【系列连载】蓝初百题斩(4)
2023-4-14 10:6:58 Author: WIN哥学安全(查看原文) 阅读量:10 收藏

作者:夏小芸, “蓝初百题斩”连载,今天带来第4期内容:

获得文件读取漏洞,通常会读哪些文件,Linux 和 windows 都谈谈

获得文件读取漏洞后,攻击者通常会尝试读取一些敏感信息,例如系统配置文件、数据库凭据、应用程序源代码等。以下是在 Linux 和 Windows 操作系统上,攻击者可能会尝试读取的一些文件:

  1. Linux
  • /etc/passwd:包含本地用户的账户信息。
  • /etc/group:包含用户组的信息。
  • /etc/shadow:保存本地用户密码哈希值的文件。
  • /etc/sudoers:保存 sudo 命令权限的文件。
  • /proc/net/tcp:包含当前正在运行的 TCP 连接信息。
  • /var/log/auth.log:包含系统中用户认证和授权的日志信息。
  • 应用程序配置文件:攻击者可能会尝试读取应用程序的配置文件,以获取数据库连接字符串等信息。
  1. Windows
  • C:\Windows\system32\config\SAM:包含本地账户的哈希密码值。
  • C:\Windows\system32\config\SYSTEM:包含系统的配置信息。
  • C:\inetpub\wwwroot\web.config:包含 IIS 网站的配置信息。
  • C:\Program Files (x86)\MySQL\MySQL Server 5.7\my.ini:包含 MySQL 数据库的配置信息。
  • C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys:包含机器级别的 RSA 密钥。
  • Event log 文件:攻击者可能会尝试读取操作系统事件日志文件,以查看系统的历史记录信息。
  • 应用程序配置文件:攻击者可能会尝试读取应用程序的配置文件,以获取数据库连接字符串等信息。

为了防止文件读取漏洞的攻击,我们可以采取以下一些措施:

  1. 限制访问权限:在操作系统、应用程序和网站中,应该合理设置安全访问策略,并对敏感信息和文件进行严格的权限控制。
  2. 加密重要文件:对重要文件进行加密处理,防止黑客获取有效信息。
  3. 安装入侵检测系统(IDS):使用 IDS 系统来监测系统内部和外部的攻击行为。
  4. 监控日志:对系统中产生的日志进行定期审计和监控,及时发现异常情况并采取相应的措施。
  5. 及时修补漏洞:定期检查和更新系统、应用程序和第三方库的版本,以修复已知的漏洞。

如何分析被代理出来的数据流

被代理出来的数据流通常是由代理服务器拦截并转发的,可以借助代理工具(如 Burp Suite)等工具来对数据流进行分析。以下是一些可能的分析方法:

  1. 拦截和重放请求:在代理工具中,我们可以通过拦截请求,并对其做出修改,然后再次发送请求到目标服务器上,从而观察应用程序如何响应这些请求。
  2. 查看请求和响应头信息:在代理工具中,我们可以查看 HTTP 请求和响应头信息,包括 cookies、User-Agent 等,以了解应用程序的行为。
  3. 分析 HTTP 响应体:代理工具能够捕获 HTTP 响应体,并显示在工具界面中,我们可以查看应用程序返回的 HTML、JavaScript、CSS、图片等内容,以便了解应用程序的结构和行为。
  4. 查找敏感信息:代理工具可以对所有的 HTTP 流量进行记录和分析,我们可以通过搜索敏感信息来查找密码、凭据等敏感信息是否泄露。
  5. 使用插件进行分析:代理工具通常具有各种插件,例如 XSS 扫描器、SQL 注入扫描器、漏洞扫描器等,可以使用这些插件来检测应用程序中的漏洞和安全风险。

需要注意的是,在进行数据流分析时,必须遵守法律和道德规范,不得盗取或滥用他人信息。同时,对于代理工具捕获的敏感信息,一定要妥善保护,避免泄露给未授权的人员。

查看 windows 进程的方法有哪些

以下是查看 Windows 进程的几种方法:

