?前言

護網(wǎng)的定義是以國家組織組織事業(yè)單位、國企單位、名企單位等開展攻防兩方的網(wǎng)絡(luò)安全演習(xí)。進攻方一個月內(nèi)采取不限方式對防守方展開進攻，不管任何手段只要攻破防守方的網(wǎng)絡(luò)并且留下標(biāo)記即成功，直接沖到防守方的辦公大樓，然后物理攻破也算成功。護網(wǎng)是國家應(yīng)對網(wǎng)絡(luò)安全問題所做的重要布局之一。

護網(wǎng)隨著中國對網(wǎng)絡(luò)安全的重視，涉及單位不斷擴大，越來越多都加入到“護網(wǎng)”中，網(wǎng)絡(luò)安全對抗演練越來越貼近實際情況，各機構(gòu)對待網(wǎng)絡(luò)安全需求也從被動構(gòu)建，升級為業(yè)務(wù)保障剛需。隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算的快速發(fā)展，愈演愈烈的網(wǎng)絡(luò)攻擊已經(jīng)成為國家安全的新挑戰(zhàn)。護網(wǎng)行動是由公安機關(guān)組織的“網(wǎng)絡(luò)安全攻防演習(xí)”，每支隊伍3-5人組成，明確目標(biāo)系統(tǒng)，不限攻擊路徑，獲取到目標(biāo)系統(tǒng)的權(quán)限、數(shù)據(jù)即可得分，禁止對目標(biāo)實施破壞性操作，對目標(biāo)系統(tǒng)關(guān)鍵區(qū)域操作需得到指揮部批準(zhǔn)。

溫馨提醒：全文閱讀完需5分鐘左右

廢話不多說 直接上干貨

HW面試相關(guān)問題

自己寫一段面試開場白（自我介紹），沒有可參考下面的內(nèi)容

工作時間履歷，項目經(jīng)歷，成果，技術(shù)學(xué)習(xí)途徑

告警監(jiān)控組

各位老師好我是XXX，來自XX地區(qū)，目前在騰訊T1中心擔(dān)任安全服務(wù)工程師，日常工作主要是負責(zé)滲透測試/安全運維、HW、重保、應(yīng)急響應(yīng)等相關(guān)工作，下面簡單介紹一下我的工作經(jīng)歷。

目前接觸安全服務(wù)工作XX年了，2019年參加XX國家級/省級HW項目，2020年參加XXX重保項目..........................，2021年參加XXX滲透測試項目，前期主要協(xié)助客戶梳理資產(chǎn)、安全整改、安全加固、策略優(yōu)化等等，HW期間主要擔(dān)任角色是告警監(jiān)測人員/分析研判人員/溯源反制人員/應(yīng)急處置人員，主要工作是通過安全設(shè)備監(jiān)控惡意攻擊事件（WEB、網(wǎng)絡(luò)攻擊），將發(fā)現(xiàn)的可疑攻擊事件上報給分析研判組成員進行分析研判，協(xié)助研判組成員對事件進行分析、提供惡意樣本等等。

分析研判組

各位老師好我是XXX，來自XX地區(qū)，目前在騰訊T1中心擔(dān)任安全服務(wù)工程師，日常工作主要是負責(zé)滲透測試/安全運維、HW、重保、應(yīng)急響應(yīng)等相關(guān)工作，下面簡單介紹一下我的工作經(jīng)歷

目前接觸安全服務(wù)工作XX年了，2019年參加XX國家級/省級HW項目，2020年參加XXX重保項目..........................，2021年參加XXX滲透測試項目，主要擔(dān)任角色是告警監(jiān)測人員/分析研判人員/溯源反制人員/應(yīng)急處置人員，主要工作是對安全設(shè)備上發(fā)現(xiàn)的可疑告警進行分析研判主要方法如：通過監(jiān)測組提供的惡意樣本文件進行分析，同時結(jié)合在線威脅情報中心對惡意攻擊線索進行研判，最終判斷該攻擊是否真實有效。

溯源反制組

各位老師好我是XXX，來自XX地區(qū)，目前在騰訊T1中心擔(dān)任安全服務(wù)工程師，日常工作主要是負責(zé)滲透測試/安全運維、HW、重保、應(yīng)急響應(yīng)等相關(guān)工作，下面簡單介紹一下我的工作經(jīng)歷

目前接觸安全服務(wù)工作XX年了，2019年參加XX國家級/省級HW項目，2020年參加XXX重保項目..........................，2021年參加XXX滲透測試項目，主要擔(dān)任角色是告警監(jiān)測人員/分析研判人員/溯源反制人員/應(yīng)急處置人員，主要工作是通過分析研判組上報的非法攻擊線索以及真實攻擊事件對攻擊者身份進行溯源主要的方法如：通過定位攻擊者IP、域名、惡意樣本特征等虛擬身份信息，展開溯源反制措施通過技術(shù)手段獲取攻擊者真實身份信息，編寫溯源報告提交項目組審核。

