常见的SQL注入？sqlmap的常用命令和功能？SQLMAPAPI怎么使用？sqlmap --os-shell

原理：在数据交互中，前端的数据传入到后台处理
时，由于后端没有做严格的判断，导致其传入的“数
据”拼接到SQL语句中后，被当作SQL语句的一部分执
行。
种类：字符，数字，布尔，报错，延迟，联合，堆
叠，宽字节，XFF等
修复：使用预编译，PDO，正则表达式过滤，开启魔
术引号，加装WAF等
（预编译原理：预编译将一次查询通过两次交互完成，
第一次交互发送查询语句的模板，由后端的SQL引擎进
行解析为AST或Opcode，第二次交互发送数据，代入
AST或Opcode中执行，无论后续向模板传入什么参
数，这些参数仅仅被当成字符串进行查询处理，因此
杜绝了sql注入的产生）

以下是SQLMap的一些常用命令和功能：

1. 基本命令：

   • sqlmap -u <URL>：对指定的URL进行SQL注入检测。
   • sqlmap -r <request_file>：对保存的HTTP请求文件进行SQL注入检测。
   • sqlmap -g <keyword>：通过搜索引擎检测和利用SQL注入漏洞。
   • sqlmap -d <database>：指定要测试的数据库名称。

2. 参数探测：

   • --dbs：获取目标数据库的所有数据库名称。
   • --tables -D <database>：获取指定数据库中的所有表名。
   • --columns -D <database> -T <table>：获取指定表中的所有列名。
   • --dump -D <database> -T <table>：获取指定表中的数据。

3. 注入点检测：

   • --level：指定检测的深度级别，范围为1-5，默认为1。
   • --risk：指定检测的风险级别，范围为1-3，默认为1。

4. 注入方式：

   • --technique：指定注入的方式，常用的有：UNION、BOOLEAN、TIME等。

5. 数据库管理：

   • --os-shell：获取操作系统的shell权限。
   • --sql-shell：获取数据库的命令行shell权限。

sqlmapapi本质就是sqlmap打开一个web服务器，然后通过使用http协议与客户端进行交互

sqlmap --os-shell:
–os-shell的条件？拥有网站的写入条件
对于mysql数据库来说，–os-shell的本质就是写入两个php文件，其中tmpugvzq.php可以让我们上传文件到网站下，让我们命令执行，并将输出的内容返回sqlmap端，另一个返回课以让我们执行系统命令的命令行；简单的说就是先传小马再传自己的大马

XSS的种类有哪些？区别？修复呢？xxs的作用？Xss worm原理？

种类：存储型，反射型，DOM型
区别：
存储型:常出现在信息修改添加等地方，导致恶
意代码被存储在数据库中，每当被攻击者访问到后就
会触发执行；
反射型：常出现在url中，一般需要攻击
者提前构造好恶意链接，欺骗用户点击，触发攻击代
码；
DOM型：攻击代码在url中，然后输出在了浏览器
的DOM节点中。
简单比较会发现，存储和反射都经过
服务器，而DOM是纯前端
修复：对输入数据进行Html Encode 处理，白名单过
滤，过滤JavaScript 事件的标签，开启http-only，装
WAF等。
作用：
1.窃取cookies，读取目标网站的cookie发送到黑客的服务器上
2.读取用户未公开的资料
Xss worm原理：
实质上是一段脚本程序，通常用 JavaScript或Vbscript写成，在用户浏览XSS页面时被激活。蠕虫利用站点页面的XSS漏洞根据其特定规则进行传播和感染

攻击者发现目标网站存在XSS漏洞，并且可以编写XSS蠕虫。
利用一个宿主(如博客空间) 作为传播源头进行XSS攻击
当其他用户访问被感染的空间时，XSS蠕虫执行以下操作：
===判断用户是否登录，如果已登录就执行下一步: 如果没登录则执行其他操作。

===继续判断该用户是否被感染，如果没有就将其感染: 如果已感染则跳过

XSS,CSRF和SSRF区别？

XSS：跨站脚本攻击；
CSRF：跨站请求伪造脚本攻击；
SSRF：服务器请求伪造攻击。
区别：
XSS是服务器对用户输入的数据没有进行足够的过滤，导致客户端浏览器在渲染服务器返回的html页面时，出现了预期值之外的 脚本语句被执行。修复方式：对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。

CSRF是服务器端没有对用户提交的数据进行随机值校验，且对http请求包内的refer字段校验不严，导致攻击者可以 利用用户的Cookie信息伪造用户请求发送至服务器。修复方式：筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer.。csrf 是客户端发起

SSRF是服务器对 用户提供的可控URL过于信任，没有对攻击者提供的RUL进行地址限制和足够的检测，导致攻击者可以以此为跳板攻击内网或其他服务器。ssrf是从服务端发起的

