HW笔记 · 监测岗

我面的是初级监测岗,所以这个主要针对监测流量方面

  • 确认下个人的信息

  • 自己简历的项目,完整的可以说出来其中的技术😶‍🌫️😶‍🌫️😶‍🌫️

  1. ThinkPHP 框架(Apache + PHP 7.3,使用 ThinkPHP 5.0.2),存在 远程代码执行(RCE)漏洞,exploit-db找poc.反弹shell

TOP10(漏洞类别)

OWASP(Open Web Application Security Project)十大漏洞是指网络应用程序中最常见和最严重的安全漏洞,这些漏洞会严重威胁到应用程序的安全性。以下是 OWASP
TOP10

访问控制 – 权限绕过、越权访问

加密问题 – 明文存储、弱加密

注入漏洞 – SQL 注入、命令注入

设计问题 – 业务逻辑漏洞

配置问题 – 默认设置、未关闭服务

过时组件 – 旧版框架、未修复漏洞

身份认证 – 弱口令、暴力破解

数据篡改 – 订单金额篡改、代码签名绕过

日志监控 – 关键操作未记录、日志泄露

SSRF(Server-Side Request Forgery)

服务器端请求伪造,攻击者构造恶意请求,让服务器去访问本不应该访问的地址。
诱使服务器发起请求

  • 使用协议
    ✅ HTTP/HTTPS(最常见,用于探测内网、获取云服务凭据)
    ✅ File(用于读取本地文件,如/etc/passwd)
    ✅ FTP(用于匿名访问或端口扫描)
    ✅ Dict(用于探测端口)
    ✅ Gopher(用于TCP数据构造,危害极大)
    ✅ LDAP(用于获取企业LDAP信息)
    ✅ 数据库协议(MySQL/PostgreSQL)(用于探测数据库服务)
  • 流量特征:请求中包含特殊的 URL(如 localhost、127.0.0.1、file://、ftp://、http://),服务器被恶意请求访问本不应该访问的地址
  • 函数
    1. Python urllib.urlopen() requests.get()
    1. PHP file_get_contents() curl_exec()

CsrR 漏洞

劫持用户身份,发起伪造请求;

XSS

  • 原理:反射性,储存性,DOM型走了一遍服务器,储存在服务器和本地执行.

流量特征: <script> 标签,<img>标签

xss如何在浏览器端防御

  • 来历不明的链接不点击
  • 使用 Content Security Policy (CSP) 来限制允许的资源。
  • 使用框架的安全功能,比如使用Vue
  • 函数:PHP mysqli_query() mysql.query()

SQL注入

原理:

输入未经过滤,而后端服务器未过滤直接拼接到 SQL 语句中执行;
(1)基于错误回显
报错注入(Error-Based):利用数据库错误信息来回显数据,如 UNION SELECT、UPDATEXML()、EXP() 等。
联合查询注入(Union-Based):通过 UNION SELECT 语句获取数据库内容。
(2)基于盲注
布尔盲注(Boolean-Based):通过观察页面返回的是否发生变化,判断 SQL 语句是否执行成功。
时间盲注(Time-Based):利用 SLEEP() 等函数,通过页面响应时间来推测 SQL 语句执行结果。
(3)特殊类型
宽字节注入:利用字符编码(如 GBK)绕过 addslashes() 过滤,导致 SQL 逃逸。
二次注入(Second Order Injection):恶意 SQL 代码先存入数据库,再由另一个查询执行时触发。
流量特征:请求中包含 SQL 关键字,如 SELECT、INSERT,UNION 等

sqlmap参数:

  • -u:目标 URL
  • --batch:自动确认,避免交互式输入
  • --method=POST 确认请求方式
  • --data "username=admin&password=1234":指定 POST 请求的参数
  • --random-agent 随机 User-Agent 伪装

函数

PHP mysqli_query() mysql.query()
Node.js mysql.query()

SQL 报错语句函数

  • updatexml() 解析 XML 数据,但错误信息可用于泄露数据库信息
  • floor(rand()) 取整随机数,结合 GROUP BY 可能导致唯一性约束冲突报错