防守方常見問題

在項目上，漏洞掃描需要注意那些事項

跟客戶確認是否充許登錄掃描、掃描并發(fā)連接數(shù)及線程數(shù)、

是否充許暴力破解，什么時間段掃描、

通知客戶備份一下數(shù)據(jù)，開啟業(yè)務(wù)系統(tǒng)及網(wǎng)站運維監(jiān)控，以免斷機可及時恢復(fù)。

HW前期通常有哪些事情需要準(zhǔn)備？

前期比較重要的就是資產(chǎn)梳理、安全測試、整改加固、安全策略優(yōu)化、安全意識培訓(xùn)等等

資產(chǎn)梳理：主要協(xié)助客戶對旗下資產(chǎn)進行梳理匯總

安全測試：組織幾次安全滲透測試可分為內(nèi)外網(wǎng)滲透測試

安全意識培訓(xùn)：宣講釣魚郵件防范，個人不使用弱密碼，安裝殺軟等

HW期間下線部分服務(wù)器，或者某段時間暫停對外開放服務(wù)。

HW中常見的安全設(shè)備有哪些？

入侵檢測：IDS

入侵防御：IPS

流量威脅檢測設(shè)備：騰訊御界、奇安信天眼、綠盟、深信服等等

流量監(jiān)測：科來

應(yīng)用防火墻（WAF）：綠盟WAF、騰訊云WAF、深信服WAF、阿里云WAF等等

蜜罐：默安蜜罐、知道創(chuàng)宇蜜罐等等

防火墻：防火墻（玄武盾）、山石防火墻、360網(wǎng)康/網(wǎng)神防火墻

態(tài)勢感知：綠盟態(tài)勢感知、奇安信態(tài)勢感知（目前部分金融客戶對攻擊IP封禁在態(tài)勢感知系統(tǒng)上統(tǒng)一做封禁處理）

SOC：綠盟、奇安信

談?wù)処DS和IPS是什么？有什么作用？

入侵檢測：IDS，類似防火墻，主要用于入網(wǎng)流量檢測

入侵防御：IPS，對殺軟和防火墻的補充，阻止病毒攻擊以及點到點應(yīng)用濫用

態(tài)勢感知、soc產(chǎn)品的功能

全流量收集、大數(shù)據(jù)分析、

訪問日志展示、攻擊日志展示告警、資產(chǎn)管理、大屏展示、

脆弱性識別-弱口令-數(shù)據(jù)傳輸未加密-漏洞、

受害主機攻擊匯總、內(nèi)網(wǎng)橫向攻擊分析、

報表功能

EDR是什么？舉例，作用？

終端檢測與響應(yīng)

360天擎、深信服EDR、亞信EDR

通過云端的威脅情報、機器學(xué)習(xí)、異常行為分析等，主動發(fā)現(xiàn)安全威脅，自動化阻止攻擊。

WAF產(chǎn)品如何來攔截攻擊？

Waf 產(chǎn)品有三種

1、云 Waf

用戶不需要在自己的網(wǎng)絡(luò)中安裝軟件程序或部署硬件設(shè)備，就可以對網(wǎng)站實施安全防護，它的主要實現(xiàn)方式是利用 DNS 技術(shù)，通過移交域名解析權(quán)來實現(xiàn)安全防護。用戶的請求首先發(fā)送到云端節(jié)點進行檢測，如存在異常請求則進行攔截否則將請求轉(zhuǎn)發(fā)至真實服務(wù)器

2、Web 防護軟件

安裝在需要防護的服務(wù)器上，實現(xiàn)方式通常是 Waf 監(jiān)聽端口或以 Web 容器擴展方式進行請求檢測和阻斷

3、硬件 Web 防火墻

Waf 串行部署在 Web 服務(wù)器前端，用于檢測、阻斷異常流量。常規(guī)硬件 Waf 的實現(xiàn)方式是通過代理技術(shù)代理來自外部的流量

WAF有哪些防護方式？

1、Web基礎(chǔ)防護

可防范常規(guī)的 web 應(yīng)用攻擊，如 SQL 注入攻擊、XSS 跨站攻擊等，可檢測 webshell，檢查 HTTP 上傳通道中的網(wǎng)頁木馬，打開開關(guān)即實時生效

2、CC 攻擊防護

可根據(jù) IP、Cookie 或者 Referer 字段名設(shè)置靈活的限速策略，有效緩解 CC 攻擊

3、精準(zhǔn)訪問防護

對常見 HTTP 字段進行條件組合， 支持定制化防護策略如CSRF防護，通過自定義規(guī)則的配置，更精準(zhǔn)的識別惡意偽造請求、保護網(wǎng)站敏感信息、提高防護精準(zhǔn)性

4、IP 黑白名單

添加終攔截與始終放行的黑白名單 IP，增加防御準(zhǔn)確性

5、網(wǎng)頁防篡改

對網(wǎng)站的靜態(tài)網(wǎng)頁進行緩存配置，當(dāng)用戶訪問時返回給用戶緩存的正常頁面，并隨機檢測網(wǎng)頁是否被篡改

根據(jù)設(shè)備告警（WEB）如何分析流量

1. 下載告警pcap數(shù)據(jù)包，根據(jù)告警提示攻擊類型，過濾payload信息，定位流量

2. 判斷是否攻擊成功，需具體分析攻擊請求響應(yīng)內(nèi)容或使其payload進行攻擊測試等

3. 最終可根據(jù)流量分析給出判定類型：掃描、攻擊嘗試、攻擊成功、攻擊失敗

Web中間件加固：tomcat、apache、iis有哪些加固點？

web中間件：更改默認端口、低權(quán)限運維、降權(quán)網(wǎng)站根目錄、自定義錯誤頁面、刪除自帶網(wǎng)頁

windows和linux加固？（操作系統(tǒng)加固）

windows：刪除無用賬號、禁用來賓賬號、設(shè)置密碼復(fù)雜度、關(guān)閉默認共享、關(guān)閉自啟

linux：刪除無用賬號、配置密碼策略（復(fù)雜度、過期時間）、限制su命令使用、限制ssh遠程登陸root、減少命令記錄數(shù)（.bash_history）、升級內(nèi)核版本

