印度做网站,怎么注册公司企业微信,教育类app开发,wordpress 文章新窗口打开应急响应基本思路和流程 收集信息#xff1a;收集客户信息和中毒主机信息#xff0c;包括样本判断类型#xff1a;判断是否是安全事件#xff0c;何种安全事件#xff0c;勒索、挖矿、断网、DoS 等等抑制范围#xff1a;隔离使受害⾯不继续扩⼤深入分析#xff1a;日志分… 应急响应基本思路和流程 收集信息收集客户信息和中毒主机信息包括样本判断类型判断是否是安全事件何种安全事件勒索、挖矿、断网、DoS 等等抑制范围隔离使受害⾯不继续扩⼤深入分析日志分析、进程分析、启动项分析、样本分析方便后期溯源清理处置杀掉进程删除文件打补丁删除异常系统服务清除后门账号防止事件扩大处理完毕后恢复生产产出报告整理并输出完整的安全事件报告 Windows入侵排查思路 检查系统账号安全 查看服务器是否有弱口令远程管理端口是否对公网开放使用netstat -ano命令、或者问服务器管理员 lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号如有管理员群组的Administrators里的新增账户如有请立即禁用或删除掉 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号 结合日志查看管理员登录时间、用户名是否存在异常 检查方法WinR 打开运行输入“eventvwr.msc”回车运行打开“事件查看器”导出 Windows 日志--安全利用 Log Parser 进行分析检查异常端口、进程 netstat -ano检查端口连接情况是否有远程连接、可疑连接 任务管理器-进程检查启动项、计划任务、服务检查系统相关信息查看系统版本以及补丁信息查找可疑目录及文件日志分析 安全设备 1.你对市面上安全设备了解多少具体是哪几种类型奇安信椒图鹰图 1. 椒图Jiaotu椒图是奇安信的一款高级威胁防御设备主要用于网络入侵检测与防御Intrusion Detection and Prevention简称IDP。它能够通过实时监测和分析网络流量识别和阻止恶意攻击、漏洞利用和其他网络威胁。椒图采用多种技术手段包括基于规则的检测、行为分析、异常检测等以提供全面的网络安全防护。 · 2. 鹰图Yingtu鹰图是奇安信的一款高级威胁防御平台主要用于网络安全事件响应和威胁情报分析。它提供了全面的网络安全监控和分析功能能够实时监测和检测网络中的异常活动并提供详细的安全事件报告和威胁情报分析。鹰图还支持与其他安全设备和系统的集成以提供更强大的网络安全防护能力。IPSIDSWAFAPT检测态势感知蜜罐防篡改等等具体情况根据面试而定 IPS使用多种技术来检测和防御入侵。其中一种常见的方法是使用规则集也称为签名。规则集是预定义的模式或特征用于识别已知的攻击和漏洞利用。当IPS检测到与规则集中的模式匹配的网络流量时它会触发警报或阻止流量。另一种方法是使用行为分析。行为分析是基于对正常网络活动的学习和建模来检测异常行为。IPS会分析网络流量的模式、流量量、协议等特征并与已知的正常行为进行比较。如果检测到与已知模式不符的行为IPS会触发警报或阻止流量。 NIDS通常使用被动监听的方式监测经过它的网络流量并分析流量中的数据包以识别恶意活动。NIDS可以通过规则集也称为签名来检测已知的攻击和漏洞利用。当NIDS检测到与规则集中的模式匹配的网络流量时它会生成警报或报告给管理员。主机IDSHIDS监测单个主机的活动它位于主机上通过监测主机的日志、事件和系统调用等来识别潜在的入侵行为。HIDS可以检测到主机上的异常行为如未经授权的文件访问、异常进程行为等。HIDS通常使用基于行为分析的方法来检测入侵行为它会学习和建模主机的正常行为并与实际行为进行比较以检测异常行为。 基于网络的WAF位于网络边界或Web应用程序前端它监测进入Web应用程序的流量并根据预定义的规则集来检测和阻止恶意活动。这些规则集可以包含常见的Web攻击模式如SQL注入、跨站脚本攻击XSS、跨站请求伪造CSRF等。当WAF检测到与规则集中的模式匹配的流量时它可以阻止请求或触发警报。 