如果看到⼀个告警ip，如何判断是否是真实攻击？

⾸先，我会先判断⼀下ip来源，判断是内⽹ip还是公⽹ip，若为内⽹ip，然后对请求包的内容是否存在恶
意payload，然后再根据响应包内容有执⾏成功的回显，若相应包中有对应的payload的回显，则可以判
断为攻击成功，但是此时，需要判断下是否为业务系统的逻辑造成的和是否是⼯作⼈员在测试业务系统
漏洞，若⼯作⼈员证实了该告警为⾃家安全ip，则认为该攻击为误报，若⾮⾃家ip且不存在逻辑因素，则
可判断为内⽹攻陷。若为公⽹ip，若恶意payload利⽤成功，则可判断为真实攻击。

windows⼤⼩写不敏感，Linux⼤⼩写敏感

windows⼤⼩写不敏感，Linux⼤⼩写敏感
ping windows的时候 ⼀般 ttl值 > 100
ping linux的时候 ⼀般 ttl值 < 100

为何判断⼀个mysql数据库的站，只有80端⼝开放

改端⼝了 ，没有扫描出来
站库分离
不对外开放

3389⽆法连接的情况

没有开启3389端⼝
端⼝修改
防⽕墙拦截
处于内⽹

提权的时候⼀般选⽤/tmp⽬录下 因为⼀般有条件读写

某服务器有站点A,B 为何在A的后台添加test⽤户，访问B的后台。发现也添加上了test⽤户

同数据库

后台修改管理员密码处，原密码显示为*。你觉得该怎样实现读出这个⽤户的密码？

审查元素 把密码处的password属性改成text就明⽂显示了

如何判断shiro框架

⽤burp取登录包，⽆论登⼊成功还是失败 返回包都会有set-cookie = rememberMe，只不过是之后的
请求有没有rememberMe

如何判断struct2框架

网页后缀名是.do .action

如何判断fastjson框架

抓包改成post 在请求体里输入东西 让其报错 会回显fastjson

sqlmap进⾏post注⼊

1.burp抓包保存成txt⽂件 然后-r读取
2.-u url -forms ⾃动搜索表单
3.-u url --data "参数" 指定⼀个参数

⽂件上传攻击的特征

⽂件上传⾸先是post数据包，然后其content-type=mu from-data ，如果为恶意的话，其filename应该为jsp，php，asp类的后缀，且内容是否为webshell内容

设备误报如何处理

来⾃外⽹的误报说明安全设备需要进⾏策略升级，不需要处置。如果是来⾃内⽹的误报可以和负责⼈协
商⼀下看能不能解决，有必要的话添加⽩名单处理

如何识别钓鱼邮件

要识别钓鱼邮件，可以注意以下几点：
1，发件人信息：检查邮件的发件人地址是否是官方的邮箱地址，或者是否和该公司或组织的网站域名匹配。如果不是，就有可能是钓鱼邮件。如果是个人邮箱那基本上没跑了
2，邮件内容：检查邮件的内容是否有语法错误、错别字和引导受害者点击链接或者下载附件等行为，这些都是钓鱼邮件常见的特征。有敏感信息如（修改秘密）这种的还营造紧张氛围感的大概率是钓鱼邮件
3，链接地址：如果邮件中包含链接，请在悬浮该链接时查看链接真实地址是否与邮件内容一致，或者尝试手动输入链接地址确认是否正确。如果不一致，也有可能是钓鱼邮件。
邮件主题：如果邮件主题和正文明显不符，或者带有紧急、重要等催促受害者进行行为的语气，也需要警惕可能是钓鱼邮件。
4，核查：假的，是经不起核查的。如果是普通同事发送的邮件，我们感觉有疑，可以打电话或者微信询问邮件真实性，这就好像微信好友找你借钱，一般都会让他们发句语音来识别身份一样。如果是公司职能部门下发的统一要求，应该在企业微信或钉钉上同步通知员工，从而排除钓鱼邮件的疑惑，毕竟你们和钓鱼邮件的文案过于类似1. 1.

