• 應(yīng)急響應(yīng)基本思路和流程

• 收集信息：收集客戶信息和中毒主機(jī)信息，包括樣本
• 判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網(wǎng)、DoS 等等
• 抑制范圍：隔離使受害?不繼續(xù)擴(kuò)?
• 深入分析：日志分析、進(jìn)程分析、啟動(dòng)項(xiàng)分析、樣本分析方便后期溯源
• 清理處置：殺掉進(jìn)程，刪除文件，打補(bǔ)丁，刪除異常系統(tǒng)服務(wù)，清除后門賬號(hào)防止事件擴(kuò)大，處理完畢后恢復(fù)生產(chǎn)
• 產(chǎn)出報(bào)告：整理并輸出完整的安全事件報(bào)告

• Windows入侵排查思路

• 檢查系統(tǒng)賬號(hào)安全
  • 查看服務(wù)器是否有弱口令，遠(yuǎn)程管理端口是否對(duì)公網(wǎng)開放（使用netstat -ano命令、或者問(wèn)服務(wù)器管理員）
  • lusrmgr.msc命令查看服務(wù)器是否存在可疑賬號(hào)、新增賬號(hào)，如有管理員群組的（Administrators）里的新增賬戶，如有，請(qǐng)立即禁用或刪除掉
  • 用 D 盾或者注冊(cè)表中查看服務(wù)器是否存在隱藏賬號(hào)、克隆賬號(hào)
  • 結(jié)合日志，查看管理員登錄時(shí)間、用戶名是否存在異常
  • 檢查方法：Win+R 打開運(yùn)行，輸入“eventvwr.msc”，回車運(yùn)行，打開“事件查看器”，導(dǎo)出 Windows 日志--安全，利用 Log Parser 進(jìn)行分析
• 檢查異常端口、進(jìn)程
  • netstat -ano檢查端口連接情況，是否有遠(yuǎn)程連接、可疑連接
  • 任務(wù)管理器-進(jìn)程
• 檢查啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、服務(wù)
• 檢查系統(tǒng)相關(guān)信息
• 查看系統(tǒng)版本以及補(bǔ)丁信息
• 查找可疑目錄及文件
• 日志分析

• 安全設(shè)備

• 1.你對(duì)市面上安全設(shè)備了解多少，具體是哪幾種類型？
• 奇安信：椒圖，鷹圖
  1. 椒圖（Jiaotu）：椒圖是奇安信的一款高級(jí)威脅防御設(shè)備，主要用于網(wǎng)絡(luò)入侵檢測(cè)與防御（Intrusion Detection and Prevention，簡(jiǎn)稱IDP）。它能夠通過(guò)實(shí)時(shí)監(jiān)測(cè)和分析網(wǎng)絡(luò)流量，識(shí)別和阻止惡意攻擊、漏洞利用和其他網(wǎng)絡(luò)威脅。椒圖采用多種技術(shù)手段，包括基于規(guī)則的檢測(cè)、行為分析、異常檢測(cè)等，以提供全面的網(wǎng)絡(luò)安全防護(hù)。
  ·
  ?2. 鷹圖（Yingtu）：鷹圖是奇安信的一款高級(jí)威脅防御平臺(tái)，主要用于網(wǎng)絡(luò)安全事件響應(yīng)和威脅情報(bào)分析。它提供了全面的網(wǎng)絡(luò)安全監(jiān)控和分析功能，能夠?qū)崟r(shí)監(jiān)測(cè)和檢測(cè)網(wǎng)絡(luò)中的異常活動(dòng)，并提供詳細(xì)的安全事件報(bào)告和威脅情報(bào)分析。鷹圖還支持與其他安全設(shè)備和系統(tǒng)的集成，以提供更強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)能力。
• IPS，IDS，WAF，APT檢測(cè)，態(tài)勢(shì)感知，蜜罐，防篡改等等具體情況根據(jù)面試而定
  IPS使用多種技術(shù)來(lái)檢測(cè)和防御入侵。其中一種常見的方法是使用規(guī)則集，也稱為簽名。規(guī)則集是預(yù)定義的模式或特征，用于識(shí)別已知的攻擊和漏洞利用。當(dāng)IPS檢測(cè)到與規(guī)則集中的模式匹配的網(wǎng)絡(luò)流量時(shí)，它會(huì)觸發(fā)警報(bào)或阻止流量。另一種方法是使用行為分析。行為分析是基于對(duì)正常網(wǎng)絡(luò)活動(dòng)的學(xué)習(xí)和建模，來(lái)檢測(cè)異常行為。IPS會(huì)分析網(wǎng)絡(luò)流量的模式、流量量、協(xié)議等特征，并與已知的正常行為進(jìn)行比較。如果檢測(cè)到與已知模式不符的行為，IPS會(huì)觸發(fā)警報(bào)或阻止流量。
  