mysql加固呢？（數(shù)據(jù)庫加固）

mysql：使用低權(quán)限用戶配置網(wǎng)站、啟用mysql日志記錄、禁用文件導(dǎo)入導(dǎo)出

sql server：使用低權(quán)限用戶配置網(wǎng)站、關(guān)閉xp—cmdshell功能

根據(jù)設(shè)備告警如何展開排查

1. 定位主要掃描、攻擊機器

2. 根據(jù)業(yè)務(wù)情況，進?隔離處理

3. 排查主要掃描、攻擊機器正在執(zhí)?進程、歷史命令，定位攻擊者掃描?具、掃描結(jié)果等

4. 提取攻擊者操作信息、攻擊樣本后，清理查殺攻擊者等

5. 根據(jù)攻擊者掃描結(jié)果，對存在的漏洞展開修補?作

6. 分析主要掃描、攻擊機器如何淪陷，溯源攻擊鏈，展開攻擊鏈修補作

Windows常用的命令有哪些？

ping：檢查網(wǎng)絡(luò)聯(lián)通

ipconfig：查看ip地址

dir：顯示當(dāng)前文件夾的內(nèi)容

net user：查看用戶

netstat：查看端口

tasklist：查看進程列表

find：搜索文件中的字符串

regedit：注冊表

Linux常見命令有哪些？

ls：顯示當(dāng)前文件夾的內(nèi)容

ifconfig：查看ip地址

whoami：查看用戶

netstat：查看端口

ps：查看進程列表

grep：文件中搜索字符串

crontal：檢查定時任務(wù)

常見洞端口有哪些？

21（FTP）、873（Rsync）、1433（MSSQL）、1521（Oracle）、2181（Zookeeper）、3306（Mysql）、5432（PostgreSQL）、6379（redis）、7001（weblogic）、8161（ActiveMQ ）、9200（elasticsearch ）、27017（Mongodb）、50070，50050（Hadoop）

簡單說下SQL注入的幾種類型？

提交方式分為：GET型、POST型、cookie型

注入點分為：數(shù)字型、字符型、布爾型

如何區(qū)分內(nèi)網(wǎng)中SQL注入攻擊事件和正常業(yè)務(wù)請求？

可以通過請求體中的payload進行判斷，正常業(yè)務(wù)請求的SQL語句通體較長且無敏感的函數(shù)使用，SQL注入攻擊事件請求體中的payload通常較短且語句中有敏感函數(shù)如sleep、updataxml等等。

Sql注入漏洞加固措施？

對于輸入的字符進行過濾，主要是特殊字符，如“單引號、雙引號、#和兩個減號、sql關(guān)鍵字”

買waf設(shè)備

暴力破解加固方法？

添加強度較高的驗證碼，不易被破解

修改密碼設(shè)置規(guī)則，提高用戶的密碼強度

同一賬號登陸次數(shù)鎖定，生成鎖定日志

定期排查弱口令

你能說明文件上傳的原理嗎？

繞過上傳限制，上傳可執(zhí)行代碼文件

PHP：如果系統(tǒng)中存在可以上傳文件的功能點，就可以上傳后門腳本文件，通過一些方法繞過上傳限制，如果能訪問后門的的話，系統(tǒng)存在文件上傳漏洞，可以借助后門執(zhí)行命令

Java：上傳 jsp 代碼

Asp/Aspx

Python：因為腳本需要譯后生成 pyc 字節(jié)碼文件，所以不存在文件上傳

文件上傳功能的檢測點有哪些？

客戶端的JS檢測（主要檢測文件名后綴）

服務(wù)端檢測（MINE類型檢測、文件后綴名、文件格式頭）

文件上傳攻擊特征？

能夠上傳文件的接口，應(yīng)用程序?qū)τ脩羯蟼魑募愋筒恍ｒ灮蛘咝ｒ灢粐?yán)格可繞過，導(dǎo)致任意類型文件上傳，攻擊者可上傳 webshell 拿到服務(wù)器權(quán)限，在這個過程中攻擊者必然會上傳惡意腳本文件

