一、信息收集流程
1.获取域名的 whois 信息 , 获取注册者邮箱姓名电话等。
2.通过站长之家、明小子、 k8 、站长之家等查询服务器旁站以及子域名站点,因为主站一般
比较难,所以先看看旁站有没有通用性的 cms 或者其他漏洞。
3、通过 DNS 域传送漏洞、备份号查询、 SSl 证书、 APP 、微信公众号、暴力破解、 DNS 历
史记录、 K8 C 段查询、 Jsfinder 、 360 或华为威胁情报、证书序列号获取企业二级域名与 ip 。
4、通过 Nmap 、 Wappalyzer 、御剑等查看服务器操作系统版本, web 中间件,看看是否存
在已知的漏洞,比如 IIS , APACHE,NGINX 的解析漏洞
5.通过 7KB 、破壳扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如 php 探针(phpinfo.php )、管理员备份文件。
6.google hack 进一步探测网站的信息,后台,敏感文件
7、敏感信息收集,如 github 源码、用 7kb 、破壳扫源代码泄露( .hg 、 .git 、 cvs 、 svn 、 .DS_store 源代码泄露)、google hack 、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟 馗之眼、天眼查、威胁情报、微步在线等
8、通过 Wappalyzer 、御剑工具对网站指纹识别(包括, cms , cdn ,证书等), dns 记录
二、常见端口
三、sqlmap使用及防御
四、sql 注入的几种类型?
1 )报错注入
2 ) bool 型注入
3 )延时注入
4 )宽字节注入
五、常用中间件那些漏洞
IIS
PUT 漏洞、短文件名猜解、远程代码执行、解析漏洞
Apache
解析漏洞、目录遍历、任意文件读取
Nginx
文件解析、目录遍历、 CRLF 注入、目录穿越
Tomcat
远程代码执行、 war 后门文件部署
JBoss
反序列化漏洞、 war 后门文件部署
WebLogic
反序列化漏洞
SSRF 任意文件上传
war 后门文件部署
六、XSS、SSRF、CSRF、XXE 漏洞
七、应急响应流程(windows和Linux)
1. 取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后 门文件 - 注意文件的时间,用户,后缀等属性),调取日志(系统 日志,中间件日志,WAF 日 志等);
2. 处理,恢复备份(快照回滚,最近一次),确定入侵方法(漏洞
检测,并进行修复)
3. 溯源,查入侵 IP,入侵手法(网路攻击事件)的确定等
4. 记录,归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录 通用漏洞的应对等其他安全应急事件
(1)Windows应急
一、检查系统账号安全
1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远 程管理端口是否对公网开放。
2、Win+R 打开运行,输入“eventvwr.msc”打开操作系统日志,查 看管理员登录时间、用户名是否存在异常。
二、检查异常端口、进程
1、使用 netstat -ano 检查端口连接情况,是否有远程连接、可疑连接(主要定位 ESTABLISHED)。
2、根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”
3、也可以使用 D 盾_web 查杀工具、火绒剑、XueTr 等工具进行判 断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有 描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存 资源占用长时间过高的进程)
三、检查启动项、计划任务、服务
1、检查服务器是否有异常的启动项,如:单击开始菜单 >【运 行】,输入 msconfig 看一下启动项是否存在可疑启动,注册表 run 键值是否存在可疑启用文件,组策略,运行 gpedit.msc 查看脚本启 动是否存在启用文件等
2、检查计划任务,如单击【开始】>【设置】>【控制面板】>【任 务计划】,查看计划任务属性,便可以发现木马文件的路径
3、检查服务自启动,如单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。
四、检查系统相关信息
1、查看系统版本以及补丁信息
检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统 信息是否打了补丁
2、查找可疑目录及文件
检查方法:
a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查 看是否有新建用户目录。Window 2003 C:\Documents and Settings Window 2008R2 C:\Users\
b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最 近打开分析可疑文件。