  NIDS通常使用被動(dòng)監(jiān)聽的方式，監(jiān)測(cè)經(jīng)過(guò)它的網(wǎng)絡(luò)流量，并分析流量中的數(shù)據(jù)包，以識(shí)別惡意活動(dòng)。NIDS可以通過(guò)規(guī)則集（也稱為簽名）來(lái)檢測(cè)已知的攻擊和漏洞利用。當(dāng)NIDS檢測(cè)到與規(guī)則集中的模式匹配的網(wǎng)絡(luò)流量時(shí)，它會(huì)生成警報(bào)或報(bào)告給管理員。主機(jī)IDS（HIDS）監(jiān)測(cè)單個(gè)主機(jī)的活動(dòng)，它位于主機(jī)上，通過(guò)監(jiān)測(cè)主機(jī)的日志、事件和系統(tǒng)調(diào)用等來(lái)識(shí)別潛在的入侵行為。HIDS可以檢測(cè)到主機(jī)上的異常行為，如未經(jīng)授權(quán)的文件訪問(wèn)、異常進(jìn)程行為等。HIDS通常使用基于行為分析的方法來(lái)檢測(cè)入侵行為，它會(huì)學(xué)習(xí)和建模主機(jī)的正常行為，并與實(shí)際行為進(jìn)行比較，以檢測(cè)異常行為。
  
  基于網(wǎng)絡(luò)的WAF位于網(wǎng)絡(luò)邊界或Web應(yīng)用程序前端，它監(jiān)測(cè)進(jìn)入Web應(yīng)用程序的流量，并根據(jù)預(yù)定義的規(guī)則集來(lái)檢測(cè)和阻止惡意活動(dòng)。這些規(guī)則集可以包含常見的Web攻擊模式，如SQL注入、跨站腳本攻擊（XSS）、跨站請(qǐng)求偽造（CSRF）等。當(dāng)WAF檢測(cè)到與規(guī)則集中的模式匹配的流量時(shí)，它可以阻止請(qǐng)求或觸發(fā)警報(bào)。
  ?基于主機(jī)的WAF位于Web服務(wù)器或應(yīng)用程序服務(wù)器上，它通過(guò)監(jiān)測(cè)服務(wù)器上的網(wǎng)絡(luò)流量、日志和應(yīng)用程序行為來(lái)檢測(cè)和阻止惡意活動(dòng)?；谥鳈C(jī)的WAF可以更深入地檢測(cè)和保護(hù)Web應(yīng)用程序，因?yàn)樗梢栽L問(wèn)應(yīng)用程序的內(nèi)部數(shù)據(jù)和行為。
  
  ?

• Sql注入

• 1、sql注入漏洞原理
• 開發(fā)者沒(méi)有在網(wǎng)頁(yè)傳參點(diǎn)做好過(guò)濾，導(dǎo)致惡意 sql 語(yǔ)句拼接到數(shù)據(jù)庫(kù)進(jìn)行執(zhí)行
• 2、sql注入分類
• 聯(lián)合注入 、布爾盲注 、時(shí)間盲注 、堆疊注入 、寬字節(jié)注入 、報(bào)錯(cuò)注入
• 3、堆疊注入原理
• 在 mysql 中，分號(hào) 代表一個(gè)查詢語(yǔ)句的結(jié)束，所以我們可以用分號(hào)在一行里拼接多個(gè)查詢語(yǔ)句
• 4、寬字節(jié)注入原理
• a 數(shù)據(jù)庫(kù)使用 gbk 編碼
• b 使用反斜杠進(jìn)行轉(zhuǎn)義
• 5、報(bào)錯(cuò)注入原理：
• a 報(bào)錯(cuò)注入函數(shù),例如：floor() 、group by 、exp() 、updatexml() 、extractvalue()
• 6、Dnslog注入原理
• a 利用 load_file() 函數(shù)讀取共享文件
• b共享文件形式：\hex(user()).dnslog.cn/ 或者 \host\
• c 利用 mysql 的 load_file() 函數(shù)解析拼接過(guò)的 dnslog 域名，進(jìn)而帶出數(shù)據(jù)
• 7、聯(lián)合注入的步驟
• a 找傳參點(diǎn)
• b 判斷閉合符
• c 判斷列數(shù)
• d 判斷顯示位
• e 查詢database()
• f 查表
• g 數(shù)據(jù)
• 8、盲注分類
• a 布爾盲注（頁(yè)面回顯 長(zhǎng)度 ：burp 里的 Content-Length ）
• b 時(shí)間盲注（頁(yè)面回顯 時(shí)間 ：burp 包的 右下角 ）、Dnslog
• 9、盲注函數(shù)
• if() 、sleep() 、substr() 、left() 、limit 、ascii() 、length()
• 10、判斷閉合符方式：
• 構(gòu)造真和假：id=1 and 1=1 、id=1' and 1=2 、=1" or 1=1 、') or 1=2 、and 234=234 、and 1 、or 1 、and 1^1 、&&1 、||0

• 11、sql注入繞waf

• a 代替空格：/**/ 、/!/ 、+ 、%09 、%0a 、%00 、括號(hào)
• b 關(guān)鍵字：16進(jìn)制 、char() 、字符串拼接
• c 等價(jià)函數(shù)替換：sleep()==benchmark() 、if()==case when then else end 、ascii()==ord() 、substr()==substring()
• d 內(nèi)聯(lián)注釋：/*! */

