蓝初百题斩

cs流量特征：

1. 基础特征：心跳包
2. 请求特征：下发的指令，url路径，老版本固定的ua头
3. 源码特征：checksum8 （92L 93L）

MSF流量特征：

1. 端口号：msf默认使用4444端口作为反向连接端口
2. 数据内容：msf数据包通常包含特定字符串:("meterpreter"、"revshell"等)

冰蝎流量特征:

冰蝎2.0和3.0区别：

加密方式不同，一个是RC4加密，一个AES加密。编写语言不同，2.0采用的是c++，3.0采用的是java。冰蝎流量检测，无论是get请求还是post请求，content-type为application/octet-stream。

冰蝎4.0流量分析：

十种ua头，可关键字拦截ua头进行匹配拦截。流量特征，Content-type: Application/x-www-form-urlencoded。accept字段：Accept:application/json, text/javascript, */*; q=0.01

（4.0我也不太明白，自己网上多查查资料吧）

哥斯拉流量特征:

1. 强特征：cookie字段，最后一个Cookie的值出现;（尾值出现分号）
2. paylod特征：jsp会出现xc,pass字符和Java反射，base64加解码等特征，php，asp则为普通的一句话木马。

菜刀流量特征：

1. 请求包中：ua头为百度，火狐
2. 请求体中存在eavl，base64等特征字符
3. 请求体中传递的payload为base64编码，并且存在固定的数值

蚁剑流量分析：

1. payload特征：Php中使用assert，eval执行；asp 使用eval；在jsp使用的是Java类加载（ClassLoader），同时会带有base64编码解码等字符特征。
2. 流量特征：每个请求体都在：@ini_set(“diplay_erors”,“0”);@set_time_limit(0)开头。并且后面存在base64等字符

weblogic ：

weblogic存在：反序列化漏洞，远程代码执行漏洞，未授权访问，ddos共环节等。

weblogic原理：比如CVE-2021-2109，远程代码执行漏洞，攻击者可以通过构造恶意的HTTP请求，触发WebLogic Server的漏洞，从而实现远程代码执行。

weblogic端口：7001

weblogic反序列化原理：Weblogic控制台的7001端口，默认会开启T3协议服务，T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞，攻击者可以发送构造的恶意T3协议数据，获取目标服务器权限。

strust2：

1. URL中存在特定的Struts2命名空间（namespace）和操作名（action）
2. HTTP请求中包含特定的Struts2参数名称。

redis：

1. redis默认端口为6379
2. redis存在哪些漏洞：远程代码执行，未授权访问，ddos，缓冲区溢出漏洞等。

shiro：

shiro分为哪几种，有什么区别：

Apache Shiro反序列化漏洞分为两种：Shiro-550、Shiro-721

区别：

1. Shiro550只需要通过碰撞key，爆破出来密钥，就可以进行利用
2. Shiro721的ase加密的key一般情况下猜不到，是系统随机生成的，并且当存在有效的用户信息时才会进入下一阶段的流程所以我们需要使用登录后的rememberMe Cookie，才可以进行下一步攻击

Shiro550(CVE-2016-4437)

范围：shiro <=1.2.4，

简介：shiro-550主要是由shiro的rememberMe内容反序列化导致的命令执行漏洞，造成的原因是默认加密密钥是硬编码在shiro源码中，任何有权访问源代码的人都可以知道默认加密密钥。于是攻击者可以创建一个恶意对象，对其进行序列化、编码，然后将其作为cookie的rememberMe字段内容发送，Shiro 将对其解码和反序列化，导致服务器运行一些恶意代码。

特征：cookie中含有rememberMe字段

修复建议：

• 更新shiro到1.2.4以上的版本。
• 不使用默认的加密密钥，改为随机生成密钥。

Shiro721(CVE-2019-12422)