XXE(xml外部实体注入):

  • 若PDF解析器处理XML内容时未禁用外部实体,可能导致XXE漏洞,如某些库未配置安全选项。

反序列化

  • 序列化:把对象转换成可存储/传输的格式(如 JSON、XML)(比如 Java 的 Serializable、PHP 的 serialize())
  • 反序列化:把格式还原成对象,让程序可以使用。(比如 Java 的 ObjectInputStream.readObject())
  • 漏洞点:如果程序 没有校验反序列化的数据,攻击者就可以传入 恶意构造的对象,触发 任意代码执行 或 提权。
    Shiro 反序列化漏洞 和 Fastjson 反序列化漏洞 在原理上非常相似

文件包含漏洞#

  • 本地文件包含(LFI) 服务器已有文件 读取敏感信息,日志注入,可能导致代码执行
  • 远程文件包含(RFI) 黑客提供的远程文件 直接执行远程恶意代码,完全控制服务器
    文件上传漏洞的核心问题就在于文件解析问题

常见的中间件漏洞

  • Tomcat:弱口令、PUT方法任意文件上传;
  • IIS:短文件名泄露、目录遍历;

DNS外带漏洞
DNS隧道(隐蔽通信)、DNS劫持(篡改解析结果)、DNS缓存投毒(污染解析记录)

木马

  • 普通木马:存储在磁盘上,可以通过文件扫描工具检测到。
  • 内存马:存储在内存中,不在磁盘上,没有文件痕迹,更难被传统的防病毒软件和文件扫描工具发现。
  • 内存指的是计算机中的RAM(随机存取存储器),也就是计算机的处理任务的区域

一句话木马

  • PHP:<?php @eval($_POST['cmd']);?>
  • ASP:<%Execute(request("cmd"))%>
  • JSP:<% Runtime.getRuntime().exec(request.getParameter("cmd")); %>

永恒之蓝
永恒之蓝是一个利用 SMB 协议漏洞进行远程攻击的工具,曾导致全球范围内的大规模勒索病毒攻击。

流量

流量分析

  • 看元数据,如源/目标IP、端口、协议类型(ssl或tcl)
  • 看行为模式,比如突发流量,定时请求(C2服务器心跳)
  • 再看情报关联,匹配下恶意IP库,攻击特征;

流量特征

Fastjson

原理

  • 默认支持 自动类型识别(autoType)。当 autoType 开启时,Fastjson 解析 JSON 时,可以根据 @type 字段实例化任意 Java 类进而有可能导致 RCE。

流量特征:

  • 异常的 @type 字段
  • 有异常的类和命令上传
  • 流量中包含 JNDI 远程加载(rmi:// 或 ldap://)
  • 高频 JSON 解析请求

Log4j 漏洞(Log4Shell)、

原理

攻击者通过构造带有 ${jndi:} 的日志输入,利用 Log4j 自动解析 JNDI 请求,进而加载远程攻击者服务器上的恶意类,从而执行任意代码。
特征:请求中包含 JNDI 协议注入,如 jndi:ldap:// 或 jndi:rmi://,触发 Log4j 加载远程类并执行任意代码。

流量特征:

  • 异常的 ${jndi:} 字段
  • 有异常的类和命令上传

Shiro(CVE-2016-4437)

原理:

Shiro 漏洞主要是由于默认加密密钥泄露(rememberMe),导致可以 伪造Cookie(认证,恶意)并反序列化执行命令,最终实现远程代码执行(RCE)。
JMS (Java 消息服务)

流量特征:

  • 请求头有 rememberMe
  • 响应包中是否有Set-cookie:rememberMe=deleteMe字段
  • 密文长度为 56 字节(默认 AES-CBC 加密)

判断返回的cookie是否正确:

  • 验证身份信息,看看它跟服务器上存储的是否匹配
  • 检查签名
  • 看过期时间

Weblogic反序列化漏洞原理

原理

攻击者可以通过构造恶意的反序列化数据包,利用 WebLogic 服务中的反序列化漏洞执行任意代码。
CVE-2017-10271:攻击者利用该漏洞能够通过发送精心构造的 T3 请求到 WebLogic 服务器,远程执行任意命令。