基于主机的WAF位于Web服务器或应用程序服务器上它通过监测服务器上的网络流量、日志和应用程序行为来检测和阻止恶意活动。基于主机的WAF可以更深入地检测和保护Web应用程序因为它可以访问应用程序的内部数据和行为。 Sql注入 1、sql注入漏洞原理开发者没有在网页传参点做好过滤导致恶意 sql 语句拼接到数据库进行执行2、sql注入分类联合注入 、布尔盲注 、时间盲注 、堆叠注入 、宽字节注入 、报错注入3、堆叠注入原理在 mysql 中分号 代表一个查询语句的结束所以我们可以用分号在一行里拼接多个查询语句4、宽字节注入原理a 数据库使用 gbk 编码b 使用反斜杠进行转义5、报错注入原理a 报错注入函数,例如floor() 、group by 、exp() 、updatexml() 、extractvalue()6、Dnslog注入原理a 利用 load_file() 函数读取共享文件b共享文件形式\hex(user()).dnslog.cn/ 或者 \host\c 利用 mysql 的 load_file() 函数解析拼接过的 dnslog 域名进而带出数据7、联合注入的步骤a 找传参点b 判断闭合符c 判断列数d 判断显示位e 查询database()f 查表g 数据8、盲注分类a 布尔盲注页面回显 长度 burp 里的 Content-Length b 时间盲注页面回显 时间 burp 包的 右下角 、Dnslog9、盲注函数if() 、sleep() 、substr() 、left() 、limit 、ascii() 、length()10、判断闭合符方式构造真和假id1 and 11 、id1 and 12 、1 or 11 、) or 12 、and 234234 、and 1 、or 1 、and 1^1 、1 、||0 11、sql注入绕waf a 代替空格/**/ 、/!/ 、 、%09 、%0a 、%00 、括号b 关键字16进制 、char() 、字符串拼接c 等价函数替换sleep()benchmark() 、if()case when then else end 、ascii()ord() 、substr()substring()d 内联注释/*! */ 12、sqlmap常用参数 a -r 用于post型注入指定 txt 文件的 post 数据包b -u 指定url通常用于 get 型注入c -p:指定注入点例如: python sqlmap.py-u http://127.0.0.1/index.php?id1mid2page3 -p paged * 指定注入点例如python sqlmap.py-u http://127.0.0.1/index.php?id1*mid2page3* 注意* 号也可以用于伪静态的注入用法同前面一样直接在注入点后面加 *e -m 用于sqlmap批量跑注入指定一个含有多个 url 的 txt 文件Df --os-shell :用户获取 shellg --os-cmd :执行系统命令h --tamper 指定绕过用的脚本文件i --level 3 指定测试等级等级越高检查项越多共 1-5 个等级j --risk 3 指定风险等级等级越告payload 越复杂共 1-3 个等级k --random-agent 指定随机 agent 头l --batch 默认选项m --dbms 指定数据库类型 13、sql注入获取 webshell 的方式 a 写文件需要写权限b 写日志文件不要学权限但是需要通过命令开启日志记录功能而且还需要把日志文件的路径指定到网站根路径下面 14、sql注入防御 a 过滤敏感字符例如information_schema 、into out_file 、into dump_file 、 、 、()b 预编译c 站库分离增加攻击者的时间成本、防止通过数据库拿到webshell 15、mysql提权方式 a mof提权b udf提权 a) MOF提权MOFManagement Object Format提权是一种通过修改Windows管理对象文件来获取系统管理员权限的方法。