特征：上傳文件保存處出現(xiàn)可執(zhí)行腳本

文件上傳加固方法？

后端限制文件上傳白名單，頭像不允許上傳 svg

上傳后文件隨機重命名，不要輸出保存文件位置

圖片文件可以二次渲染，使用對象存儲 oss

文件目錄取消執(zhí)行權(quán)限，PHP 設(shè)置 basedir

JAVA內(nèi)存馬如何排查？

如何查殺：使??具進?檢測查殺

1、如果是jsp注入，日志中排查可疑jsp的訪問請求。

2、如果是代碼執(zhí)行漏洞，排查中間件的error.log，查看是否有可疑的報錯，判斷注入時間和方法

3、根據(jù)業(yè)務(wù)使用的組件排查是否可能存在java代碼執(zhí)行漏洞以及是否存在過webshell，排查框架漏洞，反序列化漏洞。

4、如果是servlet或者spring的controller類型，根據(jù)上報的webshell的url查找日志（日志可能被關(guān)閉，不一定有），根據(jù)url最早訪問時間確定被注入時間。

5、如果是filter或者listener類型，可能會有較多的404但是帶有參數(shù)的請求，或者大量請求不同url但帶有相同的參數(shù)，或者頁面并不存在但返回200

php內(nèi)存馬如何排查？

如何查殺：使具進檢測查殺

php不死馬也就是內(nèi)存馬

排查就兩點；檢測執(zhí)行文件是否在文件系統(tǒng)真實存在；確認攻擊后去重啟服務(wù)消除內(nèi)存執(zhí)行

aspx內(nèi)存馬如何排查？

如何查殺：使??具進?檢測查殺

github有人寫了一個排查的aspx腳本，放到網(wǎng)站目錄下訪問，會返回內(nèi)存中filter（過濾器0列表，排查未知、可疑的就行

檢測執(zhí)行文件是否在文件系統(tǒng)真實存在

發(fā)現(xiàn)一條攻擊告警如何判斷是否為真實有效攻擊事件思路？

分析請求、響應(yīng)內(nèi)容，判斷是否攻擊成功

首先看告警事件名稱判斷是網(wǎng)絡(luò)攻擊事件還是web攻擊事件，

網(wǎng)絡(luò)攻擊事件：定位五元組信息（源IP、目的IP、源端口、目的端口、協(xié)議），對整個僵、木、蠕傳播鏈進行分析，以攻擊IP作為受害IP進行檢索查找攻擊源，

WEB攻擊事件：通過數(shù)據(jù)包的請求體、響應(yīng)體、狀態(tài)碼等。

安全設(shè)備出現(xiàn)誤報怎么辦？

可以對事件進行分析如果確認不構(gòu)成實際危害（通常體現(xiàn)在部分web低危攻擊事件）考慮對事件進行加白，如不能加白（通常體現(xiàn)在內(nèi)網(wǎng)僵尸網(wǎng)絡(luò)、木馬事件、蠕蟲等等）需要對安全事件進行更細致的分析，定位問題發(fā)生點。

如何區(qū)分掃描流量和手動攻擊流量

掃描數(shù)據(jù)量大，請求有規(guī)律

手動攻擊流量數(shù)據(jù)量較少，攻擊流量大多和業(yè)務(wù)關(guān)聯(lián)性較大

如何分析被代理出來的數(shù)據(jù)流

分析數(shù)據(jù)包請求頭中的 xff、referer、UA 等收集有用的信息

基于網(wǎng)絡(luò)欺騙與瀏覽器指紋的WEB攻擊溯源

在攻擊隊變更攻擊IP的情況下，如何在流量中找到該攻擊者的所有攻擊IP？

cookie、ua、session、被利用賬號ID等用戶特征

如何判斷DNS和ICMP（隧道）信道？

dns流量的txt記錄比例異常：正常的DNS網(wǎng)絡(luò)流量中，TXT記錄的比例可能只有1%-2%，如果時間窗口內(nèi)，TXT或者A記錄的比例激增，就可能存在異常。

同一來源的ICMP數(shù)據(jù)包量異常：一個正常的ping命令每秒最多發(fā)送兩個數(shù)據(jù)包，而使用ICMP隧道則會在很短時間內(nèi)產(chǎn)生上千個ICMP數(shù)據(jù)包，可以檢測同一來源的ICMP數(shù)據(jù)包的數(shù)量。

誤報怎么判斷？比如xxx設(shè)備心跳存活過于頻繁，誤報成攻擊。答：心跳檢測是有規(guī)律的、持續(xù)的，與攻擊流量區(qū)別較大

常見web日志組成格式？

58.61.164.141 – - [22/Feb/2010:09:51:46 +0800] “GET / HTTP/1.1″ 206 6326 ” http://www.google.cn/search?q=webdataanalysis” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”

ip、時間、請求類型、請求url、響應(yīng)狀態(tài)、響應(yīng)大小、UA頭

滲透相關(guān)問題

攻擊者一般如何獲取服務(wù)器權(quán)限？

文件上傳weshell

ssh服務(wù)等弱口令爆破

已經(jīng)框架rce漏洞

簡歷寫了解waf繞過方式，簡單說說？

使用sqlmap自帶的腳本

使用nmap自帶的腳本

請求包添加大量無用數(shù)據(jù)

測試多個關(guān)鍵字，看看有無未過濾的

改變http請求類型，get變post

什么是OWASP TOP 10 ？說幾個常見類型

OWASP TOP 10 是根據(jù)開放 Web 應(yīng)?程序安全項?公開共享的 10 個最關(guān)鍵的 Web 應(yīng)?程序安全漏洞列表。

1.失效的訪問控制（越權(quán)訪問）

2.加密機制失效（明文傳輸）

3.注入攻擊（sql注入、xxe注入）

4.不安全的設(shè)計

5.安全配置錯誤（默認配置，如redis低版本無密碼）

6.?帶缺陷和過時的組件（weblogic之類的組件RCE）

7.身份識別和身份驗證錯誤（未授權(quán)訪問）

8.軟件和數(shù)據(jù)完整性故障

9.安全日志和監(jiān)控故障

10.服務(wù)端請求偽造

弱口令、xss

怎么識別CDN?

