蓝队面试题
Posted 倔强的梦想gggg
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了蓝队面试题相关的知识,希望对你有一定的参考价值。
Apache Log4j2的漏洞原理是什么?
由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向服务器发送恶意的数据,触发log4j2组件的缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
shiro的身份认证工作流程
通过前端传入的值,获取rememberMe cookie base64加密 AES加密 (对称加解密)反序列化
三、shiro反序列化漏洞原理
AES加密的密钥Key被硬编码在代码里,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的
应急响应
https://blog.csdn.net/HBohan/article/details/122437507?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165503350016782390565757%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=165503350016782390565757&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2alltop_positive~default-1-122437507-null-null.142v13pc_search_result_control_group,157v14new_3&utm_term=%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E6%B5%81%E7%A8%8B&spm=1018.2226.3001.4187
三、响应
(1)判断事件类型
事件类型分为7类:大规模沦陷、挖矿病毒、勒索病毒、无文件落地、不死(顽固)马、钓鱼应急响应、数据劫持。
去应急肯定会收到通知:**ga的通报、客户自己发现的情况、现场安服发现的问题。**根据这些情报先判断出需要出应急的是什么事件类型。但是要记住“情报是带有失真率和主观性的,并且以上场景很多情况下并不会单独出现。”最后还是需要应急人员自己靠经验与客观事实去判断。
(2)保持第一现场
第一现场包含:第一发现人、第一情报、失陷主体/群体、主体/群体行为、失陷环境。
这个“保持”是指在尽可能实现的情况下去保留。因为谁被打穿了都会慌,一慌都会推卸责任(包括我自己),或者消灭痕迹,这无疑是帮助了攻击者实现渗透的最后一步。
这个“第一”是指最先发现情况的人,这个人所说的情况。发现的被攻陷的主体,最好是用镜像把系统和流量先扒拉下来。时间越延迟,这个“第一”事实的失真率越高,所以要安服和应急人员做好配合。
(3)信息收集
这一步与渗透测试的第一步信息收集无异,即使前面两个高度失真,这一步仍可以让整个响应起死回生,但是这一步没做好将会影响后续所有操作。
信息收集主要是做:流量、日志、可疑进程的内存、失陷系统镜像、恶意样本、客户资产收集、资产相关漏洞测试报告、防御设备的日志。【请注意:确认有索取这些信息的权限】
四、阻断
所谓阻断只有三步:关站、关服务、拔网线。
(1)切断网络
情况分很多种:**失陷后业务仍正常运行、失陷后业务受滞、失陷后业务停摆。**不同的情况,网络切断因地制宜。
切断网络的目的:观察病毒行为、观察流量特征、阻断对内通信、阻断对外连接。
举个例子:一个医院大规模失陷,但是业务正常运作,这时候可以选择切断部分不重要的主机去观察行为。
(2)阻断传播
传播包括:对内传播(感染)、对外传播(外联)
对内传播(感染):进程注入/迁移、第三方软件感染、服务传播(ftp/ssh爆破等)
对外传播(外联):挖矿行为、外联攻击、c2通信
阻断传播应从:软件层面、流量层面、代码层面、网络层面。例如:排查软件被劫持、排查流量发现无文件落地、利用代码审计发现容器加载内存马、阻断网络发现通过服务传播的病毒。
(3)隔离核心资产/隔离受害主体(群体)
这一步是应急响应的最终目的,无论实施过程如何、无论使用什么工具都必须保证被保护与沦陷方的隔离。
隔离核心资产是为了做到三个原则:保护、避害、不损害。
隔离受害主体(群体)是为了保护第一现场、收集攻击者信息等。
五、分析
分析是前提是提炼,提炼出关键信息分析。而提炼的前提是熟悉,了解攻击手法,红蓝同源。
(1)日志、流量、样本分析
分析三大件:日志、流量、样本。
日志主要注意的是:时间、动作、结果;这个行为什么时候开始、什么时候结束,这个动作是登陆、退出、修改等、造成的结果是登陆成功/失败、上传/下载了文件、执行了代码等。
流量主要注意的是:状态码、交互过程、数据合理性;每一次交互的状态码,交互过程中是否符合该种协议的正确交互过程,每个字段的填充、每次流量的渲染是否正常。
样本主要注意的是:启动方式、伪装方式、作用;根据启动方式去选择沙箱或者分析工具;伪装方式判断是否加壳做免杀和打击方式;根据作用去判断受害范围。
粗略的分为静态和动态,日志属于静态信息需要应急人员清晰分辨出日志表达的内容和快速筛选出可疑的点。流量和样本属于动态信息,应急人员需要拥有一定的渗透能力去分辨交互行为。
(2)行为分析&还原攻击过程
从行为出发,还原攻击路径,推演攻击过程。
行为分析基于三大件分析,结合系统表现出来的情况做分析,例如:启动项、启动脚本、进程、内存等。
还原攻击过程需要对攻击大致的情况有一个综合判断,可以理解为——威胁模型建立(SDL),必须具备渗透能力,再此基础上放入沙箱重新复现攻击过程,对后续的步骤提供帮助。
六、清除
(1)非对抗情况下
在不存在对抗的情况下,最极端就是全盘重装,稍次就是数据迁移后对系统盘重装。在普通情况下,我们可以进行针对性的杀进程、删文件、杀软清除。
(2)存在对抗情况下
对抗情况就是:顽固马与不死马存在,或者被持续攻击(apt)。
这样的情况下,首选是在允许情况下打补丁,再恢复。找到攻击行为的源头,先补上漏洞再清除。