在MySQL中可以使用MOF提权来获取系统级别的权限从而绕过MySQL的权限限制。 MOF提权的步骤如下1. 修改MySQL的配置文件my.ini将MySQL服务以SYSTEM权限运行。2. 创建一个恶意的MOF文件其中包含执行提权操作的命令。3. 使用mofcomp命令将恶意的MOF文件编译成WMIWindows Management Instrumentation对象。4. 通过WMI执行编译后的MOF文件从而触发提权操作。通过MOF提权攻击者可以获取系统管理员权限并绕过MySQL的权限限制执行更高级别的操作。 b) UDF提权UDFUser-Defined Functions提权是一种通过创建和加载自定义函数来获取系统管理员权限的方法。在MySQL中UDF提权可以通过创建恶意的自定义函数并将其加载到MySQL服务器中来实现。 UDF提权的步骤如下1. 创建一个恶意的C/C函数其中包含执行提权操作的代码。2. 编译恶意函数为动态链接库DLL文件。3. 在MySQL服务器上启用UDF功能并将恶意的DLL文件加载为自定义函数。4. 执行恶意的自定义函数从而触发提权操作。通过UDF提权攻击者可以执行系统级别的操作如创建新的管理员用户、修改系统配置等。这种提权方式利用了MySQL的UDF功能绕过了MySQL的权限限制获取更高的权限。 XSS跨站脚本攻击 1、XSS原理开发人员没有做好过滤致我们可以闭合标签进而插入并执行恶意JS代码2、xss类型分类a DOM型 由 DOM 文档完成解析b 反射型 即插即用没有存储在数据库里面c 存储型 被存储在数据库里面造成持久型的攻击3、常用的JS函数a document.cookie() 弹出当前网址的浏览器 cookieb console.log(xss) 在控制台输出日志4、绕过方式a 改变大小写scriptb 编码绕过 html 实体编码、 十进制十六进制八进制编码、 unicode 编码、c 关闭标签利用大于号 关闭标签使得xss生效d 双写饶过scrscriptipte 可以使用 空格 换行 tab 键或者 /**/ , /!a/,的形式绕过 关键词的检测f 用/代替空格g 用 反引号 代替 括号 、双引号h 用 throw 代替括号i 用 html 实体编码 : 代替 冒号j 用 jsfuck 编码绕过大部分字符过滤5、扫描工具xsstrickAWVSnmap6、XSS钓鱼平台kali工具BEEF7、xss防御过滤敏感字符a 例如aler() ,script ,onerrorb 增加 httponly 禁止前端执行JS代码i8、如何从根本防御XSS进行预编译 文件上传 1、漏洞原理开发人员未在上传点对文件名和文件内容做严格的过滤2、如何绕过黑名单1 特殊后缀名绕过php3-php5 、 phtml 、通过修改 httpd.conf 文件按可以实现解析任意后缀名2 通过上传 .htaccess 文件可以实现解析任意后缀名3 上传 .user.ini 文件利用包含实现getshell4 空格绕过利用的是 windows 和 linux 不允许文件名出现包括 空格 在内的特殊字符例如上传1.php[空格]5 点绕过windows 不允许出现点结尾的文件名会自动去掉文件名后面的点 linux 允许出现点结尾的文件6 流文件绕过windows 中::$DATA 符号后面的内容会被当成字节流数据上传之后会自动去掉 ::$DATA 以及后面的内容7 双写后缀名例如上传 1.pphphp 只适用于将 php 替换为空的情况3、绕过白名单1 00 截断2 配合文件包含4、对文件内容进行绕过1 填充垃圾字符2 免杀5、绕过前端验证1 在浏览器关闭前端 JS 功能2 burp 抓包修改 文件包含 1、文件包含函数a include() 、 require 、 include_once() 、 require_once()2、文件包含支持的协议a php 伪协议fiter 、 input 、 data 、 zip 、pharb file 协议c http 和 