使用ping命令看回顯

使用nslookup查詢域名解析，看域名解析情況

使用超級ping工具，像Tools，http://all-toll.cn等。

描述一下滲透測試的流程？

首先信息收集，收集子域名、Whois、C段、旁站、Web 系統(tǒng)指紋識別，然后測試 web 系統(tǒng)的漏洞

常見的安全工具有哪些？

端口及漏洞掃描：Namp、Masscan

抓包：Wireshark，Burpsuite、Fiddler、HttpCanary

Web自動化安全掃描：Nessus、Awvs、Appscan、Xray

信息收集：Oneforall、hole

漏洞利用：MSF、CS

Webshell 管理：菜刀、蟻劍、冰蝎、哥斯拉

說說Nmap工具的使用？

-sT TCP (全)連接掃描，準(zhǔn)確但留下大量日志記錄

-sS TCP SYN (半)掃描，速度較快，不會留下日志

-sN null 掃描，標(biāo)志位全為 0，不適用 Windows

-sF FIN 掃描，標(biāo)志位 FIN=1，不適用 Windows

-O 查看目標(biāo)主機系統(tǒng)版本

-sV 探測服務(wù)版本

-A 全面掃描

正向shell和反向shell的區(qū)別是什么？

內(nèi)外網(wǎng)區(qū)別，正向shell是攻擊者處于內(nèi)網(wǎng)，被攻擊者處于公網(wǎng)；

而反向shell是攻擊者處于外網(wǎng)，被攻擊者處于內(nèi)網(wǎng)，且是被攻擊主動連接攻擊者。

cs shellcode 特征

1、RWX（可讀可寫可執(zhí)行）權(quán)限的內(nèi)存空間

2、異或密鑰固定，3.x 是 0x69，4.x 是 0x2e

3、命名管道名稱字符串

\\\\.\\pipe\\MSSE-1676-server

%c%c%c%c%c%c%c%cMSSE-%d-sever

Log4j rce漏洞有了解過？攻擊特征是什么？

log4j 是 javaweb 的日志組件，用來記錄 web 日志，特征是${jndi:ldap://url}

去指定下載文件的 url 在搜索框或者搜索的 url 里面，加上 ${jndi:ldap://127.0.0.1/test} ，log4j 會對這串代碼進行表達式解析，給 lookup 傳遞一個惡意的參數(shù)指定，參數(shù)指的是比如 ldap 不存在的資源 $ 是會被直接執(zhí)行的。后面再去指定下載文件的 url，去下載我們的惡意文件。比如是 x.class 下載完成后，并且會執(zhí)行代碼塊

修復(fù)：升級 Log4j 到最新版本，根據(jù)業(yè)務(wù)判斷是否關(guān)閉 lookup

新出的office word msdt 漏洞原理？

從Word使用URL協(xié)議調(diào)用MSDT（微軟支持診斷工具），可執(zhí)行遠程網(wǎng)頁腳本內(nèi)容，下載或運行任意命令、程序。

無論是否禁用宏，只要打開word就會中招，但無法正常查看doc內(nèi)容

如何區(qū)分菜刀、蟻劍、冰蝎、哥斯拉WENSHELL特征？

菜刀：

1、webshell 為一句話木馬

2、ua 頭為百度爬蟲

3、請求體中存在 eavl，base64

4、響應(yīng)為明文，格式為 X@Y +內(nèi)容 + X@Y

蟻劍：

1、webshell 同樣有 eavl，base64

2、ua 頭為蟻劍工具

3、請求體中存在 @ini_set

4、響應(yīng)為明文，格式為 隨機數(shù)+結(jié)果 +隨機數(shù)

