网安护网面试-3-鸿鹄科技护网面试
以下为已总结“网络安全”及“护网”面试,均在:(https://www.haotaoyun.com/category/soc
- “网安 + 护网”终极 300 多问题面试笔记 - 全
- “网安 + 护网”终极 300 多问题面试笔记 - 1 共 3 - 内网 & 域相关
- “网安 + 护网”终极 300 多问题面试笔记 - 2 共 3 - 计算机网络相关
- “网安 + 护网”终极 300 多问题面试笔记 - 3 共 3 - 综合题型(最多)
- 网安护网面试 -1- 长亭护网面试
- 网安护网面试 -2- 国誉护网面试
- 网安护网面试 -3- 鸿鹄科技护网面试
渗透测试流程
(1)信息收集
a. 服务器的相关信息(真实 ip,系统类型,版本,开放端口,WAF 等)
b. 网站指纹识别(包括,cms,cdn,证书等),dns 记录
c. whois 信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
d. 子域名收集,旁站查询 (有授权可渗透),C 段等
e. google hacking 针对化搜索,pdf 文件,中间件版本,弱口令扫描等
f. 扫描网站目录结构,爆后台,网站 banner,测试文件,备份等敏感文件泄漏等
i. 传输协议,通用漏洞,exp,github 源码等
(2)制定攻击计划
利用已知的信息,制定一份目标可能存在漏洞地方的攻击计划
(3)漏洞测试 / 漏洞挖掘
a. 浏览网站,看看网站规模,功能,特点等
b. 端口,弱口令,目录等扫描
c. XSS,SQL 注入,命令注入,CSRF,cookie 安全检测,敏感信息,通信数据传输,暴力破解,任意文件上传,越权访问,未授访问,目录遍历,文件包含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等
(4)漏洞利用,权限提升
通过漏洞拿到 web 的权限,然后提升到最高权限,提权服务器,比如 windows 下 mysql 的 udf 提权,serv-u 提权,windows 低版本的漏洞,如 iis6,pr,巴西烤肉,linux 脏牛漏洞,linux 内核版本漏洞提权,linux 下的 mysql system 提权以及 oracle 低权限提权
(5)权限维持
通过创建后门、账户、计划任务等方式,达到权限维持
(6)内网扫描
通过相关的工具、命令,进行内网主机、端口探测,明文信息收集
(7)建立隧道代理
通过 msf 或者 nc 等相关代理工具,建立隧道
(8)内网攻击、权限提升
通过漏洞拿到一个账户,然后进行利用,提权
(9)痕迹清理
删除相关的 web、系统日志
(10)总结报告及修复方案
溯源相关
(1)安全设备报警
(2)威胁情报平台
(3)蜜罐系统
(4)日志和流量分析
(5)通过邮件钓鱼
(6)Ip 定位
已知攻击者 IP,如何溯源定位攻击人员?
- IP 反查注册信息,可能会查询到域名,通过域名查询备案和 whois 信息,可能会查出邮箱电话,通过社工库查询相关邮箱和电话信息定位人员
- 通过白泽系统查询 IP 情况,查看攻击者 IP 日常访问数据内容,判断攻击者人员信息
- 对 IP 进行扫描判断是否开放高危端口,渗透测试
- 如果是蜜罐捕获的攻击者,还可以通过蜜罐获得攻击者社交 ID
一般应急响应流程
- 事件判断:判断是否是安全事件,是哪种安全事件(勒索,挖矿,断网,ddos)
- 临时处理:给出客户临时处置建议,断网隔离,封禁 ip,保护现场环境
- 信息收集分析:收集客户信息和中毒主机信息,包括样本,日志分析,进程分析,启动项分析
- 清理处置:直接杀掉进程,删除文件,打补丁,亦或是修复文件
- 产出报告:整理并输出完整的安全事件报告
linux 服务器被上传 webshell,如何进行应急
- 在网站的根目录下用下河马或者 d 盾扫下看看,看看能不能扫出 webshell
- 查看网站的 web 日志,使用 weblshell 会在网站的 web 日志中留下 Webshell 页面的访问数据和数据提交记录,主要特征是少量 ip 对其发起访问,总的访问次数少,该页面属于孤立页面
- 看下相关设备的告警流量,看下 webshell 的名字和路径,然后在服务器上使用 find 命令进行查找。并删除。
内网横向渗透一般攻击技巧
先对跳板机进行 nmap,nessus 扫描,扫出来相关网段下存活的主机和漏洞。利用 Mimikatz 或 PwDump7 获取域内单机密码与 Hash。利用 Windows 远程连接命令进行横向渗透,拿到目标机器的用户明文密码或者 NTLM Hash 后,可以用 Windows 自带的方法对远程目标系统进行命令行下的连接操作,连接远程主机并执行相关命令。最常见的就是建立 IPC 连接,通过跳板机连接目标机,进行上传、下载等操作。还有 c$ 盘共享连接,不过只能读取,通常不用。IPC 连接后可以上传木马等文件,然后通过定时命令创建计划任务,如 window 的 at 命令。哈希传递攻击(PTH),该方法通过找到与账户相关的密码散列值(NTLM Hash)来进行攻击。由于在 Windows 系统中,通常会使用 NTLM Hash 对访问资源的用户进行身份认证,所以该攻击可以在不需要明文密码的情况下,利用 LM HASH 和 NTLM HASH 直接远程登录目标主机或反弹 shell。使用 PsExec 直接连接攻击。利用服务进行攻击。>>好淘云<< (haotaoyun.com) · 实时更新全网云服务器测评与选购指南 · 分享建站、运维及网络安全小技巧