https3、利用条件a 本地文件包含不需要开启 allow_url_* 参数b 部分伪协议需要开启一个或者两个 allow_url_* 参数4、防御a 过滤关键字例如php:// 、 file:// 、 http://b 关闭 allow_url_* 参数 命令执行 1、拼接 、 、 | 、 ||2、原理在操作系统中 、 、 | 、 || 都可以作为命令连接符使用用户通过浏览器提交执行命令由于服务器端没有针对执行函数做过滤导致在没有指定绝对路径的情况下就执行命令 CSRF:跨站请求伪造 1、原理在 cookie 有效期范围内诱使受害者点击某个页面进而执行非受害者本意的操作。2、防御a 验证 referer字段b 加 token 验证 SSRF:服务器请求伪造 1、原理大都是由于服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容加载指定地址的图片下载等等。2、支持的协议a http://b https://c dict://d ftp://e file1f php 伪协议g gopher://3、危害a 内外网的端口和服务扫描b 主机本地敏感数据的读取c 内外网主机应用程序漏洞的利用d 内外网Web站点漏洞的利用4、防御a 过滤 file:// 、 gocher:// 等过滤 端口b 把网站需要访问的内网资源路径写死不从外部接收 信息泄露 1、原理信息泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻击者通过恶意的交互从网站获得数据。例如.svn、.git、.ds_store2、利用手法a 通过 robots.txt 泄露网站隐藏目录/文件.或者站点结构b 网站站点的 备份文件 未删除导致的泄露,可能会泄露网站源代码c 没有正确处理网站的一些 错误消息 ,在错误消息中泄露数据库表,字段等d 一些高度敏感的用户信息,银行账号等泄露e 在源代码中泄露数据库 账号密码 ,等等(GitHub)f 网站某些程序的细微差别提示是否存在某些资源,用户名 中间件漏洞 Apachea 解析漏洞多后缀名解析漏洞从后往前解析一直解析到可识别的后缀、罕见b 后缀名解析漏洞、.htaccess解析漏洞命令执行漏洞CVE-2021-42013 漏洞的原因是Apache HTTP Server在处理某些HTTP请求时未正确过滤用户提供的输入导致攻击者可以在请求中注入恶意的命令。攻击者可以通过在请求的查询字符串或请求头中插入特定的命令来利用该漏洞。 当受影响的服务器收到恶意请求时攻击者可以通过注入的命令执行任意操作包括读取、修改或删除服务器上的文件以及在服务器上执行任意的系统命令。这可能导致服务器的敏感信息泄露、服务中断或远程代码执行等安全问题。 为了利用该漏洞攻击者需要发送一个特制的HTTP请求并在请求中注入恶意命令。攻击者可以通过修改请求的查询字符串或请求头来实现注入。例如攻击者可以在查询字符串中添加类似于|命令或命令的注入语句以执行任意的系统命令。 IIS a 文件名解析漏洞从前往后解析遇到分号就截断忽略分号后面的内容例如1.asp;.jpgb 罕见后缀名例如.asa、.cer、.cdxc IIS 5.X/6.0的文件夹解析漏洞例如将文件夹以1.asp命名该文件夹中的所有文件都会被当做asp文件执行1.asp/1.jpg、1.asa/1.jpg、1.cer/1.jpg、1.cdx/1.jpgd IIS 7.0/IIS 7.5的CGI解析漏洞例如上传1.jpg然后访问 当IIS服务器收到一个CGI请求时它会尝试解析并执行CGI脚本。然而由于缺乏适当的安全检查攻击者可以通过在请求中包含恶意的CGI脚本来执行任意的代码。 具体来说攻击者可以通过上传一个看似是图片文件的CGI脚本如1.jpg并访问它来利用该漏洞。当服务器收到请求时它会将1.jpg文件传递给CGI处理程序进行解析和执行。由于CGI处理程序没有正确验证文件类型它会错误地将1.jpg文件当作CGI脚本来执行从而导致攻击者的恶意代码被执行。 成功利用该漏洞的攻击者可以执行任意的代码这可能导致服务器完全被控制进而造成敏感信息泄露、服务中断或其他安全问题。 