前言
护网的定义是以国家组织组织事业单位、国企单位、名企单位等发展攻防两方的网络安全演习。进攻方一个月内采取不限形式对防守方开展防御,不论任何伎俩只有攻破防守方的网络并且留下标记即胜利,间接冲到防守方的办公大楼,而后物理攻破也算胜利。护网是国家应答网络安全问题所做的重要布局之一。
护网随着中国对网络安全的器重,波及单位不断扩大,越来越多都退出到“护网”中,网络安全反抗演练越来越贴近理论状况,各机构看待网络安全需要也从被动构建,降级为业务保障刚需。随着大数据、物联网、云计算的疾速倒退,愈演愈烈的网络攻击曾经成为国家平安的新挑战。护网口头是由公安机关组织的“网络安全攻防演习”,每支队伍 3 - 5 人组成,明确指标零碎,不限攻打门路,获取到指标零碎的权限、数据即可得分,禁止对指标施行破坏性操作,对指标零碎要害区域操作需失去指挥部批准。
舒适揭示:全文浏览完需 5 分钟左右
废话不多说 间接上干货
HW 面试相干问题
本人写一段面试开场白(自我介绍),没有可参考上面的内容
工作工夫履历,我的项目经验,成绩,技术学习路径
告警监控组
各位老师好我是 XXX,来自 XX 地区,目前在腾讯 T1 核心负责平安服务工程师,日常工作次要是负责浸透测试 / 平安运维、HW、重保、应急响应等相干工作,上面简略介绍一下我的工作经验。
目前接触平安服务工作 XX 年了,2019 年加入 XX 国家级 / 省级 HW 我的项目,2020 年加入 XXX 重保我的项目 ……………………..,2021 年加入 XXX 浸透测试项目,后期次要帮助客户梳理资产、平安整改、平安加固、策略优化等等,HW 期间次要负责角色是告警监测人员 / 剖析研判人员 / 溯源反制人员 / 应急处理人员,次要工作是通过安全设备监控歹意攻打事件(WEB、网络攻击),将发现的可疑攻打事件上报给剖析研判组成员进行剖析研判,帮助研判组成员对事件进行剖析、提供歹意样本等等。
剖析研判组
各位老师好我是 XXX,来自 XX 地区,目前在腾讯 T1 核心负责平安服务工程师,日常工作次要是负责浸透测试 / 平安运维、HW、重保、应急响应等相干工作,上面简略介绍一下我的工作经验
目前接触平安服务工作 XX 年了,2019 年加入 XX 国家级 / 省级 HW 我的项目,2020 年加入 XXX 重保我的项目 ……………………..,2021 年加入 XXX 浸透测试项目,次要负责角色是告警监测人员 / 剖析研判人员 / 溯源反制人员 / 应急处理人员,次要工作是对安全设备上发现的可疑告警进行剖析研判次要办法如:通过监测组提供的歹意样本文件进行剖析,同时联合在线威逼情报中心对歹意攻打线索进行研判,最终判断该攻打是否真实有效。
溯源反制组
各位老师好我是 XXX,来自 XX 地区,目前在腾讯 T1 核心负责平安服务工程师,日常工作次要是负责浸透测试 / 平安运维、HW、重保、应急响应等相干工作,上面简略介绍一下我的工作经验
目前接触平安服务工作 XX 年了,2019 年加入 XX 国家级 / 省级 HW 我的项目,2020 年加入 XXX 重保我的项目 ……………………..,2021 年加入 XXX 浸透测试项目,次要负责角色是告警监测人员 / 剖析研判人员 / 溯源反制人员 / 应急处理人员,次要工作是通过剖析研判组上报的非法攻打线索以及实在攻打事件对攻击者身份进行溯源次要的办法如:通过定位攻击者 IP、域名、歹意样本特色等虚构身份信息,开展溯源反制措施通过技术手段获取攻击者实在身份信息,编写溯源报告提交项目组审核。
防守方常见问题
在我的项目上,破绽扫描须要留神那些事项
跟客户确认是否充许 登录扫描 、扫描 并发连接数 及线程数、
是否充许 暴力破 解,什么 工夫 段扫描、
告诉客户备份一下数据,开启业务零碎及网站运维监控,免得断机可及时复原。
HW 后期通常有哪些事件须要筹备?