七、加固
加固没啥好讲的,打补丁、对系统进行限制(网络隔离、行为管理等)、升级防御设备、完善防御流程(防御设备的部署、人员的部署、规则库的升级)
Webshell工具的流量特征分析(菜刀,蚁剑,冰蝎,哥斯拉)
https://blog.csdn.net/qq_53577336/article/details/125048353?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165502865016782246498316%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=165502865016782246498316&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allsobaiduend~default-2-125048353-null-null.142%5ev13%5epc_search_result_control_group,157%5ev14%5enew_3&utm_term=%E8%8F%9C%E5%88%80%E3%80%81%E5%86%B0%E8%9D%8E%E3%80%81%E8%9A%81%E5%89%91%E3%80%81%E5%93%A5%E6%96%AF%E6%8B%89%E7%9A%84%E6%B5%81%E9%87%8F%E7%89%B9%E5%BE%81&spm=1018.2226.3001.4187
中国菜刀流量分析
payload特征:
php: <?php @eval($_POST['caidao']);?>
ASP: <%eval request(“caidao”)%>
ASP.NET: <%@ Page
Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>
数据包流量特征:
1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码
蚂蚁宝剑流量分析
payload特征:
Php中使用assert,eval执行,
asp 使用eval
在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
数据包流量特征:
使用普通的一句话都存在以下特征:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为:
随机数
响应内容
随机数
使用base64加密的payload,数据包存在以下base加密的eval命令执行,数据包的payload内容存在几个分段内容,分别都使用base加密,解密后可以看到相关的路径,命令等
响应包的结果返回格式为:
随机数
编码后的结果
随机数
冰蝎流量分析
paylaod分析:
php在代码中同样会存在eval或assert等字符特征
在aps中会在for循环进行一段异或处理
在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
冰蝎2.0流量特征:
第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
哥斯拉流量特征
payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
哥斯拉流量分析:
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在;特征
https://blog.csdn.net/eternitymd/article/details/124492261?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165502796716781685320995%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=165502796716781685320995&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allfirst_rank_ecpm_v1~rank_v31_ecpm-1-124492261-null-null.142v13pc_search_result_control_group,157v14new_3&utm_term=%E5%86%B0%E8%9D%8E%EF%BC%8C%E8%9A%81%E5%89%91%EF%BC%8C%E8%8F%9C%E2%BC%91%EF%BC%8C%E5%93%A5%E6%96%AF%E6%8B%89%E6%B5%81%E9%87%8F%E7%89%B9%E5%BE%81&spm=1018.2226.3001.4187
菜刀流量特征(最开始是明文传输,后来采用base64加密):PHP类WebShell链接流量
如下图:
第一:“eval”,eval函数用于执行传递的攻击payload,这是必不可少的;
第二:(base64_decode(
P
O
S
T
[
z
0
]
)
)
,
(
b
a
s
e
6
4
d
e
c
o
d
e
(
_POST[z0])),(base64_decode(
POST[z0])),(base64decode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;
第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应
P
O
S
T
[
z
0
]
接收到的数据,该参数值是使用
B
a
s
e
64
编码的,所以可以利用
b
a
s
e
64
解码可以看到攻击明文。注:
1.
有少数时候
e
v
a
l
方法会被
a
s
s
e
r
t
方法替代。
2.
_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。 注: 1.有少数时候eval方法会被assert方法替代。 2.
POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。注:1.有少数时候eval方法会被assert方法替代。2._POST也会被
G
E
T
、
_GET、
GET、_REQUEST替代。
3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。
蚁剑(PHP用base64加密):
PHP类WebShell链接流量
将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。
蚁剑绕过特征流量
由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
冰蝎(AES对称加密):
通过HTTP请求特征检测
1、冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream;
2、冰蝎3.0内置的默认内置16个ua(user-agent)头
3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长
哥斯拉(base64加密):
特征检测
1、发送一段固定代码(payload),http响应为空
2、发送一段固定代码(test),执行结果为固定内容
3、发送一段固定代码(getBacisInfo)
浅谈IP溯源的原理及方法
溯源思路
1、攻击源捕获
安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等
日志与流量分析,异常的通讯流量、攻击源与攻击目标等
服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等
邮件钓鱼,获取恶意文件样本、钓鱼网站URL等
蜜罐系统,获取攻击者行为、意图的相关信息
2、溯源反制手段
2.1 IP定位技术
根据IP定位物理地址—代理IP
溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息
2.2 ID追踪术
ID追踪术,搜索引擎、社交平台、技术论坛、社工库匹配
溯源案例:利用ID从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到相关简历信息
2.3 网站url
域名Whois查询—注册人姓名、地址、电话和邮箱。—域名隐私保护
溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析
2.4 恶意样本
提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析
溯源案例:样本分析过程中,发现攻击者的个人ID和QQ,成功定位到攻击者。
2.5 社交账号
基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等
利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销
3、攻击者画像
3.1 攻击路径
攻击目的:拿到权限、窃取数据、获取利益、DDOS等
网络代理:代理IP、跳板机、C2服务器等
攻击手法:鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等
3.2 攻击者身份画像
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、qq/微信、邮箱
组织情况:单位名称、职位信息
4、安全攻击溯源篇
4.1 案例一:邮件钓鱼攻击溯源
攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。
信息收集: 通过查看邮件原文,获取发送方IP地址、域名后缀邮箱、钓鱼网站或恶意附件样本等信息。
溯源方式:第一种,可以通过相关联的域名/IP进行追踪;第二种,对钓鱼网站进行反向渗透获取权限,进一步收集攻击者信息;第三种,通过对邮件恶意附件进行分析,利用威胁情报数据平台寻找同源样本获取信息,也能进一步对攻击者的画像进行勾勒。
4.2 案例二:Web入侵溯源
攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。
溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址。
在入侵过程中,使用反弹shell、远程下载恶意文件、端口远程转发等方式,也容易触发威胁阻断,而这个域名/IP,提供一个反向信息收集和渗透测试的路径。
4.3 案例三:蜜罐溯源
攻防场景:在企业内网部署蜜罐去模拟各种常见的应用服务,诱导攻击者攻击。
溯源方式:在攻击者入侵蜜罐时,蜜罐可以记录攻击者的入侵行为,获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。
如何CDN绕过,得到真实ip
https://www.cnblogs.com/qiudabai/p/9763739.html
绕过 CDN 查找网站真实 IP
方法1:查询历史DNS记录
1)查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP
2)利用SecurityTrails平台,攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名,然后按Enter键即可,这时“历史数据”就可以在左侧的菜单中找到。
如何寻找隐藏在CloudFlare或TOR背后的真实原始IP
除了过去的DNS记录,即使是当前的记录也可能泄漏原始服务器IP。例如,MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。
方法2:查询子域名
毕竟 CDN 还是不便宜的,所以很多站长可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。
下面介绍些常用的子域名查找的方法和工具:
1)微步在线(https://x.threatbook.cn/)
上文提到的微步在线功能强大,黑客只需输入要查找的域名(如baidu.com),点击子域名选项就可以查找它的子域名了,但是免费用户每月只有5次免费查询机会。如图:
2)Dnsdb查询法。(https://dnsdb.io/zh-cn/)
3)Google 搜索
Google site:baidu.com -www就能查看除www外的子域名,如图:
4)各种子域名扫描器
这里,主要为大家推荐子域名挖掘机和lijiejie的subdomainbrute(https://github.com/lijiejie/subDomainsBrute)
子域名挖掘机仅需输入域名即可基于字典挖掘它的子域名,如图:
方法7:使用国外主机解析域名
国内很多 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的主机直接访问可能就能获取到真实IP。
方法8:网站漏洞查找
1)目标敏感文件泄露,例如:phpinfo之类的探针、GitHub信息泄露等。
2)XSS盲打,命令执行反弹shell,SSRF等。
3)无论是用社工还是其他手段,拿到了目标网站管理员在CDN的账号,从而在从CDN的配置中找到网站的真实IP。
方法9:网站邮件订阅查找
RSS邮件订阅,很多网站都自带 sendmail,会发邮件给我们,此时查看邮件源码里面就会包含服务器的真实 IP 了。
2022年蓝队初级护网面试题总结
目录
1.先来个自我介绍
答:略(给人第一印象,挺重要的,建议好好总结)
2.讲一下TOP10都有哪些
答:
1.失效的访问控制
2.加密机制失效
3.注入(包括跨站脚本攻击XSS和SQL注入等)
4.不安全设计
5.安全配置错误
6.自带缺陷和过时的组件
7.身份识别和身份验证错误
8.软件和数据完整性故障
9.安全日志和监控故障
10.服务端请求伪造SSRF
此处owasp top 10 是2021年版的,一般情况下top10四年更新一次,目前最新的版本就是2017年版和2021年版。有些博客上写的2022年版的其实是2013年版的,看到的可以顺手举报一手。这里附上官方链接
3.SQL注入的原理和漏洞产生的原因?