e IIS PUT文件上传漏洞 f HTTP.sys远程代码执行漏洞MS15-034 该漏洞的原因是在HTTP.sys内核驱动程序中存在一个缓冲区溢出漏洞攻击者可以通过发送特制的Range请求头Range: bytes0-999表示客户端只请求资源的前1000个字节Range: bytes0-18446744073709551615表示请求的范围从0到2^64-1这是一个巨大的范围。来触发该漏洞。当HTTP.sys处理该恶意请求时缓冲区溢出会导致内存被破坏从而使攻击者能够执行任意的远程代码。 攻击者可以通过发送恶意的HTTP请求来利用该漏洞。这些请求通常包含一个特定的Range请求头其中包含一个巨大的范围值超出了HTTP.sys内核驱动程序所能处理的范围。当服务器收到这样的请求时HTTP.sys会尝试将数据复制到一个缓冲区中由于缓冲区溢出的存在攻击者可以在溢出的数据中插入恶意的代码。 成功利用该漏洞的攻击者可以执行任意的远程代码这可能导致服务器完全被控制进而造成敏感信息泄露、服务中断或其他安全问题。Nginxga CGI解析漏洞例如上传1.jpg然后访问1.jpg/.php 漏洞的原因是在Nginx的配置中CGI解析不当。当Nginx服务器收到一个请求时如果请求的URL中包含一个已存在的文件如1.jpg并且在文件名后面添加了斜杠和一个扩展名如1.jpg/.phpNginx会错误地将该请求当作CGI脚本解析并执行。 具体来说攻击者可以通过上传一个看似是图片文件的恶意CGI脚本如1.jpg并访问它如1.jpg/.php来利用该漏洞。当Nginx服务器收到请求时它会将1.jpg/.php文件传递给CGI解析器进行解析和执行。由于配置不当Nginx会将该文件当作CGI脚本来执行从而导致攻击者的恶意代码被执行。 成功利用该漏洞的攻击者可以执行任意的代码这可能导致服务器完全被控制进而造成敏感信息泄露、服务中断 其他 1、IIS目录解析漏洞、分号截断、CGI解析漏洞、PUT文件上传漏洞、MS15-0342、Apache多后缀名解析漏洞、目录遍历、命令执行漏洞CVE-2021-420133、NginxCGI解析漏洞4、Tomcat后台部署war包、PUT文件上传漏洞、反序列化漏洞、样例目录session操控漏洞 下面是详细解释后台部署war包的步骤1. 准备war包首先需要将Web应用程序打包成war格式。war包是一种特殊的压缩文件包含了Web应用程序的所有组件如HTML、JSP、Servlet、类文件、配置文件等。2. 将war包上传到Tomcat服务器将准备好的war包上传到Tomcat服务器上。可以通过多种方式实现上传例如使用Tomcat管理界面、FTP、SCP等。上传后war包会被存储在Tomcat服务器的webapps目录下。3. Tomcat自动解压war包一旦war包被上传到webapps目录Tomcat会自动检测并解压它。解压后Tomcat会在webapps目录下创建一个与war包同名的目录并将解压后的文件和目录放置在其中。4. 应用程序部署完成解压后的目录中包含了Web应用程序的所有组件。Tomcat会自动加载并运行这些组件使得Web应用程序可以在Tomcat服务器上正常运行。5. 访问Web应用程序一旦Web应用程序部署完成可以通过访问Tomcat服务器的URL来访问该应用程序。URL的格式通常是http://hostname:port/context其中hostname是Tomcat服务器的主机名或IP地址port是Tomcat服务器的端口号context是Web应用程序在Tomcat中的上下文路径。 1. 后台部署war包漏洞 攻击者利用该漏洞的步骤如下 - 攻击者将恶意war包文件命名为合法的文件名并将其上传到Tomcat的webapps目录下。 - Tomcat会自动检测并解压war包生成对应的应用程序目录。- 应用程序目录中包含了攻击者上传的恶意代码。 - Tomcat会自动加载并运行这些恶意代码导致攻击者可以执行任意的代码包括远程命令执行、文件操作、数据库访问等。 