XXE漏洞

XXE漏洞即xml外部实体注入漏洞,发生在应用程序解析
XML输入时，没有禁止外部实体的加载，导致可加载恶
意外部文件，造成文件读取、命令执行、内网端口、
攻击内网网站、发起dos攻击等危害。
修复方式：XML解析库在调用时严格禁止对外部实体的解析。
xxe的利用方式：
利用 XXE 检索文件 定义包含文件内容的外部实体，并在应用程序的响应中返回。
利用 XXE 执行 SSRF 攻击，外部实体基于 URL 到后端系统的定义。
利用盲XXE外泄数据带外，将敏感数据从应用程序服务器传输到攻击者控制的系统。
利用盲 XXE 通过错误消息检索数据，攻击者可以触发包含敏感数据的解析错误消息的位置。

反序列化

PHP反序列化又可以简单分成两种，一种无
类，一种有类，无类利用就略微简单，如果源码会将
输入的值进行反序列化，那我们就需要提前将数据序
列化后再传入。而想要利用有类就要用到魔术方法，
使用unserialize()函数将字符串转换为对象，序列化使用serialize()函数将对象转化为字符串

Java中的ObjectOutputStream类的writeObject()方法可
以实现序列化，其作用把对象转换成字节流，便于保
存或者传输，而ObjectInputStream类的readObject()方
法用于反序列化，作用就是把字节流还原成对象。

shiro反序列化主要是Apache shiro提供了一个
remember的一个功能，用户登录成功后会生成经过加
密并编码的cookie，保存在浏览器中方便用户的日常使
用，而服务器对cookie的处理流程就是先获取浏览器上
保存的cookie，然后将其bs64解码，再进行AES解密，
再将其反序列化进行校验，而漏洞就是出现在这里，
我们都知道AES它是一个硬编码，他是有默认密钥的，
如果程序员没有去修改或者过于简单，那我们就可以
进行cookie重构，先构造我们的恶意代码，然后将恶意
代码进行序列化，然后AES加密(密钥我们已经爆破出
来了)，再进行bs64编码，形成我们新的cookie，而服
务器在处理时就会按照刚才的处理流程，就会在服务
端触发我们构造的恶意代码。

python也有反序列化的漏洞，比如他提供的pickle库，就是基于二进制方式的序列化
Python反序列化高危模块：
marshal
PyYAML
pickle和cpickle
shelve
unzip

常见的中间件漏洞

IIS：PUT漏洞、短文件名猜解、远程代码执行、解析
漏洞等
Apache：解析漏洞、目录遍历等
Nginx:文件解析、目录遍历、CRLF注入、目录穿越等
Tomcat:远程代码执行、war后门文件部署等
JBoss:反序列化漏洞、war后门文件部署等
WebLogic:反序列化漏洞、SSRF任意文件上传、war后
门文件部署等

WAF绕过的手法

这里从以sql注入为例，从三个层面简单总结一下手
法。
1.从架构层面：找到服务器真实IP，同网段绕过，http
和https同时开放服务绕过，边缘资产漏洞利用绕过。
2.从协议层面：分块延时传输，利用pipline绕过，利用
协议未覆盖绕过，POST及GET提交绕过。
3.从规则层面：编码绕过，等价符号替换绕过，普通注
释和内敛注释，缓冲区溢出，mysql黑魔法，白名单及
静态资源绕过，文件格式绕过，参数污染。

渗透测试的流程

单一网站：先判断有无CDN，有先找真实ip，无的话扫
扫旁站，c段，此外识别CMS，看看使用什么中间件，
插件，系统等等，再对其进行端口探测，目录扫描，
查看网站的js文件，看看有没有敏感信息泄露，找找看
看有没有app，公众号之类的等等扩大资产面，然后对
收集到的信息进行常规的漏洞探测。
网段或区域：使用goby工具对资产进行一个批量的扫
描，批量打点，然后对可能存在漏洞的薄弱点进行漏
洞探测。

TCP/IP的三次握手和四次挥手过程，且为什么要这样

三次握手：当客户端连接服务器，首先会对服务器
发送一个SYN包(连接请求数据)，表示询问是否可以
连接，服务器如果同意连接，就会回复一个
SYN+ACK，客户端收到后就会回复一个ACK包，连
接建立。因为期间相互发送了三包数据，所以称为
三次握手。
四次挥手：处于连接状态的客户端或者服务器都可
以发起关闭连接请求，假设客户端主动发起关闭请
求，它先需要先服务端发送一个FIN包，表示我要关
闭连接，自己进入终止等待1的状态(第一次挥手)，
服务器收到FIN包之后发送一包ACK包，表示自己进
入关闭等待的状态，客户端进入终止等待2的状态
(第二次挥手)，服务器这时候还可以发送未发送的
数据，客户端还可以接收数据，等到服务端将所有
数据发送完后，向客户端发送一个FIN包，自身进入
最后缺人状态(第三次挥手)，客户端收到后回复一
个ACK包，自己进入超时等待状态，进入超时时间
后关闭连接，而服务端收到ACK包后立即关闭连接
(第四次挥手)。
原因：为了解决网络信道不可靠的问题，为了能够
在不可靠的信道上建立起可靠的连接。