• 12、sqlmap常用參數(shù)

• a -r ：用于post型注入，指定 txt 文件的 post 數(shù)據(jù)包
• b -u ：指定url，通常用于 get 型注入
• c -p:指定注入點(diǎn)，例如: python sqlmap.py-u http://127.0.0.1/index.php?id=1&mid=2&page=3 -p "page"
• d * ：指定注入點(diǎn)，例如：python sqlmap.py-u http://127.0.0.1/index.php?id=1*&mid=2&page=3* 注意：* 號(hào)也可以用于偽靜態(tài)的注入，用法同前面一樣，直接在注入點(diǎn)后面加 *
• e -m ：用于sqlmap批量跑注入，指定一個(gè)含有多個(gè) url 的 txt 文件D
• f --os-shell :用戶獲取 shell
• g --os-cmd :執(zhí)行系統(tǒng)命令
• h --tamper ：指定繞過(guò)用的腳本文件
• i --level 3 ：指定測(cè)試等級(jí)，等級(jí)越高，檢查項(xiàng)越多，共 1-5 個(gè)等級(jí)
• j --risk 3 ：指定風(fēng)險(xiǎn)等級(jí)，等級(jí)越告，payload 越復(fù)雜，共 1-3 個(gè)等級(jí)
• k --random-agent ：指定隨機(jī) agent 頭
• l --batch ：默認(rèn)選項(xiàng)
• m --dbms ：指定數(shù)據(jù)庫(kù)類型

• 13、sql注入獲取 webshell 的方式

• a 寫文件（需要寫權(quán)限）
• b 寫日志文件（不要學(xué)權(quán)限，但是需要通過(guò)命令開啟日志記錄功能，而且還需要把日志文件的路徑指定到網(wǎng)站根路徑下面）

• 14、sql注入防御

• a 過(guò)濾敏感字符，例如：information_schema 、into out_file 、into dump_file 、' 、" 、()
• b 預(yù)編譯
• c 站庫(kù)分離：增加攻擊者的時(shí)間成本、防止通過(guò)數(shù)據(jù)庫(kù)拿到webshell

• 15、mysql提權(quán)方式

• a mof提權(quán)
• b udf提權(quán)
  a) MOF提權(quán)：MOF（Management Object Format）提權(quán)是一種通過(guò)修改Windows管理對(duì)象文件來(lái)獲取系統(tǒng)管理員權(quán)限的方法。在MySQL中，可以使用MOF提權(quán)來(lái)獲取系統(tǒng)級(jí)別的權(quán)限，從而繞過(guò)MySQL的權(quán)限限制。
  ?MOF提權(quán)的步驟如下：1. 修改MySQL的配置文件my.ini，將MySQL服務(wù)以SYSTEM權(quán)限運(yùn)行。2. 創(chuàng)建一個(gè)惡意的MOF文件，其中包含執(zhí)行提權(quán)操作的命令。3. 使用mofcomp命令將惡意的MOF文件編譯成WMI（Windows Management Instrumentation）對(duì)象。4. 通過(guò)WMI執(zhí)行編譯后的MOF文件，從而觸發(fā)提權(quán)操作。通過(guò)MOF提權(quán)，攻擊者可以獲取系統(tǒng)管理員權(quán)限，并繞過(guò)MySQL的權(quán)限限制，執(zhí)行更高級(jí)別的操作。
  
  ?b) UDF提權(quán)：UDF（User-Defined Functions）提權(quán)是一種通過(guò)創(chuàng)建和加載自定義函數(shù)來(lái)獲取系統(tǒng)管理員權(quán)限的方法。在MySQL中，UDF提權(quán)可以通過(guò)創(chuàng)建惡意的自定義函數(shù)并將其加載到MySQL服務(wù)器中來(lái)實(shí)現(xiàn)。
  ?UDF提權(quán)的步驟如下：1. 創(chuàng)建一個(gè)惡意的C/C++函數(shù)，其中包含執(zhí)行提權(quán)操作的代碼。2. 編譯惡意函數(shù)為動(dòng)態(tài)鏈接庫(kù)（DLL）文件。3. 在MySQL服務(wù)器上啟用UDF功能，并將惡意的DLL文件加載為自定義函數(shù)。4. 執(zhí)行惡意的自定義函數(shù)，從而觸發(fā)提權(quán)操作。通過(guò)UDF提權(quán)，攻擊者可以執(zhí)行系統(tǒng)級(jí)別的操作，如創(chuàng)建新的管理員用戶、修改系統(tǒng)配置等。這種提權(quán)方式利用了MySQL的UDF功能，繞過(guò)了MySQL的權(quán)限限制，獲取更高的權(quán)限。