后期比拟重要的就是 资产梳理、平安测试、 整改加固、安全策略优化、安全意识培训 等等
资产梳理:次要帮助客户对旗下资产进行梳理汇总
平安测试:组织几次平安浸透测试可分为内外网浸透测试
安全意识培训:宣讲钓鱼邮件防备,集体不应用弱明码,装置杀软等
HW 期间下线局部服务器,或者某段时间暂停对外开放服务。
HW 中常见的安全设备有哪些?
入侵检测:IDS
入侵进攻:IPS
流量威逼检测 设施:腾讯御界、奇安信天眼、绿盟、深服气等等
流量监测:科来
利用防火墙(WAF):绿盟 WAF、腾讯云 WAF、深服气 WAF、阿里云 WAF 等等
蜜罐:默安蜜罐、晓得创宇蜜罐等等
防火墙:防火墙(玄武盾)、山石防火墙、360 网康 / 网神防火墙
态势感知:绿盟态势感知、奇安信态势感知(目前局部金融客户对攻打 IP 封禁在态势感知零碎上对立做封禁解决)
SOC:绿盟、奇安信
谈谈 IDS 和 IPS 是什么?有什么作用?
入侵检测:IDS,相似防火墙,次要用于入网流量检测
入侵进攻:IPS,对杀软和防火墙的补充,阻止病毒攻打以及点到点利用滥用
态势感知、soc 产品的性能
全流量收集、大数据分析、
拜访日志展现 、攻打日志展现告警、 资产治理、大屏展现、
脆弱性辨认 - 弱口令 - 数据传输未加密 - 破绽、
受益主机攻打汇总、内网横向攻打剖析、
报表性能
EDR 是什么?举例,作用?
终端检测与响应
360 天擎、深服气 EDR、亚信 EDR
通过云端的威逼情报、机器学习、异样行为剖析等,被动发现平安威逼,自动化阻止攻打。
WAF 产品如何来拦挡攻打?
Waf 产品有三种
1、云 Waf
用户不须要在本人的网络中装置软件程序或部署硬件设施,就能够对网站施行平安防护,它的次要实现形式是利用 DNS 技术,通过移交域名解析权来实现平安防护。用户的申请首先发送到云端节点进行检测,如存在异样申请则进行拦挡否则将申请转发至实在服务器
2、Web 防护软件
装置在须要防护的服务器上,实现形式通常是 Waf 监听端口或以 Web 容器扩大形式进行申请检测和阻断
3、硬件 Web 防火墙
Waf 串行部署在 Web 服务器前端,用于检测、阻断异样流量。惯例硬件 Waf 的实现形式是通过代理技术代理来自内部的流量
WAF 有哪些防护形式?
1、Web 根底防护
可防备惯例的 web 利用攻打,如 SQL 注入攻打、XSS 跨站攻打等,可检测 webshell,查看 HTTP 上传通道中的网页木马,关上开关即实时失效
2、CC 攻打防护
可依据 IP、Cookie 或者 Referer 字段名设置灵便的限速策略,无效缓解 CC 攻打
3、精准拜访防护
对常见 HTTP 字段进行条件组合,反对定制化防护策略如 CSRF 防护,通过自定义规定的配置,更精准的辨认歹意伪造申请、爱护网站敏感信息、进步防护精准性
4、IP 黑白名单
增加终拦挡与始终放行的黑白名单 IP,减少进攻准确性
5、网页防篡改
对网站的动态网页进行缓存配置,当用户拜访时返回给用户缓存的失常页面,并随机检测网页是否被篡改
依据设施告警(WEB)如何剖析流量
1. 下载告警 pcap 数据包,依据告警提醒攻打类型,过滤 payload 信息,定位流量
2. 判断是否攻打胜利,需具体 分析攻击申请响应内容 或使其 payload进行攻打测试 等
3. 最终可依据流量剖析给出断定类型:扫描、攻打尝试、攻打胜利、攻打失败
Web 中间件加固:tomcat、apache、iis 有哪些加固点 ?