简介：Apapche Shiro RememberMe Cookie 默认通过 AES-128-CBC 模式对cookie中的rememberMe字段加密 ，这种加密模式容易受到 Padding Oracle Attack( Oracle 填充攻击 )，攻击者可以使用有效的 RememberMe Cookie 作为 Paddding Oracle Attack 的前缀，然后精心构造 RememberMe Cookie 来实施反序列化攻击。

特征：URL中含有Shiro字段；cookie中含有rememberMe字段；返回包中含有rememberMe

fastjson：

原理：

Fastjson 是一个 Java 序列化/反序列化框架，可以将 Java 对象转换成 JSON 格式的字符串，并将 JSON 字符串转换为 Java 对象。

利用时候怎么发现是fastjson站点：

1. 查看网站源代码搜索关键词。
2. 开发者工具，查看请求代码是否存在fastjson"或"com.alibaba.fastjson

namp：

1. nmap挂代理的参数：--proxy
2. nmap syn 是干什么用的：nmap syn 主要用于网络探测和安全审计，它可以向目标主机发送 TCP SYN 数据包，识别目标主机开放的端口和服务，并帮助管理员发现潜在的漏洞和风险。
3. nmap常用命令：

nmap -sP <IP 地址>：用于对指定 IP 地址范围内的主机进行 ping 测试，确定哪些主机处于活动状态。
nmap -sn <IP 地址>：用于对指定 IP 地址范围内的主机进行扫描，但不执行端口扫描。这种方式可以快速识别出目标网络中的主机数量和 IP 地址。
nmap -sS <IP 地址>：用于执行 SYN 扫描，识别目标主机上开放的 TCP 端口。
nmap -sU <IP 地址>：用于执行 UDP 扫描，识别目标主机上开放的 UDP 端口。
nmap -O <IP 地址>：用于识别目标主机上运行的操作系统类型。
nmap -A <IP 地址>：用于执行全面的主机扫描，包括操作系统识别、端口扫描和服务版本识别等功能。
nmap --top-ports <N> <IP 地址>：用于执行端口扫描，并只扫描目标主机上最常用的 N 个端口。

提权：

1. mysql如何提权：udf，反弹shell
2. sqlserver如何提权：xp_cmd
3. windows提权方法：根据版本号搜索相应漏洞提权，msf提权，反弹shell提权，系统配置错误提权等
4. Linux提权方法：反弹shell，内核漏洞提权，sudo提权，docker提权，suid提权等

日志：

linux：

1. 系统日志：包含了所有系统相关的事件和错误信息。这些日志通常存储在/var/log/messages或/var/log/syslog文件中。
2. 安全日志：包含了所有与系统安全相关的事件和错误信息。这些日志通常存储在/var/log/secure或/var/log/auth.log文件中。
3. 应用程序日志：包含了所有应用程序相关的事件和错误信息。这些日志通常存储在应用程序的特定目录中，如Apache服务器的日志存储在/var/log/httpd/目录中。
4. 内核日志：包含了所有与内核相关的事件和错误信息。这些日志通常存储在/var/log/kern.log文件中。
5. 邮件日志：包含了所有与邮件相关的事件和错误信息。这些日志通常存储在/var/log/maillog或/var/log/mail.log文件中。

window：

windows日志都有什么：

1. 应用程序日志：此类日志包含有关应用程序或程序的信息，例如应用程序故障、警告和信息性事件。
2. 安全日志：此类日志包含有关安全性事件的信息，例如用户登录和注销、安全组成员更改、对象访问尝试以及安全策略更改。
3. 系统日志：此类日志包含有关操作系统本身的信息，例如驱动程序故障、服务启动和停止、硬件故障、网络连接等。