UDP和TCP协议的区别及优缺点

UDP协议是基于非连接的，发送数据就是将数据简单
是封装，然后从网卡发出去即可。数据包之间并没有
状态上的联系，所以其优点就是性能消耗少，资源占
用少；缺点就是稳定性弱。
TCP协议是基于连接的，在收发数据前必须和对方建立
可靠的连接，建立连接的3次握手、断开连接的4次挥
手，为数据传输打下可靠基础。所以优点就是 传输稳
定可靠。

提权的方法及思路

win：

1. 系统内核溢出提权；
2. 数据库提权；
3. 错误的系统配置提权；
4. DLL劫持提权；
5. 特权第三方软件or服务提权；
6. 令牌窃取提权；
7. web中间件漏洞提权；
8. AT，SC，PS提权等等；

Linux：
1.系统内核溢出提权；
2.SUID和GUID提权；
3.不安全的环境变量提权；
4.定时任务提权；
5.数据库提权等

应急响应的简单流程？

准备，检测，遏制，根除，恢复，跟踪，报告一般是从第二步到第五步的过程，截图等
准备：信息收集，工具准备
检测：了解资产情况，明确影响，尝试进行攻击路径溯源，判断类型
遏制：关闭端口，服务，停止进程，拔网线
根除：通过杀毒软件，清除恶意文件，杀掉异常进程，打补丁或者修复相关文件
恢复：备份，恢复系统正常
跟·踪：复盘全貌，总结汇报

请求方式有几种

GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT

GET和POST的区别

GET产生一个TCP数据包；POST产生两个TCP数据包。（对于GET方式的请求，浏览器会把http header和data一并发送出去，服务器响应200（返回数据）；而对于POST，浏览器先发送header，服务器响应100 continue，浏览器再发送data，服务器响应200 ok（返回数据）），但是，并不是所有浏览器都会在POST中发送两次包，Firefox就只发送一次
HTTP对GET和POST参数的传送渠道（url还是requrest body）提出了要求，GET参数通过URL传递，POST放在Request body中。
对参数的数据类型，GET只接受ASCII字符，而POST没有限制
GET请求只能进行url编码，而POST支持多种编码方式
GET请求参数会被完整保留在浏览器历史记录里，而POST中的参数不会被保留
GET和POST的底层也是TCP/IP，也就是说，GET/POST都是TCP链接，要给GET加上request body，给POST带上url参数，技术上是完全行的通的。
GET请求在URL中传送的参数是有长度限制的，而POST没有

什么是IDS、IPS及它们之间的区别

IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。
这些位置通常是：
1、服务器区域的交换机上；
2、Internet接入路由器之后的第一台交换机上；
3、重点保护网段的局域网交换机上

IPS系统是电脑网络安全设施，是对防病毒软件和防火墙的补充。 IPS系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。IPS是检测在系统的防火墙和外网之间，针对流向内部的流量进行分析。监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

​ IPS 通常采用 Inline 接入，在办公网络中，至少需要在以下区域部署：

办公网与外部网络的连接部位（入口 / 出口）
重要服务器集群前端
办公网内部接入层

IPS旁路部署注意点：
IDS设备和旁路部署的IPS设备，只检测攻击行为，不防御。
IDS设备和旁路部署的IPS设备不提供反病毒功能。
IDS设备和旁路部署的IPS设备只检测并记录攻击事件，不进行异常流量清洗。(应用层DDOS）
IDS设备和旁路部署的IPS设备不提供应用流量控制功能，管理员可以通过分析和报表功能，查看 网络流量中的应用组成情况
IDS设备、旁路部署的IPS设备以及单臂部署的IPS设备不提供网络级高可靠性。（双机热备和 Bypass卡）

IDS：
误报、漏报率高
​ IDS系统在识别 “大规模组合式、 分布式入侵攻击” 方面，还没有较好的解决方法，误报与漏报现象严重。 误报使得大量的报警事件分散管理员的精力， 反而无法对真正的攻击作出反应。 与误报相对应的是漏报， 随着攻击方法的不断更新，入侵检测系统是否能报出网络中所有的攻击也是一个问题。

没有主动防御能力
​ IDS技术采用了一种预设置式、 特征分析式工作原理， 所以检测规则的更新总是落后于攻>击手段的更新， 无法主动发现网络中的安全隐患和故障。 另外， IDS只是检测和报警， 并不具有真正的防御和阻止攻击的能力，在报警的同时， 攻击已经发生了。

不能解析加密数据流
​ 对于加密的通信来说，IDS是无能为力的。

IPS：

同时具备检测和防御功能
​ IPS 不仅能检测攻击还能阻止攻击， 做到检测和防御兼顾，而且是在入口处就开始检测， 而不是等到进入内部网络后再检测，这样，检测效率和内网的安全性都大大提高。