• XSS：跨站腳本攻擊

• 1、XSS原理
• 開發(fā)人員沒(méi)有做好過(guò)濾，致我們可以閉合標(biāo)簽進(jìn)而插入并執(zhí)行惡意JS代碼
• 2、xss類型分類
• a DOM型 ：由 DOM 文檔完成解析
• b 反射型 ：即插即用，沒(méi)有存儲(chǔ)在數(shù)據(jù)庫(kù)里面
• c 存儲(chǔ)型 ：被存儲(chǔ)在數(shù)據(jù)庫(kù)里面，造成持久型的攻擊
• 3、常用的JS函數(shù)
• a document.cookie() ：彈出當(dāng)前網(wǎng)址的瀏覽器 cookie
• b console.log('xss') ：在控制臺(tái)輸出日志
• 4、繞過(guò)方式
• a 改變大小寫：<script>
• b 編碼繞過(guò)（ html 實(shí)體編碼、 十進(jìn)制十六進(jìn)制八進(jìn)制編碼、 unicode 編碼）、
• c 關(guān)閉標(biāo)簽：利用大于號(hào) > 關(guān)閉標(biāo)簽使得xss生效
• d 雙寫?zhàn)堖^(guò)：<scr<script>ipt>
• e 可以使用 空格 ， 換行 ，tab 鍵或者 /**/ , /!a/,的形式繞過(guò) 關(guān)鍵詞的檢測(cè)
• f 用/代替空格
• g 用 反引號(hào) 代替 括號(hào) 、雙引號(hào)
• h 用 throw 代替括號(hào)
• i 用 html 實(shí)體編碼 : 代替 冒號(hào)
• j 用 jsfuck 編碼繞過(guò)大部分字符過(guò)濾
• 5、掃描工具
• xsstrick，AWVS，nmap
• 6、XSS釣魚平臺(tái)
• kali工具：BEEF
• 7、xss防御
• 過(guò)濾敏感字符
• a 例如：aler() ,script ,onerror
• b 增加 httponly ：禁止前端執(zhí)行JS代碼i
• 8、如何從根本防御XSS
• 進(jìn)行預(yù)編譯

• 文件上傳

• 1、漏洞原理
• 開發(fā)人員未在上傳點(diǎn)對(duì)文件名和文件內(nèi)容做嚴(yán)格的過(guò)濾
• 2、如何繞過(guò)黑名單
• 1 特殊后綴名繞過(guò)：php3-php5 、 phtml 、通過(guò)修改 httpd.conf 文件按可以實(shí)現(xiàn)解析任意后綴名
• 2 通過(guò)上傳 .htaccess 文件可以實(shí)現(xiàn)解析任意后綴名
• 3 上傳 .user.ini 文件，利用包含實(shí)現(xiàn)getshell
• 4 空格繞過(guò)，利用的是 windows 和 linux 不允許文件名出現(xiàn)包括 空格 在內(nèi)的特殊字符，例如上傳：1.php[空格]
• 5 點(diǎn)繞過(guò)，windows 不允許出現(xiàn)點(diǎn)結(jié)尾的文件名，會(huì)自動(dòng)去掉文件名后面的點(diǎn)， linux 允許出現(xiàn)點(diǎn)結(jié)尾的文件
• 6 流文件繞過(guò)，windows 中，::$DATA 符號(hào)后面的內(nèi)容會(huì)被當(dāng)成字節(jié)流數(shù)據(jù)，上傳之后會(huì)自動(dòng)去掉 ::$DATA 以及后面的內(nèi)容
• 7 雙寫后綴名，例如上傳 1.pphphp ，只適用于將 php 替換為空的情況
• 3、繞過(guò)白名單
• 1 00 截?cái)?/strong>
• 2 配合文件包含
• 4、對(duì)文件內(nèi)容進(jìn)行繞過(guò)
• 1 填充垃圾字符
• 2 免殺
• 5、繞過(guò)前端驗(yàn)證
• 1 在瀏覽器關(guān)閉前端 JS 功能
• 2 burp 抓包修改

• 文件包含

• 1、文件包含函數(shù)
• a include() 、 require 、 include_once() 、 require_once()
• 2、文件包含支持的協(xié)議
• a php 偽協(xié)議：fiter 、 input 、 data 、 zip 、phar
• b file 協(xié)議
• c http 和 https
• 3、利用條件
• a 本地文件包含不需要開啟 allow_url_* 參數(shù)
• b 部分偽協(xié)議需要開啟一個(gè)或者兩個(gè) allow_url_* 參數(shù)
• 4、防御
• a 過(guò)濾關(guān)鍵字，例如：php:// 、 file:// 、 http://
• b 關(guān)閉 allow_url_* 參數(shù)

• 命令執(zhí)行

• 1、拼接 & 、&& 、 | 、 ||
• 2、原理：在操作系統(tǒng)中， & 、&& 、 | 、 || 都可以作為命令連接符使用，用戶通過(guò)瀏覽器提交執(zhí)行命令，由于服務(wù)器端沒(méi)有針對(duì)執(zhí)行函數(shù)做過(guò)濾，導(dǎo)致在沒(méi)有指定絕對(duì)路徑的情況下就執(zhí)行命令

• CSRF:跨站請(qǐng)求偽造

• 1、原理：
• 在 cookie 有效期范圍內(nèi)，誘使受害者點(diǎn)擊某個(gè)頁(yè)面，進(jìn)而執(zhí)行非受害者本意的操作。
• 2、防御
• a 驗(yàn)證 referer字段
• b 加 token 驗(yàn)證