web 中间件:更改默认端口、低权限运维、降权网站根目录、自定义谬误页面、删除自带网页
windows 和 linux 加固?(操作系统加固)
windows:删除无用账号、禁用来宾账号、设置明码复杂度、敞开默认共享、敞开自启
linux:删除无用账号、配置明码策略(复杂度、过期工夫)、限度 su 命令应用、限度 ssh 远程登陆 root、缩小命令记录数(.bash_history)、降级内核版本
mysql 加固呢? (数据库加固)
mysql:应用低权限用户配置网站、启用 mysql 日志记录、禁用文件导入导出
sql server:应用低权限用户配置网站、敞开 xp—cmdshell 性能
《黑客 & 网络安全入门 & 进阶学习资源包》分享
依据设施告警如何开展排查
1. 定位次要扫描、攻打机器
2. 依据业务状况,进⾏隔离解决
3. 排查次要扫描、攻打机器正在执⾏过程、历史命令,定位攻击者扫描⼯具、扫描后果等
4. 提取攻击者操作信息、攻打样本后,清理查杀攻击者等
5. 依据攻击者扫描后果,对存在的破绽开展修补⼯作
6. 剖析次要扫描、攻打机器如何失陷,溯源攻打链,开展攻打链修补作
Windows 罕用的命令有哪些?
ping:查看网络联通
ipconfig:查看 ip 地址
dir:显示以后文件夹的内容
net user:查看用户
netstat:查看端口
tasklist:查看过程列表
find:搜寻文件中的字符串
regedit:注册表
Linux 常见命令有哪些?
ls:显示以后文件夹的内容
ifconfig:查看 ip 地址
whoami:查看用户
netstat:查看端口
ps:查看过程列表
grep:文件中搜寻字符串
crontal:查看定时工作
常见洞端口有哪些?
21(FTP)、873(Rsync)、1433(MSSQL)、1521(Oracle)、2181(Zookeeper)、3306(Mysql)、5432(PostgreSQL)、6379(redis)、7001(weblogic)、8161(ActiveMQ)、9200(elasticsearch)、27017(Mongodb)、50070,50050(Hadoop)
简略说下 SQL 注入的几种类型?
提交形式分为:GET 型、POST 型、cookie 型
注入点分为:数字型、字符型、布尔型
如何辨别内网中 SQL 注入攻打事件和失常业务申请?
能够通过申请体中的 payload 进行判断,失常业务申请的 SQL 语句通体较长且无敏感的函数应用,SQL 注入攻打事件申请体中的 payload 通常较短且语句中有敏感函数如 sleep、updataxml 等等。
Sql 注入 破绽 加固措施?
对于输出的字符进行过滤,次要是特殊字符,如“单引号、双引号、# 和两个减号、sql 关键字”
买 waf 设施
暴力破解加固办法?
增加强度较高的验证码,不易被破解
批改明码设置规定,进步用户的明码强度
同一账号登陆次数锁定,生成锁定日志
定期排查弱口令
你能阐明文件上传的原理吗?
绕过上传限度 , 上传可执行代码文件
PHP:如果零碎中存在能够上传文件的性能点,就能够上传后门脚本文件,通过一些办法绕过上传限度,如果能拜访后门的的话,零碎存在文件上传破绽,能够借助后门执行命令
Java:上传 jsp 代码
Asp/Aspx
Python:因为脚本须要译后生成 pyc 字节码文件,所以不存在文件上传
文件上传性能的检测点有哪些?
客户端的 JS 检测(次要检测文件名后缀)
服务端检测(MINE 类型检测、文件后缀名、文件格式头)
文件上传攻打特色?
可能上传文件的接口,应用程序对用户上传文件类型不校验或者校验不严格可绕过,导致任意类型文件上传,攻击者可上传 webshell 拿到服务器权限,在这个过程中攻击者必然会上传歹意脚本文件
特色:上传文件保留处呈现可执行脚本
文件上传加固办法?
后端限度文件上传白名单,头像不容许上传 svg
上传后文件随机重命名,不要输入保留文件地位
图片文件能够二次渲染,应用对象存储 oss
文件目录勾销执行权限,PHP 设置 basedir
JAVA 内存马如何排查?