  1. 任务管理器:可以通过打开任务管理器来查看当前正在运行的进程。在 Windows 10 中,可以使用快捷键 Ctrl + Shift + Esc 来打开任务管理器;在其他版本的 Windows 中,可以使用 Ctrl + Alt + Delete 快捷键,然后选择“任务管理器”来打开。
  2. 命令行工具:可以使用命令行工具(如 cmd 或 PowerShell)来查看进程。在命令行中输入“tasklist”命令,即可列出当前正在运行的所有进程及其相关信息。
  3. 系统资源监视器:系统资源监视器是一个 Windows 内置的性能监控工具,可以查看系统的 CPU 使用率、内存占用率、磁盘和网络活动等信息。同时,它还提供了一个进程列表,可以显示每个进程的 CPU 使用率、内存占用情况等详细信息。
  4. 第三方工具:除了 Windows 自带的工具外,还有许多第三方工具可以用来查看进程,如 Process Explorer、Process Hacker 等。这些工具通常提供更加详细的进程信息,并允许用户对进程进行调试和管理。

无论使用哪种方法,对于一些可疑的进程,我们应该及时采取相应的措施,例如杀死进程、禁止其自启动等。同时,我们还应该注意保护系统安全,避免恶意进程的入侵和攻击。

如何查看进程对应的程序位置

在 Windows 操作系统中,可以通过以下几种方法查看进程对应的程序位置:

  1. 使用任务管理器:打开任务管理器,选择“详细信息”选项卡,右键单击需要查看程序位置的进程,选择“打开文件位置”。
  2. 使用资源监视器:在资源监视器中,选择“CPU”选项卡,找到需要查看程序位置的进程,在右侧面板中选择该进程并右键单击,选择“属性”菜单,即可查看程序位置。
  3. 使用命令行工具:打开命令提示符或者 PowerShell,输入以下命令:
wmic process where "processid=[进程 ID]" get ExecutablePath

其中,[进程 ID]是需要查看的进程的 PID(进程标识符)。

  1. 使用第三方工具:许多第三方工具(如 Process Explorer)提供了更加详细的进程信息,并可以帮助用户快速定位程序位置。

无论使用哪种方法,我们都可以在查找到程序位置后,根据需要采取相应的措施。例如,为了解决某些问题,我们可能需要删除、备份或更新程序文件;而在排查安全问题时,我们可能需要检查程序文件是否被篡改或者感染了病毒。

WAF 产品有哪些分类,是如何拦截攻击的

WAF(Web 应用程序防火墙)产品通常可以分为以下几种分类:

  1. 基于签名的 WAF:基于签名的 WAF 通过检测请求中是否包含已知漏洞的特征,来拦截攻击。这种类型的 WAF 可以快速识别和阻止已知的攻击方式。
  2. 基于行为的 WAF:基于行为的 WAF 使用机器学习、人工智能等技术来分析请求的行为模式,并判断其是否具有攻击性。这种类型的 WAF 能够较好地识别未知攻击。
  3. 综合型 WAF:综合型 WAF 结合了基于签名和基于行为两种技术,能够同时检测已知攻击和未知攻击,提供更加全面的保护。

WAF 产品一般通过拦截攻击请求来保护 Web 应用程序。具体的拦截方式包括:

  1. 黑名单过滤:根据已知的攻击方式,设置黑名单规则,对符合规则的请求进行拦截。
  2. 白名单过滤:对请求进行白名单过滤,只允许符合规则的请求通过。
  3. 存储过程注入防护:对 SQL 注入进行防护。WAF 可以检测并拦截具有攻击意图的 SQL 语句,并对其进行相应的修复和防护。
  4. 跨站脚本(XSS)防护:WAF 可以检测并过滤包含恶意 JavaScript 代码的请求,并防止 XSS 攻击。
  5. 防止文件上传漏洞:WAF 可以检测并拦截包含恶意文件的请求,从而避免文件上传漏洞导致的攻击。

总之,WAF 产品可以有效地保护 Web 应用程序免受各种类型的攻击。但是需要注意的是,WAF 并不是万能的,仍然需要结合其他安全措施来保障 Web 应用程序的安全。

你有用过态势感知的产品吗?