网络设备的使用 防火墙 路由器 交换机

防火墙：防火墙是一种网络安全设备，可以通过控制网络流量进出口，阻止未经授权的访问和入侵。防火墙可分为软件防火墙和硬件防火墙两类，常见的硬件防火墙有Cisco ASA、Checkpoint Firewall等。
路由器：路由器是一种转发数据包的网络设备，它能够将数据包从一个或多个源路由到目的地，同时还能控制网络流量。路由器能够拆分广域网并转发局域网的数据包，是家庭和企业网络中必不可少的设备。
交换机：交换机是一种局域网设备，它能够连接多台计算机并转发数据包。交换机可以根据MAC地址判断数据包的目标地址，从而选择将数据包转发至哪一端口。交换机还具有广播和多播的功能，能够加速数据传输，提高网络效率。

判断是否为误报

1.分析事件日志：查看事件日志中的具体信息，包括源IP、目标IP、触发规则、事件类型等，从中分析事件是否真实存在。如果待排查的IP已被知名黑名单机构列入可靠的IP名单中，则可以暂时排除该IP为恶意攻击源。
2.比对历史数据：利用历史数据来比对当前的异常事件，看看是否有相同规律和行为，以确认是否是重复报警，或者是一个长期存在并已经得到解决的问题。
3.自动化监控：如有条件，可以使用自动化监控的方式，对所有报警事件进行检测和分析。一般来说，自动化监控都会具备阈值设置、异常检测、预警等功能，如果程序能够过滤掉给出虚假报警的事件，即可有效减少误报。
4.人工审核：如果自动化监控不能完全消除误报的情况，可以进行人工审核。通过人工审核，可以更加准确的判断是否为误报，根据事件来源、类型、频度等指标对异常行为进行分类和评估。

如何有一个webshell已经被上传,如何排查webshell是如何上传的,有什么思路?

1.分析Web服务器日志：首先可以通过分析Web服务器的访问日志来确认是否存在异常请求行为。查看访问日志中的请求IP、请求方法、请求URL、响应状态码等信息，找到可能上传WebShell的入口。
2.检查客户端设备：如果上述方法不能找到明显的异常，可以检查上传WebShell的客户端设备。对可能受感染的设备进行杀毒检测，确认是否有恶意软件或病毒，查看是否存在被黑客攻击的痕迹。
3.分析Web应用程序漏洞：WebShell往往是通过Web应用程序漏洞上传的。可以对Web应用程序进行安全扫描，检查是否存在SQL注入、文件上传等漏洞，这些漏洞都可能导致WebShell的上传。
4.检查Web应用程序的关键文件：如果已经确定WebShell上传的时间，可以检查Web应用程序的关键文件，如网站根目录下的.htaccess文件、index文件等，来检查是否被篡改或者添加了恶意代码。
5.提高网络安全性：在排查完成后，需要根据分析结果，做出相应的安全措施，包括加强Web应用程序的安全防护、杀毒防护、加强日志审计等，以防止类似的攻击再次发生。

平台上有一个RCE漏洞告警,比如是通达OA的,如何识别攻击成功?

1.检查系统文件变化：攻击者在利用RCE漏洞的时候，通常会上传或修改系统文件。可以对系统文件进行监控，及时发现是否有新的文件被添加或修改，并分析这些文件是否为恶意文件。
2.查看用户账户：攻击者可能会创建新用户，或者修改已有用户的权限。可以检查用户账户列表，及时发现新的用户，或已有用户权限的异常变化。
3.分析网络流量：在攻击中，攻击者可能会使用各种方式传输数据。可以通过网络监控分析，在网络中发现异常流量或者未知端口的连接，并据此判断是否存在攻击行为。
4.日志审计：可以对相关系统和应用程序的日志进行审计，检查是否存在异常操作行为，例如系统登录日志、访问日志等，可以从日志中发现攻击的痕迹。
5.主动检测：在确定攻击者可能会进行的操作的前提下，可以主动对目标服务器进行测试，如执行一个系统命令，上传一个Webshell，等等，通过测试结果来确认攻击是否成功。

告警信息如何分析

1.集与整理：首先需要从系统或应用程序中收集相应的告警日志，并按照时间、类型、级别等进行整理，方便后续的分析。
2.过滤与筛选：告警日志通常包含大量的信息，其中有些信息对问题的排查帮助不大，有些是关键信息。需要根据具体情况，采用过滤和筛选的方法，将重要的信息提取出来。
3.关联与分析：对过滤并筛选出来的信息进行关联和分析，看是否存在异常行为和原因，并结合其他的信息，如网络流量、系统运行情况等，来进一步分析问题的原因和影响。
4.解决与处理：分析结果后，需要快速采取措施来解决问题。可以尝试调整系统或应用程序的配置参数、升级软件版本、修复漏洞等方式来解决问题。
5.记录与反馈：将分析结果和解决方法进行记录和归档，方便日后的参考和汇总，并及时将分析结果和解决方法反馈给相关人员，以便其他类似问题的解决。