如何查杀:使⽤⼯具进⾏检测查杀
1、如果是 jsp 注入,日志中排查 可疑 jsp的拜访申请。
2、如果是代码执行破绽,排查中间件的 error.log,查看是否有 可疑的报错,判断注入工夫和办法
3、依据业务应用的组件排查是否可能存在 java 代码执行破绽以及是否存在过 webshell,排查框架破绽,反序列化破绽。
4、如果是 servlet 或者 spring 的 controller 类型,依据上报的 webshell 的 url 查找日志(日志可能被敞开,不肯定有),依据 url 最早拜访工夫确定被注入工夫。
5、如果是 filter 或者 listener 类型,可能会有较多的 404 然而带有参数的申请,或者大量申请不同 url 但带有雷同的参数,或者 页面并不存在但返回 200
php 内存马如何排查?
如何查杀:使具进检测查杀
php 不死马也就是内存马
排查就两点;检测执行文件是否在文件系统实在存在;确认攻打后去重启服务打消内存执行
aspx 内存马如何排查?
如何查杀:使⽤⼯具进⾏检测查杀
github 有人写了一个排查的 aspx 脚本,放到网站目录下拜访,会返回内存中 filter(过滤器 0 列表,排查未知、可疑的就行
检测执行文件是否在文件系统实在存在
发现一条攻打告警如何判断是否为真实有效攻打事件思路?
剖析申请、响应内容,判断是否攻打胜利
首先看告警事件名称判断是网络攻击事件还是 web 攻打事件,
网络攻击事件:定位五元组信息(源 IP、目标 IP、源端口、目标端口、协定),对整个僵、木、蠕流传链进行剖析,以攻打 IP 作为受益 IP 进行检索查找攻打源,
WEB 攻打事件:通过数据包的申请体、响应体、状态码等。
安全设备呈现误报怎么办?
能够对事件进行剖析如果确认不形成理论危害(通常体现在局部 web 低危攻打事件)思考对事件进行加白,如不能加白(通常体现在内网僵尸网络、木马事件、蠕虫等等)须要对安全事件进行更粗疏的剖析,定位问题产生点。
如何辨别扫描流量和手动攻打流量
扫描数据量大,申请有法则
手动攻打流量数据量较少,攻打流量大多和业务关联性较大
如何剖析被代理进去的数据流
剖析数据包申请头中的 xff、referer、UA 等收集有用的信息
基于网络坑骗与浏览器指纹的 WEB 攻打溯源
在攻打队变更攻打 IP 的状况下,如何在流量中找到该攻击者的所有攻打 IP ?
cookie、ua、session、被利用账号 ID 等用户特色
如何判断 DNS 和 ICMP( 隧道 )信道?
dns 流量的 txt 记录比例异样:失常的 DNS 网络流量中,TXT 记录的比例可能只有 1%-2%,如果工夫窗口内,TXT 或者 A 记录的比例激增,就可能存在异样。
同一起源的 ICMP 数据包量异样:一个失常的 ping 命令每秒最多发送两个数据包,而应用 ICMP 隧道则会在很短时间内产生上千个 ICMP 数据包,能够检测同一起源的 ICMP 数据包的数量。
误报怎么判断?比方 xxx 设施心跳存活过于频繁,误报成攻打。答:心跳检测是有法则的、继续的,与攻打流量区别较大
常见 web 日志组成格局?
58.61.164.141 – – [22/Feb/2010:09:51:46 +0800]“GET / HTTP/1.1″ 206 6326”http://www.google.cn/search?q=webdataanalysis”“Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”
ip、工夫、申请类型、申请 url、响应状态、响应大小、UA 头
浸透相干问题
攻击者个别如何获取服务器权限?
文件上传 weshell
ssh 服务等弱口令爆破
曾经框架 rce 破绽
简历写理解 waf 绕过形式,简略说说?
应用 sqlmap 自带的脚本
应用 nmap 自带的脚本
申请包增加大量无用数据
测试多个关键字,看看有无未过滤的
扭转 http 申请类型,get 变 post
什么是 OWASP TOP 10? 说几个常见类型
OWASP TOP 10 是依据凋谢 Web 应⽤程序平安项⽬公开共享的 10 个最要害的 Web 应⽤程序安全漏洞列表。
1. 生效的访问控制(越权拜访)
2. 加密机制生效(明文传输)
3. 注入攻打(sql 注入、xxe 注入)
4. 不平安的设计
5. 平安配置谬误(默认配置,如 redis 低版本无明码)
6. ⾃带缺点和过期的组件(weblogic 之类的组件 RCE)
7. 身份辨认和身份验证谬误(未受权拜访)
8. 软件和数据完整性故障
9. 平安日志和监控故障
10. 服务端申请伪造
弱口令、xss
怎么辨认 C DN ?