答:
SQL注入原理:
通过某种方式将恶意的sql代码添加到输入参数中,然后传递到sql服务器使其解析并执行的一种攻击手法
漏洞产生原因(实现条件):
- 用户对sql查询语句参数可控
- 原本程序要执行的SQL语句,拼接了用户输入的恶意数据
4.SQL注入的类型
答:
1.联合注入
2.堆叠注入
3.宽字节注入
4.cookie注入
5.XFF头注入
6.UA注入(user-agent注入)
7.Referer注入
8.二次注入
9.base64注入
11.万能密码
12.文件读写
盲注类型:
1.基于时间的盲注 sleep() benchmark()
2.基于布尔的注入
3.基于报错的注入 updatexml() extractvalue() floor() exp()
5.简单讲一下防范SQL注入的方法和原理
答:
1.预编译 (数据库不会将参数的内容视为SQL命令执行,而是作为一个字段的属性值来处理)
2.PDO预处理 (本地和Mysql服务端使用字符集对输入进行转义)
3.正则表达式过滤 (如果用户输入了非法信息则利用正则表达式过滤)
6.SQL注入有哪些绕过姿势?
答:
1.大小写绕过注入
2.双写绕过注入
3.编码绕过注入
4.内联注释绕过注入
7.SQL注入攻击有哪些危害?
答:
- 获取数据库数据
数据库中存放的用户的隐私信息的泄露,脱取数据库中的数据内容(脱库),可获取网站管理员帐号、密码悄无声息的进行对网站后台操作等。
- 网页篡改
通过操作数据库对特定网页进行篡改,严重影响正常业务进行与受害者信誉。
- 网页挂马
将恶意文件或者木马下载链接写入数据库,修改数据库字段值,进行挂马攻击。
- 篡改数据库数据
攻击数据库服务器,篡改或者添加普通用户或者管理员帐号。
- 获取服务器权限
列取目录、读取、写入shell文件获取webshell,远程控制服务器,安装后门,经由数据库服务器提供的操作系统支持,让攻击者得以修改或控制操作系统。
6.XSS(跨站脚本攻击)的原理和类型?
答:
原理:
攻击者在Web页面中注入恶意的Script代码,当用户浏览该网页时,嵌入的Script代码会被执行,从而达到攻击的目的。
XSS类型:
- 反射型XSS
- 存储型XSS
- DOM型XSS
7.XSS的绕过方法?
答:
1. 大小写转换;
2. 引号的使用;
3. 使用 / 代替空格;
4. 编码绕过(将字符进行十进制或者十六进制转码);
5.双写绕过;
6.使用制表符 换行符和回车符
7.使用 IMG 源
8.XSS的利用方式(危害)?
答:
- 窃取cookie
- 抓取屏幕截图
- 获取键盘记录
- 重定向
植入广告,恶意链接
- 网页钓鱼
- 网页挂马
- 结合网页挂马或者其他工具(Metasploit)获取服务器或者操作系统权限
9.XSS的防范措施?
答:
- 对用户的输入进行过滤
比如说添加黑名单或者白名单规则,比如说对& < > " ' / expression javascript import等敏感字符进行转义
- 使用 HttpOnly Cookie
如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样可以有效的防止XSS攻击窃取cookie。
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
-
设置X-XSS-Protection属性
该属性被所有的主流浏览器默认开启。X-XSS-Protection,即XSS保护属性,是设置在响应头中目的是用来防范XSS攻击的。在检查到XSS攻击时,停止渲染页面。
header("X-XSS-Protection: 1");
-
开启CSP网页安全策略
CSP是网页安全策略(Content Security Policy)的缩写。开启策略后 可以起到以下作用
禁止加载外域代码,防止复杂的攻击逻辑。
禁止外域提交,网站被攻击后,用户的数据不会泄露到外域。
禁止内联脚本执行(规则较严格,目前发现 GitHub 使用)。
禁止未授权的脚本执行(新特性,Google Map 移动版在使用)。
合理使用上报可以及时发现 XSS,利于尽快修复问题。
<meta http-equiv="Content-Security-Policy" content="">
- 避免内联事件
尽量不要使用 onLoad=“onload(’data’)”、onClick=“go(’action’)” 这种拼接内联事件的写法。在 JavaScript 中通过 .addEventlistener() 事件绑定会更安全。
- 使用模板引擎
开启模板引擎自带的 HTML 转义功能。例如: 在 ejs 中,尽量使用 <%= data %> 而不是 <%- data %>; 在 doT.js 中,尽量使用 ! data 而不是 = data ; 在 FreeMarker 中,确保引擎版本高于 2.3.24。
10.CSRF(跨站请求伪造)漏洞原理?