• SSRF:服務(wù)器請(qǐng)求偽造

• 1、原理
• 大都是由于服務(wù)端提供了從其他服務(wù)器獲取數(shù)據(jù)的功能且沒(méi)有對(duì)目標(biāo)地址做過(guò)濾與限制。比如從指定URL地址獲取網(wǎng)頁(yè)文本內(nèi)容，加載指定地址的圖片，下載等等。
• 2、支持的協(xié)議
• a http://
• b https://
• c dict://
• d ftp://
• e file1
• f php 偽協(xié)議
• g gopher://
• 3、危害
• a 內(nèi)外網(wǎng)的端口和服務(wù)掃描
• b 主機(jī)本地敏感數(shù)據(jù)的讀取
• c 內(nèi)外網(wǎng)主機(jī)應(yīng)用程序漏洞的利用
• d 內(nèi)外網(wǎng)Web站點(diǎn)漏洞的利用
• 4、防御
• a 過(guò)濾 file:// 、 gocher:// 等，過(guò)濾 端口
• b 把網(wǎng)站需要訪問(wèn)的內(nèi)網(wǎng)資源路徑寫死，不從外部接收

• 信息泄露

• 1、原理：
• 信息泄露可能是不慎泄露給瀏覽該網(wǎng)站信息用戶的,也有可能是攻擊者通過(guò)惡意的交互從網(wǎng)站獲得數(shù)據(jù)。例如.svn、.git、.ds_store
• 2、利用手法：
• a 通過(guò) robots.txt 泄露網(wǎng)站隱藏目錄/文件.或者站點(diǎn)結(jié)構(gòu)
• b 網(wǎng)站站點(diǎn)的 備份文件 未刪除導(dǎo)致的泄露,可能會(huì)泄露網(wǎng)站源代碼
• c 沒(méi)有正確處理網(wǎng)站的一些 錯(cuò)誤消息 ,在錯(cuò)誤消息中泄露數(shù)據(jù)庫(kù)表,字段等
• d 一些高度敏感的用戶信息,銀行賬號(hào)等泄露
• e 在源代碼中泄露數(shù)據(jù)庫(kù) 賬號(hào)密碼 ,等等(GitHub)
• f 網(wǎng)站某些程序的細(xì)微差別提示是否存在某些資源,用戶名

• 中間件漏洞

• Apache
• a 解析漏洞：多后綴名解析漏洞（從后往前解析，一直解析到可識(shí)別的后綴）、罕見
• b 后綴名解析漏洞、.htaccess解析漏洞
• 命令執(zhí)行漏洞：CVE-2021-42013
  漏洞的原因是Apache HTTP Server在處理某些HTTP請(qǐng)求時(shí)，未正確過(guò)濾用戶提供的輸入，導(dǎo)致攻擊者可以在請(qǐng)求中注入惡意的命令。攻擊者可以通過(guò)在請(qǐng)求的查詢字符串或請(qǐng)求頭中插入特定的命令來(lái)利用該漏洞。
  
  ?當(dāng)受影響的服務(wù)器收到惡意請(qǐng)求時(shí)，攻擊者可以通過(guò)注入的命令執(zhí)行任意操作，包括讀取、修改或刪除服務(wù)器上的文件，以及在服務(wù)器上執(zhí)行任意的系統(tǒng)命令。這可能導(dǎo)致服務(wù)器的敏感信息泄露、服務(wù)中斷或遠(yuǎn)程代碼執(zhí)行等安全問(wèn)題。
  
  ?為了利用該漏洞，攻擊者需要發(fā)送一個(gè)特制的HTTP請(qǐng)求，并在請(qǐng)求中注入惡意命令。攻擊者可以通過(guò)修改請(qǐng)求的查詢字符串或請(qǐng)求頭來(lái)實(shí)現(xiàn)注入。例如，攻擊者可以在查詢字符串中添加類似于`|命令`或`&&命令`的注入語(yǔ)句，以執(zhí)行任意的系統(tǒng)命令。

• IIS

• a 文件名解析漏洞，從前往后解析，遇到分號(hào)就截?cái)?#xff0c;忽略分號(hào)后面的內(nèi)容
• 例如：1.asp;.jpg
• b 罕見后綴名，例如：.asa、.cer、.cdx
• c IIS 5.X/6.0的文件夾解析漏洞，例如：將文件夾以1.asp命名，該文件夾中的所有文件都會(huì)被當(dāng)做asp文件執(zhí)行：1.asp/1.jpg、1.asa/1.jpg、1.cer/1.jpg、1.cdx/1.jpg
• d IIS 7.0/IIS 7.5的CGI解析漏洞，例如上傳1.jpg然后訪問(wèn)
  當(dāng)IIS服務(wù)器收到一個(gè)CGI請(qǐng)求時(shí)，它會(huì)嘗試解析并執(zhí)行CGI腳本。然而，由于缺乏適當(dāng)?shù)陌踩珯z查，攻擊者可以通過(guò)在請(qǐng)求中包含惡意的CGI腳本來(lái)執(zhí)行任意的代碼。
  ?具體來(lái)說(shuō)，攻擊者可以通過(guò)上傳一個(gè)看似是圖片文件的CGI腳本（如1.jpg）并訪問(wèn)它來(lái)利用該漏洞。當(dāng)服務(wù)器收到請(qǐng)求時(shí)，它會(huì)將1.jpg文件傳遞給CGI處理程序進(jìn)行解析和執(zhí)行。由于CGI處理程序沒(méi)有正確驗(yàn)證文件類型，它會(huì)錯(cuò)誤地將1.jpg文件當(dāng)作CGI腳本來(lái)執(zhí)行，從而導(dǎo)致攻擊者的惡意代碼被執(zhí)行。
  
