top10
sql: 攻击者输入带有恶意的sql参数动态的拼接到sql语句中,连接到数据库
分类:联合查询:通过union拼接恶意查询
时间盲注:通过时间的差异判断sql语句对错sleep函数
报错注入:通过报错寻找注入点,常用的函数floor updatexml()exp等
利用:大小写绕过,双写绕过,编码绕过,空格绕过
防范:前端校验,参数化查询语句,对特殊字符进行删除转译
xss,跨站脚本攻击,服务器把攻击者的恶意输入当作前端代码执行
反射(非持久型)存储(持久型)dom(修改前端代码的dom节点形成的xss,直接前端就执行了)
校验输入,不允许输入特殊字符,特殊字符进行校验删编码
常用的标签有 script,和onlick和img和onmouseover,select
csrf:跨站请求伪造:利用已经登陆的用户的信息向目标网站进行恶意的操作
验证referer,增加token,添加验证码,双重验证
ssrf服务器请求伪造:让服务器访问内部的敏感数据和执行敏感操作
防止重定向,严格校验服务器,禁止跳转
xxe:外部实体注入,通过恶意的xml文件诱导服务器加载敏感资源
过滤用户输入的xml文件,开发的时候提供禁用外部实体的方法
文件包含,通过篡改文件的访问路径,读取到了原本没有权限访问的资源和文件
网站引入一段用户能控制本地或者远程文件源码,让服务器执行
常见函数include,require()
文件上传。文件上传部分对上传文件的校验有缺陷,导致向服务器可以接受可以恶意执行的脚本文件
可以上传的文件类型有php,jsp,.py,图片码 等等
绕过waf的方式有,名字大小写,双写文件名,用
脏数据,分批上传等等
权限提升:
-
mysql提权(UDF、mof),serv-u提权,oracle提权-
-
windows 溢出提权、第三方软件及服务、注册表提权-
-
linux脏牛、内核漏洞提权、SUID/GUID
反序列化
序列化是将对象转化为字符
常用的函数:eval();assert();system()
组件:shiro,welogic,fastjosn,log4j,thinkphp,tomcat
shiro反序列化:默认密钥构造了恶意的序列化经过AES加密后伪造了cookie触发了代码执行
shiro550 通过cookie值然后base64解码后AES解密然后反序列化
shiro721不需要密钥,构造出remember字段后的值,cookie即可完成攻击
weblogic:T3反序列化,IIop反序列化,xml反序列化
特征:有T3协议特征,文件操作的特征
fastjosn:在处理json对象的时候没有对type字段进行过滤,攻击者传入恶意类,通过类生成时执行构造函数实现攻击
特征:有json,autotype
log4j:lookup功能,日志处理机制中动态资源加载功能被恶意的利用
springboot:接口未授权和代码命令执行
未授权访问
redis 6379
如果在没有开启认证的情况下可以导致未授权访问redis以及读取redis数据,可以在服务器上写入公钥,进而可以直接私钥登录服务器
条件:root权限,无密码或者弱口令,利用:缓存,排行,利用info可以查看服务器参数和敏感信息
防御时需通过命令禁用、访问控制和网络隔离
MongoDB
默认没有权限验证,远程访问数据库,增删改查
jenkins
通过未授权访问直接进入脚本命令执行界面 执行攻击命令
常见的端口
21ftp文件传输 22ssh远程链接 25 邮件传输 53DNS 443https
1433mssql 1521oracle 3306mysql 3389远程桌面
6379 redis 数据库 5432 postgresql
8080/8089 tomcat
|
工具 |
识别口诀 |
关键特征简记 |
|---|---|---|
|
菜刀 |
|
POST 提交参数常为 |
|
蚁剑 |
|
参数以 |
|
冰蝎 |
|
请求为 |
|
哥斯拉 |
|
参数 |
-
第一步:用 Autoruns 快速查看和禁用异常的开机启动项,防止恶意程序开机自启。
-
第二步:用 PC Hunter 深度排查当前运行的进程和驱动,发现隐匿恶意程序,终止和清理。
-
第三步:结合杀软(如火绒、河马)做全面扫描,清除残留恶意文件。
-
第四步:对系统进行日志分析、网络流量监控,完成朔源调查。
常见的网络安全设备
Windows应急
-
账号与日志检查:查看是否存在弱口令、可疑账号(含隐藏、克隆账号),确认远程管理端口开放情况;通过eventwmr.msc分析系统日志,核查管理员登录时间及用户名是否异常。
-
端口与进程排查:使用netstat -ano检查端口连接,找出远程或可疑连接;通过tasklist | findstr "PID"依据PID定位进程,搭配功能查杀工具进一步处理。
-
启动项与服务审查:借助msconfig检查异常启动项;查看计划任务属性,定位木马文件路径;通过services.msc关注服务状态与启动类型,排查异常服务。
-
系统信息核查:执行systeminfo查看系统版本及补丁信息;查找可疑目录文件,分析新建用户目录及近期打开文件(%UserProfile%\Recent)。
-
自动化查杀:使用360、火绒剑等工具进行查杀,针对webshell后门可选用D盾、河马等工具。
-
日志深度分析:运用360星图日志分析工具、ELK分析平台对日志进行深度挖掘。
Linux应急
-
用户账号检查:检查/etc/passwd、/etc/shadow文件,留意多余账号,重点关注账号后是否为nologin。
-
系统状态查看:通过who命令查看当前登录用户(区分本地tty与远程pts登录),用w命令查看系统信息及用户行为,uptime查看登录时长、用户数及负载。
-
环境配置修改:修改/etc/profile文件,在尾部添加代码,使history命令能显示攻击者IP、时间及历史命令。
-
网络与进程分析:执行netstat -antlp|more分析可疑端口、IP及PID,通过ls -l /proc/PID/exe查看PID对应进程文件路径;使用ps aux | grep pid分析进程。
-
运行级别与文件检查:通过vi /etc/inittab查看系统运行级别,检查/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件。
-
定时任务审查:查看crontab定时任务,排查是否存在可疑启用脚本。
-
服务检查:使用chkconfig --list查看是否存在可疑服务。
-
日志分析:通过grep、awk命令分析/var/log/secure安全日志,查找攻击痕迹。
-
病毒查杀:利用chkrootkit、rkhunter、Clamav等工具对系统文件进行病毒后门查杀。
-
Web站点处理:针对Web站点,使用D盾、河马查杀工具,或手工依据脚本木马关键字、关键函数(如eval、system等)查杀Webshell后门。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