答:
web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的身份(cookie)完成攻击行为。
受害者A登录网站,攻击者B构造有效链接诱导受害者A访问,网站在线期间会将该请求当做正常业务执行。(比如修改密码,向某用户转账等业务,当然现在这种简单的EXP基本上见不到,拿靶场验证一下用于理解原理就行了)
11.CSRF(跨站请求伪造)漏洞的类型?
答:
- GET类型
- POST类型
比如在一个页面中构造好一个表单表单,将这个页面隐藏在一个不可见的iframe窗口中,然后使用JavaScript自动提交这个表单,在整个过程中,对于用户来说是不可见的。当用户访问该页面后,表单会自动提交,相当于模拟用户完成了一次POST操作
12.CSRF(跨站请求伪造)漏洞的危害?
- 盗用其他用户或者管理员的账号
- 获取个人隐私或者机密资料
- 联合其他漏洞组合拳
比如说拿到管理员账号之后,我们在某个页面利用XSS漏洞进行网页挂马,普通用户访问后就会下载木马程序,进而联合MSF或者CS等工具getshell。再比如说你把管理员密码还原一下,真正管理员登录的时候也会受到网页挂马的影响,结合工具可以进一步拿下管理员主机权限。
13.CSRF(跨站请求伪造)攻击的防范措施?
答:
- 验证码验证
验证码被认为是对抗CSRF攻击最简洁而有效的防御方法。
CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求。而验证码,则强制用户必须与应用进行交互,才能完成最终请求。因此在通常情况下,对用户执行敏感操作时进行验证,就能够很好地遏制CSRF攻击。
但是验证码并非万能。很多时候,出于用户体验考虑,网站不能给所有的操作都加上验证码。因此,验证码只能作为防御CSRF的一种辅助手段,而不能作为最主要的解决方案。
- 在请求地址中添加 token 并验证
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。
要抵御 CSRF关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
- 验证 HTTP头的Referer 字段
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,头信息里会包含Referer。
比如我在www.google.com 里有一个
www.baidu.com链接,那么点击这个链接,它的头信息里就会有:Referer=http://www.google.com
通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。
- 在 HTTP 头中自定义属性并验证
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。
缺陷是要采用这种方法来进行防护,要把所有请求都改为 XMLHttpRequest 请求,就意味着可能要重写整个网站,这代价无疑是不能接受的。
14.SSRF(服务器端请求伪造)漏洞原理?
答:
当攻击者想要访问服务器B上的服务,但是由于存在防火墙或者服务器B是属于内网主机等原因导致攻击者无法直接访问。如果服务器A存在SSRF漏洞,这时攻击者可以借助服务器A来发起SSRF攻击,通过服务器A向主机B发起请求,达到攻击内网的目的。
15.SSRF(服务器端请求伪造)漏洞经常存在的位置?
答:
- 分享:通过URL地址分享网页内容
- 转码服务
- 在线翻译
- 图片加载与下载:通过URL地址加载或下载图片
- 图片、文章收藏功能
- 未公开的api实现以及其他调用URL的功能
16.SSRF(服务器端请求伪造)漏洞绕过手法?
答:
-
利用@绕过限制白名单域名
利用@,当网站限制只能访问
http://www.xxx.com类型的域名时,可以采用http基本身份认证的方式绕过,如:http://www.xxx.com@www.xxc.com
-
绕过限制白名单内网IP
- 采用短网址绕过
- 利用特殊域名,xip.io可以指向任意域名(原理是DNS解析),即 127.0.0.1.xip.io,可以解析为127.0.0.1
- 采用进制转换,127.0.0.1 八进制:
0177.0.0.1;十六进制:0x7f.0.0.1;十进制:2130706433- 利用
[::],http://[::]:80/会解析为http://127.0.0.1- 添加端口号,http://127.0.0.1:8080
- 利用句号,如
127。0。0。1会解析为 127.0.0.1- 采用302跳转
-
绕过限制请求http协议
- 采用302跳转
- 采用短地址
17.SSRF(服务器端请求伪造)漏洞的危害?
答:
-
对外网、服务器所在内网、本地进行端口扫描
-
向内部任意主机的任意端口发送payload来攻击内网服务
-
DOS攻击(请求大文件,始终保持连接Keep-Alive Always)
-
攻击内网的web应用,如直接SQL注入、XSS攻击等
-
利用file、gopher、dict协议读取本地文件、执行命令等
-
可以无视网站CDN
18.SSRF(服务器端请求伪造)漏洞的防范手段?
答:
- 禁止跳转
- 过滤返回的信息
如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
- 统一错误信息
避免用户可以根据错误信息来判断远程服务器的端口状态。
- 限制请求的端口
比如80,443,8080,8090。
- 禁止除HTTP和HTTPS外的协议
比如说仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp://请求等引起的问题。
- 对请求地址设置白名单或者限制内网IP
19.XXE(XML 外部实体注入)漏洞的原理?
答:
XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击
20.怎样构建XXE(XML外部实体注入)攻击?
