国家护网行动面试题总结

一、信息收集流程

        1.获取域名的 whois 信息 , 获取注册者邮箱姓名电话等。
        2.通过站长之家、明小子、 k8 、站长之家等查询服务器旁站以及子域名站点,因为主站一般
比较难,所以先看看旁站有没有通用性的 cms 或者其他漏洞。
        3、通过 DNS 域传送漏洞、备份号查询、 SSl 证书、 APP 、微信公众号、暴力破解、 DNS
史记录、 K8 C 段查询、 Jsfinder 360 或华为威胁情报、证书序列号获取企业二级域名与 ip
        4、通过 Nmap Wappalyzer 、御剑等查看服务器操作系统版本, web 中间件,看看是否存
在已知的漏洞,比如 IIS APACHE,NGINX 的解析漏洞
        5.通过 7KB 、破壳扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如 php 探针(phpinfo.php )、管理员备份文件。
        6.google hack 进一步探测网站的信息,后台,敏感文件
        7、敏感信息收集,如 github 源码、用 7kb 、破壳扫源代码泄露( .hg .git cvs svn .DS_store 源代码泄露)、google hack 、接口信息泄露、社工信息泄露、邮箱地址信息收集、网盘搜索、钟 馗之眼、天眼查、威胁情报、微步在线等
        8、通过 Wappalyzer 、御剑工具对网站指纹识别(包括, cms cdn ,证书等), dns 记录

二、常见端口

三、sqlmap使用及防御

四、sql 注入的几种类型?

1 )报错注入
2 bool 型注入
3 )延时注入
4 )宽字节注入

五、常用中间件那些漏洞

IIS
PUT 漏洞、短文件名猜解、远程代码执行、解析漏洞
Apache
解析漏洞、目录遍历、任意文件读取
Nginx
文件解析、目录遍历、 CRLF 注入、目录穿越
Tomcat
远程代码执行、 war 后门文件部署
JBoss
反序列化漏洞、 war 后门文件部署
WebLogic
反序列化漏洞
SSRF 任意文件上传
war 后门文件部署

六、XSSSSRFCSRFXXE 漏洞

七、应急响应流程(windows和Linux)

        1. 取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后 门文件 - 注意文件的时间,用户,后缀等属性),调取日志(系统 日志,中间件日志,WAF 日 志等);
        2. 处理,恢复备份(快照回滚,最近一次),确定入侵方法(漏洞
检测,并进行修复)
        3. 溯源,查入侵 IP,入侵手法(网路攻击事件)的确定等
        4. 记录,归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录 通用漏洞的应对等其他安全应急事件
(1)Windows应急

一、检查系统账号安全

        1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远 程管理端口是否对公网开放。
        2、Win+R 打开运行,输入“eventvwr.msc”打开操作系统日志,查 看管理员登录时间、用户名是否存在异常。
二、检查异常端口、进程
        1、使用 netstat -ano 检查端口连接情况,是否有远程连接、可疑连接(主要定位 ESTABLISHED)。
        2、根据 netstat 定位出的 pid,再通过 tasklist 命令进行进程定位 tasklist | findstr “PID”
        3、也可以使用 D 盾_web 查杀工具、火绒剑、XueTr 等工具进行判 断可疑进程(如蓝色、红色进程、没有签名验证信息的进程、没有 描述信息的进程、进程的属主、进程的路径是否合法、 CPU 或内存 资源占用长时间过高的进程)
三、检查启动项、计划任务、服务
        1、检查服务器是否有异常的启动项,如:单击开始菜单 >【运 行】,输入 msconfig 看一下启动项是否存在可疑启动,注册表 run 键值是否存在可疑启用文件,组策略,运行 gpedit.msc 查看脚本启 动是否存在启用文件等
        2、检查计划任务,如单击【开始】>【设置】>【控制面板】>【任 务计划】,查看计划任务属性,便可以发现木马文件的路径
        3、检查服务自启动,如单击【开始】>【运行】,输入 services.msc,注意服务状态和启动类型,检查是否有异常服务。
四、检查系统相关信息
        1、查看系统版本以及补丁信息
检查方法:单击【开始】>【运行】,输入 systeminfo,查看系统 信息是否打了补丁
        2、查找可疑目录及文件
检查方法:
        a、 查看用户目录,新建账号会在这个目录生成一个用户目录,查 看是否有新建用户目录。Window 2003 C:\Documents and Settings Window 2008R2 C:\Users\
        b、单击【开始】>【运行】,输入%UserProfile%\Recent,分析最 近打开分析可疑文件。
        c、在服务器各个目录,可根据文件夹内文件列表时间进行排序,查 找可疑文件。
        