可检测到IDS检测不到的攻击行为
​ IPS是在应用层的内容检测基础上加上主动响应和过滤功能， 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足， 填补了网络安全产品基于内容的安全检查的空白。

IPS是一种失效既阻断机制
​ 当IPS被攻击失效后， 它会阻断网络连接， 就像防火墙一样， 使被保护资源与外界隔断。

​ IPS 的阻断方式较 IDS 更为可靠，可以中断拦截 UDP 会话，也可以做到确保符合签名规则的数据包不漏发到被保护区域。

​ IPS 致命的缺点是同样硬件的情况下，性能比 IDS 低的多。实际应用中，误杀漏杀和 IDS 一样，主要是签名库决定的。但是随着 UDP 协议的广泛使用，IPS 在 UDP 上的误杀率可能会高于 IDS

getshell方法

进后台Getshell（管理员后台直接Getshell，后台数据库备份Getshell)
各类上传Getshell(修改网站上传类型Getshell,上传其他脚本类型Getshell)
解析漏洞Getshell(IIS6.0解析漏洞Getshell,IIS7.0/7.5、Nginx<8.0解析漏洞Getshell,Nginx<8.03空字节代码执行漏洞Getshell,Apache解析漏洞Getshell,CVE-2013-4547 Nginx解析漏洞Getshell)
编辑漏洞Getshell(网站配置插马Getshell,编辑器模版Getshell,修改脚本文件Getshell,上传插件、更新页面Getshell,执行sql语句写入Webshell)
命令执行Getshel
文件包含Getshell（asp包含，php包含，使用php://input
上传图片马
数据库命令执行Getshell（Access导出，Sqlserver导出，Mysql导出）
不进后台Getshell（0day Getshell，写入日志Getshell，IIS/Tomcat写权限Getshell等等）

域知识

域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

如何对一个网页进行渗透测试

信息收集：了解目标站点的技术架构、操作系统、应用环境等基本信息。
安全扫描：通过工具或者手动检查来识别潜在的安全风险。
利用漏洞：尝试利用已知的漏洞攻击目标站点。
探测后门：查找可能存在的后门程序，并尝试利用它们。
维护权限：获取到权限后，维护和扩展权限，确保拥有足够多的访问权限。
清理痕迹：确保测试过程中不会留下任何痕迹

waf，绕waf的手段

非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的；
而嵌入型WAF指的是网站内置的WAF。
非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。
步骤：
解析http请求：协议解析模块
匹配规则：规则检测模块，匹配规则库
防御动作：return 403 或者跳转到自定义界面，或者不返回任何数据，或者拉黑IP
日志记录：记录到elk中

绕过方法：
超过WAF配额绕过（增加参数个数，增加参数长度，增加WAF负载）
构造异常数据包（双参数绕过，请求方式转换，绕过匹配规则，穿插关键字等等）

文件上传漏洞绕过的方法

原理：由于网站在对文件的上传功能中没有严格校验上传文件后缀和文件类型，导致上传的文件可以被解析成可执行的脚本文件（php、jsp、xml、cer等文件），以来达到攻击者的攻击目的
方法：
文件截断绕过
Apache文件解析
ISS文件解析
PHP CGI路径解析
客户端绕过（利用 burp 抓包改包）
单双重后缀名绕过
白名单绕过
黑名单扩展名绕过等等

同时，我们可以通过以下方法来避免：
1.文件上传的目录设置为不执行，将上传的文件做静态文件处理
2.判断文件类型，结合MIMEType等方式，在文件名检查中，使用白名单方式
3.使用随机数改写文件名和文件路径
4.单独设置文件服务器的域名

哥斯拉

默认的情况下，User-Agent会有类似于Java/1.8.0_121（具体取决于JDK环境版本）。但是哥斯拉可以自定义HTTP头，所以这个特征是容易去除的
Accept处为text/html, image/gif, image/jpeg, *; q=.2, /; q=.2，但此处依然可以自定义头部去除
请求体特征 （比较大的数据包，base64编码）
哥斯拉使用的是ICMP协议数据报文,ICMP数据报文的载荷部分Length值固定为92字节

哥斯拉 webshell 木马静态特征：
选择默认脚本编码生成的情况下，jsp 会出现 xc,pass 字符和 Java 反射（ClassLoader，getClass ().getClassLoader ()），base64 加解码等特征，php，asp 则为普通的一句话木马

哥斯拉 webshell 动态特征：
所有请求中 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中 Cache-Control: no-store, no-cache, must-revalidate,
以上两个只能作为弱特征参考
同时在所有请求中 Cookie 中后面都存在；特征

蚁剑

蚁剑 webshell 静态特征
https://github.com/AntSwordProject/AwesomeScript 蚁剑官方为我们提供了制作好的后门，官方的脚本均做了不同程度 “变异”，蚁剑的核心代码是由菜刀修改而来的，所有普通的一句话木马也可以使用。

Php 中使用 assert，eval 执行，asp 使用 eval ，在 jsp 使用的是 Java 类加载（ClassLoader）, 同时会带有 base64 编码解码等字符特征
蚁剑 webshell 动态特征
默认编码连接时