答:
1.直接通过DTD外部实体声明
2.通过DTD文档引入外部DTD文档,再引入外部实体声明
3.通过DTD外部实体声明引入外部实体声明
21.XXE(XML 外部实体注入)漏洞的危害?
答:
- 任意文件读取
- 系统命令执行
- 执行远程代码
- DOS拒绝服务攻击
- 内网端口探测
- 攻击内网网站
- 钓鱼
22.XXE(XML 外部实体注入)漏洞的防范?
答:
●禁用外部实体的引入
比如PHP语言中使用libxml_disable_entity_loader(true);等方式。
Python语言中使用
from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
●过滤如SYSTEM等敏感关键字,防止非正常、攻击性的外部实体引入操作。
23.文件上传漏洞的原理?
答:
Web页面中文件上传功能没有对上传的文件做合理严谨的过滤,导致用户可以利用此功能,上传能被服务端解析执行的文件,并通过此文件获得执行服务端命令的能力。
24.文件上传漏洞绕过手法?
答:
- 前端JS禁用绕过
在前端页面禁用JS,当然也有可能影响正常页面显示却没用
- 简单修改后缀名绕过
如果只是前端页面限制上传的文件后缀名,那么我们就可以利用burp suite等工具修改文件后缀名绕过。
- 抓包修改MIME类型
常见图片MIME类型:
image/gif,image/png,image/jpeg,image/bmp,image/webp,image/x-icon,image/vnd.microsoft.icon服务端代码是通过Content-Type的值来判断文件的类型,这样我们可以直接对文件的Content-Type值进行修改来绕过。
- 后缀名大小写绕过
如果源代码没有对文件后缀名进行大小写转换,那么只要更改文件名后缀大小写即可绕过黑名单
- 图片马绕过
使用edjpgcom等工具或者命令将图片和WebShell制作成一个图片马
- GIF89a图片头文件欺骗
比如GIF89a<?php phpinfo();?>,在webshell前面加上GIF89a,后台认为是图片,上传后再执行木马,更有效的做法是结合其他绕过方法更有针对性的绕过。
- %00,0x00截断
比如修改文件名为 1.php%00.jpg,如果php 版本<5.3.4 在url中%00表示ascll码的0 ,而ascii码的0,表示字符串结束,所以当url中出现%00时就会认为读取已结束,最后会被解析为 1.php,从而实现绕过
-
.htaccess文件绕过
.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过.htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
比如说在htaccess文件中有如下内容
AddType application/x-httpd-php .png 那我们随后上传png后缀图片马即可绕过
-
.user.ini.绕过
.user.ini文件里的意思是:所有的php文件都自动包含指定的文件,比如说某网站限制不允许上传.php文件,你便可以上传一个.user.ini,再上传一个图片马,包含起来进行getshell。不过前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了。 再比如,你只是想隐藏个后门,这个方式是最方便的。
- 条件竞争绕过
一些网站上传文件的逻辑是先允许上传任意文件,然后检查上传的文件是否包含webshell脚本,如果包含则删除该文件。这里存在的问题是文件上传成功后和删除文件之间存在一个短的时间差(因为要执行检查文件和删除文件的操作),攻击者可以利用这个短的时间差完成条件竞争的上传漏洞攻击。比如上传一个php文件里面这样写
<?php
fputs(fopen('../shell.php','w'),'<?php @eval($_POST["hello"]); ?>');
?>
- ::$DATA绕过
在php代码中没有对::$DATA进行过滤,在windows中会将文件名::$DATA之后的数据当成文件流处理,保持::$DATA之前的文件名
假设上传的文件为test9.php::$DATA.jpg,如果成功上传到服务器就会去掉::$DATA.jpg变成test9.php进行保存
但是php代码中还通过strrchr函数获取文件后缀.jpg,并以该后缀作为上传之后的文件后缀
所以test9.php::$DATA.jpg上传到服务器后缀仍然是.jpg
- 点+空格+点绕过
某些情况下,源代码先是去除文件名前后的空格,再去除文件名最后所有的
.,再通过strrchar函数来寻找.来确认文件名的后缀,但是最后保存文件的时候没有重命名而使用的原始的文件名,导致可以利用1.php. .(点+空格+点)来绕过
- 后缀名双写绕过
黑名单过滤,将黑名单里的后缀名替换为空且只替换一次,因此可以用双写绕过,比如1.pphphp,后端源代码过滤掉红色标注部分,剩余1.php。
-
特殊可解析后缀绕过
源代码有黑名单限制,那么我们就可以修改文件后缀名为根据后端的脚本语言能够解析的文件后缀,比如源代码是用php语言写的话,1.php1会被解析为1.php
PhP除了可以解析php后缀 还可以解析php1,php2,php3,php4 ,phtml等 Asp可解析 asa,cer,cdx Aspx可解析 ashx,asmx,ascx Jsp可解析jspx、jspf然而这种绕过方法可能会让我们绕过成功,但服务器默认配置却可能不允许这些后缀的文件执行
- 二次渲染绕过
说不清楚,放链接
25.文件上传漏洞的危害?