五、自动化查杀
用 360、卡巴斯基等病毒查杀系统病毒木马,Web 可以用 D 盾、河马 工具查杀 Webshell 后门
(2)linux应急
        1、检查用户及密码文件 /etc/passwd /etc/shadow 是否存在多余帐号,主要看一下帐号后面是否是 nologin, 如果没有 nologin 就要注意;
        2、通过 who 命令查看当前登录用户( tty 本地登陆 pts 远程登录)、 w 命令查看系统信息,想知道某一时刻用户的行为、uptime 查看登陆多久、多少用户,负载;
        3、修改 /etc/profile 的文件,在尾部添加相应显示时间、日期、 ip 、命令脚本代码,这样输入 history 命令就会详细显示攻击者 ip 、时间历史命令等;
        4、用 netstat -antlp|more 命令分析可疑端口、 IP PID ,查看下 pid 所对应的进程文件路径,运行 ls -l /proc/$PID/exe file /proc/$PID/exe $PID 为对应的 pid 号);
        5、使用 ps 命令,分析进程 ps aux | grep pid
        6、使用 vi /etc/inittab 查看系统当前运行级别,通过运行级别找到 /etc/rc.d/rc[0~6].d对应目录是否存在可疑文件;
        7、看一下 crontab 定时任务是否存在可疑启用脚本;
        8、使用 chkconfig --list 查看是否存在可疑服务;
        9、通过 grep awk 命令分析 /var/log/secure 安全日志里面是否存在攻击痕迹;
        10、 chkrootkit rkhunter Clamav 病毒后门查杀工具对 Linux 系统文件查杀;

八、冰蝎、哥斯拉特征码

冰蝎特征码

1 http 包头中,content-type 为 application/octet-stream 强行特征码
2 冰蝎 3.0 内置的默认 16 个 userAgent 都比较老,属于 N 年前的浏览器产品。
现实生活中很少有人使用。所以这个也可以作为 waf 规则特征
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
QQBrowser/6.9.11079.201
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64;
Trident/5.0)
Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR
3.0.30729; Media Center PC 6.0; InfoPath.3; .NET4.0C; .NET4.0E)
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.1 (KHTML, like Gecko)
Chrome/13.0.782.41 Safari/535.1 QQBrowser/6.9.11079.201
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64;
3 Accept 头一般为:text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
哥斯拉特征码
总结木马特征:
1、run()方法是写死在攻击荷载里面的,代码一定会调用这个方法执行传
入的参数。
2、有一个向 SESSION 中存储攻击荷载的过程,就是会有一个
$_SESSION[$XXX]=P 的过程,这里的 P 是通过 POST 方法传进来的参数。
3、会将传入的参数解密、拼接后取 MD5,前 16 位加到回显的前端,其
余的部分加到回显的后端。

九、CS特征码

1 、默认端口是 50050
2 、请求的 url /jquery-3.3.1.min.js ,返回包的大小为 5543
3 、在流量包中可以从域名 /IP 、指令长度(心跳长度默认 5 秒)、指令结果长度(返回结
果包长度)、指令执行时间( POST 包与指令包时间间隔)
4 cookie 有一串固定的加密

十、MSF特征码

1 、端口号: msf 默认使用 4444 端口作为反向连接端口
2 、数据内容: msf 数据包通常包含特定字符串 :("meterpreter" "revshell"
)

十一、shiro反序列化

Apache shiro 是一个开源的框架,提供身份验证,授权 密码学和会话管理
漏洞引用 : 服务端在接受 cookie 时,得到 rememberme cookie 值。 shiro<=1fa.2.4 版本
默认使用 cookie remembermemanager ,由于 AES 使用的 key 泄露导致反序列化的

cookie 可控,从而引发反序列化攻击。

特征码,回包里面有 rememberme=deleteme 使用的就是 apache shiro 框架

十二、常用日志文件位置        

windows
系统日志: `%SystemRoot%\System32\Winevt\Logs\System.evtx`
应用程序日志: %SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志: `%SystemRoot%\System32\Winevt\Logs\Security.evtx``
Linux
日志默认存放位置: /var/log/
查看日志配置情况: more /etc/rsyslog.conf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/872570.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PriorityQueue 阅读记录

