫描,扫描前先通过ping确认主机存活nmap-sVip服务版本探测nmap-Oip操作系统检测nmap-T4ip设置定时模板(越高越快)nmap--script使用脚本nmap-Aip进行全面扫描(ping扫描,操作系统扫描,脚本扫描,路由跟踪,服务探测)
(1)反序列化原理?序列化是指将对象转化为便于运输的字节序列;反序列化与之相反;当输入的反序列化的数据可以被攻击者控制,那么攻击者就可以构造恶意的输入,让反序列产生非预期对象,从而执行恶意代码(2)简单介绍一下PHP反序列化漏洞PHP反序列化漏洞通常存在于使用unserialize()函数处理用户输入的情况。当应用程序接受不受信任的输入,并将其传递给unserialize()函数时,就可能导致安全漏洞。unserialize()函数用于将序列化的字符串转换回原始的PHP变量。然而,如果攻击者能够控制序列化的数据,并且该数据中包含恶意代码或利用某些对象的特殊行为(如调用任意方法、执行任意代码等),那么攻击者就可能在目标系统上执行任意操作就是攻击者构造恶意的php变量,传递给unserialize()函数,然后这个函数还原为php变量,服务器解析执行这个恶意代码(3)Java反序列化:创建了一个对象输出流;通常对象输出流的readobject方法来杜宇对象
(1)命令执行原理?程序应用有时候需要调用执行一些系统命令函数,如PHP中的system()exec()shell_exec()passthru()eval()popen()(2)PHP存在哪些危险函数?用户能够控制函数的输入,存在可以执行代码或者系统命令的危险函数;exec(执行外部程序)system(执行外部程序)shell_exec(使用shell执行外部程序)ini_set(修改php环境)eval(传输数据)
(1)文件上传的原理?开发人员未在文件上传点对文件名和文件内容做严格的过滤,导致用户可以上传恶意的脚本到服务端(上传一句话木马,冰蝎,大马等等)(2)文件上传绕WAF?绕过黑名单(大小写),绕过白名单(%00截断),绕过前端验证(burp抓包修改content-type的值),文件内容绕过,htaccess文件(3)预防方法?就是对文件类型可以通过白名单或者黑名单的判断,或者对文件的内容进行检测,或者对上传的文件进行重命名等等
是指攻击者利用Web应用程序中的漏洞,通过某种方式下载到了应该不被公开访问的文件,这些文件可能包含敏感信息,如用户凭证、密码等,从而造成安全风险。
(1)文件包含的原理?文件包含是在程序的编写过程当中,为了减少重复代码的编写操作,将重复的代码采取从外部引入的方式,如果包含的内容可以被攻击者控制,就可以构造脚本来获取服务器的控制权,一般分为本地包含和远程包含(allow_url_include=ON,可以加载远程文件)(2)PHP造成文件包含漏洞的常用函数有哪四个?区别是什么?include:找不到被包含的文件时会产生警告,脚本继续运行include_once:有once表示不会重复包含,没有可以重复包含require:找不到被包含的文件时发生致命错误,脚本不运行require_once:可以重复包含(3)文件包含的防护一般的防护手段包括对文件进行敏感内容查找,或者限制文件的类型(4)PHP的%00截断知道吗?在PHP中,字符串是以C风格的字符串(以null字节结尾)来存储的。因此,当PHP解析器遇到一个null字节(%00)时,它会认为字符串已经结束。这种特性有时会被攻击者利用来绕过某些安全检查。(5)Java存在哪些危险函数?runtime.exec()processbuider()(6)Java反序列化知道吗?序列化就是将对象转为为二进制数据,反序列化就是将二进制数据还原为对象
(1)XSS漏洞的原理?(跨站脚本攻击)应用程序没有对用户提交的内容进行验证和重新编码,直接呈现个网站访问时,可能会触发XSS,攻击者利用上述漏洞,在页面中嵌入JS脚本,用户访问含恶意脚本代码的页面或者打开URL连接的时候,浏览器自动加载恶意代码,达到攻击的目的(大小写,双写)(2)xss有哪三种类型?