答:
- 上传webshell,控制服务器、远程命令执行
- 上传系统病毒、木马文件进行挖矿、僵尸网络
- 进行提权操作
- 修改web页面,实现钓鱼、挂马等操作。
- 进行内网渗透。
26.文件上传漏洞的防范措施?
答:
- 文件上传的目录设置为不可执行
只要web容器无法解析该目录下面的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此这一点至关重要。
- 严格判断文件类型
在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,强烈推荐白名单方式,黑名单的方式已经无数次被证明是不可靠的。此外,对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。
- 使用随机数修改文件名和文件路径
文件上传如果要执行代码,则需要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果应用了随机数改写了文件名和路径,将极大地增加攻击的成本。再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击。
- 单独设置文件服务器的域名
由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。
- 内容检测
有效防范图片马和文件二次渲染
- 安全加固中间件
及时更新并加固中间件,可以有效避免因为中间件的漏洞而导致的文件上传漏洞,比如某些中间件以前的版本很多都具有文件解析漏洞
- 采用WAF等安全防护设备
采用WAF等安全防护设备可以有效的防御常见漏洞
27.了解过WAF吗?
答:
概念:
Web应用防火墙,简称WAF,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种产品,一般部署在Web服务器之前,用来保护Web应用。
主要功能:
WAF主要是通过内置的很多安全规则 来进行防御。
可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击行。
具有威胁感知能力,当发现攻击后,可将IP进行锁定,IP锁定之后将无法访问网站业务。
也支持防止CC攻击,采用集中度和速率双重检测算法。
不具备的功能:(给你加深一下影响,防止你想不起来就乱猜)
- WAF不能过滤其他协议流量,如FTP、PoP3协议
- WAF不能实现传统防护墙功能,如地址映射
- WAF不能防止网络层的DDoS攻击
- WAF不能防病毒
28.绕过WAF的姿势?
答:
- 通配符?,*
在bash shell中,问号(?)表示通配符,可以替换任意的单个字符(非空),*表示通配符,可以匹配任意长度(包括空)。例如下面的命令与/usr/sbin/cat /etc/passwd是等价的
/usr/s?in/?at /et?/pass?d
- 大小写变种
特征库在编写正则表达式时,可能忽略了对大写的校验。例如select.*from,从而让Select from轻松绕过,正确的写法时,在任何防护的正则表达式前都加上(?i),表示后面的正则表达式匹配均忽略大小写。
- 内联注释/**/
在SQL查询语句中加入注释,例如select/**/from,当WAF不摘除注释而去匹配正则表达式时,可能会匹配不上,从而绕过。
- 干扰字符污染法
使用空字符、空格、TAB换行、注释、特殊的函数等等都可以。比如在SQL注入时select/*!*/`version`(); 利用网站使用的语言函数特性来绕过WAF的规则或者使用会无视的字符。
- 字符编码法
就是对一些字符进行编码,常见的SQL编码有unicode、HEX、URL、ascll、base64等,XSS编码有:HTML、URL、ASCII、JS编码、base64等等,利用浏览器上的进制转换或者语言编码规则来绕过WAF,比如XSS攻击
<script%20src%3D"http%3A%2F%2F0300.0250.0000.0001"><%2Fscript>
- 双写,嵌套,拼凑法
如果过滤了某些字符串,我们可以在他们两边加上“原有字符串”的一部分。利用WAF的不完整性,只验证一次字符串或者过滤的字符串并不完整。比如这样
SQL: selselectect verversionsion();
XSS: <scr<script>rip>alalertert</scr</script>rip>
- 多请求拆分绕过
对于多个参数的语句,可以将注入语句分割插入。
如这样的请求:?a=[inputa]&b=[inputb]可将参数a和b拼接如:
and a=[inputa] and b=[inputb]
- 利用cookie绕过
对于用了$_REQUEST来获取参数的网站可以尝试将payload放在cookie中进行绕过REQUEST会依次从GET POST cookie中获取参数,如果WAF只检测了GET/POST而没有检测cookie,可以将语句放在cookie中进行绕过。
- 利用溢量数据绕过WAF
这种绕过方法利用的是通过提交非常大的数据,由于数据量过大,超过了WAF的正则匹配字符,我们的恶意代码就不经过WAF的正则匹配了,因此我们的恶意代码就可以绕过了。
- 云WAF绕过之寻找网站源ip
采用云WAF的网站可以寻找网站真实ip来绕过云WAF的检测。
- 其他
还有吗,多的是,不过我看不明白了,不写了,我是初级我骄傲
29.你在渗透测试中常用的工具?
