hw蓝初中级面试题整理(流量特征＋场景题）

Webshell检测：

0、d盾河马阿里伏魔查杀1、有具体时间的话可以根据时间和正则匹配关键字定位，然后封ip，追踪ip最后做了什么2、在网络层监控 HTTP，并且检测到有人访问了一个从没访问过的文件，而且返回了 200，则很容易定位到webshell。

redis：

Redis默认端口6379，常见漏洞是未授权，比如无密码登录或者密码很简单，②登录后写入webshell，反弹shell，定时任务反弹、主从复制getshell2、ssrf利用redis打内网，主要通过dict协议和gopher协议

webshell流量特征：

菜刀：

采用base64加密，检测思路就是分析流量包，发现大量的base64加密密文就需要注意。请求体中会存在QG开头Qo结尾的固定代码(QGluaV9zZXQo)，存在base64关键字，有默认参数z0，存在eval，assert关键字（可能是拼接"ass"."ert",....

冰蝎：

冰蝎1：

冰蝎1有一个密钥协商过程，这个过程是明文传输，并且有两次流量，用来校验冰蝎

冰2：

强特征是 accept 里面有个 q=.2，因为内置了很多的UA头，所以当某一个相同IP重复请求，但是UA头不一样的时候就需要注意冰蝎（3次），Content-Length: 16, 16就是冰蝎2连接的特征

冰3：

因为省去了协商过程，所以流量上可以绕过很多，但是其他特征依旧保留，比如ua头的问题，无论GET还是POST，content-type为application/octet-stream

冰蝎4：

q=0.01；十种ua头；端口问题，冰蝎4与webshell建立连接的同时，javaw也与目的主机建立tcp连接，每次连接使用本地端口在49700左右，每连接一次，每建立一次新的连接，端口就依次增加。(可以对符合该范围内的端口告警）

哥斯拉：

cookie值末尾多出分号，base64加解码，哥斯拉建立连接时会发起三次请求，第一次请求数据超级长，建立 session，第二三次请求确认连接

蚁剑：

解密后存在特征@ini_set("display_errors"，"0")，混淆加密后的参数多数是0x=一串base64加密这种形式

Cs攻击流量特征：

心跳包六十秒，端口50050，http请求可能包含与C2服务器通信的命令，请求的的地址是一个Jquery js文件

挖矿：

CPU拉满，netstat能看见单独网络连接会指向IP地址，拿去情报分析能知道是个矿池。top看CPU，find找文件路径（找恶意文件样本），确定程序运行时间（入侵时间），然后处理异常进程并删除恶意文件，最后看启动项和定时任务，(Linux应急手册意大利的猫)。挖矿的配置文件里可能有域名拿去域名解析反查。win:看下开放了哪些服务端口是容易被攻击的，查看系统日志看敏感事件ID，对比时间去找进程计划任务这些。(如果问挖矿病毒的流量特征不太清楚，但是思路应该是找有上传点的地方，有post请求头，数据包很大，有assert等关键字？）

钓鱼邮件:

看发信人地址(有代发，地址还莫名其妙的，代发地址也可以拿去sgk分析)，看发信内容信息，内容附件(拿去情报中心分析)，发信域名反制(有带指纹特征的:看有没有服务器IP，看什么平台发的能不能访问回去。比如如果看见是gophish平台发的，可能就是对方搭建的站点，这个的默认端口是3333可以试着访问对方的后台)(无指纹特征的，如果有域可以试着在线子域名查询，查邮件服务器地址和看有无历史漏洞，溯源到他的邮件服务器地址和邮件的系统去打，可能存在个人ID昵称用社工技术进行画像)。

蚁剑反制：

比如可以利用nodejs库改他的后门代码上线，对方客户端连接的时候会执行代码反弹，我们上线他的机器，goby也是调用js反弹shell(和蚁一样默认支持nodejs)

Shiro：

特征：登录失败返回包rememberme=deleteme，成功则rememberme=很长一串正确值

原理是cookie的rememberme会先序列化然后aes加密，base64加密，服务端接接收的时候就反过来。问题就出现在aes加密，如果是默认秘钥或者秘钥容易爆破，会造成反序列化漏洞

利用成功的特征：

cookie非常长，返回包为200。如果是执行命令的流量，返回值是加密的但是开头结尾都带三个$。注入内存马的流量，cookie很长，post请求体也很长也是加密

shrio550和721的区别：

主要区别在于Shiro550使用已知默认密码，只要有足够的密码可爆破

Shiro721的ase加密的key为系统随机生成，需要利用登录后的rememberMe去爆破正确的key值。利用有效的Cookie和填充验证错误的系统响应，逆推出明文秘钥，再构造反序列化攻击。

Fastjson反序列化：

判断:正常请求是get请求并且没有请求体，可以通过构造错误的POST请求，即可查看在返回包中是否有fastjson这个字符串来判断。

使用AutoType功能进行序列化的JSON字符会带有一个@type来标记其字符的原始类型，在反序列化的时候会读取这个@type，来试图把JSON内容反序列化到对象，并且会调用这个库的setter或者getter方法。问题出现在@type的类可能被恶意构造，只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。

无回显怎么办：

1.一种是直接将命令执行结果写入到静态资源文件里，如html、js等，然后通过http访问就可以直接看到结果

2.通过dnslog进行数据外带，但如果无法执行dns请求就无法验证了

fastjson不出网怎么利用

#目前公开已知的poc有两个： 1、com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl org.apache.tomcat.dbcp.dbcp 2.BasicDataSource

#第一种利用方式需要一个特定的触发条件: 解析JSON的时候需要使用Feature才能触发，参考如下代码： JSONObject.parseObject(sb.toString(), new Feature[] {Feature.SupportNonPublicField});

