网安面经收集

Appearance

漏扫工具

  1. 常见漏扫工具包括:

目录扫描工具

  1. 御剑
  2. Dirsearch
  3. dirmap
  4. webdirscan

红队工具

  1. Wappalyzer:网站技术识别工具
  2. Goby/FOFA:网络安全测试工具,由赵武打造,能对一个目标企业梳理最全的攻击面信息,能够快速地从一个验证入口点,切换到横向攻击。FOFA是一个网络空间资产搜索引擎。
  3. Masscan:端口扫描工具

c2有什么常见的吗

c2全称command&control,简称远程控制软件(黑客工具,不是todesk这种的) 常见的比如cs(cobalt strike),dcrat,brc4等等

常用的 WebShell 检测工具

  1. A 盾

    • 检测能力:可以检测多种类型的 WebShell,包括 PHP、ASP、JSP 等。
    • 原理:通过特征码和行为分析相结合的方法进行检测。
    • 优势:高效的检测速度和较低的误报率。
    • 使用场景:适用于各种 Web 服务器和应用程序的安全防护。

  2. 河马 WebShell 扫描器

    • 检测能力:能够检测多种 WebShell 文件,并支持脚本嵌入的检测。
    • 原理:主要通过文件内容特征匹配和代码分析进行检测。
    • 优势:免费开源,易于使用和定制。
    • 使用场景:适合中小型企业和个人用户的 Web 安全需求。

  3. 百度 WebDir

    • 检测能力:专注于目录扫描和 WebShell 文件检测。
    • 原理:基于特征库和文件行为分析进行检测。
    • 优势:百度的安全技术支持,更新迅速,特征库全面。
    • 使用场景:适用于需要频繁更新和维护的大型网站和平台。

  4. 深信服 WebShell 检测工具

  5. Yakit (WebShell Kill):开源的 WebShell 检测工具,通过特征码匹配和正则表达式检测 WebShell。

  6. D盾:专注于 PHP WebShell 检测,具有实时监控和防护功能。

  7. ClamAV:开源的防病毒软件,支持多种文件类型的恶意代码检测,包括 WebShell。

  8. WAF (Web Application Firewall):例如 ModSecurity,可以通过自定义规则来检测和防护 WebShell。

常用代理工具

(此部分未提供具体内容)

常见内网穿透工具及流量特征

网络层隧道工具

\1. icmpsh

通过ICMP协议反弹cmd,但反弹回来的cmd不太稳定,不建议使用。

\2. icmptunnel

利用ICMP协议传输网卡流量,需要root权限,动静大,不建议使用。

\3. pingtunnel

支持TCP、UDP、socks5 over ICMP,速度快,连接稳定,跨平台,无需管理员权限即可使用,推荐使 用。

传输层隧道工具

\1. netcat

网络工具的瑞士军刀,通常在Linux系统中自带。

\2. powercat PowerShell版的netcat。

\3. socat

具有记录转发流的功能,需要安装。

\4. netsh Windows系统自带的网络配置工具。

\5. lcx

端口转发工具,从Linux下的htran移植到Windows。

\6. NATBypass lcx在Golang下的实现,更好的跨平台和文档支持。

\7. iox

端口转发和内网代理工具,类似lcx/ew,简化了命令行参数,但不支持监听指定IP。

\8. frp

用Go写的,支持TCP、UDP、HTTP、HTTPS以及P2P,持续更新中。

应用层隧道工具

1.EarthWorm(EW) 十分方便的多级SOCKS代理,已经永久停止更新,五种管道:

ssocksd : 正向代理

rssocks : 反向代理

lcx_slave:该管道一侧通过反弹方式连接代理请求,另一侧连接代理提供主机

lcx_tran : 该管道通过监听本地端口代理请求,并转发给代理提供主机

lcx_listen : 该管道通过监听本地端口接收数据,并将其转发给目标网络回连的代理提供主机

\2. dnscat2

通过DNS协议创建加密的命令和控制通道。

\3. iodine

通过DNS隧道转发IPv4数据包,速度更快。

\4. reGeorg

通过HTTP隧道转发SOCKS,使用Python编写。

\5. Neo-reGeorg

重构版reGeorg,提高稳定性和可用性,支持多种特性。

6.reDuh TCP over HTTP,即通过HTTP隧道转发TCP连接,隧道不稳定

\7. Tunna

通过HTTP隧道转发TCP连接和SOCKS,隧道不太稳定。

8.Termite EarthWorm的升级版,已经永久停止更新

9.ssocks

正向和反向的socks工具,可执行文件的大小很小,支持socks5验证,支持IPV6和UDP

\10. Venom

基于SSH隧道,多级代理工具,支持多平台和架构。

\11. ssh SSH本身可以用来建立隧道,支持本地、远程和动态转发。

渗透测试常用工具

(此部分未提供具体内容)

安全设备和工具

  1. IDS: Intrusion Detection System (入侵检测系统)
  2. HIDS: Host-based Intrusion Detection System (基于主机的入侵检测系统)
  3. NIDS: Network-based Intrusion Detection System (基于网络的入侵检测系统)
  4. HIDS+NIDS:基于混合数据源的入侵检测系统
  5. IPS: Intrusion Prevention System (入侵防御系统)
  6. AV: Antivirus (防病毒软件)
  7. EDR: Endpoint Detection and Response (端点检测与响应/主机安全管理/终端检测和响应)
    • 实时监测终端上的各种行为,采集终端运行状态,在后端通过大数据安全分析、机器学习、沙箱分析、行为分析等技术,提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能。可第一时间检测并发现恶意活动,包括已知和未知威胁,并快速智能地做出响应,全面赋予终端主动、积极的安全防御能力。
  8. WAF: Web Application Firewall (Web 应用防火墙)
  9. SOC: Security Operations Center (安全运营中心)
  10. SIEM: Security Information and Event Management (安全信息与事件管理)
  11. UTM: Unified Threat Management (统一威胁管理)
  12. Firewall: 防火墙 (上网行为管理软件,主机安全)
  13. VPN: Virtual Private Network (虚拟专用网)
  14. DAS: Database Auditing System (数据库安全审计系统)
  15. LAS: Log Auditing System (日志审计系统)
  16. ACM: Access Control Management (访问控制管理) 或 AM: Access Management (访问管理)
  17. Honeypot: 蜜罐
  18. SIP: Security Information and Event Perception (安全信息和事件感知) 或 SAIP: Security Awareness and Intelligence Platform (安全感知和情报平台)
    • 定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心,支持主流的安全设备、网络设备、操作系统等多源数据接入,利用大数据、关联分析、告警降噪等技术,实现海量数据的统一挖掘分析。
  19. 微步:威胁情报中心,可以通过 IP 或域名查询其是否恶意,对于判断恶意链接具有一定的参考性。他还有一个插件可以在页面选中就能进行查询,使用方便。