内存马查杀

先查看检查服务器web日志，查看是否有可疑的web访问日志，比如说filter或者listener类型的内存马，会有大量url请求路径相同参数不同的，或者页面不存在但是返回200的请求。
如在web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。
查看是否有类似哥斯拉、冰蝎特征的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。
通过查找返回200的url路径对比web目录下是否真实存在文件，如不存在大概率为内存马。

内网的IP地址有哪些？

Internet设计者保留了IPv4地址空间的一部份供专用地址使用,专用地址空间中的IPv4地址叫专用地址,这些地址永远不会被当做公用地址来分配,所以专用地址永远不会与公用地址重复.
IPv4专用地址如下：
IP等级 IP位置
Class A 10.0.0.0 - 10.255.255.255
默认子网掩码:255.0.0.0
Class B 172.16.0.0 - 172.31.255.255
默认子网掩码:255.240.0.0
Class C 192.168.0.0 - 192.168.255.255
默认子网掩码:255.255.0.0
内网是可以访问互联网的。内网需要一台服务器或路由器做网关,通过网关来连接互联网

你会用什么办法溯源攻击方的个人信息呢

1、如果有攻击日志可以根据ip，然后对ip进行反查域名，比如whois信息，查看是否能直接查询到人员邮箱。也可以对攻击者使用的服务器进行渗透然后部署水坑攻击反控攻击者。
2、根据攻击Ip去微步在线X情报社区查询ip,查看ip相关联的情报。
3、蜜罐抓取网络ID来确定身份信息，
3.1比如mysql蜜罐如果目标链接可能会获取到目标电脑登录的wxid
3.2可以部署v8 rce漏洞页面，如果对方使用burpsuite低版本访问到该页面可以直接rce反控攻击者，然后通过攻击者电脑上的电脑名称，微信文件夹名称获取wxid等个人信息。
4、如果截获对方木马样本，可以通过反编译木马文件，有可能攻击者在打包编译木马时泄露计算机的绝对路径，通过绝对路径有可能会获取到攻击者的 网络id身份，然后通过网络id在各大安全群组，以及百度、google查询到相应人员的技术博客、文章等信息。

CDN负载均衡你知道吧？如果攻击方使用的是一个有挂了CDN负载均衡的服务器来攻击你，你要怎么溯源到目标的真实IP地址呢？

1、通过查询历史解析记录有可能会获取到真实IP地址
2、查询子域名，有可能子域名解析到同一台服务器但是没挂cdn
3、也可以通过攻击服务器本身的信息泄露漏洞来找到真实Ip，比如phpinfo页面，日志文件等等
4、翻墙到国外访问目标有可能直接访问到真实Ip地址

什么是CDN

内容分发网络

你知道红队经常用于攻击的漏洞是什么吗？

1、thinkphp 5版本远程命令执行、runtime日志文件泄露。
2、weblogic 反序列化漏洞
3、shiro反序列化漏洞
4、log4j漏洞
5、struts2系列漏洞
6、fastjson反序列漏洞
7、spring framework代码执行漏洞
8、用友/致远/通达/泛微等相关漏洞
9、redis未授权访问
10、编辑器历史漏洞

和甲方上报IP地址，你要上报哪些地址呢？

1、经过研判确认对方ip对我方发起扫描的IP地址。比如目录扫描、端口爆破、漏洞扫描等高频次访问行为或异常行为。
2、关注威胁情报平台放出的确定是攻击队的IP地址。
3、不涉及国外业务，但是有国外IP进行访问的行文的IP

如何查看当前进程？

Ps -ef 或 ps -aux

临时目录是哪个文件夹？

/tmp ，/var/tmp

用户列表是在哪个目录下(如何查看Linux有哪些用户)

/etc/passwd

如何区分扫描流量和手工流量？

1.扫描流量数据量大，请求流量有规律可循且频率较高，手工流量请求少，间隔略长
2.使用工具扫描的流量一般在数据包中有相关特征信息，比如说通过wireshark网络封包分析工具对流量进行一个具体的排查分析，比如通过http contains "xxx"来查找数据包中的关键字。

网站被上传webshell如何处理？

1.首先关闭网站，下线服务。有必要的话将服务器断网隔离。
2.手工结合工具进行检测。
3.工具方面比如使用D盾webshellkill，河马webshell查杀，百度在线webshell查杀等工具对网站目录进行排查查杀，如果是在护网期间可以将样本备份再进行查杀。
手工方面对比未上传webshell前的备份文件，从文件甚至代码层面进行对比，检查有无后门程序或者其他异常文件，实在不行就直接用备份文件替换了。
4.加强安全策略，比如定期备份网站配置文件，及时安装服务器补丁，定期更新组件以及安全防护软件，定期修改密码等等措施