为了修复这个漏洞Tomcat用户应该升级到最新版本并应用厂商发布的安全补丁。此外可以考虑限制对webapps目录的写入权限只允许受信任的用户或IP地址上传war包。还可以使用防火墙或其他网络安全设备来过滤和监控对webapps目录的访问以增加安全性。 2. 样例目录session操控漏洞样例目录session操控漏洞是指攻击者可以通过访问Tomcat的样例目录中的应用程序获取或操控其他用户的会话session信息的漏洞。 具体来说攻击者利用该漏洞的步骤如下 - 攻击者访问Tomcat的样例目录中的应用程序如示例的登录页面。- Tomcat会为攻击者创建一个新的会话并分配一个会话IDsession ID。 - 攻击者可以通过获取其他用户的会话ID来冒充这些用户执行未经授权的操作。攻击者可以使用不同的方式获取其他用户的会话ID如通过URL重定向、跨站脚本攻击XSS等。 为了修复这个漏洞Tomcat用户应该升级到最新版本并应用厂商发布的安全补丁。此外可以考虑禁用或删除样例目录以减少攻击面。还可以使用安全编码和输入验证来防止XSS攻击并使用安全的会话管理机制如使用安全的会话ID生成算法、设置会话超时时间等以增加安全性 5、Weblogic后台部署war包、一大堆反序列化漏洞、未授权RCE漏洞 补充RESTful APIRepresentational State eval Transfer API是一种基于HTTP协议的Web服务接口设计风格用于实现不同系统之间的数据交互。它通过使用HTTP方法如GET、POST、PUT、DELETE等和URL来对资源进行操作和访问。在Weblogic中管理控制台提供了一些RESTful API接口用于管理和监控Weblogic服务器。这些接口允许用户通过发送HTTP请求来执行各种操作如创建和部署应用程序、配置服务器参数、查看服务器状态等。 然而在某些版本的Weblogic中存在一个未授权的RESTful API接口这意味着该接口没有进行身份验证。攻击者可以通过发送特定的HTTP请求到该接口执行任意的代码而无需提供有效的凭证。 Weblogic是一款Java应用服务器广泛用于企业级应用程序的部署和管理。在某些版本的Weblogic中存在一个安全漏洞攻击者可以通过发送特制的请求包来利用该漏洞。 具体来说该漏洞的原因是Weblogic管理控制台中存在一个未授权的RESTful API接口攻击者可以通过发送特定的HTTP请求到该接口执行任意的代码。由于该接口未经身份验证攻击者无需提供有效的凭证即可利用该漏洞。成功利用该漏洞的攻击者可以执行任意的代码这可能导致服务器完全被控制进而造成敏感信息泄露、服务中断或其他安全问题。 为了修复这个漏洞建议Weblogic用户及时升级到最新版本并应用厂商发布的安全补丁。此外可以考虑限制对Weblogic管理控制台的访问并采取其他安全措施如强密码策略、网络隔离等以减少攻击面。 6、Jboss后台部署war包、一堆反序列化 框架漏洞研判必备 thinkphp5.x RCE 基本都是对模型对方法的路由处理有误导致RCE反序列化漏洞的话需要有反序列化点thinkphp5.0.x漏洞原因是对url处理有关导致远程命令执行 漏洞的原因是由于ThinkPHP框架在处理URL参数时存在安全漏洞。具体来说当应用程序接收到一个URL参数时框架会自动将该参数解析为控制器和方法并执行对应的代码。然而在解析过程中ThinkPHP没有对参数进行充分的验证和过滤导致攻击者可以通过构造恶意的URL参数来执行任意的PHP代码。 攻击者可以通过在URL参数中注入PHP代码例如通过使用eval()函数或其他执行代码的方法。一旦恶意代码被执行攻击者可以在受影响的服务器上执行任意的操作包括但不限于- 读取、修改或删除服务器上的文件和数据库。- 执行系统命令获取服务器的敏感信息。- 控制服务器并进行远程操作。 为了防止该漏洞的利用开发人员可以采取以下措施- 及时升级和更新ThinkPHP框架到最新版本以修复已知的安全漏洞。- 对URL参数进行严格的验证和过滤确保只接受符合预期格式和内容的参数。