流量特征:

  • POST请求,请求类型为:content-type:text/xml
  • T3 协议流量,数据中包含恶意的 Java 对象(7001或7002 SSL 加密的端口)
  • 攻击成功,返回包中返回weblogic字段

协议

  • http/https
  • T3
  • JMS (Java 消息服务)

RCE(远程代码执行)

特征:请求中包含特定的命令或代码执行指令,常见于通过文件上传、反序列化等方式执行恶意代码的攻击。
例子:

文件包含漏洞(LFI/RFI)

特征:请求中包含文件路径,尤其是涉及到 include、require、file_get_contents 等函数,攻击者尝试加载本地或远程文件。
例子:/etc/passwd 或 http://attacker.com/malicious_file.php

webshell流量特征

  • 访问异常:频繁请求 .php、.jsp、.asp 等后门文件。
  • 数据异常:**POST **请求带 cmd=、eval() 之类的敏感参数。
  • 流量加密:Base64、异或等方式混淆数据

蚁剑

  • User-Agent:AntSword;
  • POST请求为主,参数带有cmd=ls;
  • 以_0x开头的参数名

冰蝎

  • 3.0 内置16个ua头,Content-Type长度为5720或5740;AES加密 + base64编码
  • 4.0 内置10个ua头, 端口为49700左右

哥斯拉:

  • cookie结尾有;
  • 有base64加密;
  • 响应包的结构为:md5前十六位+base64+md5后十六位。

菜刀:

  • payload为base64编码;
  • $_POST,$_GET字段

CS

  • 红队(Red Team)和渗透测试 工具

  • 流量特征:

    • ua头:Chrome 47.0
    • 心跳包间隔较为稳定,如每 60 秒一次

  • CS 魔改,简单来说,就是修改 Cobalt Strike 的 Beacon 特征,提高隐蔽性,绕过杀软和流量检测。
    ✅ 变更 User-Agent,避免被特征检测
    ✅ 修改心跳间隔,打乱流量模式

安全设备

常见的安全设备

  • 天眼主要属于 IDS(入侵检测系统),但具备部分 IPS 功能,侧重于流量分析;
  • NGSOC是安全运营中心,整合日志管理的;
  • 椒图主机防护产品,用于检测异常进程和文件篡改;
  • 再讲讲自己用过的,比如火绒呀,电脑管家呀,卡巴斯基等等;

天眼发生大量告警,如何进行快速筛选有用的告警信息

  • 先看看看有没有高危,优先分析解决下这个;
  • 过滤掉误报和低风险告警;
  • 再查关键资产有没有收到危害;

告警如何判断/怎么判断误报**

  • 先看级别,如果是高危,优先处理;
  • 再查情报,威胁情报匹配,如恶意IP库;
  • 分析行为,观察流量和数据是否正常;
  • 结合日志确认真假,比如登录,文件操作;
    日志和流量
    主要从流量和日志两个方面分析。
    首先,把拦截的流量丢到威胁分析平台,检查请求头和响应头,分析流量特征,比如是否加密、是否频繁请求、是否包含敏感参数,并与已知的 IOC 进行匹配,重点关注 Webshell 工具和常见漏洞的特征。
    其次,检查日志是否有异常操作,比如用户登录登出、文件改动等敏感行为。如果确认是恶意流量,就封禁 IP 或采取其他防御措施。

Wireshark的基本使用

开源的网络协议分析工具,支持实时抓取分析解析网络流量(支持超2000种协议)。再说下自己做ctf题目的经历。

NGSOC冷热数据

  • 一个频繁使用,一个类似存档,不经常使用

等保基线监测就是按照国家网络安全要求,确保信息系统符合不同安全等级的标准,监控系统安全状况,及时发现问题并修复。

IPS 和 IDS 的主要区别

  • IDS(入侵检测系统):被动监测,只报警,不阻断攻击。
  • IPS(入侵防御系统):主动拦截,能阻断攻击,影响流量。

Windows和Linux

Windows

  • 密码存放地址:C:\Windows\System32\Config\SAM(需要管理员权限访问)
  • 安全事件ID
    • 4624 登录成功
    • 4625 登录失败
    • 4634 注销
    • 4672 特殊权限分配给新登录的账户
    • 4674 特殊权限的使用
    • 4720 用户账户创建