  1. 360态势感知:由中国著名安全厂商360推出的产品,主要提供网络威胁查询、漏洞扫描、流量分析等功能,同时集成了各种安全情报和指标,可以为用户提供全面的安全态势分析和预警服务。
  2. 腾讯云安全大脑:由腾讯云推出的产品,利用 AI、机器学习等技术对攻击进行实时监测和分析,提供包括漏洞扫描、风险评估、异常检测等一系列安全服务。
  3. 云锁事件响应中心:由阿里云推出的产品,提供网络空间威胁和安全事件的监测、预警、应急响应等服务。该产品采用 AI 算法进行态势感知,并可以自动化响应安全事故。
  4. 北京赛迪态势感知系统:由北京赛迪安全科技股份有限公司开发的产品,支持网络威胁情报搜集、风险事件自动识别、威胁行为关联分析等功能,可为企业提供全生命周期的网络安全保护。
  5. 启明星辰安全态势感知:由启明星辰推出的产品,提供整体安全态势感知、针对性攻击检测、应急响应等功能,可帮助用户实现从被动防御到主动防御的转变。

这些产品都采用了先进的机器学习和人工智能技术,可以自动化地分析和识别网络威胁,并及时发出预警或者采取应急措施。同时,这些产品还具备可视化的操作界面,用户可以通过简单的操作就可以了解整个系统的安全情况,并做出相应的决策。

什么是跨域,JSONP 与 CORS

在 Web 开发中,跨域(Cross-Origin)指的是当一个 web 应用程序在访问另一个与其来源(协议、域名或端口号)不同的 web 应用程序时所发生的浏览器安全限制。这种限制可以防止非法的数据窃取和恶意代码的注入,从而保障了用户的信息安全。

为了解决跨域问题,Web 安全领域出现了两种常见的技术:JSONP 和 CORS。

  1. JSONP:JSONP(JSON with Padding)是一种跨域请求数据的方式,原理是通过在 HTML 页面上使用 script 标签加载远程 JSON 数据,并通过回调函数处理获取到的数据。这种方式可以绕过浏览器的同源策略,但只支持 GET 请求。
  2. CORS:CORS(Cross-Origin Resource Sharing)是在服务器端设置允许跨域请求的机制。它通过在 HTTP 头信息中添加一些字段来告诉浏览器该服务器允许哪些域名的请求。CORS 可以支持各种类型的 HTTP 请求,并且比 JSONP 更加灵活和安全。

总之,无论是 JSONP 还是 CORS,都是为了解决跨域问题而设计的技术。开发人员可以根据自己的需求来选择适合自己的方式,并结合安全考虑进行使用。同时,为了保护用户的信息安全,在使用跨域技术时,需要特别注意对传输数据的加密和防篡改措施。

如何发现钓鱼邮件

钓鱼邮件是一种常见的网络针对性攻击手段,通常通过电子邮件发送虚假信息诱骗受害者提供个人敏感信息或进行非法行为。以下是几种发现钓鱼邮件的方法:

  1. 查看发件人地址:钓鱼邮件的发件人地址通常会伪装成合法、可信的机构或公司,但是如果您仔细查看发件人地址,就可能发现其不是该机构或公司真正的域名。
  2. 检查链接地址:钓鱼邮件中通常会包含可疑的链接,如果您将鼠标悬停在链接上,就可以看到链接的真实地址。如果该地址与邮件内容不符,就可能是钓鱼邮件。
  3. 注意邮件内容:钓鱼邮件通常会给人留下一种紧急、必须立即采取行动的感觉,从而诱骗用户点击链接或执行某些操作。因此,如果您收到这样的邮件,请仔细阅读邮件内容,并多加思考和确认。
  4. 尽量避免下载附件:钓鱼邮件通常会携带恶意附件,如果您无法确认邮件的真实性,最好不要下载或打开这些附件,以免被感染。
  5. 安装反钓鱼软件:有一些反钓鱼软件可以帮助用户检测和拦截钓鱼邮件,例如 Google 的 Password Alert 等。