应用 ping 命令看回显
应用 nslookup 查问域名解析,看域名解析状况
应用超级 ping 工具,像 Tools,all-toll.cn 等。
形容一下浸透测试的流程?
首先信息收集,收集子域名、Whois、C 段、旁站、Web 零碎指纹识别,而后测试 web 零碎的破绽
《黑客 & 网络安全入门 & 进阶学习资源包》分享
常见的平安工具有哪些?
端口及破绽扫描:Namp、Masscan
抓包:Wireshark,Burpsuite、Fiddler、HttpCanary
Web 自动化平安扫描:Nessus、Awvs、Appscan、Xray
信息收集:Oneforall、hole
破绽利用:MSF、CS
Webshell 治理:菜刀、蚁剑、冰蝎、哥斯拉
说说 Nmap 工具 的应用?
-sT TCP (全)连贯扫描,精确但留下大量日志记录
-sS TCP SYN (半)扫描,速度较快,不会留下日志
-sN null 扫描,标记位全为 0,不实用 Windows
-sF FIN 扫描,标记位 FIN=1,不实用 Windows
-O 查看指标主机零碎版本
-sV 探测服务版本
-A 全面扫描
正向 shell 和 反向 shell 的区别是什么?
内外网区别,正向 shell 是攻击者处于内网,被攻击者处于公网;
而反向 shell 是攻击者处于外网,被攻击者处于内网,且是被攻打被动连贯攻击者。
cs shellcode 特色
1、RWX(可读可写可执行)权限的内存空间
2、异或密钥固定,3.x 是 0x69,4.x 是 0x2e
3、命名管道名称字符串
\\.\pipe\MSSE-1676-server
%c%c%c%c%c%c%c%cMSSE-%d-sever
Log4j rce 破绽有理解过?攻打特色是什么?
log4j 是 javaweb 的日志组件,用来记录 web 日志,特色是 ${jndi:ldap://url}
去指定下载文件的 url 在搜寻框或者搜寻的 url 外面,加上 ${jndi:ldap://127.0.0.1/test},log4j 会对这串代码进行表达式解析,给 lookup 传递一个歹意的参数指定,参数指的是比方 ldap 不存在的资源 $ 是会被间接执行的。前面再去指定下载文件的 url,去下载咱们的歹意文件。比方是 x.class 下载实现后,并且会执行代码块
修复:降级 Log4j 到最新版本,依据业务判断是否敞开 lookup
新出的 office word msdt 破绽原理?
从 Word 应用 URL 协定调用 MSDT(微软反对诊断工具),可执行近程网页脚本内容,下载或运行任意命令、程序。
无论是否禁用宏,只有关上 word 就会中招,但无奈失常查看 doc 内容
如何辨别菜刀、蚁剑、冰蝎、哥斯拉 WENSHELL 特色?
菜刀:
1、webshell 为一句话木马
2、ua 头为百度爬虫
3、申请体中存在 eavl,base64
4、响应为明文,格局为 X@Y + 内容 + X@Y
蚁剑:
1、webshell 同样有 eavl,base64
2、ua 头为蚁剑工具
3、申请体中存在 @ini_set
4、响应为明文,格局为 随机数 + 后果 + 随机数
冰蝎:
1、webshell 同样有 eavl,base64
2、webshell 中有 md5(明码)前 16 位
3、2.0 有一次 GET 申请返回 16 位的密钥
哥斯拉:
1、webshell 同样有 eavl,base64
2、申请为 pass=
常见的未受权拜访破绽有哪些?