c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查 找可疑文件。
五、自动化查杀
用 360、卡巴斯基等病毒查杀系统病毒木马,Web 可以用 D 盾、河马 工具查杀 Webshell 后门
(2)linux应急
1、检查用户及密码文件 /etc/passwd 、 /etc/shadow 是否存在多余帐号,主要看一下帐号后面是否是 nologin, 如果没有 nologin 就要注意;
2、通过 who 命令查看当前登录用户( tty 本地登陆 pts 远程登录)、 w 命令查看系统信息,想知道某一时刻用户的行为、uptime 查看登陆多久、多少用户,负载;
3、修改 /etc/profile 的文件,在尾部添加相应显示时间、日期、 ip 、命令脚本代码,这样输入 history 命令就会详细显示攻击者 ip 、时间历史命令等;
4、用 netstat -antlp|more 命令分析可疑端口、 IP 、 PID ,查看下 pid 所对应的进程文件路径,运行 ls -l /proc/$PID/exe 或 file /proc/$PID/exe ( $PID 为对应的 pid 号);
5、使用 ps 命令,分析进程 ps aux | grep pid
6、使用 vi /etc/inittab 查看系统当前运行级别,通过运行级别找到 /etc/rc.d/rc[0~6].d对应目录是否存在可疑文件;
7、看一下 crontab 定时任务是否存在可疑启用脚本;
8、使用 chkconfig --list 查看是否存在可疑服务;
9、通过 grep awk 命令分析 /var/log/secure 安全日志里面是否存在攻击痕迹;
10、 chkrootkit 、 rkhunter 、 Clamav 病毒后门查杀工具对 Linux 系统文件查杀;
八、冰蝎、哥斯拉特征码
冰蝎特征码
1 、 http 包头中,content-type 为 application/octet-stream 强行特征码
2 、 冰蝎 3.0 内置的默认 16 个 userAgent 都比较老,属于 N 年前的浏览器产品。
现实生活中很少有人使用。所以这个也可以作为 waf 规则特征
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
QQBrowser/6.9.11079.201
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko)
Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
3 、 Accept 头一般为:text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
哥斯拉特征码
总结木马特征:
1、run()方法是写死在攻击荷载里面的,代码一定会调用这个方法执行传
入的参数。
2、有一个向 SESSION 中存储攻击荷载的过程,就是会有一个
$_SESSION[$XXX]=P 的过程,这里的 P 是通过 POST 方法传进来的参数。
3、会将传入的参数解密、拼接后取 MD5,前 16 位加到回显的前端,其
余的部分加到回显的后端。
九、CS特征码
1 、默认端口是 50050
2 、请求的 url 为 /jquery-3.3.1.min.js ,返回包的大小为 5543
3 、在流量包中可以从域名 /IP 、指令长度(心跳长度默认 5 秒)、指令结果长度(返回结
果包长度)、指令执行时间( POST 包与指令包时间间隔)
4 、 cookie 有一串固定的加密
值
十、MSF特征码
1 、端口号: msf 默认使用 4444 端口作为反向连接端口
2 、数据内容: msf 数据包通常包含特定字符串 :("meterpreter" 、 "revshell"
等 )
十一、shiro反序列化
Apache shiro 是一个开源的框架,提供身份验证,授权 密码学和会话管理
漏洞引用 : 服务端在接受 cookie 时,得到 rememberme 的 cookie 值。 shiro<=1fa.2.4 版本
默认使用 cookie remembermemanager ,由于 AES 使用的 key 泄露导致反序列化的
cookie 可控,从而引发反序列化攻击。
特征码,回包里面有 rememberme=deleteme 使用的就是 apache shiro 框架
十二、常用日志文件位置
windows
系统日志: `%SystemRoot%\System32\Winevt\Logs\System.evtx`
应用程序日志: %SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志: `%SystemRoot%\System32\Winevt\Logs\Security.evtx``
Linux :
日志默认存放位置: /var/log/
查看日志配置情况: more /etc/rsyslog.conf