答:
- 信息收集
Nmap,Fofa,Shodan,zoomeye,站长工具,Bugscaner,潮汐指纹,云悉指纹,Censys,whatweb,WTFScan,子域名挖掘机,dnsdist6,WAFw00f,Fping,arping,nping,nbtscan,whois,Layer子域名收集工具,JSFinder,wwwscan等
- 抓包分析
Burp Suite,Wireshark, TrafficTools,fiddler,hack firefox,proxifier,shadowsocks等
- 端口扫描
Nmap,Zenmap,Masscan,御剑端口扫描工具,Hping3,Advanced_Port_Scanner,PortScan ,netscan tools,blackwater,Unicornscan,nast,Knocker,IPscan等
- 漏洞扫描
Nessus,AWVS,X-ray,Appscan,W3af,OpenVAS,Skipfish,lynis,WPscan,Comodo HackerProof,Nexpose community,Vulnerability Manager Plus,Nikto等
- 目录扫描或爆破
Dirbuster,御剑目录爆破工具,dirsearch,dirb,ffuf,Dirmap,cansin,Wscan,
webdirscan,SourceLeakHacker,fuff等
- 暴力破解
Burp Suite,Hydra,cupp,crunch,Aircrack-NG(无线密码破解),John the Ripper,Rainbow Crack,Cain & Able,L0phtcrack, Ophcrack,Crack,Hashcat,SAMInside,DaveGrohl(Mac os x) ,Ncrack,Brutus,Wfuzz,Medusa等
- SQL注入漏洞扫描或利用
Sqlmap,SQLiScanner,DSSS,Jsql-injection,nosqlattack,Safe3 SQL Injector,
啊D注入,BSQL Hacker,The Mole,Pangolin,Havij,Enema SQLi,sqlsus,SQL Poizon,Netsparker,Leviathan,NoSQLMap,Tyrant SQL,Whitewidow等
- XSS漏洞利用
Cobalt Strike,Beef,XSSer,XSpear,TamperIE,BlueLotus_XSSReceiver(XSS利用平台),XSSYA,xssfork,xssScanner,XSSCon,BruteXSS,XDT等
- WebShell利用
冰蝎,哥斯拉,蚁剑,中国菜刀,天蝎(skyscorpion), pyshell,w8ay,WebKnife,XISE,K8飞刀,Altman,Hatchet,AspxClient(仅支持ASPX脚本),C刀(Cknife),QuasiBot,Weevely,WeBaCoo, Webhandler,Webshell-Sniper,PhpSploit,SharPyShell等
- 免杀
Shellter,FourEye,crazyKiller,DKMC,avevasion,charlotte,cool,crossnet,darkarmour,shellcodeloader,vmprotect,vprotect,ZheTian,peidtool,Mimikatz,PrintSpoofer,metasploit,Veil,avet ,Green hat pro,Venom ,TheFatRat,Insanity等
- 综合
Metasploit,GUI_Tools,Hijacker(针对Android),AttackSurfaceMapper,Burp Suite,watchdog,Empire等
30.使用过哪些安全设备?
答:
- webshell查杀
D盾_Web查杀,百度WEBDIR+(在线),河马(全平台,CloudWalker(牧云)(全平台),Web Shell Detector(在线),Sangfor WebShellKill(深信服),深度学习模型检测PHP Webshell(在线),PHP Malware Finder webshell(全平台),findWebshell,Webshell.pub专注查杀(在线)等
- 病毒查杀
火绒,腾讯安全管家,360杀毒,Rkhunter,卡巴斯基,金山毒霸,瑞星杀毒软件,大蜘蛛,深信服EDR,Rootkit,NOD32,Clamav,virustotal等
- 安全防护
网站安全狗,创宇盾,云锁,阿里云WAF,HiHTTPS,ModSecurity,Naxsi,OpenWAF,FreeWAF,ESAPI WAF,unixhot,Java WAF,X-WAF,VeryNginx,COMODO Firewall等
- 应急响应
火绒剑,微步云沙箱,Goby,PowerTool,Tcpview,PCHunter,ProcessHacker,Everything,ProcessExplorer,ProcessMonitor,XueTr,PCHunter,ProcessDump,AutoRuns,ntfsdir,FastIR,BrowsingHistoryView,sysinspector,sysinternals Suite,Index.dat Analyzer,winhex,RegistryWorkshop,DiskGenius,passrecenc,Fulleventlogview,Wsyscheck,IPOP4.1,Process monitor,Netcat,Malware Defender,MyMonitor,DllInjector,RegShot,gscan,Fodler Monitor,ResHacker,Kaspersky Virus Removal Tool ,DWirelessNetWatcher,ipradar,Fidder,ApateDNS,MiniSniffer,SysTracer等
31.常见的中间件和相关的漏洞有哪些
以上是关于蓝队面试题的主要内容,如果未能解决你的问题,请参考以下文章