1、前言 1、优先队列&#xff0c;底层通过数组来构造树&#xff08;二叉树) 来实现的。 2、默认是最小堆&#xff08;取出来的是最小值)&#xff0c;可以通过传入一个比较器 comparator 来构造一个最大堆。 3、传入的参数不能为空&#xff0c;否则抛出NPE问题。 4、最大堆的…

Study--Oracle-07-ASM自动存储管理(一)

一、ASM实例和数据库实例对应关系 1、ASM是Oracle 10g R2中为了简化Oracle数据库的管理而推出来的一项新功能&#xff0c;这是Oracle自己提供的卷管理器&#xff0c;主要用于替代操作系统所提供的LVM&#xff0c;它不仅支持单实例&#xff0c;同时对RAC的支持也是非常好。ASM可…

汽车开发阶段(OTS/VFF/PVS/OS/SOP)

OTS&#xff1a;即英语中的Off Tooling Sample&#xff0c;通常被称为工装样件。它指的是通过配套设备、工装夹具以及模具制造出来的样品&#xff0c;但并不强调生产的时间效率&#xff0c;主要用于验证产品的设计能力。 VFF&#xff1a;在德语中表示为Vorserien Freigabefahr…

集成excel工具:自定义导入回调监听器、自定义类型转换器、web中的读、捕获文件格式转换错误ExcelDataConvertException

文章目录 I 封装导入导出1.1 定义工具类1.2 自定义读回调监听器: 回调业务层处理导入数据1.3 定义文件导入上下文1.4 定义回调协议II 自定义转换器2.1 自定义枚举转换器2.2 日期转换器2.3 时间、日期、月份之间的互转2.4 LongConverterIII web中的读3.1 使用默认回调监听器3.2…

C++基础知识:C++内存分区模型,全局变量和静态变量以及常量,常量区,字符串常量和其他常量,栈区,堆区,代码区和全局区

1.C内存分区模型 C程序在执行时&#xff0c;将内存大方向划分为4个区域 代码区:存放函数体的二进制代码&#xff0c;由操作系统进行管理的&#xff08;在编译器中所书写的代码都会存放在这个空间。&#xff09; 全局区:存放全局变量和静态变量以及常量 栈区:由编译器自动分…

Mysql具体数据操作和表的约束(上)

表中数据的增删改查 插入数据(添加数据) 1.按指定字段插入数据:insert into <表名> (字段1,字段2,...) values (),(),.... 注意1:values后面的括号是指行数(几条记录),一个括号表示插入一条记录,多个括号以此类推 注意2:values后面括号内部插入的数据…

【python学习】第三方库之pandas库的定义、特点、功能、使用场景和代码示例

引言 pandas是一个强大的Python库&#xff0c;用于数据分析和数据处理。它基于NumPy&#xff0c;提供了灵活的数据结构&#xff08;Series和DataFrame&#xff09;和数据操作功能&#xff0c;是数据科学和机器学习中不可或缺的工具 文章目录 引言一、安装pandas第三方库二、pan…

nginx反向代理实例

一. 准备工作 1.1 ngnix的安装 nginx基本概念和安装-CSDN博客 1.2 安装tomcat tomcat服务器是一个免费的开放源代码的Web应用服务器&#xff0c;属于轻量级应用服务器&#xff0c;适用于中小型系统和并发访问用户不是很多的情况。 前往官网网站&#xff1a;Apache Tomcat - Ap…

C++迈向精通:模板中的引用与remove_reference原理

remove_reference 原理 模板中的引用参数 在模板中&#xff0c;双 &‘ 会被解析为“引用”&#xff0c;这个“引用”可以是“左值”引用&#xff0c;也可以是“右值”引用。 例如&#xff1a; template <typename T> void func(T &&a) {std::cout <&l…

从零开始接触人工智能大模型,该如何学习?