总之,发现钓鱼邮件需要多加警惕和注意,在收到可疑邮件时,应该仔细查看邮件内容和相关信息,并尽可能采取措施避免被钓鱼攻击。

如何查看区分是扫描流量和手动流量

扫描流量和手动流量的区别在于其产生的方式和行为特征,因此可以通过以下几种方法来查看区分它们:

  1. 查看流量来源:扫描流量通常是由自动化工具或蠕虫病毒等程序生成的,因此其源 IP 或者发起请求的主机通常不固定,而手动流量则来自人工操作的设备,其请求的 IP 地址和用户代理信息都会有所不同。
  2. 检测流量频率和规律:扫描流量通常会呈现出周期性、规律性的访问行为,例如连续大量的 TCP SYN 请求等。而手动流量则通常难以呈现出明显的规律和周期性。
  3. 观察流量的请求路径和参数:扫描流量通常是为了探测系统漏洞和弱点而产生的,它们通常会对一些已知的 URL 和参数进行大量的尝试,并使用一些特殊的 HTTP 头部信息。而手动流量则更加多样化,可能会包含更丰富的请求路径和参数。
  4. 分析流量的响应状态码和长度:扫描流量通常会通过检测返回的状态码和页面长度等信息来判断目标是否存在漏洞或弱点。手动流量则通常会具有更加正常的响应状态码和页面长度。

总之,通过综合分析流量来源、访问规律、请求路径和参数以及响应状态码等特征,我们可以比较准确地区分扫描流量和手动流量,并采取相应的防御措施。

遇到.exe 文件如何处理?

.exe 文件是 Windows 上的可执行文件,通常包含应用程序或者安装程序等内容。如果您在电子邮件或者网络上收到了 .exe 文件,需要格外小心,因为它们可能包含病毒、恶意软件或者其他危险物品。以下是几种处理方法:

  1. 不要直接运行:不要轻易双击或者打开未知来源的 .exe 文件,因为它们可能会启动恶意软件,并对您的系统造成损害。如果您必须要运行这些 .exe 文件,请先进行杀毒软件扫描和检测操作。
  2. 使用虚拟机:如果您需要测试某个 .exe 文件的行为和效果,可以考虑使用虚拟机。虚拟机可以将一个完整的操作系统运行在一个软件容器中,使得用户可以在其中安全地运行可疑的 .exe 文件,并且不会影响主机系统的安全性。
  3. 上传到在线扫描服务平台:一些在线杀毒软件平台,例如 VirusTotal 等,提供了在线扫描可疑文件的服务。如果您不确定一个 .exe 文件是否安全,可以上传到这些平台进行扫描,以获取更多的信息和建议。
  4. 将文件发送给安全专家:如果您无法确定 .exe 文件的安全性,可以将其发送给安全专家进行分析。安全专家可以根据其行为特征和结构等信息,对该文件进行深度分析,以确定是否存在潜在的安全威胁。

总之,在处理未知来源的 .exe 文件时,需要注意谨慎并采取必要的安全措施,以确保您的系统不会被攻击或感染。如果您遇到可疑的 .exe 文件,请务必进行杀毒软件扫描,并尽可能获取更多的信息和建议。

应急响应的排查思路?

应急响应的排查思路主要包括以下几个方面:

  1. 确认事件:首先需要了解事件的具体情况,包括发生的时间、影响范围、受影响的系统和服务等信息。同时还需要判断是否存在钓鱼邮件、病毒感染等情况,以确定是否存在网络安全事件。
  2. 收集证据:在确认安全事件后,需要及时收集相关证据,包括日志记录、网络流量、进程信息、文件系统状态等信息,并进行存档备份。这些证据可以为后续的分析提供依据。
  3. 分析数据:对收集到的证据进行分析,尤其是日志和网络流量等数据,可以帮助快速定位问题和确认是否存在攻击行为。在分析过程中,可以利用一些常见的工具,例如 Wireshark、Nmap、Sysinternals 等。
  4. 阻止攻击:在确认存在攻击行为后,需要立即采取措施,阻止攻击并保护现有系统。这些措施包括封锁网络、隔离受感染主机、关闭漏洞等。
  5. 制定应急计划:根据分析结果,制定相应的应急计划,确保系统能够迅速恢复正常的运行状态。应急计划应该包括恢复数据、修复漏洞、加强安全防御等方面。

总之,应急响应排查思路需要遵循快速响应、收集证据、分析数据、阻止攻击和制定应急计划等原则,并且需要依靠专业的技能和工具来实现。在实际操作中,需要小心谨慎,同时保持高度警惕和敏锐性。

普通的加固手段?

