前言: 7月4号就入厂了,兄弟们,还剩一波机会,认真学了相关应急的内容后做了份全栈脑图,解决面试的时候面对空气不知道说什么的咎境。 做的可能不是很对,只是辅助作用,我的理解 
实际HW应急: 1.如何查杀冰蝎的内存马?
冰蝎内存马用jvm传统工具很难检测和杀死加载类字节码的能力,github已经查了杀冰鞋jvm内存马的工具。 2.你自己的应急案例
以之前的应急调查为例,我们接到通知他们公司几台服务器有问题,让我们去检测。然后看到是windows当地用户和团队发现新的可疑用户,确定主机有问题,对方获得机权限,然后事件管理器有大量登录日志爆炸,措施是直接删除可疑和隐藏账户,检查登录日志,确定系统账户不安全,更新管理员账户,删除启动项目和可疑过程,取样本进行分析,通知上级紧急修复web站点的漏洞. 3.你自己追溯源头的想法
1.代理将挂在红队攻击中。如果你追溯它,你只能追溯到他的代理ip,没什么意义。如果服务器上有内存马,可以去工具取样他的内存马。ip,对内存马ip反向扫描端口, 因为他们也是通过远程进去爆破他们的ssh,3389和cs的密码。 1.他打反序列化取样shiro,里面有他的基本设备vps,通过中间件,这些特征是独特的ip收集,放在在线情报平台上识别,检测是否有ip绑定域名,通过whois检查他的域名注册时间和邮箱,通过社工库检查他的手机号码,然后通过社交软件,qq、微信、支付宝给他转一毛钱,拼接他的个人信息。
4.已上传webshell应急 2.如果系统植入后门,攻击者攻击成功,获得权限,此时日志信息可能无法提供帮助,首先考虑系统账户是否安全,没有密码爆破成功痕迹,检查账户密码是否不安全. (Linux)的话看计划任务,没有定时反弹shell,此外,过程是否可疑.如果发现可疑问题,需要分析样本. (windows)看启动项和过程. 如果是web入侵,看日志web服务安全吗?恢复攻击过程. 5.流量溯源 1.先看日志,看攻击时间做审计,搜索这个时间文件上传的操作,一般是GET和POST两种,GET如果你能直接看到他要求的资源、地址和content,然后webshell该杀就杀,后门改补就补。如果是的话POST,如果您看不到要求的内容,可以在防火墙上下载完整的数据包进行分析。 漏洞
1.log4j Log4j就是java处理日志存在的日志插件KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …流量特征是数据包中有{字段。
2.Shiro 1.2.4 key写在源码里,找到key构建攻击链,1.2.4之后的775key它是随机生成的,但我们也可以构造它cookie,尝试构建攻击链。 Shiro流量特征:数据包含有多个$$$符号,C参数含有base64编码。
3.Fastjson 原理也是jdni注入 利用就是构造一个json字符,用@type指定类库的流量特征是json autotype
4.Weblogic xml通过xmldecoder还是什么原因?xml执行分析代码。弱密码。 流量特征:不加密,也可以使用常见的出网协议。T3协议的特点,文件操作和冰蝎座一样fileoutstream字段。
命令: 计划任务的命令和目录 Kuntab命令排查计时任务,位于/var/spool/cron 参数r和e可删除和编辑 /etc/cron 启动启动项/启动启动启动项/启动启动启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动/启动etc/rd.local文件
过程和端口命令 进程的话有ps命令,任务管理器 参数au列进程,x列出了其他用户的流程。 端口的话有netstat,常见配合grep筛选命令和p参数有问题的过程,
Windows下载文件命令 证书命令certutil、上传下载监控bitamin 还有powershell。 如果他想问参数,下载常数是固定的,相对较长 第一次简述
windows应急排查 初步排查: 1.系统账号调查(可疑账号和隐藏账号通过本地用户组删除) 2.事件管理器检测登录日志,使用微软Log parser导出后分析 3.可疑端口,建立链接,调查他的相应过程,使用微软msinfo检查过程路径和签名是否可疑。 后门调查:(权限维护:一个过程被杀,过一段时间再次衍生) Linux机器应急调查 1.和windows应急思路相同,登录账号检测 2.后门检查(检测定时任务、启动项、异常端口(如可疑连接)、过程调查) update注意系统运行到现在登录的时间和用户数量。 1.影子账户,/etc/shadow因为/etc/passwd任何用户都可以访问密码信息shadow,shadow文件只有root如果说,权限可以访问,stat命令发现,shodow文件权限发生变化,检测出现问题。 Ssh公钥,linux机器22端口基本打开。如果写公钥,后门很明显 域