冰蝎：

1、webshell 同樣有 eavl，base64

2、webshell 中有 md5(密碼)前16位

3、2.0 有一次GET請求返回16位的密鑰

哥斯拉：

1、webshell 同樣有 eavl，base64

2、請求為pass=

常見的未授權(quán)訪問漏洞有哪些？

Active MQ 未授權(quán)訪問

Atlassian Crowd 未授權(quán)訪問

CouchDB 未授權(quán)訪問

Docker 未授權(quán)訪問

Dubbo 未授權(quán)訪問

Druid 未授權(quán)訪問

Elasticsearch 未授權(quán)訪問

FTP 未授權(quán)訪問

Hadoop 未授權(quán)訪問

JBoss 未授權(quán)訪問

Jenkins 未授權(quán)訪問

Jupyter Notebook 未授權(quán)訪問

Kibana 未授權(quán)訪問

Kubernetes Api Server 未授權(quán)訪問

LDAP 未授權(quán)訪問

MongoDB 未授權(quán)訪問

Memcached 未授權(quán)訪問

NFS 未授權(quán)訪問

Rsync 未授權(quán)訪問

Redis 未授權(quán)訪問

RabbitMQ 未授權(quán)訪問

Solr 未授權(quán)訪問

Spring Boot Actuator 未授權(quán)訪問

Spark 未授權(quán)訪問

VNC 未授權(quán)訪問

Weblogic 未授權(quán)訪問

ZooKeeper 未授權(quán)訪問

Zabbix 未授權(quán)訪問

連接不了MySQL數(shù)據(jù)庫站點的原因有哪些？

3306端口沒有對外開放

MySQL默認端口被修改（最常見）

站庫分離

近幾年HW常見漏洞有哪些？

弱口令、未授權(quán)訪問、文件上傳、注入、log4j代碼執(zhí)行、Struts2命令執(zhí)行、fastjson、shiro、TinkPHP代碼執(zhí)行、Spring代碼執(zhí)行等等。

HW 三（四）大洞

shiro、struts2、weblogic、Fastjson

額外 thinkphp、（2021年）log4j、（2022年）word msdt

講訴 2021 年護網(wǎng)出現(xiàn)過那些 0day 漏洞

銳捷 RG-UAC 密碼泄露

360天擎 終端安全系統(tǒng)-前臺 sql 注入

泛微 OA9 前臺 Getshell

藍凌 OA 任意寫入漏洞

用友 NC 反序列化 RCE 漏洞

通達 OA v11.7 登錄破解

...

至少說幾個oa的洞，其他隨意

應(yīng)急響應(yīng)常見問題

獲得文件讀取漏洞，通常會讀哪些文件

1、linux

etc/passwd、etc/shadow直接讀密碼

/etc/hosts # 主機信息

/root/.bashrc # 環(huán)境變量

/root/.bash_history # 還有root外的其他用戶

/root/.viminfo # vim 信息

/root/.ssh/id_rsa # 拿私鑰直接ssh

/proc/xxxx/cmdline # 進程狀態(tài)枚舉 xxxx 可以為0000-9999 使用burpsuite

數(shù)據(jù)庫 config 文件

web 日志 access.log, error.log

ssh 日志

bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1

2、windows

C:\boot.ini //查看系統(tǒng)版本

C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件

C:\Windows\repair\sam //存儲系統(tǒng)初次安裝的密碼

C:\Program Files\mysql\my.ini //Mysql 配置

C:\Program Files\mysql\data\mysql\user.MY D //Mysql root

C:\Windows\php.ini //php 配置信息

C:\Windows\my.ini //Mysql 配置信息

主機發(fā)生安全事件處置流程

1、抑制范圍：主機斷網(wǎng)或者隔離使受害?不繼續(xù)擴?

2、收集信息：收集客戶信息和中毒主機信息，包括樣本

3、判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網(wǎng)、DoS 等等

4、深入分析：日志分析、進程分析、啟動項分析、樣本分析方便后期溯源

5、清理處置：殺掉進程，刪除文件，打補丁，刪除異常系統(tǒng)服務(wù)，清除后門賬號防止事件擴大，處理完畢后恢復(fù)生產(chǎn)

6、產(chǎn)出報告：整理并輸出完整的安全事件報告

簡單說下服務(wù)器被上傳webshell處置思路是什么？

及時隔離主機

使用find命令查找定位webshell，對webshell進行取樣

結(jié)合web日志分析

清除webshell及殘留文件

講一下windows機器被攻陷排查思路？

1、檢查系統(tǒng)賬號安全

2、檢查異常端口、進程

3、檢查啟動項、計劃任務(wù)、服務(wù)

4、日志分析

在Windows靶標(biāo)站點如何建立隱藏用戶？

net user xiaofeng$ 112233 /add (建立隱藏用戶xiaofeng）net localgroup administrators xiaofeng$ /add （將隱藏用戶xiaofeng加入管理員用戶組）

Windows被創(chuàng)建影子用戶怎么辦?

1、可以通過控制面板管理賬戶查看

2、注冊表中查看是否存在影子賬戶：（HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User）

windows端口進程間怎么關(guān)聯(lián)查找

netstat -ano | findstr “port”查看目前的網(wǎng)絡(luò)連接，定位可疑的 ESTABLISHED

根據(jù)netstat定位出的 pid，再通過tasklist命令進行進程定位tasklist | findstr “PID”

windows怎么查看進程對應(yīng)的程序位置

任務(wù)管理器--選擇對應(yīng)進程--右鍵打開文件位置運行輸入 wmic，cmd界面 輸入 process

查看 Windows 服務(wù)所對應(yīng)的端口

%system%/system32/drivers/etc/services（一般 %system% 就是 C:\Windows）

查看windows進程的方法

開始 -- 運行 -- 輸入msinfo32 命令，依次點擊 "軟件環(huán)境 -- 正在運行任務(wù)" 就可以查看到進程的詳細信息，比如進程路徑、進程ID、文件創(chuàng)建日期以及啟動時間等