  ?成功利用該漏洞的攻擊者可以執(zhí)行任意的代碼，這可能導(dǎo)致服務(wù)器完全被控制，進(jìn)而造成敏感信息泄露、服務(wù)中斷或其他安全問(wèn)題。

• e IIS PUT文件上傳漏洞

• f HTTP.sys遠(yuǎn)程代碼執(zhí)行漏洞：MS15-034
  該漏洞的原因是在HTTP.sys內(nèi)核驅(qū)動(dòng)程序中存在一個(gè)緩沖區(qū)溢出漏洞，攻擊者可以通過(guò)發(fā)送特制的Range請(qǐng)求頭（Range: bytes=0-999表示客戶端只請(qǐng)求資源的前1000個(gè)字節(jié)，Range: bytes=0-18446744073709551615表示請(qǐng)求的范圍從0到2^64-1，這是一個(gè)巨大的范圍。）來(lái)觸發(fā)該漏洞。當(dāng)HTTP.sys處理該惡意請(qǐng)求時(shí)，緩沖區(qū)溢出會(huì)導(dǎo)致內(nèi)存被破壞，從而使攻擊者能夠執(zhí)行任意的遠(yuǎn)程代碼。
  
  ?攻擊者可以通過(guò)發(fā)送惡意的HTTP請(qǐng)求來(lái)利用該漏洞。這些請(qǐng)求通常包含一個(gè)特定的Range請(qǐng)求頭，其中包含一個(gè)巨大的范圍值，超出了HTTP.sys內(nèi)核驅(qū)動(dòng)程序所能處理的范圍。當(dāng)服務(wù)器收到這樣的請(qǐng)求時(shí)，HTTP.sys會(huì)嘗試將數(shù)據(jù)復(fù)制到一個(gè)緩沖區(qū)中，由于緩沖區(qū)溢出的存在，攻擊者可以在溢出的數(shù)據(jù)中插入惡意的代碼。
  
  ?成功利用該漏洞的攻擊者可以執(zhí)行任意的遠(yuǎn)程代碼，這可能導(dǎo)致服務(wù)器完全被控制，進(jìn)而造成敏感信息泄露、服務(wù)中斷或其他安全問(wèn)題。
• Nginxga CGI解析漏洞，例如上傳1.jpg然后訪問(wèn)1.jpg/.php
  漏洞的原因是在Nginx的配置中CGI解析不當(dāng)。當(dāng)Nginx服務(wù)器收到一個(gè)請(qǐng)求時(shí)，如果請(qǐng)求的URL中包含一個(gè)已存在的文件（如1.jpg），并且在文件名后面添加了斜杠和一個(gè)擴(kuò)展名（如1.jpg/.php），Nginx會(huì)錯(cuò)誤地將該請(qǐng)求當(dāng)作CGI腳本解析并執(zhí)行。
  
  ?具體來(lái)說(shuō)，攻擊者可以通過(guò)上傳一個(gè)看似是圖片文件的惡意CGI腳本（如1.jpg）并訪問(wèn)它（如1.jpg/.php）來(lái)利用該漏洞。當(dāng)Nginx服務(wù)器收到請(qǐng)求時(shí)，它會(huì)將1.jpg/.php文件傳遞給CGI解析器進(jìn)行解析和執(zhí)行。由于配置不當(dāng)，Nginx會(huì)將該文件當(dāng)作CGI腳本來(lái)執(zhí)行，從而導(dǎo)致攻擊者的惡意代碼被執(zhí)行。
  