这里我们直接使用菜刀的一句话 webshell

每个请求体都存在 @ini_set (“display_errors”, “0”);@set_time_limit (0) 开头。并且存在 base64 等字符

响应包的结果返回格式为 随机数 结果 随机数

使用 base64 编码器和解码器时
蚁剑会随机生成一个参数传入 base64 编码后的代码，密码参数的值是通过 POST 获取随机参数的值然后进行 base64 解码后使用 eval 执行

响应包的结果返回格式为 随机数 编码后的结果 随机数

冰蝎

冰蝎2.0
采用协商密钥机制。第一阶段请求中返回包状态码为 200，返回内容必定是 16 位的密钥
请求包存在：Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/；
JSP类型的webshell，POST请求体数据均为base64编码，Content-Type为application/octet-stream，响应体数据均为二进制文件
执行JSP webshell，一般较短的命令Content-Length都是9068
冰蝎3.0
与2.0相比，去除了动态密钥协商机制，采用预共享密钥，全程无明文交互，密钥格式为 md5 (“admin”)[0:16]
在使用命令执行功能时，请求包中 content-length 为 5740 或 5720（可能会根据 Java 版本而改变）
每一个请求头中存在
Pragma: no-cache，Cache-Control: no-cache
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9

通过request.getReader().readLine()读post请求

存在GET请求，同时URI只有一个key-value类型参数

作为waf规则特征 jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征
（tips：octet-stream的意思是，只能提交二进制，而且只能提交一个二进制，如果提交文件的话，只能提交一个文件后台接收参数只能有一个，而且只能是流或者字节数组）

请求包中content-length 为5740或5720

请求头中有Pragma: no-cache，Cache-Control: no-cache

冰蝎4. 0

默认时，所有冰蝎4.0 webshell都有“e45e329feb5d925b”一串密钥。该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond
在PHP webshell 中存在固定代码
有固定的请求头和响应头，请求字节头：dFAXQV1LORcHRQtLRlwMAhwFTAg/M ，响应字节头：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd

菜刀

菜刀 webshell 的静态特征：
菜刀使用的 webshell 为一句话木马，特征十分明显
菜刀 webshell 的动态特征：
请求包中：

ua 头为百度爬虫

请求体中存在 eavl，base64 等特征字符

请求体中传递的 payload 为 base64 编码，并且存在固定的 QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J

请求体中执行结果响应为明文，格式为 X@Y 结果 X@Y 之中

Linux 系统安全加固需要注意的内容

1)关闭不必要的系统服务
2)更改SSH默认端口
3)禁止root用户远程ssh登录
4)限制用户使用SU命令切换root
5)密码复杂度策略
6)检查密码重复使用次数限制
7)检查是否存在空口令账号
8)禁止同时按下ctrl+alt+del 重启
9)禁用telnet服务

Linux 入侵排查思路

第一步：分析安全日志 /var/log/secure 查看是否有 IP 爆破成功->

第二步：查看/etc/passwd 分析是否存在攻击者创建的恶意用户->

第三步：查看命令执行记录 ~/.bash_history 分析近期是否有账户执行过恶意操作系统命令->

第四步：分析/var/spool/mail/root Root 邮箱，当日志被删除可查询本文件->

第五步：分析中间件、Web 日志，如 access_log 文件->

第六步：调用命令 last/lastb 翻阅登录日志->

第七步：分析/var/log/cron 文件查看历史计划任务，

第八步->分析 history 日志分析操作命令记录->

最后一步：分析 redis、sql server、mysql、oracle 等日志文件

Windows 入侵排查思路

第一步：检查系统账号安全(查看服务器是否有弱口令，Netstat 查看网络连接对应的进程,再通

过 tasklist 进行进程定位)->

第二步：查看系统登录日志，筛查 4776、4624(登录成功)事件进行分析->

第三步：使用命令 lusrmgr.msc 查看服务器是否存在可疑账号、新增账户->

第四步：使用 compmgmt.msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log Parser 查看管理员登录时间、用户是否存在异常->

第六步：运行 taskschd.msc 排查有无可疑的计划任务->

第七步：输入%UserProfile%\Recent 分析最近打开过的可疑文件->

第八步：分析中间件日志，如 tomcat 的 logs 文件夹 localhost_access_log 日志文件 Appace 的
access.log 日志文件。

同源策略

同源策略（Same-origin policy）是一个浏览器安全机制，用于限制不同源之间的跨域操作。它是一种控制浏览器如何处理来自不同源的资源（例如文档、脚本、样式表和AJAX请求）的规则。

cms

CMS是内容管理系统的缩写，即Content Management System。它是一种用于管理和发布网站内容的软件工具或平台。通过CMS，用户可以轻松创建、编辑、组织和发布各种类型的数字内容，如文章、图片、视频等。