打開D盾_web查殺工具，進程查看，關(guān)注沒有簽名信息的進程

通過微軟官方提供的 Process Explorer 等工具進行排查

查看可疑的進程及其子進程。可以通過觀察以下內(nèi)容：

沒有簽名驗證信息的進程

沒有描述信息的進程

進程的屬主

進程的路徑是否合法

CPU 或內(nèi)存資源占用長時間過高的進程

Windows日志存放位置？

大致是System32的Logs目錄下

系統(tǒng)日志：%SystemRoot%\System32\Winevt\Logs\System.evtx

應(yīng)用程序日志：%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志：%SystemRoot%\System32\Winevt\Logs\Security.evtx

windows日志分析工具有哪些

Log Parser、LogParser Lizard、Event Log Explorer、360星圖

遇到日志文件量大的時候怎么去分析？

通過正則去匹配日志中的攻擊請求

借助騰訊日志分析工具：LogForensics

講一下Linux機器被攻陷排查思路？

賬號排查（/etc/passwd存儲用戶信息、/etc/shadow存儲用戶密碼信息）

歷史命令查看：.bash_history

檢查異常進程：ps aux | grep pid

檢查開機啟動項：/etc/rc.local

查看定時任務(wù)：crontab -l

檢查網(wǎng)站目錄下是否存在可疑文件：find /var/www/html -name "*.php" |xargs egrep 'assert|eval|phpinfo\(\)|\(base64_decoolcode|shell_exec|passthru|file_put_contents\(\.\*\$|base64_decode\('(回答出前面的find命令結(jié)構(gòu)即可)

Linux日志存放位置？

日志默認存放位置：/var/log/

查看日志配置情況：more /etc/rsyslog.conf

一臺主機在內(nèi)網(wǎng)進行橫向攻擊，怎么處理？

確定攻擊來源，是不是員工內(nèi)部誤操作，比如詢問運維是否有自動化輪訓(xùn)腳本

如果沒有，確定是攻擊，結(jié)合時間點，根據(jù)設(shè)備信息，看一下安全事件，進程，流量

找到問題主機，開始應(yīng)急響應(yīng)流程：準(zhǔn)備、檢測、遏制、根除、恢復(fù)、跟蹤，具體的操作要交給現(xiàn)場運維去處理

HW期間發(fā)現(xiàn)在野0day利用怎么處置？

1、首先確認0day影響產(chǎn)品，危害程度

2、下線應(yīng)用

3、排查應(yīng)用日志查找是否有攻擊請求

4、更新官方發(fā)布的最新補丁或者升級版本

如何發(fā)現(xiàn)釣魚郵件

郵件系統(tǒng)異常登錄告警、員工上報、異常行為告警、郵件蜜餌告警

推薦接入微步或奇安信的情報數(shù)據(jù)。

對郵件內(nèi)容出現(xiàn)的 URL 做掃描，可以發(fā)現(xiàn)大量的異常鏈接

遇到釣魚郵件如何處置？

1、第一時間隔離被釣魚的主機

2、通過第三方聯(lián)系方式對攻擊進行預(yù)警，防止其他員工再次上鉤

3、對釣魚郵件中的樣本進行取樣，分析溯源

4、HW前期針對安全意識進行培訓(xùn)

說說釣魚郵件處置實際操作

屏蔽辦公區(qū)域?qū)︶烎~郵件內(nèi)容涉及站點、URL 訪問

根據(jù)辦公環(huán)境實際情況可以在上網(wǎng)行為管理、路由器、交換機上進行屏蔽

郵件內(nèi)容涉及域名、IP 均都應(yīng)該進行屏蔽

對訪問釣魚網(wǎng)站的內(nèi)網(wǎng) IP 進行記錄，以便后續(xù)排查溯源可能的后果

屏蔽釣魚郵件

屏蔽釣魚郵件來源郵箱域名

屏蔽釣魚郵件來源 IP

有條件的可以根據(jù)郵件內(nèi)容進行屏蔽

刪除還在郵件服務(wù)器未被客戶端收取釣魚郵件

處理接收到釣魚郵件的用戶

根據(jù)釣魚郵件發(fā)件人進行日志回溯

此處除了需要排查有多少人接收到釣魚郵件之外，還需要排查是否公司通訊錄泄露。采用 TOP500 姓氏撞庫發(fā)送釣魚郵件的攻擊方式相對后續(xù)防護較為簡單。如果發(fā)現(xiàn)是使用公司通訊錄順序則需要根據(jù)通訊錄的離職情況及新加入員工排查通訊錄泄露時間。畢竟有針對性的社工庫攻擊威力要比 TOP100、TOP500 大很多