人工智能是计算机科学领域中最具前瞻性和影响力的技术之一。它是一种智慧型算法&#xff0c;能够模拟人类的思维过程&#xff0c;处理大量的数据和信息&#xff0c;从而发现隐藏在其中的规律和趋势。人工智能的应用范围非常广泛&#xff0c;包括语音识别、图像识别、自然语言处…

《简历宝典》14 - 简历中“项目经历”,实战讲解,前端篇

上一节我们针对项目经历做了内功式的讲解&#xff0c;为了加深读者的印象&#xff0c;可以更轻松的套用到自己的简历上&#xff0c;本章继续从前端开发、Java开发以及软件测试的三个角度&#xff0c;再以校招和初级、中级以及高级三个维度分别入手&#xff0c;以实战讲解的形式…

gihub导入gitee仓库实现仓库同步

昨天在GitHub里导入了gitee仓库&#xff0c;但是在仓库同步这里卡了很久&#xff0c;因为网上大多数都是从github导入gitee&#xff0c;然后github生成token放入实现同步&#xff0c;但是我找到一种更为方便的&#xff01; 1.首先找到项目文件下的.git文件里的config文件 2.在…

Python实战MySQL之数据库操作全流程详解

概要 MySQL是一种广泛使用的关系型数据库管理系统,Python可以通过多种方式与MySQL进行交互。本文将详细介绍如何使用Python操作MySQL数据库,包括安装必要的库、连接数据库、执行基本的CRUD(创建、读取、更新、删除)操作,并包含具体的示例代码,帮助全面掌握这一过程。 准…

dom4j 操作 xml 之按照顺序插入标签

最近学了一下 dom4j 操作 xml 文件&#xff0c;特此记录一下。 public class Dom4jNullTagFiller {public static void main(String[] args) throws DocumentException {SAXReader reader new SAXReader();//加载 xml 文件Document document reader.read("C:\\Users\\24…

基于jeecgboot-vue3的Flowable流程支持bpmn流程设计器与仿钉钉流程设计器-编辑多版本处理

因为这个项目license问题无法开源&#xff0c;更多技术支持与服务请加入我的知识星球。 1、前端编辑带有仿钉钉流程的处理 /** 编辑流程设计弹窗页面 */const handleLoadXml (row) > {console.log("handleLoadXml row",row)const params {flowKey: row.key,ver…

搜集日志。

logstash 负责&#xff1a; 接收数据 input — 解析过滤并转换数据 filter(此插件可选) — 输出数据 output input — decode — filter — encode — output elasticsearch 查询和保存数据 Elasticsearch 去中心化集群 Data node 消耗大量 CPU、内存和 I/O 资源 分担一部分…

四、GD32 MCU 常见外设介绍

系统架构 1.RCU 时钟介绍 众所周知&#xff0c;时钟是MCU能正常运行的基本条件&#xff0c;就好比心跳或脉搏&#xff0c;为所有的工作单元提供时间 基数。时钟控制单元提供了一系列频率的时钟功能&#xff0c;包括多个内部RC振荡器时钟(IRC)、一个外部 高速晶体振荡器时钟(H…

Docker修改Postgresql密码

在Docker环境中&#xff0c;对已运行的PostgreSQL数据库实例进行密码更改是一项常见的维护操作。下面将详述如何通过一系列命令行操作来实现这一目标。 修改方式 查看容器状态及信息 我们需要定位到正在运行的PostgreSQL容器以获取其相关信息。执行以下命令列出所有正在运行…

Mongodb多键索引中索引边界的混合

学习mongodb&#xff0c;体会mongodb的每一个使用细节&#xff0c;欢迎阅读威赞的文章。这是威赞发布的第93篇mongodb技术文章&#xff0c;欢迎浏览本专栏威赞发布的其他文章。如果您认为我的文章对您有帮助或者解决您的问题&#xff0c;欢迎在文章下面点个赞&#xff0c;或者关…

安全防御---防火墙双击热备与带宽管理

目录 一、实验拓扑 二、实验需求 三、实验的大致思路 四、实验过程 4、基础配置 4.1 FW4的接口信息 4.2 新建办公&#xff0c;生产&#xff0c;游客&#xff0c;电信&#xff0c;移动安全区域 4.3 接口的网络配置 生产区:10.0.1.2/24 办公区:10.0.2.2/24 4.4 FW4的…