普通的加固手段包括以下几种:

  1. 更新补丁:定期更新操作系统、应用程序的补丁,修复已知的漏洞和安全问题。
  2. 强化口令策略:采用复杂、难以猜测的密码,并进行定期更换。同时可以启用账户锁定、多次失败尝试限制等功能,提高口令安全性。
  3. 加强身份验证:采用多因素身份验证技术,例如使用硬件令牌、生物特征等方式,确保只有授权用户才能访问系统。
  4. 安装防病毒软件:安装并及时更新防病毒软件,定期进行全盘扫描和实时监控,以便及时发现和处置潜在的恶意软件。
  5. 关闭不必要服务:关闭系统中不必要的服务和端口,降低攻击面,避免被利用。
  6. 限制访问权限:根据业务需要,设置合理的访问权限,对于未授权的用户或者设备进行限制,提高系统的安全性。
  7. 数据备份与恢复:定期备份重要数据,并将其存储在安全可靠的位置。在出现故障或事件时,能够快速恢复数据,避免数据丢失和系统停机。

总之,以上这些普通的加固手段可以帮助提高系统的安全性和稳定性,并且也是网络安全基础建设的关键步骤。在实际操作中,需要根据具体情况和需求,结合其他安全措施来进行综合加固。同时需要注意及时更新和检查,以确保系统始终处于安全状态。

redis未授权的条件,修复方式?

Redis 未授权访问是指某些 Redis 实例的访问控制没有得到正确配置,导致攻击者可以通过不需要认证的方式直接连接该实例并进行操作。这可能会导致敏感数据泄露、系统被攻击等安全问题。

修复 Redis 未授权访问的方式包括以下几个步骤:

  1. 确认是否存在未授权访问:通过检查日志和网络流量等信息,确认是否存在未授权访问的情况。
  2. 修改 Redis 配置文件:在 redis.config 配置文件中,找到 bind 参数并将其设置为 Redis 监听的 IP 地址。此外,还需要设置 requirepass 参数,并设置一个强密码来保护 Redis 数据库。
  3. 重新启动 Redis 服务:在修改完 Redis 配置文件后,需要重新启动 Redis 服务,以便使新的配置生效。
  4. 禁用 Redis 远程访问:如果您的 Redis 服务只在本地使用,则应禁用 Redis 的远程访问,以降低攻击面和提高安全性。
  5. 定期更新 Redis 和操作系统补丁:及时更新 Redis 和操作系统的安全补丁,以修复已知漏洞和提高系统安全性。

总之,在修复 Redis 未授权访问时,我们需要先确认是否存在未授权访问的情况,然后按照上述步骤进行修复。为了保证系统安全,我们还需要经常检查 Redis 配置文件和操作系统状态,及时更新补丁,并定期进行安全审计和漏洞扫描等操作。

被攻击后,日志文件以及木马文件被删除怎样排查

被攻击后,日志文件和木马文件被删除会给排查工作带来很大的困难,但还是有一些方法可以尝试:

  1. 查看系统备份:如果您的系统进行了定期备份,那么可以尝试从备份中恢复丢失的日志文件和木马文件。如果备份没有受到攻击,那么这种方式可能会非常有效。
  2. 恢复已删除文件:一些数据恢复软件,例如Recuva、EaseUS Data Recovery等,可以恢复已删除的文件。您可以尝试使用这些软件来恢复被删除的文件。
  3. 检查其他主机:如果您的系统被集成到网络中,可以检查其他主机是否有相同的攻击迹象和后门程序。对于攻击者来说,攻击多台主机通常需要更多的时间和资源,因此在其他主机上发现类似的攻击行为也许能够提供有用的信息。
  4. 分析系统快照:如果您的系统支持系统快照功能,例如 Windows 系统还原点,可以尝试回滚系统至之前的快照状态,并分析该状态下的日志信息和系统状态,以寻找攻击行为的证据。
  5. 日志审计:如果日志文件被删除,可以尝试通过其他渠道收集日志信息,并进行审计分析。例如,可以检查网络流量、系统性能、系统进程等信息,以确定是否存在异常行为。