越权的本质就是失效的访问控制,未对用户的身份进行合理的验证,导致出现逻辑漏洞(1)水平越权:A,B为同一级别用户,A用户可以控制B用户的权限(2)垂直越权:A为管理员,B为普通用户,但是B可以控制A(3)危害?支付漏洞、短信轰炸漏洞、
(1)文件解析漏洞:早期版本配置不当时,对于任意文件,后面加上/xxx.php会当作php文件解析执行,则攻击者可上传1.png图片马(2)目录遍历:与apache一样,没有过滤../../等目录跳跃符,导致攻击者可以访问系统的任意目录(将autoindexon设置为off)(3)CRLF注入(空格加换号):(在HTTP中,header和body通过CRLF分割,浏览器根据CRLF来取出HTTP内容并显示出来;攻击者通过控制HTTP消息头中的字符,注入一些恶意的换行,就能注入一些会话cookie或者html代码,由于Nginx配置不正确,导致注入的代码会被执行)
(1)put漏洞:在Web服务拓展中开启了webdev;配置了可以写入的权限,造成任意文件上传,可以上传一句话木马(2)解析漏洞:在6.0版本会将xxx.asp;xxx.jpg此类型的文件当成asp执行,分号后面的内容不被解析;相当于截断,攻击者就可以上传asp木马(3)短文件名破解:构造某个存在的短文件,返回404,构造某个不存在的短文件,会返回400(升级.netframework/修改注册表禁用短文件名功能)
菜刀支持php,asp,jis三种webshell三种连接,流量特征有一定的差异1,php:有eval(php),execute(asp)函数,用于传递攻击payload,攻击载荷使用base64解码,有(base_decode(post[z0]))等字符,存在固定的字段&Z0=QGluaV9zZXQo,(用于传递payload)有z0等参数2,JSP:第一参数为A-Q,定义操作,第二参数指定编码,例如:i=A&z0=GB23123,asp:通常会有execute()函数用于传递攻击payload,还会存在response.write和response.end等,用于完善整个操作
默认支持asp和php的webshell连接1,php:最明显的有@ini_set("display_errors","0");,这段代码基本是所哟php类的wehbshell都有的一段代码,但是蚁剑是明文传输的;并且后面存在base64等字符,响应包结果的返回格式为{随机数+响应内容+随机数}2,参数中大多以"_0x="这种形式3,ASP类:execute在蚁剑中为打断混淆了,变成了Ex"&cHr(101)&“cute等形式,同时也使用了eval函数
冰蝎可以进行动态流量加密(密钥协商,加密传输)(1)冰蝎2.0流量特征:第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥请求包存在:Accept:text/html,image/gif,image/jpeg,;q=.2,/;q=.2建立连接后的cookie存在特征字符,所有请求Cookie的格式都为:Cookie:PHPSESSID=;path=/;(2)3.0特征(回答首选)content-length长度为5720或5740(随Java版本改变)特征分析Content-Type:application/octet-stream;octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组)每个请求包中存在:Pragma:no-cache,Cache-Control:no-cacheAccept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9属于弱特征(UA头的浏览器版本很老),或者说,内置16个ua头,比较老,属于n年前的浏览器产品,现在没什么人用(3)4.0特征(常问)
CS是一款渗透测试工具、分为客户端和服务端、服务端是一个、客户端可以有多个、cobaltstrike集成了端口转发、服务扫描、自动化溢出、多模式端口监听、木马生成、office宏病毒生成、钓鱼攻击等步骤就是:启动服务端、然后启动客户端获得一个可视化界面、新建监听来接受会话、生成木马文件、上传到受害主机、当受害者运行木马文件的时候CS上线
对该设备的网络流量进行分析监控,发现攻击行为之后就会进行计时的拦截、中断、调整和隔离。IPS是防火墙的重要补充,如果是防火墙是第一道防线,IPS就是第二道防线。
按照一定的防护措施;监视记录网络中的各种攻击企图。特点就是记录,不会对攻击行为进行拦截,
诱饵机,对攻击方的攻击行为进行捕捉和分析,了解攻击方使用的工具和方法,提高系统的安全防护能力(1)低交互蜜罐最大的特点就是模拟,它的服务都是模拟的行为,数据不够真实。(2)中交互蜜罐是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获取更多的信息(3)高交互蜜罐具有一个真实的操作系统,更加仿真。模拟的场景越来越真实,数据越来越真实。
实时不间断的采集用户网络中的不同厂商的安全设备、网路设备、主机等各种应用系统产生的日志信息,并将这些信息汇集到审计中心、进行集中化存储、备份、查询、审计、告警等等
(1)首先封堵攻击IP,事件处置组人员根据攻击事件通过信息或者报告,封堵源IP;(2)事件处置组人员根据攻击事件报告,处置安全事件,处置方式包括:安全设备策略调整、系统下线、服务器排查、应用排查、加固整改、系统上线(3)上报安全事件,上报接口人根据攻击行为报告和处置报告,对攻击事件、威胁处置上报演习系统上报平台。
php内存马的流程
微步、奇安信、360、绿盟、安恒等
来自外网的误报说明安全设备需要进行策略的审计,不需要处置、如果来自内网的误报可以和负责人协商一下看能不能解决,有必要的需要添加白名单
就是看告警详情,看看有没有明显的文件泄露的特征,比如1.zip.svn
看请求体中是否出现明显的usename=xxxpassword=xxx等明显字段,根据服务器的响应信息进行具体的判断,服务器可能会出现success等回显信息
通常会在authorization字段出现base64编码的字段,通过解码小工具进行解码操作,可能会出现tomact常见的弱口令密码组,例如tomcat:tomcat
根据请求包和响应包进行对比判断。首先看下状态码404的状态码告警可以首先筛掉,着重看下响应包状态码是200和302的状态码的。然后看下请求包内文件名是否是恶意脚本文件名称(请求体里可能有一句话木马),请求包正文内容是否包含恶意脚本内容,还有就是观察下响应包内容,成功的话就直接上报就行
首先看请求头中是否有明显的目录穿越代码,比如../../,然后就是根据响应体中有没有明显的文件路径
根据流量进行一个初步的判断,看看是否有这些webshell工具的流量特征
大部分内网挖矿告警,木马病毒都是基于情报的告警,误报率很大,很有可能是因为内部员工使用大量盗版软件以及盗版系统导致,因此无法准确判断。但是护网期间此类告警需要谨慎处理,不放过任意一条告警,所以我会将此类告警上报到研判人员处,由研判人员再进行进一步的验证。判断:①查看CPU占用率②查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令③是否有外连,向远程IP请求分析①登陆网站服务器,查看进程是否有异常②查看异常进程是什么,选择可疑的服务项,停止服务,启动类型改为静止③查看计划任务有没有可疑的临时解决方案①停用并禁止可疑的服务项目,有时候服务项的名称会变,但描述不会变,根据描述找到服务项并删除②根据实际木马的路径,删除木马③重启计算机④使用杀毒软件进行全盘查杀