windows系统日志怎么看？

Windows操作系统中的事件日志可以在“事件查看器”中找到。要打开“事件查看器”，请按下“Windows键 + R”组合键并输入“eventvwr.msc”。

windows安全审核日志？

4624：成功登录，不是自己登录，可能遭受密码泄露

4625：登陆失败，可能遭受暴力破解，口令爆破事件

其他日志：

niginx的日志默认路径：

Nginx的默认日志路径通常为 /var/log/nginx/access.log和/var/log/nginx/error.log

apache的日志默认路径：

在Ubuntu或Debian上使用apt-get安装Apache时，默认日志路径为/var/log/apache2/。

在CentOS或Fedora上使用yum安装Apache时，默认日志路径为/var/log/httpd/。

木马 or 病毒 & 应急事件：

中了某某木马，该怎么办？

1. 首先及时隔离机器，断网，防止攻击者利用该台机器继续攻击。
2. 其次，确定被攻击范围，是否通过内网渗透了更多机器。
3. 保留样本，分析攻击者是怎么攻击进来的，通过哪里攻击进来的，看看流量包，及时对攻击者ip进行封锁和反制，成功反制后得分。
4. 恢复机器，清理干净后门，重新安装系统及其应用，保证一切正常运转。
5. 及时更改密码，防止攻击者已获得多种密码，进行下一步攻击。
6. 加强安全教育~未知链接不要点，陌生邮件不要信等。

出现了webshell连接，如何判断是否误报？

1. 查看连接来源：查看连接的IP地址和端口，如果是来自一个可信赖的IP地址和端口，那么有可能是误报。
2. 分析连接行为：分析连接的行为，包括连接的时间、连接的频率、连接尝试的目标等，如果这些行为与正常的网络流量相符，那么有可能是误报。
3. 检查文件：检查服务器上相关的文件是否存在异常或可疑的文件，例如未知的PHP文件、ASP文件或JSP文件等，如果发现可疑文件，那么极有可能是真实存在的WebShell连接。
4. 检查日志：检查服务器的访问日志、安全日志等，查看是否有其他可疑的行为或攻击尝试，如果存在其他攻击行为，则可能是真实存在的WebShell连接。

木马的特征是什么？

1. 欺骗性：木马程序通常会伪装成合法的程序或文件，诱使用户下载并运行它们。
2. 隐藏性：木马程序可以隐藏在其他程序的内部，避免被用户察觉和删除。
3. 后门功能：木马程序通常会在被植入系统后与攻击者的服务器建立联系，从而提供远程控制权限。
4. 篡改性：木马程序可以篡改用户的系统设置和文件，损害系统安全。
5. 恶意功能：木马程序可以用于窃取敏感信息、监控用户活动、发起攻击等恶意行为。

挖矿病毒？

中了挖矿木马特征是什么？

CPU拉满，网络阻塞，服务器卡顿

如何排查挖矿木马？

1. 检查系统资源占用情况：挖矿木马会占用大量的 CPU 或 GPU 资源，导致系统变得非常缓慢。可以使用 Windows 的任务管理器或 Linux 的 top 命令来检查系统资源占用情况。
2. 检查网络连接情况：挖矿木马会通过网络连接到挖矿池，上传挖矿结果并下载新的挖矿任务。可以使用 netstat 命令或 Wireshark 等网络抓包工具来检查网络连接情况。
3. 检查系统进程列表：挖矿木马会在系统中创建新的进程，可以使用 ps 命令或 Windows 的任务管理器来检查系统进程列表。
4. 扫描系统文件：挖矿木马可能会修改系统文件以隐藏自己，可以使用杀毒软件或命令行扫描工具如 ClamAV 来扫描系统文件。

相关命令如下：

• Windows：

• • 任务管理器：Ctrl+Shift+Esc
  • netstat：netstat -ano
  • 查看进程列表：tasklist（命令行）或任务管理器
  • 文件扫描：Windows Defender 或其他杀毒软件

• Linux：

• • top：top

  • netstat：netstat -tunapl

  • 查看进程列表：ps aux 或 top

  • 文件扫描：ClamAV 等杀毒软件

挖矿事件如何处置？

1. 首先询问状况，什么时候发现的。
2. 寻找攻击遗迹，看看cpu占用，进程，计划任务，可疑用户等。
3. 备份样本分析，上传沙箱获取行为并尝试朔源加分。
4. 及时清理根除后门，删除可疑计划任务，进程，启动项，文件等。
5. 提出修改建议。