  ?成功利用該漏洞的攻擊者可以執(zhí)行任意的代碼，這可能導(dǎo)致服務(wù)器完全被控制，進(jìn)而造成敏感信息泄露、服務(wù)中斷

• 其他

• 1、IIS：目錄解析漏洞、分號(hào)截?cái)?、CGI解析漏洞、PUT文件上傳漏洞、MS15-034
• 2、Apache：多后綴名解析漏洞、目錄遍歷、命令執(zhí)行漏洞：CVE-2021-42013
• 3、Nginx：CGI解析漏洞
• 4、Tomcat：后臺(tái)部署war包、PUT文件上傳漏洞、反序列化漏洞、樣例目錄session操控漏洞
  下面是詳細(xì)解釋后臺(tái)部署war包的步驟：
• 1. 準(zhǔn)備war包：首先，需要將Web應(yīng)用程序打包成war格式。war包是一種特殊的壓縮文件，包含了Web應(yīng)用程序的所有組件，如HTML、JSP、Servlet、類文件、配置文件等。
• 2. 將war包上傳到Tomcat服務(wù)器：將準(zhǔn)備好的war包上傳到Tomcat服務(wù)器上。可以通過(guò)多種方式實(shí)現(xiàn)上傳，例如使用Tomcat管理界面、FTP、SCP等。上傳后，war包會(huì)被存儲(chǔ)在Tomcat服務(wù)器的webapps目錄下。
• 3. Tomcat自動(dòng)解壓war包：一旦war包被上傳到webapps目錄，Tomcat會(huì)自動(dòng)檢測(cè)并解壓它。解壓后，Tomcat會(huì)在webapps目錄下創(chuàng)建一個(gè)與war包同名的目錄，并將解壓后的文件和目錄放置在其中。
• 4. 應(yīng)用程序部署完成：解壓后的目錄中包含了Web應(yīng)用程序的所有組件。Tomcat會(huì)自動(dòng)加載并運(yùn)行這些組件，使得Web應(yīng)用程序可以在Tomcat服務(wù)器上正常運(yùn)行。
• 5. 訪問(wèn)Web應(yīng)用程序：一旦Web應(yīng)用程序部署完成，可以通過(guò)訪問(wèn)Tomcat服務(wù)器的URL來(lái)訪問(wèn)該應(yīng)用程序。
• URL的格式通常是`http://<hostname>:<port>/<context>`，其中`<hostname>`是Tomcat服務(wù)器的主機(jī)名或IP地址，`<port>`是Tomcat服務(wù)器的端口號(hào)，`<context>`是Web應(yīng)用程序在Tomcat中的上下文路徑。
  
  1. 后臺(tái)部署war包漏洞：
  攻擊者利用該漏洞的步驟如下：
  - 攻擊者將惡意war包文件命名為合法的文件名，并將其上傳到Tomcat的webapps目錄下。
  - Tomcat會(huì)自動(dòng)檢測(cè)并解壓war包，生成對(duì)應(yīng)的應(yīng)用程序目錄。- 應(yīng)用程序目錄中包含了攻擊者上傳的惡意代碼。
  - Tomcat會(huì)自動(dòng)加載并運(yùn)行這些惡意代碼，導(dǎo)致攻擊者可以執(zhí)行任意的代碼，包括遠(yuǎn)程命令執(zhí)行、文件操作、數(shù)據(jù)庫(kù)訪問(wèn)等。
  
  為了修復(fù)這個(gè)漏洞，Tomcat用戶應(yīng)該升級(jí)到最新版本，并應(yīng)用廠商發(fā)布的安全補(bǔ)丁。此外，可以考慮限制對(duì)webapps目錄的寫入權(quán)限，只允許受信任的用戶或IP地址上傳war包。還可以使用防火墻或其他網(wǎng)絡(luò)安全設(shè)備來(lái)過(guò)濾和監(jiān)控對(duì)webapps目錄的訪問(wèn)，以增加安全性。
  
  2. 樣例目錄session操控漏洞：樣例目錄session操控漏洞是指攻擊者可以通過(guò)訪問(wèn)Tomcat的樣例目錄中的應(yīng)用程序，獲取或操控其他用戶的會(huì)話（session）信息的漏洞。
  
  ?具體來(lái)說(shuō)，攻擊者利用該漏洞的步驟如下：
  ?
  ?- 攻擊者訪問(wèn)Tomcat的樣例目錄中的應(yīng)用程序，如示例的登錄頁(yè)面。
• - Tomcat會(huì)為攻擊者創(chuàng)建一個(gè)新的會(huì)話，并分配一個(gè)會(huì)話ID（session ID）。
• ?
  ?- 攻擊者可以通過(guò)獲取其他用戶的會(huì)話ID，來(lái)冒充這些用戶，執(zhí)行未經(jīng)授權(quán)的操作。攻擊者可以使用不同的方式獲取其他用戶的會(huì)話ID，如通過(guò)URL重定向、跨站腳本攻擊（XSS）等。
  
  ?為了修復(fù)這個(gè)漏洞，Tomcat用戶應(yīng)該升級(jí)到最新版本，并應(yīng)用廠商發(fā)布的安全補(bǔ)丁。此外，可以考慮禁用或刪除樣例目錄，以減少攻擊面。還可以使用安全編碼和輸入驗(yàn)證來(lái)防止XSS攻擊，并使用安全的會(huì)話管理機(jī)制，如使用安全的會(huì)話ID生成算法、設(shè)置會(huì)話超時(shí)時(shí)間等，以增加安全性
  ?
• 5、Weblogic：后臺(tái)部署war包、一大堆反序列化漏洞、未授權(quán)RCE漏洞
  補(bǔ)充：RESTful API（Representational State @eval Transfer API）是一種基于HTTP協(xié)議的Web服務(wù)接口設(shè)計(jì)風(fēng)格，用于實(shí)現(xiàn)不同系統(tǒng)之間的數(shù)據(jù)交互。它通過(guò)使用HTTP方法（如GET、POST、PUT、DELETE等）和URL來(lái)對(duì)資源進(jìn)行操作和訪問(wèn)。在Weblogic中，管理控制臺(tái)提供了一些RESTful API接口，用于管理和監(jiān)控Weblogic服務(wù)器。這些接口允許用戶通過(guò)發(fā)送HTTP請(qǐng)求來(lái)執(zhí)行各種操作，如創(chuàng)建和部署應(yīng)用程序、配置服務(wù)器參數(shù)、查看服務(wù)器狀態(tài)等。
  然而，在某些版本的Weblogic中，存在一個(gè)未授權(quán)的RESTful API接口，這意味著該接口沒(méi)有進(jìn)行身份驗(yàn)證。攻擊者可以通過(guò)發(fā)送特定的HTTP請(qǐng)求到該接口，執(zhí)行任意的代碼，而無(wú)需提供有效的憑證。
  