Active MQ 未受权拜访
Atlassian Crowd 未受权拜访
CouchDB 未受权拜访
Docker 未受权拜访
Dubbo 未受权拜访
Druid 未受权拜访
Elasticsearch 未受权拜访
FTP 未受权拜访
Hadoop 未受权拜访
JBoss 未受权拜访
Jenkins 未受权拜访
Jupyter Notebook 未受权拜访
Kibana 未受权拜访
Kubernetes Api Server 未受权拜访
LDAP 未受权拜访
MongoDB 未受权拜访
Memcached 未受权拜访
NFS 未受权拜访
Rsync 未受权拜访
Redis 未受权拜访
RabbitMQ 未受权拜访
Solr 未受权拜访
Spring Boot Actuator 未受权拜访
Spark 未受权拜访
VNC 未受权拜访
Weblogic 未受权拜访
ZooKeeper 未受权拜访
Zabbix 未受权拜访
连贯不了 MySQL 数据库站点的起因有哪些?
3306 端口没有对外开放
MySQL 默认端口被批改(最常见)
站库拆散
近几年 HW 常见破绽有哪些?
弱口令、未受权拜访、文件上传、注入、log4j 代码执行、Struts2 命令执行、fastjson、shiro、TinkPHP 代码执行、Spring 代码执行等等。
HW 三(四)大洞
shiro、struts2、weblogic、Fastjson
额定 thinkphp、(2021 年)log4j、(2022 年)word msdt
讲诉 202 1 年护网呈现过那些 0day 破绽
锐捷 RG-UAC 明码泄露
360 天擎 终端平安零碎 - 前台 sql 注入
泛微 OA9 前台 Getshell
蓝凌 OA 任意写入破绽
用友 NC 反序列化 RCE 破绽
通达 OA v11.7 登录破解
…
至多说几个 oa 的洞,其余随便
应急响应常见问题
取得文件读取破绽,通常会读哪些文件
1、linux
etc/passwd、etc/shadow 间接读明码
/etc/hosts # 主机信息
/root/.bashrc # 环境变量
/root/.bash_history # 还有 root 外的其余用户
/root/.viminfo # vim 信息
/root/.ssh/id_rsa # 拿私钥间接 ssh
/proc/xxxx/cmdline # 过程状态枚举 xxxx 能够为 0000-9999 应用 burpsuite
数据库 config 文件
web 日志 access.log, error.log
ssh 日志
bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
2、windows
C:\boot.ini // 查看零碎版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件
C:\Windows\repair\sam // 存储系统首次装置的明码
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MY D //Mysql root
C:\Windows\php.ini //php 配置信息
C:\Windows\my.ini //Mysql 配置信息
主机产生安全事件处理流程
1、克制范畴:主机断网或者隔离使受益⾯不持续扩⼤
2、收集信息:收集客户信息和中毒主机信息,包含样本
3、判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
4、深入分析:日志剖析、过程剖析、启动项剖析、样本剖析不便前期溯源
5、清理处理:杀掉过程,删除文件,打补丁,删除异常零碎服务,革除后门账号避免事件扩充,处理完毕后复原生产
6、产出报告:整顿并输入残缺的安全事件报告
简略说下服务器被上传 webshell 处理思路是什么?
及时隔离主机
应用 find 命令查找定位 webshell,对 webshell 进行取样
联合 web 日志剖析
革除 webshell 及残留文件
讲一下 windows 机器被攻陷排查思路?
1、查看零碎账号平安
2、查看异样端口、过程
3、查看启动项、打算工作、服务
4、日志剖析
在 Windows 靶标站点如何建设暗藏用户?
net user xiaofeng$ 112233 /add (建设暗藏用户 xiaofeng)net localgroup administrators xiaofeng$ /add(将暗藏用户 xiaofeng 退出管理员用户组)
Windows 被创立影子用户怎么办?
1、能够通过控制面板治理账户查看
2、注册表中查看是否存在影子账户:(HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User)
windows 端口过程间 怎么关联查找
netstat -ano | findstr“port”查看目前的网络连接,定位可疑的 ESTABLISHED
依据 netstat 定位出的 pid,再通过 tasklist 命令进行过程定位 tasklist | findstr“PID”
windows 怎么 查看过程对应的程序地位
工作管理器 – 抉择对应过程 – 右键关上文件地位运行输出 wmic,cmd 界面 输出 process
查看 Windows 服务所对应的端口
%system%/system32/drivers/etc/services(个别 %system% 就是 C:\Windows)
查看 windows 过程的办法
开始 — 运行 — 输出 msinfo32 命令,顺次点击 “ 软件环境 — 正在运行工作 ” 就能够查看到过程的详细信息,比方过程门路、过程 ID、文件创建日期以及启动工夫等
关上 D 盾_web 查杀工具,过程查看,关注没有签名信息的过程
通过微软官网提供的 Process Explorer 等工具进行排查
查看可疑的过程及其子过程。能够通过观察以下内容:
没有签名验证信息的过程
没有形容信息的过程
过程的属主
过程的门路是否非法
CPU 或内存资源占用长时间过高的过程
Windows 日志寄存地位?