总之,在日志文件和木马文件被删除的情况下,需要采用其他方法来寻找攻击迹象和证据。同时,为了避免这种情况的发生,我们应该在系统中设置必要的日志轮转和备份策略,并加强安全防御工作,避免被攻击者入侵。

安全设备报警

安全设备报警是指安全设备(例如入侵检测系统、防火墙、安全加固等)监测到的与安全相关的事件或活动达到了预先设定的规则和阈值,触发了警报通知。以下是一些处理安全设备报警的方法:

  1. 确认警告的真实性:首先需要确认收到的警报信息是否为真实的安全事件,需要对日志和其他相关信息进行分析和验证。如果发现确实存在安全问题,则需要立即采取适当措施。
  2. 优先级分类:不同类型的安全事件具有不同的严重程度和威胁级别,需要根据事件的类型、来源等因素进行分类和优先级排序,并采取相应的措施进行处理。
  3. 制定处理计划:根据事件情况和优先级,制定相应的处理计划和操作流程。这些计划可以包括隔离受感染主机、采取补救措施、收集证据等方面。
  4. 跟踪事件进展:在处理安全事件时,需要跟踪事件的进展和结果,并及时更新相关记录和文档。同时要保持与相关人员的沟通和协调,以便及时解决问题。
  5. 定期复查:定期审查和分析系统和设备的报警记录和日志,以及采取的应对措施和效果。这可以帮助发现系统中存在的风险和漏洞,并及时加以修复和优化。

总之,在处理安全设备报警时,需要快速响应、分类优先、制定计划等步骤,以保障系统的安全性,并且需要持续地监测和优化安全防御策略。

日志与流量分析

日志和流量分析是网络安全领域中常用的两种技术。它们都可以帮助安全人员更好地了解系统的状态,检测和预防威胁。

日志分析是指对服务器、应用程序等产生的日志进行收集、存储、分析和处理,以便了解系统的运行状况和发现异常事件。通过对日志数据的统计和分析,可以追踪用户活动、系统错误、安全事件等,以及发现潜在的风险和漏洞。比如,通过分析登录日志可以检测到恶意登录尝试;通过分析访问日志可以了解网站的被攻击情况。

流量分析是指对网络流量进行收集、存储、分析和处理,以便了解网络连接的状态,检测和预防网络攻击。通过对流量数据的统计和分析,可以追踪网络通信、检测威胁和漏洞,比如检测恶意流量、DDoS攻击等。流量分析通常需要使用专业的工具和技术,包括网络协议分析、流量捕获和分析软件等。

综上所述,日志和流量分析是网络安全中非常重要的技术,它们可以帮助安全人员发现和解决潜在的安全问题,并维护系统和网络的正常运行。

Taps:

下载地址:回复“ 蓝初百题斩”获取下载链接

免责声明:本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

扫码回复“进群”加入交流群

往期精彩

回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以获取工具。

【安全基础】信息收集看这一篇就够了

快速攻击全自动化工具JuD

Exp-Tools 1.1.3版本发布

GUI-tools渗透测试工具箱框架

阿波罗自动化攻击评估系统

 微软 Word RCE附PoC

Clash最新远程代码执行漏洞(附POC)

禅道系统权限绕过与命令执行漏洞(附POC)

【附EXP】CVE-2022-40684 & CVE-2022-22954

网络安全应急预案合集


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247491649&idx=2&sn=7eb6fe0236e45bfc47c8b9811c3c0718&chksm=c0c841b5f7bfc8a3c5a22f10fded0c91c7a6697f758c946cbe51ad2adcc5cfab4fb7d6ae6931#rd
如有侵权请联系:admin#unsafe.sh