2024年hw蓝队初级面试总结_weblogic反序列化流量特征(1)

apache：

解析漏洞    1.php%0a换行解析   1.php.xxx 未知后缀解析
SSI远程命令执行
路径穿越

nginx：

解析漏洞    1.jpg/.php
目录穿越 （nginx配置别名的时候alias的时候，忘记加/  将造成目录穿越漏洞）
CRLF注入 (Nginx会将$uri进行解码，导致传入%0a%0d即可引入换行符，造成CRLF注入漏洞)

jboss:

反序列化
war后门部署

weblogic：

反序列化
ssrf任意文件上传
文件读取

7、序列化反序列化及其流量特征

序列化：对象转换为字符串
反序列化：字符串转换为对象
流量特征：
shiro反序列化：查看cookie中rememberme字段，恶意命令要从这里传入。判断是否有漏洞，查看返回包set cookie：rememberme=deleteme，验证失败返回的标识符。
fastjson反序列化：请求报文中查找json格式的数据，重点看有无rmi或者出网的一些行为
st2-045：请求头中的Content-Type字段

8、应急响应流程及windows/linux用到的命令

应急响应流程：
1、收集信息：搜集客户信息和中毒信息，备份
2、判断类型：判断是否是安全事件、是何种安全事件（勒索病毒、挖矿、断网、ddos等）
3、深入分析：日志分析、进程分析、启动项分析、样本分析
4、清理处置：杀掉恶意进程、删除恶意文件、打补丁、修复文件
5、产出报告：整理并输出完整的安全事件报告

windows应急
一、查看系统账号安全
1、查看服务器是否有弱口令、可疑账号、隐藏账号、克隆账号、远程管理端口是否对公网开放
2、win+r（eventwmr.msc）查看系统日志，查看管理员登录时间、用户名是否存在异常
二、检查异常端口、进程
1、netstat -ano 检查端口连接情况，是否有远程连接、可疑连接
2、tasklist | findstr "PID"根据pid定位进程
3、使用功能查杀工具
三、启动项检查、计划任务、服务
1、检查服务器是否有异常的启动项，msconfig看一下启动项是否有可以的启动
2、检查计划任务，查看计划任务属性，可以发现木马文件的路径
3、见擦汗服务自启动，services.msc注意服务状态和启动类型，检查是否有异常服务
四、检查系统相关信息
1、查看系统版本以及补丁信息  systeminfo
2、查找可以目录及文件  是否有新建用户目录 分析最近打开分析可疑文件（%UserProfile%\Recent）  
五、自动化查杀
使用360 火绒剑 webshell后门可以使用d盾 河马等
六、日志分析
360星图日志分析工具  ELK分析平台

linux应急
1、检查用户及密码文件/etc/passwd、/etc/shadow 是否存在多余帐号，主要看一下帐号后面是否是 nologin,如果没有 nologin 就要注意；
2、通过 who 命令查看当前登录用户（tty 本地登陆 pts 远程登录）、w 命令查看系统信息，想知道某一时刻用户的行为、uptime查看登陆多久、多少用户，负载；
3、修改/etc/profile的文件，在尾部添加相应显示间、日期、ip、命令脚本代码，这样输入history命令就会详细显示攻击者 ip、时间历史命令等；
4、用 netstat -antlp|more命令分析可疑端口、IP、PID，查看下 pid 所对应的进程文件路径，运行ls -l /proc/$PID/exe 或 file /proc/$PID/exe（$PID 为对应的pid 号）；
5、使用ps命令，分析进程 ps aux | grep pid
6、使用 vi /etc/inittab 查看系统当前运行级别，通过运行级别找到/etc/rc.d/rc[0~6].d对应目录是否存在可疑文件；
7、看一下crontab定时任务是否存在可疑启用脚本；
8、使用chkconfig --list 查看是否存在可疑服务；
9、通过grep awk命令分析/var/log/secure安全日志里面是否存在攻击痕迹；
10、chkrootkit、rkhunter、Clamav 病毒后门查杀工具对 Linux 系统文件查杀；
11、如果有 Web 站点，可通过 D 盾、河马查杀工具进行查杀或者手工对代码按脚本木马关键字、关键涵数（evel、system、shell_exec、exec、passthru system、popen）进行查杀Webshell 后门。

9、流量分析

拿到流量包后将其导入wireshark中，使用过滤规则对流量