#第二种利用方式: 则需要应用部署在Tomcat应用环境中，因为Tomcat应用环境自带tomcat-dbcp.jar 对于SpringBoot这种自带Tomcat可以直接以单个jar文件部署的需要在maven中配置tomcat- dbcp。而且对于不同的Tomcat版本使用的poc也不同：• Tomcat 8.0以后使用 org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource

weblogic反序列化：

1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)

2.利用T3协议配合RMP或ND接口反向发送反序列化数据(CVE2017-3248、CVE2018-2628、CVE2018-2893、CVE2018-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551

3.通过 javabean XML方式发送反序列化数据。(CVE2017-3506->CVE-2017-10271->CVE2019-2725->CVE-2019-2729)

Log4j特征：

Playload为${jndi:ldap://***}，如果攻击成功目标主机会加载攻击者指定的恶意类，查看有无相关流量，如果有源ip与dnslog或者ldap服务的外联日志记录那大概率就是攻击成功了

Stutes2漏洞及特征：

文件上传，命令执行，ognl表达式注入。比较明显的特征就是访问目录为.action或者.do，返回页面可能会有struts2等字样，ognl表达式注入会使用ognl语法，请求参数会有${},%{}字符

Jboss反序列化漏洞特征，判断攻击是否成功：

请求体中有相关llections.map.Lazyap.keyvalue.TiedMapEntry攻击链特征，包含了命令执行语句，如果返回了500，页面报错内容有命令执行结果就是攻击成功了

了解哪些中间件漏洞：

IIS有解析漏洞，PUT任意文件写入漏洞，短文件漏洞，Apache也有解析漏洞，然后目录遍历遇到的比较多，Tomcat的话war后门部署、远程代码执行，jBoss和WebLogic的话就反序列化漏洞，weblogic还有ssrf漏洞，任意文件上传

如何判断反弹shell?

数据包中有建立TCP连接且服务器发送的数据不为0kb 且一般使用端口非常见的端口,一般利用命令执行进行反弹也会带有关键字特征，例如：

bash 脚本的bash ，nc脚本 /bin/sh（python脚本的 socket connect，php脚本的exec

java脚本的exec）

找到具有这些特征的数据包之后再进一步分析会话流量，看有没有执行什么

出现sql告警？

验证是否存在2、判断业务自身还是攻击行为3、业务问题反馈，攻击进一步分析这个ip还做了什么，看下回显是否注入成功4、发现时间和攻击行为反馈

Rce告警？

验证是否成功，成功出报告2、判断手工还是工具扫3、同上（看下能不能漏洞验证复现）

隐藏进程的对抗（linux）？

用户态隐藏

1、替换了ps、top、ls等命令的文件

（‘stat 文件名’查文件修改时间和‘md5sum文件名’来查文件的hash值，与正常不符则被替换，传回一个正常文件就行）

2、Hook系统调用

编写一个动态链接库so文件，在so中，HOOK遍历相关的函数（readdir/readdir64），遍历的时候，过滤特定进程名，实现进程隐藏。

3、劫持lib库

通过修改LD_PRELOAD环境变量或/etc/ld.so.preload文件，配置动态链接库，使恶意动态库先于系统标准库加载，最终实现特定进程隐藏。

以上两种隐藏只要查看/proc下面找到进程相关信息即可

4、挂载隐藏（到/proc下）（比如文件挂载导致的进程隐藏）

原理：挂载空路径到/proc对应进程号下，ps等命令在遍历/proc的时候则没办法找到该进程信息

对抗：1、mount |grep proc检索，后面带PID的就是被隐藏的进程， unmount取消挂载终止进程然后删文件（注意rm命令是否被替换）。Mount命令被恶意替换用cat查看，cat也被替换上busybox代替执行2、unhide工具也能查到因为挂载被隐藏的pid

内核态隐藏不太理解先copy一下原理然后跳了:)

劫持VFS接口层：proc文件系统也是VFS抽象类的一个具体子类，与其它文件系统不同的是，它是存在与内存中的虚拟文件系统，以文件系统的方式为访问内核数据的操作提供接口。在执行ps或ls命令时，proc文件系统会调用readdir函数依次遍历proc目录下的数字目录，而readdir又会调用filldir函数返回改数字目录对应进程的相关信息，因此，只要在filldir函数中增加适当的过滤，实现对进程的隐藏。
劫持系统调用：

如getdents函数对应的系统调用是sys_getdents()，readdir函数对应的系统调用是proc_pid_readdir()

对dnslog的反制：

对于常见的dnslog平台，直接屏蔽，如果是自己搭建的dnslog平台，批量的去ping，恶意制造各种垃圾dnslog数据，让他无法获取到有效的信息，具体可以写一个脚本进行批量探测存活，httplog也一样，使用爬虫批量进行request请求

怎么排查java内存马?（无文件落地）：

直接利用内存马检测工具去找，比如Findshell，github也有很多检测脚本，手工的话可以分析web日志，像哥斯拉和冰蝎的内存马也会有跟webshell相似的流量特征，filter或者listener类型的内存马，会有大量路径相同参数不同的url请求，或者页面不存在但是返回200的请求。分析web.xml文件，内存马的Filter是动态注册的，web.xml是没有配置的，也有可能是中间件漏洞通过代码执行加载内存马，这就可以去排查中间件的error.log，(分析特殊的classloader加载，攻击者喜欢利用TemplatesImpl和bcel加载内存马)因为内存马是驻留在内存里的，本地无class文件，通过检测Filter对应的ClassLoader目录下是否存在class文件来判断，也可以把内存中所有的Filter的class dump出来，使用工具分析是否存在恶意代码。