谈提权和查杀 Windows提权 1.土豆全家桶,photo(smb) 2.常用补丁提权,syteminfo复制系统信息,取辅助提权。 三、数据库提权,mysql的udf提权。root权限) 4.很常用的ms14-068驱动提权。 5.提权配置不当,登记表install最高权限启动安装配置。
Linux 提权 1.内核提权(脏牛) 和windows看系统内核 uname-a 2.sudo提权 通过普通用户的许多操作和维护sudo执行root如果条件允许,需要命令的权限sudo没密码。 3.写计划任务和mysql的udf提权。
安全加固 主要是对接服务器ip另一种方式限制是密码策略(即如果服务器被拿到,shell留下后门,此时不要考虑日志问题,要注意当前用户的密码是否安全)
守护进程: linux但他是root命令var/log/boot.log 维持查杀权限: 看看他做了什么服务,删除配置文件
Webshell检测工具:D盾,河马,百度webdir 可疑免杀行为: 常见的有操作登记表、操作登记表powershell、还有操作用户(如添加用户、删除用户)和操作敏感文件。
杀软的识别 常见的静态、行为检测和云查杀。 如果他问你怎么做:我知道有代码混淆和花指令mssf 谈票据
如果面试问你一个问题,黄金票据怎么拿域管? 知识:Kerberos认证(krb) 域管krbtgt的hash 0.是否存在域 Ipconfig/all systeminfo 还有net config workastion看工作站 1.域控权限维护 第一次得到域管后,第二次域渗透只需要域管hash就可以做成票据,拿域管的权限。 或者还有ske-key我知道他的原理是注入通用密码lsass过程。不需要域管密码和hash。也可以登录用户身份。 2.常用的横向手法 1.ptk(密钥) 2.pth(通过hash,就是用minikatz做pth的横向) 3.域内常用漏洞 Ms14-068 域内用户获得域管权限。 4.白银票据 与黄金票据不同的是,它不是域控加密,而是服务器本身ntlm加密。
几个非常重要的部分 1.邮件服务器EXchange 域控DC的sync,minikatz插件可以导出域内所有用户hash。 谈ssrf 服务器加载外部资源,不过滤目的地地址,只有网站可能有ssrf。 常用协议有gopher(沟fe) dist file http https 可通过初步探测file协议读取本机文件,探测本机网段。 Dist协议检测端口 怎么通过ssrf拿shell? 可以借助gopher协议探测内网web服务sql直接注入url后面拼接内网地址,后面加上sql注入句子。 修复:从根源入手(限制资源地址),禁止不必要的协议 Csrf 1.登录某个网站,有cookie,2.点开他的url链接 谈网络基础
网络基础 打内网大部分流量都走socks协议,有防火墙过不去 Regeorg(瑞joju)和代理链 都是socks协议代理。 Socks协议走的是tcp,不支持icmp,所以不能ping。 正代理:客户代理 服务器不知道客户端的真实性ip。 反向代理: 服务端代理 客户端不知道服务器的真实地址。
路由表:这是通过数据包传输设备流量的路径。例如,一些业务系统的入口是内网地址。如果进行访问控制,则需要添加路由表。
http的两个状态 没有状态和连接,请求在处理后断开,不会记录客户端的任何信息。
NOSQL数据库: mongo(27017) redis 6379 跨域,说下jsonp和cors (跨域) 访问其他域名,不同的端口或不同的域名是跨域的,jsonp协议数据包是json格式,cors允许跨域加载的资源。 越权的修复: 给用户添加token值,做逻辑判断,先判断token业务流程值得程。 钓鱼邮件识别: 链接需要输入帐户密码和文件格式exe或者文档。 遇到.exe如何处理文件?主要是看exe是钓鱼还是远程控制,拿去杀软沙箱分析和步样本分析。 Awk和sad,awk配合uniq用来做日志筛选的,sad是删除文件中的指定字符。