给你一个比较大的日志，应该如何分析

攻击规则匹配通过正则匹配日志中的攻击请求
统计方法，统计请求出现次数，次数少于同类请求平均次数则为异常请求
白名单模式，为正常请求建立白名单，不在名单范围内则为异常请求
HMM 模型，类似于白名单，不同点在于可对正常请求自动化建立模型，从而通过正常模型找出不匹配者则为异常请求
使用日志分析工具，如LogForensics，Graylog，Nagios，ELK Stack等等

shiro550和721的序列化过程和区别

过程
序列化：命令--序列化--ase加密---base64加密--remeberme cookie
反序列化：remeberme cookie--base64解密--aes解密--反序列化--命令
区别
shiro550 的利⽤原因是ase的key值是固定的，可爆破，存储在源码⾥⾯
shiro721 的利⽤原因是ase的key值是系统随机⽣成的，不好爆破，需要登陆后利⽤remeberme的值
结合aes加密的模式来构造恶意的反序列化攻击 ⽆需知道remeberme的加密密钥
原理
shiro框架1.24之前是先检验remeberme 的值 ⽽不是先进⾏身份验证
shiro框架1.24之后是先进性身份验证再验证remeberme的值

如何判断被攻击成功

1.查看系统⽇志
2.判断⽹络异常流量
3.查看系统进程

内存马怎么检测、清除？

常规的内存马，如冰蝎，可以使用河马WebShell查杀工具；Java内存马检测serlet，可以专门针对内存来检测

linux系统新增用户怎么检查

用户信息文件/etc/passwd
用户组信息文件：/etc/group
用户组密码文件：/etc/shadow

横移的流量怎么能更好地检测出来？

必须具备基础的流量检测手段（如流量镜像、EDR、蜜罐等）；主要还是针对其行为来检测的，通过端、流量、情报等方面

企业内部的东西向流量很难被完全检测，在关注东西向流量的时候，怎么设置这个镜像点的？还是只关注出口的南北向流量？

东西向流量一方面可以通过部署流量镜像产品来检测，但是可能无法做到全面；同时也可在服务器或主机上部署EDR来进行攻击的检测，同时，蜜罐这种也得到越来越多用户的认可与部署。

东西向流量和南北向流量的区别

场景是数据中心网络，东西向流量是数据中心内部机器之间流量，南北向是数据中心内部机器和数据中心外（互联网）的流量。

我们在流量侧看到服务器有很多的请求解析恶意域名的记录，但是去到服务器底层查看却没找到任何异常，这个可以怎么排查？

一方面可能和情报的质量有一定的关系，另一方面可能相关主机只是被感染了一个Downloader或存在漏洞，其要下载恶意文件落地才有后续的行为，这个时候我们看到的只是DNS请求，需要定位发起这个DNS请求的具体进程和文件，然后再来分析。

发现攻击队打进来了，有没有快速筛选出当前内网有哪些失陷主机的方法？

主机被攻击者攻入以后，可以基于流量（攻击的payload）、终端（有无恶意的文件、扫描行为、横向行为）以及情报来综合研判。

黑客攻击的跳板主机相关日志被删除后，溯源一般依托什么手段来做呢？态势感知？

日志被清除再去溯源的话，如果有网络检测类产品可以利用其来检测，如无的话可以关联用户服务器的开放端口、指纹来关联漏洞，同时可以利用渗透的方式来分析攻击者的入侵方式。

黑客攻击的跳板主机相关日志被删除后，溯源一般依托什么手段来做呢？态势感知？

日志被清除再去溯源的话，如果有网络检测类产品可以利用其来检测，如无的话可以关联用户服务器的开放端口、指纹来关联漏洞，同时可以利用渗透的方式来分析攻击者的入侵方式。

zip后缀的文件打开也有可能被上线吗？自解压

很多解压器是存在漏洞的，如CVE-2018-20250，可以被利用来上线

目标站无防护，上传图片可以正常访问，上传脚本格式访问则 403，什么原因？

可能web服务器上把对应的文件下的文件类型脚本类型写死了，只能执行对应的脚本类型

代码执行，文件读取，命令执行的函数都有哪些？

代码执行
eval，preg_replace，assert，call_user_func_array，create_function
文件读取
file_get_contents()，highlight_file()，fopen()，read_file()，fread()，fgets()，parse_ini_file()，show_source()，file()等
命令执行
system()，exec()，shell_exec()，passthru()，pcntl_exec()，popen()，proc_open()