大抵是 System32 的 Logs 目录下
系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
平安日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
windows 日志剖析工具有哪些
Log Parser、LogParser Lizard、Event Log Explorer、360 星图
遇到日志文件量大的时候怎么去剖析?
通过正则去匹配日志中的攻打申请
借助腾讯日志剖析工具:LogForensics
讲一下 Linux 机器被攻陷排查思路?
账号排查(/etc/passwd 存储用户信息、/etc/shadow 存储用户明码信息)
历史命令查看:.bash_history
查看异样过程:ps aux | grep pid
查看开机启动项:/etc/rc.local
查看定时工作:crontab -l
查看网站目录下是否存在可疑文件:find /var/www/html -name “*.php” |xargs egrep ‘assert|eval|phpinfo()|(base64_decoolcode|shell_exec|passthru|file_put_contents(.*$|base64_decode(‘(答复出后面的 find 命令构造即可)
Linux 日志寄存地位?
日志默认寄存地位:/var/log/
查看日志配置状况:more /etc/rsyslog.conf
一台主机在内网进行横向攻打,怎么解决?
确定攻打起源,是不是员工外部误操作,比方询问运维是否有自动化轮训脚本
如果没有,确定是攻打,联合工夫点,依据设施信息,看一下安全事件,过程,流量
找到问题主机,开始应急响应流程:筹备、检测、遏制、铲除、复原、跟踪,具体的操作要交给现场运维去解决
HW 期间发现在朝 0day 利用怎么处理?
1、首先确认 0day 影响产品,危害水平
2、下线利用
3、排查利用日志查找是否有攻打申请
4、更新官网公布的最新补丁或者降级版本
如何发现钓鱼邮件
邮件系统异样登录告警、员工上报、异样行为告警、邮件蜜饵告警
举荐接入微步或奇安信的情报数据。
对邮件内容呈现的 URL 做扫描,能够发现大量的异样链接
遇到钓鱼邮件如何处理?
1、第一工夫隔离被钓鱼的主机
2、通过第三方联系方式对攻打进行预警,避免其余员工再次上钩
3、对钓鱼邮件中的样本进行取样,剖析溯源
4、HW 后期针对安全意识进行培训
说说 钓鱼邮件处理 实际操作
屏蔽办公区域对钓鱼邮件内容波及站点、URL 拜访
依据办公环境理论状况能够在上网行为治理、路由器、交换机上进行屏蔽
邮件内容波及域名、IP 均都应该进行屏蔽
对拜访钓鱼网站的内网 IP 进行记录,以便后续排查溯源可能的结果
屏蔽钓鱼邮件
屏蔽钓鱼邮件起源邮箱域名
屏蔽钓鱼邮件起源 IP
有条件的能够依据邮件内容进行屏蔽
删除还在邮件服务器未被客户端收取钓鱼邮件
解决接管到钓鱼邮件的用户
依据钓鱼邮件发件人进行日志回溯
此处除了须要排查有多少人接管到钓鱼邮件之外,还须要排查是否公司通讯录泄露。采纳 TOP500 姓氏撞库发送钓鱼邮件的攻击方式绝对后续防护较为简单。如果发现是应用公司通讯录程序则须要依据通讯录的到职状况及新退出员工排查通讯录泄露工夫。毕竟有针对性的社工库攻打威力要比 TOP100、TOP500 大很多
告诉已接管钓鱼邮件的用户进行解决
删除钓鱼邮件
零碎改密
全盘扫毒
后续:溯源、员工培训晋升安全意识
说一个我的项目中产生的应急案例
本人选
溯源常见问题
什么是溯源反制?
溯源:通过攻打源分析攻击门路
反制:依据攻打源反向入侵攻击者 vps(虚构专用服务器)
溯源反制伎俩有哪些?