- 避免使用eval()等容易导致RCE漏洞的函数尽量使用更安全的方法来执行代码。- 对于用户输入的内容进行适当的编码和转义以防止恶意代码的注入。 Struts2 1、原理struts2是一个框架他在处理action的时候调用底层的getter/setter来处理http的参数将每一个http的参数声明为一个ONGL。导致命令执行框架特点文件后缀名”.action ” “.do” 具体来说Struts2框架在处理HTTP请求参数时会将参数值作为一个字符串然后将其解析为OGNL表达式。攻击者可以构造恶意的请求将恶意的OGNL表达式作为参数值传递给框架。当框架在处理参数时会将恶意的OGNL表达式当作合法的代码执行从而导致命令执行漏洞。 其中getter方法用于获取对象的属性值而setter方法用于设置对象的属性值。攻击者可以通过构造恶意的参数值来执行任意的代码包括但不限于执行系统命令、访问敏感文件等操作。攻击者可以利用这个漏洞来获取系统权限、执行远程命令等。 为了防止Struts2框架的命令执行漏洞开发人员可以采取以下措施- 及时升级和更新Struts2框架到最新版本以修复已知的安全漏洞。- 对用户输入进行严格的验证和过滤确保只接受预期格式和内容的数据。- 配置安全的访问控制策略限制用户的访问权限。- 避免使用动态执行代码的功能如OGNL表达式的使用。- 使用安全的编码和转义方法防止恶意代码的注入。2、例子S2-062漏洞形成的原因是struts在处理标签的name属性时将用户输入当作表达式进行二次解析导致OGNL表达式注入。s2-046 通过Content-Type这个header头 filename 后面需要00截断注入OGNL语言进而执行命令,通过不恰当的 filename 字段或者大小超过 2G 的 Content-Length 字段来触发异常进而导致任意代码执行。 Shrio 反序列化 1、原理Apache Shiro是一个Java安全框架执行身份验证、授权、密码和会话管理Shiro提供了RememberMe的功能当用户关闭浏览器下次再打开浏览器访问时还是能记住我是谁无需登录即可访问。其实很多网站都有这功能Shiro对RememberMe的Cookie做了加密处理在CookieRememberMeManaer类中将Cookie中RememberMe字段内容分别进行序列化、AES加密、Base64编码等操作但是默认的加密AES Key是硬编码进去的都知道这个Key是什么所以在逆向操作反序列化、Base64解密的时候攻击者就可以伪造恶意数据通过反序列化远程执行命令。 Fastjson 反序列化 通过Fastjson反序列化漏洞攻击者可以传入一个恶意构造的JSON内容程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数进而导致代码执行。 补充1. 普通反序列化Fastjson可以直接将JSON字符串转换为Java对象。通过调用JSON.parseObject()方法传入JSON字符串和目标Java对象的Class类型Fastjson会自动将JSON字符串中的数据映射到Java对象的对应属性上。 2. 泛型反序列化Fastjson支持将JSON字符串转换为泛型类型的Java对象。通过使用TypeReference类可以定义一个泛型类型的引用然后将其传递给JSON.parseObject()方法进行反序列化。 3. 自定义反序列化Fastjson允许用户通过实现com.alibaba.fastjson.parser.deserializer.ObjectDeserializer接口来自定义反序列化逻辑。通过实现deserialize方法可以在反序列化过程中对JSON字符串进行自定义处理例如处理特殊的数据格式或者进行数据校验 漏洞的根本原因是Fastjson在处理反序列化时没有对反序列化的对象进行充分的验证和过滤。攻击者可以构造恶意的JSON数据将恶意代码注入到应用程序中。当应用程序对该数据进行反序列化操作时恶意代码将被执行从而导致安全漏洞。 具体来说攻击者可以通过构造恶意的JSON数据将恶意代码嵌入到对象的字段中。