判断出网站的CMS对渗透有什么意义？
1.漏洞利用：不同的CMS可能存在各种已知的漏洞和安全问题。通过了解目标网站所使用的CMS，渗透测试人员可以针对该CMS的特定漏洞进行深入研究和开发攻击脚本。这样做可以提高成功渗透的机会。

2.信息收集：CMS的版本信息以及插件、主题等扩展的存在与否都可能成为渗透测试的关键信息。确定网站使用的CMS有助于收集更准确的目标信息，并为后续测试活动提供更多的线索。

3.自动化工具选择：根据CMS的类型，可以选择特定的自动化渗透测试工具来加速测试过程。一些工具专门针对特定CMS设计，可以自动识别和利用其中的漏洞，有效地进行批量测试。

4.针对性攻击：不同的CMS可能具有不同的弱点和安全配置。如果了解目标网站所使用的CMS，渗透测试人员可以更有针对性地开展攻击，使攻击更加有效。例如，有些CMS可能具有默认的弱密码或者易受暴力破解攻击的登录页面，攻击者可以针对这些漏洞进行尝试。

5.漏洞分析和修复建议：通过判断CMS类型，渗透测试人员可以推测出可能存在的常见漏洞。这有助于快速分析网站的安全状况，并提供相应的修复建议，帮助网站管理员加强安全措施

owasp top10（十大漏洞）

注入漏洞
失效的访问控制
加密机制失效
安全配置错误
易受攻击或过时组件
身份验证失败
软件和数据完整性故障
安全日志记录和监控失败
服务器端求伪造（SSRF）
不安全的设计

http协议

HTTP（超文本传输协议） 是一种应用层协议，是基于 TCP/IP 通信协议来传递数据的
请求报文的组成：
请求行 信息头 请求头 实体头 报文主体
响应报文的组成：
状态行 信息头 响应头 实体头 报文主体

https=http+ssl，这里会存在一个加密方式叫非对称加密

端口号

7端口：echo
21端口：FTP 文件传输
22端口：SSH 远程连接
23端口：TELNET 远程登录
25端口：SMTP 简单邮件传输
53端口：DNS 域名解析
80端口：HTTP 超文本传输，用于网页浏览
109端口：Post Office Protocol -Version3，POP3服务器开放此端口，用于接收邮件，
443端口：HTTPS 加密的超文本传输
3306端口：MYSQL数据库
6379端口：Redis数据库端口
8080端口：Tomcat端口
8888端口：Nginx代理服务器的端口
27017端口：mongoDB数据库默认端口
3389无法连接的几种情况：
1、服务器在内网。
2、做了tcp/ip筛选。
先执行下面cmd命令：
cmd /c regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip，导出注册表里关于TCP/IP筛选的第一处
cmd /c regedit -e c:\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip，导出注册表里关于TCP/IP筛选的第二处
cmd /c regedit -e c:\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip”，导出注册表里关于TCP/IP筛选的第三处
然后回到c盘1.reg、2.reg、3.reg，把1.reg、2.reg、3.reg下载回来到自己的硬盘里面编辑一下，找到 EnableSecurityFilters这个字段看看dword后面的键值是否为00000000，如果为00000001就说明管理员做了 tcp/ip筛选，我们只要把1改成0就行了，2.reg和3.reg进行一样的修改。
（regedit参数为：/s 导入*.reg 文件进注册表（安静模式） /e 导出注册表文件）
3、做了ip安全策略或windows自带防火墙。
执行cmd命令： cmd /c net stop policyagent 停掉IPSEC Services。执行cmd /c net stop sharedaccess停掉windows自带的防火墙，然后再连3389。
4、管理员设置的终端登陆权限只有指定的用户可以。
5、防火墙。

nmap的常用命令

nmap -sS ip //SYN扫描，半开放扫描
nmap -sT ip // tcp开放扫描
nmap -sU ip // UDP扫描
nmap -sA ip // TCP ACK扫描
nmap -sO ip | grep ‘ ^[0-9}’ //IP协议扫描,可以确定目标机支持哪些IP协议(TCP, ICMP, IGMP).
nmap -sP ip //用来批量扫描一个网段的主机存活数,这里的结果只会显示在线的主机.
nmap -pS22,80,443 192.168.1.10 // TCP探测
nmap -pU22,80,443 192.168.1.10 // UDP探测

日志分析操作

windows：
主要有以下三类日志记录系统事件：应用程序日志、系统日志和安全日志
应用程序日志
包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件，如果某个应用程序出现崩溃情况，那么我们可以从程序事件日志中找到相应的记录。
日志的默认位置为：
C:\Windows\System32\winevt\Logs
里的Application.evtx
系统日志
windows系统组件产生的事件，主要包括驱动程序、系统组件、应用程序错误消息等。
日志的默认位置为：
C:\Windows\System32\winevt\Logs
下的System.evtx
安全日志
主要记录系统的安全信息、包括成功的登录、退出，不成功的登录，系统文件的创建、删除、更改，需要指明的是安全日志只有系统管理员才可以访问，这也体现了在大型系统中安全的重要性。
日志的默认位置：
C:\Windows\System32\winevt\Logs
下的Security.evtx

