本文由掌控安全学院-山屿云投稿
先说结论(通过,只有一面),比较容易。
1、webshell流量特征
- 菜刀:base64加密,php马有eval,(base64_decode ($_POST[z0])),&z0=QGluaV9zZXQ
-
蚁剑:以_0x 开头的参数名,@ini_set(“display_errors”,”0”)
-
冰蝎:
1、大量的 content-type:application,content-type 为 application/octet-stream。
2、默认内置 16 个 ua,content-length 请求长度payload 都为定长。
3、Accept头有application/xhtml+xmlapplication/xmlapplication/signed-exchange属于弱特征。 -
哥斯拉:
1、pass=eval(base64_decode…,pass=加密数据。
2、user-agent,accept,accept-language 固定。
2、蜜罐原理
-
创建虚拟环境:在网络中创建一个看似易受攻击的虚拟环境,该环境模拟真实系统的一部分或全部功能,包括应用程序、服务和操作系统。
-
引诱攻击者:通过暴露蜜罐的存在,例如通过公开可访问的IP地址或虚假的网站,吸引攻击者主动尝试入侵、扫描或攻击蜜罐系统。
-
监测和记录:一旦攻击者进入蜜罐系统,蜜罐会记录攻击者的行为、攻击技术和使用的工具。这些信息对于理解攻击者的策略和行为非常有价值。
-
分析和响应:通过分析记录的数据,研究人员可以识别攻击者的行为模式、漏洞利用方法和漏洞的目标。这些信息可以用于改进真实系统的安全性,及时发现和应对新的威胁。
-
蜜罐的优势在于能够提供高质量的攻击数据和情报,帮助安全团队更好地了解攻击者的行为模式和目的,加强防御措施并及时应对威胁。
-
然而,蜜罐也需要专业人员来设计、部署和管理,以确保其安全性和有效性,并避免对真实系统造成潜在的风险。
3、fastjson反序列化
4、log4j2原理
5、XXE漏洞原理
6、Struts2原理
7、应急响应
检查系统账号安全
查看服务器是否有弱口令,远程管理端口是否对公网开放
查看服务器是否存在可疑账号、新增账号
查看服务器是否存在隐藏账号、克隆账号
检查异常端口、进程
检查启动项、计划任务、服务
查看可疑文件和目录
查看webshell创建的时间
等等等... 还没说完被叫停
8、内存马查杀&原理
java内存马原理:
java内存马排查:
利用Java Agent技术遍历所有已经加载到内存中的class。
先判断是否是内存马,是则进入内存查杀。
java内存马识别:
1,filter名字很特别
2,filter优先级是第一位
3,对比web.xml中没有filter配置
4,特殊classloader加载
5,对应的classloader路径下没有class文件
6,Filter的doFilter方法中有恶意代码
java内存马清除:
1、清除内存马中的Filter的恶意代码,
2、 模拟中间件注销Filter
接下来就问些其它的,项目上的问题
1、说一下你做项目时候挖到RCE没有,是怎么挖到的
2、你在项目上有挖到什么比较有意思的洞
3、做过溯源没有
4、技战法写过没有
这里写过就是写过,没写过就是没写过,别乱编
5、真实环境做过应急没有
没了,相关来讲比较简单,学好正式课还是能过的!加油!
原文始发于微信公众号(掌控安全EDU):面经分享 | 某安蓝队中级面经分享
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论