依据流量溯源反制:筛选攻打 IP、域名,扫描端⼝服务,或通过威逼情报分析,对攻击者 VPS 进行溯源剖析
蜜罐平台反制:模仿 SSL VPN 等平台,诱导攻击者下载应⽤软件及装置使⽤,上线攻击者主机
钓⻥反制:依据蜜罐捕捉信息,通过社交软件平台、手机短信、邮件等形式进行钓钓鱼
说一下你的溯源思路?
蜜罐是怎么获取攻击者社交账号信息的?怎么防
浏览器信息读取
利用 jsonp,跨域拜访社交平台接口,提取蕴含的个人信息
应用浏览器隐衷模式,或虚拟机内施行攻打操作
HW 我的项目中有写过溯源报告?
有,在 XXXHW 我的项目中写过 XXX 攻打类型的溯源报告,提交了 XX 份报告,得分不清楚
常见溯源办法(溯源思路)有哪些?
1、通过歹意样本文件特色进行溯源渠道(github、网盘、博客、论坛等等)
2、域名、IP 反查指标个人信息
3、微信、支付宝、淘宝等平台查找姓氏
4、蜜罐:浏览器指纹技术、网络坑骗技术
对攻击者进行身份画像有哪些?
虚构身份:ID、昵称、网名
实在身份:姓名、物理地位
联系方式:手机号、qq/ 微信、邮箱
组织状况:单位名称、职位信息
HW 期间没发现无效攻打事件如何得分?
能够通过对非法攻打溯源反制得分
能够通过提交灰黑产线索进行得分
获取到钓鱼邮件 exe 如何剖析?
看创立日期,看备注信息
ida 看调试信息,可能有集体 id、网名
上传查杀、威逼检测平台,剖析行为特色,获取外部 url、ip 地址等
各大威逼平台后果判断木马生成工夫,是否已知
溯源收集指标邮箱对有什么用?
搜索引擎,查论坛,查博客,揣测职业
社工库、第三方间接查个人信息
通过手机号后怎么获取攻击者信息?
各大社交平台
百度、谷歌搜寻
各种 app,如 csdn、支付宝、钉钉、脉脉等,qq、微信好友
通过域名、ip 怎么确认攻击者身份?
云平台域名、ip 找回账号形式,获取手机号局部信息
搜索引擎查 ip 现有服务,历史服务,有无攻打特色
威逼情报、沙箱获取信息
百度贴吧、集体博客、技术论坛、网站备案等
通过哪些工具、网站获取攻击者信息?
自行总结
微步情报查问、埃文科技网站定位 ip 地址等
你人脉如何 ?你能帮忙查 360、奇安信、深服气、XXX 的库吗?
个别
集体有一些工作小群
简略形容一下你在工作中遇到有意思的攻打溯源事件 (说溯源案列)
本人选
网络安全工程师企业级学习路线
视频配套材料 & 国内外网安书籍、文档 & 工具
当然除了有配套的视频,同时也为大家整顿了各种文档和书籍材料 & 工具,并且曾经帮大家分好类了。
一些我本人买的、其余平台白嫖不到的视频教程:
面试刷题
咱们学习网络安全必然是为了找到高薪的工作,上面这些面试题是来自百度、京东、360、奇安信等一线互联网大厂最新的面试材料,并且有大佬给出了权威的解答,刷完这一套面试材料置信大家都能找到称心的工作。
《黑客 & 网络安全入门 & 进阶学习资源包》分享
结语:
网络安全产业就像一个江湖,各色人等汇集。绝对于欧美国家根底扎实(懂加密、会防护、能挖洞、擅工程)的泛滥名门正经,我国的人才更多的属于鸡鸣狗盗(很多白帽子可能会不服气),因而在将来的人才培养和建设上,须要调整结构,激励更多的人去做“正向”的、联合“业务”与“数据”、“自动化”的“体系、建设”,能力解人才之渴,真正的为社会全面互联网化提供平安保障。
特地申明:
此教程为纯技术分享!本文的目标决不是为那些怀有不良动机的人提供及技术支持!也不承当因为技术被滥用所产生的连带责任!本书的目标在于最大限度地唤醒大家对网络安全的器重,并采取相应的安全措施,从而缩小由网络安全而带来的经济损失。!!!