Linux：
日志默认存放位置
/var/log

/var/log/cron 记录了系统定时任务相关的日志
/var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/message 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/btmp 记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看
/var/log/lastlog 记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp 记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure 记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

日志分析–连接符号
连接符号 说明
.代表只要比后边的等级高的（包含该等级）日志都记录下来，比如：“cron.info”代表cron服务产生的日志，只要日志等级大于等于info级别，就记录。
.= 代表只记录所需等级的日志，其他等级的都不记录。比如：“*.=emerg”代表任何日志服务产生的日志，只要等级是emerg等级就记录。这种用法极少见，了解就好。
.! 代表不等于，也就是除了该等级的日志外，其他等级的日志都记录。

日志分析–日志优先级
级别 等级名称 说明
0 EMERG（紧急） 导致主机系统不可用
1 ALERT（警告） 必须马上采取措施解决问题
2 CRIT（严重） 比较严重的情况
3 ERR（错误） 运行出现错误
4 WARNING（提醒） 可能影响系统功能，是需要提醒用户的重要事件
5 NOTICE（注意） 不会影响正常功能，但是需要注意的事件
6 INFO（信息） 一般信息
7 DEBUG（调试） 程序或系统的调试信息

常用的shell命令：

find命令：在目录中查找指定文件

grep命令：在文件中搜寻匹配的行并输出

awk命令：查找文本，输出匹配的内容

sort命令：对文件进行排序

wc命令：统计

bp

BurpSuite 是如何抓https包的:
使用BurpSuite截取客户端发送给服务器的请求，然后伪装成客户端与服务器进行通信；
在这里就获取了服务器的发送给客服端的公钥，然后在BurpSuite上生成公私钥。再把BurpSuite生成的公钥发送给客户端。
而在之后的客户端发送的对称加密密钥，其实也是发送给BurpSuite的，在这里客户端就与BurpSuite建立了https连接。而BurpSuite则代替了客户端与服务器建立了https连接。
完成这一流程之后，客户端发送给服务器的内容，在BurpSuite上解密得到明文，所以我们在BurpSuite上看到的内容就是明文。而向服务器发送请求的时候，BurpSuite会用服务器协商好的密钥进行加密然后传输内容。
同样服务器返回的内容也是，BurpSuite会先解密，然后得到明文， BurpSuite 会伪装成服务器，再用BurpSuite与客户端协商好的密钥进行加密然后传输内容。
通过这样的手段，便可以获取客户端和服务器之间通信的所有内容。 使用中间人攻击手段，必须要让客户端信任中间人的证书，如果客户端不信任，则这种攻击手段也无法发挥作用

cdn

CDN 是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。

cdn绕过：
在配置CDN的时候，需要指定域名、端口等信息，有时候小小的配置细节就容易导致CDN防护被绕过。例1：为了方便用户访问，我们常常将www.test.com 和 test.com 解析到同一个站点，而CDN只配置了www.test.com，通过访问test.com，就可以绕过 CDN 了
使用邮件服务，找出邮件源码，分析ip地址，参考对比备案号的公司地址
利用子域名请求获取真实ip
使用国外地址获取真实ip（有些偏远地区可能不存在cdn节点）
遗留文件扫描全网（再没有绑定cdn前的资源）
想办法让目标服务器反向链接自己的服务器资源，自己本地就会记录目标ip
查看网站下的phpinfo()文件
使用黑暗搜索引擎
使用fuckcdn应用，配置直接扫等等

如何绕过CDN获取目标网站真实IP:
如果能查到这个网站 最早的DNS解析记录，那个解析的结果就有可能是该域名对应的真实ip

OSI七层协议

物理层 数据链路层 网络层 传输层 会话层 表示层 应用层

和甲方上报 IP 地址，你要上报哪些地址呢？

上报攻击 ip 的地址，先判断是内网 ip 还是公网 ip，如果是内网ip，查看是否是业务白名单行为，若不是再上报进行判断。若是公网 ip，查看是否在白名单内，若不是查看是否是扫描器 ip，若是扫描器 ip，扫描对业务或者对研判产生了影响则可以上报，若不是且判断出是真实攻击 ip 也进行上报。

怎么通过流量分析 ，判断出对方攻击成功了？

可以通过返回包判断攻击是否成功，比如命令执行攻击有回显
的话返回包就会有命令执行的结果。如果有一些安全设备的话
也可以通过查看告警信息判断。
可以对请求包进行重放来判断，在自己的机器上重放流量包，
将 payload 改成自己的 payload 来判断是否攻击成功

