网安面经收集

Appearance

与设备相关

  1. DNSLog外带查询如何通过天眼看出是否成功

    • 在天眼平台中,检查是否存在外部DNS查询记录。如果有相关的DNS查询记录,说明外带查询成功。

  2. 态势感知怎么根据内容找攻击源IP

    • 根据态势感知平台的告警内容,查看具体的攻击事件记录,提取事件中的来源IP字段。通常,平台会记录所有与攻击相关的网络流量,包括源IP地址。

Webshell类

  1. 某天在态势感知上检测到一Webshell,请问如何判断是否上传成功以及如何处置

    • 判断是否上传成功:
      • 看返回是否为200
      • 记录上传IP
    • 处置方法:
      • 登录服务器删除Webshell,并检测是否存在攻击者留下的后门。
      • 检查Windows日志及使用tasklist /svc查看是否有异常进程。

  2. 解密Webshell流量

    • 菜刀
      • 流量中有base64加密,PHP Webshell中常见eval(base64_decode($_POST[z0])),参数&z0=QGluaV9zZXQ
    • 蚁剑
      • 流量参数名以_0x开头,常见@ini_set("display_errors","0")
    • 冰蝎
      1. 大量的Content-Type:applicationContent-Typeapplication/octet-stream
      2. 默认内置16个User-Agent,Content-Length请求长度Payload都为定长。
      3. Accept头包含application/xhtml+xmlapplication/xmlapplication/signed-exchange
    • 哥斯拉
      1. pass=eval(base64_decode...)pass=加密数据
      2. User-AgentAcceptAccept-Language固定。

webshell连接工具流量特征:
哥斯拉:base64
弱特征:客户端是java的,ua头有java版本(取决于jdk环境版本);
​ Accept为text/html, image/gif, image/jpeg, ; q=.2, /; q=.2,之前冰蝎也出现过同样的Accept,JDK引入的一个特征;
强特征:Cookie中有一个非常致命的特征,最后的分号cookie=******;
蚁剑:base64
ua头默认antsword
内容用URL加密,解密后流量最中明显的特征为ini_set("display_errors","0")
蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x.....=”这种形式开头
冰蝎:aes
冰蝎 2.0 强特征是 accept 里面有个 q=.2;第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
content-type为application/octet-stream;内置16个ua头;length长度5740/5720(java版本)

  1. 冰蝎、哥斯拉的强特征

    • 冰蝎和哥斯拉都有各自独特的流量特征,例如固定的User-Agent、Accept头,以及特定的加密模式。

  2. Webshell冰蝎3和冰蝎4加密特征

    • 冰蝎3和冰蝎4使用了不同的加密方法,通常包括AES加密和更复杂的流量混淆技术。

  3. 蚁剑/菜刀/C刀/冰蝎的相同与不相同之处

    • 相同:都是用来连接Web Shell的工具。
    • 不同:冰蝎具有流量动态加密的特点,相比于其他工具,隐蔽性更强。

  4. 冰蝎、哥斯拉讲解原理

    • 冰蝎:通过动态加密和定长请求掩盖流量特征。
    • 哥斯拉:使用自定义加密协议传输数据,流量特征包括固定的User-Agent和加密后的Payload。

CS+MSF

  1. CS和MSF的流量特征
    • CS(Cobalt Strike):通常使用HTTP/HTTPS协议,流量伪装成正常的Web流量,但有固定的URI模式。
    • MSF(Metasploit):多种协议(HTTP, HTTPS, SMB等),特征包括特定的User-Agent和Payload结构。

内网类

  1. FRP内网告警判断

    • 检查内网中是否存在异常的端口转发行为,FRP会通过内网穿透工具暴露内部端口到外网。

  2. 天眼出现内网告警怎么区排查?

    • 查看告警的详细信息,包括源IP、目的IP、端口号和流量特征,逐步缩小范围并使用内网探针工具进行流量捕获和分析。

top10

  1. 大量SQL注入的告警怎么去研判

    • 分析SQL注入攻击的模式和来源IP,检查数据库日志和应用日志确认是否有异常的SQL查询。

  2. 文件上传流量怎么分析?

    • 检查上传请求的HTTP POST数据包,分析上传的文件类型、大小和内容,确认是否为恶意文件。

杂项分析

  1. 恶意域名外连的数据包

    • 检查DNS查询和HTTP请求,分析请求的域名、IP地址和内容,确认是否为恶意域名。

  2. 发现了一个hex的流量包,怎么研判

    • 使用工具将hex数据包转换为可读格式,分析包的结构和内容,确认是否包含恶意代码或数据。

  3. 流量分析的经验

    • 熟悉常见的攻击流量模式,掌握流量分析工具(如Wireshark)的使用,能够快速识别异常流量和潜在威胁。

  4. 给你一个比较大的日志,如何分析

    • 使用日志分析工具(如Splunk、ELK)进行索引和搜索,提取关键字段,筛选出异常日志条目进行深入分析。

  5. 态势感知最不好研判的攻击

中间件

  1. Struts2和FastJSON工具的流量特征是什么
    • Struts2:特征包括特定的URL路径和参数格式,常见的攻击Payload利用OGNL表达式。
    • FastJSON:特征包括特定的JSON结构和反序列化攻击Payload,利用FastJSON反序列化漏洞进行攻击。