Linux

  • 用户类型:超级用户、系统用户(<1000)和普通用户
  • 用户账号文件:/etc/passwd用户密码文件:/etc/shadow用户组文件:/etc/group
  • 区分系统用户与普通用户:系统用户UID通常小于 1000,普通用户UID从 1000 开始。

Linux 排查计划任务

  • crontab -l(用户级计划任务)
  • /etc/crontab(系统级计划任务)

安全加固

  • 用户权限限制
  • 密码改为强密码
  • 不必要端口关闭

web进程的位置

在 Windows 里最直观的方法就是打开任务管理器查看进程,或者在命令行输入 tasklist | findstr 进程名 查找特定进程。如果是 Linux 系统,可以用 ps aux | grep 进程名 在终端里查找正在运行的 Web 进程。

web应用日志的存放位置

Web 应用的日志一般存放在应用安装目录的 logs 文件夹

应急响应

流程

监测组监控,发现可疑事件,交给研判来评估和确认,应急响应组阻断攻击然后溯源组,溯源恶意IP分析,最后写报告,再持续监控。

  • 免杀 绕过杀毒和安全检测,让木马不被发现 混淆、加壳、进程注入、签名伪造
  • 溯源 追踪攻击者,找出是谁发起了攻击 日志分析、蜜罐、流量分析、木马反制

内网沦陷

  • 隔离受害主机
  • 关闭不必要的端口和服务
  • 上报给应急处置组去处置

零日漏洞怎么处理

  • 隔离受害主机;、
  • 限制最小权限;
  • 及时更新:官方一出补丁就赶紧更新,别拖;

其他

Http协议里面method和data

  • Get:请求;
  • Post:提交;
  • Delete:删除;
  • Put:修改;
  • Option:查询服务器支持那些请求;
  • Data在POST请求中以表单或JSON格式传递;

HTTP响应码

  • 200:成功;
  • 302:重定向;
  • 403:禁止访问;
  • 404:资源未找到;
  • 500:服务器内部错误;

正向代理与反向代理

  • 正向代理:客户端代理,隐藏客户端身份(如FQ)。
  • 反向代理:服务端代理,隐藏服务器架构(如Nginx负载均衡)。

蓝队防守分工

监测组:查看流量监控,利用天眼,NGSOC之类的安全工具,监测和告警;
研判组:分析告警,判断是不是攻击;
应急响应组:及时修补漏洞,隔离受害主机,处置攻击;
溯源组:溯源攻击者IP;

网络攻击的方向

外部黑客、内部人员、第三方供应链

Nmap参数

  • -p: 端口
  • -sS:SYN扫描(半开放扫描)。
  • -sV:服务版本探测。
  • -O:操作系统识别。

NTLM & LM 哈希区别

  • LM 哈希(LAN Manager Hash):旧式,* DES 加密,最大支持 14 位密码,已被破解。
  • NTLM 哈希(NT LAN Manager Hash):* MD4 哈希,加盐(添加一个随机值(Salt)),仍可被彩虹表破解。

PTH(Pass-the-Hash)

PTH 是 Windows 域内横向移动常用技术,攻击者可用已获取的 NTLM 哈希直接认证,而无需明文密码。

私有 IP 地址

  • A 类私有地址:10.0.0.0 - 10.255.255.255
  • B 类私有地址:172.16.0.0 - 172.31.255.255
  • C 类私有地址:192.168.0.0 - 192.168.255.255

六个方向的内容

  • TOP10
  • 流量
  • 安全工具
  • windows和Linux
  • 应急响应
  • 其他
posted @ 2025-03-22 00:42  Xia0_0  阅读(485)  评论(0)    收藏  举报