如果看到一个告警ip，如何判断是否是真实攻击？

首先，我会先判断一下ip来源，判断是内网ip还是公网ip，若为内网ip，然后对请求包的内容是否存在恶意payload，然后再根据响应包内容有执行成功的回显，若相应包中有对应的payload的回显，则可以判断为攻击成功，但是此时，需要判断下是否为业务系统的逻辑造成的和是否是工作人员在测试业务系统漏洞，若工作人员证实了该告警为自家安全ip，则认为该攻击为误报，若非自家ip且不存在逻辑因素，则可判断为内网攻陷。若为公网ip，若恶意payload利用成功，则可判断为真实攻击。

如果看到一条sql注入告警，怎么判断是否是攻击成功？

对请求包的内容进行检查，检查是否存在sql注入的利用语句，同时检查响应包内容有执行成功的回显，若相应包中存在sql注入攻击成功的回显，则可判断攻击成功。

如何检测Webshell

静态检测通过匹配特征码，特征值，危险函数函数来查找webshell的方法，只能查找已知的webshell。动态监测通过日志，流量，文件访问频率等方法进行检测。

正向SHELL和反向SHELL的区别

正向shell，攻击者连接被攻击者机器
反向shell，被攻击者主动连接攻击者
正向代理，客户端代理，服务器不知道实际发起请求的客户端
反向代理，服务器代理，客户端不知道实际提供服务的服务端

临时目录是哪个文件夹？

/tmp ，/var/tmp

用户列表是在哪个目录下(如何查看Linux有哪些用户)

/etc/passwd

常见的网络服务器容器

IIS、Apache、nginx、Lighttpd、Tomcat

数据库有哪些，关系型的和非关系型的分别是哪些

关系型
MySQL：3306
SQL Server：1433
Oracle：1521
DB2：5000
MongoDB：27017—非关系型数据库

非关系型
Redis：6379
Memcached：11211
PHP反序列化

PHP相关函数

PHP代码执行的危险函数
call_user_func()
call_user_func_array()
create_function()
array_map()

PHP命令执行函数
system
shell_exec
passthru
exec
popen
proc_open
putenv
assert

免杀

什么是免杀：
将shellcode进行加密，动态解密恢复，申请可写可执行内存并写入解密后的shellcode，将函数指针指向这块内存的起始位置并开始执行。

免杀有几种途径;
答：修改特征码、流量混淆、花指令、加壳

权限维持的思路？

答:加服务,加注册表 加启动项

简单说一下mssql提权

答：我只记得xp_cmdshell和自启动
补充：trigger提权、沙盒提权、计划任务提权、sethc.exe 替换粘滞键提权
（替换c:\windows\system32\下的sethc.exe替换c:\windows\system32\dllcache\sethc.exe)

命令无回显如何解决?

无回显:延时判断,http请求监听,DNSlog利用,写入当前目录下载查看等等

未授权访问你可以简单说说吗?

Redis 未授权访问漏洞未开启认证,导致可以直接连接到数据库,然后在攻击机中生成ssh公钥和私钥,密码设置为空,然后将生成的公钥写入,再利用私钥连接。

JBOSS 未授权访问漏洞访问ip/jmx-console 就可以浏览 jboss 的部署管理的信息面板,不需要输入用户名和密码可以直接部署上传木马。简单来说就是对某些页面的验证不严格导致绕过了用户验证的环节,使其可以直接访问到某些登录后才能访问到的页面

蜜罐的概念

​ 模拟各种常见的应用服务，诱导攻击者攻击，从而记录攻击者的入侵行为，获取攻击者的主机信息、浏览器信息、甚至是真实 IP及社交信息。

蜜罐溯源的常见两种方式：
1、网站上插入特定的js文件
2、网站上显示需要下载某插件

蜜罐类型
低交互蜜罐 中交互蜜罐 高交互蜜罐
真实操作系统 否 否 是
威胁性 低 中 高
信息收集 连接 请求 所有
运行所需要环境 低 低 高
部署所需环境 低 高 很高

国内的一些蜜罐产品：
谛听（长亭科技）
幻盾、幻阵（默安）
蜃景（360）
春秋云阵（永信至诚）
幻云（锦行科技）
明鉴迷网（安恒）
御阵（腾讯）
潜听（天融信）
幻影（非凡安全）
天燕（启明星辰）

内存马

初识内存马
内存马是无文件落地webshell中最常见的攻击手段，与传统的计算机病毒不同，内存马不会将自身代码写入到磁盘上的文件中，而是将恶意代码直接注入到计算机的内存中，并在系统内核级别运行。
​
由客户端发起的Web请求后，中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作，内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件，插入恶意的shellcode，达到持久化控制服务器的目的。内存马可以通过访问存在漏洞的url加上命令执行参数，即可让服务器返回结果也可通过webshell管理工具例如：蚁剑、冰蝎、哥斯拉等进行远程连接后攻击目标。

内存马类型
内存马在语言类型上有PHP内存马，Python内存马，而本文主要侧重于“市场占有率”最高的java内存马的检测与查杀，java内存马又主要分为下面这三大类
​
1.servlet-api型
通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的controller内存马，tomcat的valve内存马
​
2.字节码增强型
通过java的instrumentation动态修改已有代码，进而实现命令执行等功能。