当Fastjson对该JSON数据进行反序列化操作时恶意代码将被执行。攻击者可以利用这个漏洞来执行任意的命令获取敏感信息或者进行其他恶意活动。 redis未授权 1、redis在6379端口2、写webshell3、写公钥实现免密登录4、写计划任务实现反弹shell5、主从复制getshell Redis未授权访问漏洞是指未经身份验证或授权的情况下攻击者可以直接访问Redis数据库。这种漏洞通常是由于管理员未正确配置Redis的访问控制机制如密码认证或IP白名单或者是由于使用了默认的弱密码或未更改默认端口而导致的。 攻击者可以通过扫描公网IP或者利用自动化工具来寻找未授权访问的Redis实例。一旦攻击者获得了未授权访问权限他们可以执行以下恶意行为 1. 数据泄露攻击者可以读取、修改或删除Redis数据库中的数据包括敏感信息如用户凭证、客户机会话等。 2. 数据篡改攻击者可以修改Redis数据库中的数据例如篡改配置信息、修改业务数据等。3. 拒绝服务攻击者可以通过写入大量数据或者删除关键数据来导致Redis服务不可用。 为了防止Redis未授权访问漏洞可以采取以下措施 1. 配置密码认证在Redis配置文件中设置密码并确保密码的复杂度和安全性。 2. 配置IP白名单限制允许访问Redis的IP地址范围只允许受信任的主机访问。 3. 更改默认端口将Redis的默认端口6379更改为非标准端口以减少被扫描到的风险。4. 更新和升级及时更新Redis版本并关注官方发布的安全补丁和建议。 5. 安全审计定期审计Redis的配置和访问日志以及监控Redis的网络流量和性能。 流量溯源 可利用流量工具 wireshark 进行溯源查看 eval、 z0、 shell whoami 等关键字查看出现次数过多的时候 需要查看是哪个页面发起的请求有可能是 webshell通过 WireShark 工具快速搜索关键字定位到异常流量包找出异常 IP 和所上传的内容查看是否为 webshell如何定位到攻击IP首先通过选择 - 统计 - 对话查看流量的走向情况 定位可疑的 IP 地址根据定位到的 IP 地址尝试对上传的 webshell 进行定位ip.addr ip httpmatchesuploadllevallselectlxp_cmdshell http.request.method POST查找到 webshell 后尝试溯源漏洞位置http.request.uri contains webshell.php定位到最开始 webshell 执行或上传的时候根据最开始的 HTTP 上传包或者其他漏洞特征定位漏洞类型 溯源工具 wiresharkwireshark 简单的过滤规则过滤ip过滤源 ip 地址ip.src1.1.1.1目的 ip 地址ip.dst1.1.1.1过滤端口过滤80端口tcp.port 80源端口tcp.srcport 80目的端tcp.dstport 80协议过滤直接输入协议名即可如 http 协议 httphttp 模式过滤过滤 get/post 包 httprequest.mothod GET/POST 常用取证工具 Wireshark、xplico、 Volatility、 FastlR Collector、Autopsy、 Dumplt、 FTK Imager、Foremost、Scalpel、 Bulk_ exetractor 等 VolatilityVolatility是一款专门用于内存取证和分析的工具。它可以帮助取证人员从内存转储中提取操作系统和进程的信息包括文件、网络连接、注册表等。Volatility支持多种操作系统适用于恶意代码分析和取证调查。 DumpItDumpIt是一款用于取证的内存转储工具可用于获取目标计算机的内存快照。它可以帮助取证人员分析内存中的进程、网络连接、注册表等信息有助于发现和分析恶意活动。 ForemostForemost是一款开源的文件恢复工具用于从存储介质中恢复已删除的文件。它可以帮助取证人员查找和提取存储介质中的文件包括图像、视频、文档等。Foremost支持多种文件类型和数据格式。