中了内存马如何排查？没有工具你怎么办？

1. 相应工具排查，比如河马查杀等等
2. 任务管理器，寻找可疑进程，netstat、tasklist命令寻找可疑网络连接

不给你任何工具，你如何进行webs hell查杀？

1. 时间节点分析，比如什么时候中的，分析日志进行查杀；
2. 已知漏洞特征分析，比如自己网站是apache的，思考apache存在哪些漏洞；

勒索病毒？

1. 首先分析家族，根据加密格式后缀分析，桌面样式分析，勒索信内容分析，各大平台分析。
2. 根据特征寻找相应工具，（这个一般找不到工具就只能gg了）

cc攻击ddos攻击？

高防服务，cc防火墙，增加带宽

钓鱼邮件如何应对？

1. 看指纹信息（什么发送工具平台）
2. 看发送IP地址（服务器IP或攻击IP）
3. 根据域名寻找邮件服务器地址(利用红队手段渗透获取信息)
4. 可能存在个人的ID昵称用户名（利用社工的技术手段进行画像）

内网：

黄金票据和白银票据的区别？

1. 获取的权限不同
   • 金票：伪造的TGT，可以获取任意Kerberos的访问权限
   • 银票：伪造的ST，只能访问指定的服务，如CIFS
2. 认证流程不同
   • 金票：同KDC交互，但不同AS交互
   • 银票：不同KDC交互，直接访问Server
3. 加密方式不同
   • 金票：由krbtgt NTLM Hash 加密
   • 银票：由服务账号 NTLM Hash 加密

什么是域前置

域前置（Domain Fronting）是一种加密通信技术，可以用于在网络审查和防火墙限制的情况下隐藏真实的通信目标

拿下内网主机如何判断它的权限？

1. 查看当前用户：通过查看当前用户的身份，可以初步判断该主机的权限等级。例如，如果当前用户是系统管理员或域管理员，则说明权限较高；如果当前用户只是普通用户，则说明权限较低。
2. 查看进程列表：通过查看当前运行的进程列表，可以初步判断该主机的权限等级。例如，如果存在一些高权限进程（如lsass.exe、services.exe等），则说明权限较高；如果只有一些普通进程，则说明权限较低。
3. 查看文件权限：通过查看某些重要文件（如系统文件、密码文件等）的权限，可以判断该主机的权限等级。例如，如果攻击者可以读取或修改重要的系统文件，则说明权限较高。
4. 尝试提权：攻击者可以尝试使用已知的漏洞或工具，对目标主机进行提权操作，从而获取更高的权限等级。
5. 查看网络连接：通过查看当前主机的网络连接情况，可以判断该主机的权限等级。例如，如果存在一些与其他高权限主机的连接，则说明权限较高；如果只有一些基本的网络连接，则说明权限较低。

使用猕猴桃工具需要什么权限？

管理员权限

反制：（详情见蓝初百题斩文章）

杂七杂八：

流量设备暴增怎么处理？

黑白名单过滤、DDoS攻击防护，使用入侵检测系统（IDS）、入侵预防系统（IPS）等安全设备来监控和防范网络威胁

被攻击后设备没报警怎么办？

及时更新设备手动检查，检查设备并查看是否存在异常行为或文件。观察网络流量、查看系统日志、执行漏洞扫描和安全审计

攻击IP和目的IP反了是什么情况？

攻击流量的源IP地址（攻击者）伪装成目标IP地址（受害者），或者攻击流量的目标IP地址（受害者）被伪装成源IP地址（攻击者）。这种情况也称为IP欺骗或IP伪造。

4，加固怎么加固？

配置防火墙和安全策略，加强密码策略，禁用不必要的服务和端口，配置安全审计和日志监控