通知已接收釣魚郵件的用戶進行處理

刪除釣魚郵件

系統(tǒng)改密

全盤掃毒

后續(xù)：溯源、員工培訓(xùn)提升安全意識

說一個項目中發(fā)生的應(yīng)急案例

自己選

溯源常見問題

什么是溯源反制？

溯源：通過攻擊源分析攻擊路徑

反制：根據(jù)攻擊源反向入侵攻擊者vps（虛擬專用服務(wù)器）

溯源反制手段有哪些？

根據(jù)流量溯源反制：篩選攻擊IP、域名，掃描端?服務(wù)，或通過威脅情報分析，對攻擊者VPS進行溯源分析

蜜罐平臺反制：模擬SSL VPN等平臺，誘導(dǎo)攻擊者下載應(yīng)?軟件及安裝使?，上線攻擊者主機

釣?反制：根據(jù)蜜罐捕獲信息，通過社交軟件平臺、手機短信、郵件等方式進行釣釣魚

說一下你的溯源思路？

蜜罐是怎么獲取攻擊者社交賬號信息的？怎么防

瀏覽器信息讀取

利用jsonp，跨域訪問社交平臺接口，提取包含的個人信息

使用瀏覽器隱私模式，或虛擬機內(nèi)實施攻擊操作

HW項目中有寫過溯源報告？

有，在XXXHW項目中寫過XXX攻擊類型的溯源報告，提交了XX份報告，得分不清楚

常見溯源方法（溯源思路）有哪些？

1、通過惡意樣本文件特征進行溯源渠道（github、網(wǎng)盤、博客、論壇等等）

2、域名、IP反查目標(biāo)個人信息

3、微信、支付寶、淘寶等平臺查找姓氏

4、蜜罐：瀏覽器指紋技術(shù)、網(wǎng)絡(luò)欺騙技術(shù)

對攻擊者進行身份畫像有哪些？

虛擬身份：ID、昵稱、網(wǎng)名

真實身份：姓名、物理位置

聯(lián)系方式：手機號、qq/微信、郵箱

組織情況：單位名稱、職位信息

HW期間沒發(fā)現(xiàn)有效攻擊事件如何得分？

可以通過對非法攻擊溯源反制得分

可以通過提交灰黑產(chǎn)線索進行得分

獲取到釣魚郵件exe如何分析？

看創(chuàng)建日期，看備注信息

ida看調(diào)試信息，可能有個人id、網(wǎng)名

上傳查殺、威脅檢測平臺，分析行為特征，獲取內(nèi)部url、ip地址等

各大威脅平臺結(jié)果判斷木馬生成時間，是否已知

溯源收集目標(biāo)郵箱對有什么用？

搜索引擎，查論壇，查博客，推測職業(yè)

社工庫、第三方直接查個人信息

通過手機號后怎么獲取攻擊者信息？

各大社交平臺

百度、谷歌搜索

各種app，如csdn、支付寶、釘釘、脈脈等，qq、微信好友

通過域名、ip怎么確認攻擊者身份？

云平臺域名、ip找回賬號方式，獲取手機號部分信息

搜索引擎查ip現(xiàn)有服務(wù)，歷史服務(wù)，有無攻擊特征

威脅情報、沙箱獲取信息

百度貼吧、個人博客、技術(shù)論壇、網(wǎng)站備案等

通過哪些工具、網(wǎng)站獲取攻擊者信息？

自行總結(jié)

微步情報查詢、埃文科技網(wǎng)站定位ip地址等

你人脈如何？你能幫忙查360、奇安信、深信服、XXX的庫嗎？

一般

個人有一些工作小群

簡單描述一下你在工作中遇到有意思的攻擊溯源事件（說溯源案列）

自己選

網(wǎng)絡(luò)安全工程師企業(yè)級學(xué)習(xí)路線需要相關(guān)資料教程等的同學(xué)可以點擊下方鏈接免費領(lǐng)取

??網(wǎng)絡(luò)安全&黑客&滲透學(xué)習(xí)大禮包

視頻配套資料&國內(nèi)外網(wǎng)安書籍、文檔&工具
當(dāng)然除了有配套的視頻，同時也為大家整理了各種文檔和書籍資料&工具，并且已經(jīng)幫大家分好類了。

一些我自己買的、其他平臺白嫖不到的視頻教程：

面試刷題

我們學(xué)習(xí)網(wǎng)絡(luò)安全必然是為了找到高薪的工作，下面這些面試題是來自百度、京東、360、奇安信等一線互聯(lián)網(wǎng)大廠最新的面試資料，并且有大佬給出了權(quán)威的解答，刷完這一套面試資料相信大家都能找到滿意的工作。

結(jié)語：

網(wǎng)絡(luò)安全產(chǎn)業(yè)就像一個江湖，各色人等聚集。相對于歐美國家基礎(chǔ)扎實（懂加密、會防護、能挖洞、擅工程）的眾多名門正派，我國的人才更多的屬于旁門左道（很多白帽子可能會不服氣），因此在未來的人才培養(yǎng)和建設(shè)上，需要調(diào)整結(jié)構(gòu)，鼓勵更多的人去做“正向”的、結(jié)合“業(yè)務(wù)”與“數(shù)據(jù)”、“自動化”的“體系、建設(shè)”，才能解人才之渴，真正的為社會全面互聯(lián)網(wǎng)化提供安全保障。

特別聲明：

此教程為純技術(shù)分享！本文的目的決不是為那些懷有不良動機的人提供及技術(shù)支持！也不承擔(dān)因為技術(shù)被濫用所產(chǎn)生的連帶責(zé)任！本書的目的在于最大限度地喚醒大家對網(wǎng)絡(luò)安全的重視，并采取相應(yīng)的安全措施，從而減少由網(wǎng)絡(luò)安全而帶來的經(jīng)濟損失。?。?！文章來源地址http://www.zghlxwxcb.cn/news/detail-461934.html

到了這里，關(guān)于有哪些信息安全/網(wǎng)絡(luò)安全/滲透測試/眾測/CTF/紅藍攻防/漏洞測試等前沿技術(shù)/研究/技巧獲取渠道？的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！