  Weblogic是一款Java應(yīng)用服務(wù)器，廣泛用于企業(yè)級(jí)應(yīng)用程序的部署和管理。在某些版本的Weblogic中，存在一個(gè)安全漏洞，攻擊者可以通過(guò)發(fā)送特制的請(qǐng)求包來(lái)利用該漏洞。
  
  ?具體來(lái)說(shuō)，該漏洞的原因是Weblogic管理控制臺(tái)中存在一個(gè)未授權(quán)的RESTful API接口，攻擊者可以通過(guò)發(fā)送特定的HTTP請(qǐng)求到該接口，執(zhí)行任意的代碼。由于該接口未經(jīng)身份驗(yàn)證，攻擊者無(wú)需提供有效的憑證即可利用該漏洞。成功利用該漏洞的攻擊者可以執(zhí)行任意的代碼，這可能導(dǎo)致服務(wù)器完全被控制，進(jìn)而造成敏感信息泄露、服務(wù)中斷或其他安全問(wèn)題。
  
  ?為了修復(fù)這個(gè)漏洞，建議Weblogic用戶及時(shí)升級(jí)到最新版本，并應(yīng)用廠商發(fā)布的安全補(bǔ)丁。此外，可以考慮限制對(duì)Weblogic管理控制臺(tái)的訪問(wèn)，并采取其他安全措施，如強(qiáng)密碼策略、網(wǎng)絡(luò)隔離等，以減少攻擊面。
  ?
• 6、Jboss：后臺(tái)部署war包、一堆反序列化

• 框架漏洞（研判必備）

• thinkphp5.x RCE

• 基本都是對(duì)模型，對(duì)方法的路由處理有誤導(dǎo)致RCE，反序列化漏洞的話需要有反序列化點(diǎn)
• thinkphp5.0.x漏洞原因是對(duì)url處理有關(guān)，導(dǎo)致遠(yuǎn)程命令執(zhí)行
  漏洞的原因是由于ThinkPHP框架在處理URL參數(shù)時(shí)存在安全漏洞。具體來(lái)說(shuō)，當(dāng)應(yīng)用程序接收到一個(gè)URL參數(shù)時(shí)，框架會(huì)自動(dòng)將該參數(shù)解析為控制器和方法，并執(zhí)行對(duì)應(yīng)的代碼。然而，在解析過(guò)程中，ThinkPHP沒(méi)有對(duì)參數(shù)進(jìn)行充分的驗(yàn)證和過(guò)濾，導(dǎo)致攻擊者可以通過(guò)構(gòu)造惡意的URL參數(shù)來(lái)執(zhí)行任意的PHP代碼。
  
  ?攻擊者可以通過(guò)在URL參數(shù)中注入PHP代碼，例如通過(guò)使用`eval()`函數(shù)或其他執(zhí)行代碼的方法。一旦惡意代碼被執(zhí)行，攻擊者可以在受影響的服務(wù)器上執(zhí)行任意的操作，包括但不限于：- 讀取、修改或刪除服務(wù)器上的文件和數(shù)據(jù)庫(kù)。- 執(zhí)行系統(tǒng)命令，獲取服務(wù)器的敏感信息。- 控制服務(wù)器并進(jìn)行遠(yuǎn)程操作。
  
  ?為了防止該漏洞的利用，開發(fā)人員可以采取以下措施：- 及時(shí)升級(jí)和更新ThinkPHP框架到最新版本，以修復(fù)已知的安全漏洞。- 對(duì)URL參數(shù)進(jìn)行嚴(yán)格的驗(yàn)證和過(guò)濾，確保只接受符合預(yù)期格式和內(nèi)容的參數(shù)。- 避免使用`eval()`等容易導(dǎo)致RCE漏洞的函數(shù)，盡量使用更安全的方法來(lái)執(zhí)行代碼。- 對(duì)于用戶輸入的內(nèi)容，進(jìn)行適當(dāng)?shù)木幋a和轉(zhuǎn)義，以防止惡意代碼的注入。

• Struts2

• 1、原理：struts2是一個(gè)框架，他在處理action的時(shí)候，調(diào)用底層的getter/setter來(lái)處理http的參數(shù)，將每一個(gè)http的參數(shù)聲明為一個(gè)ONGL。導(dǎo)致命令執(zhí)行
• 框架特點(diǎn)：文件后綴名”.action ” “.do”
  具體來(lái)說(shuō)，Struts2框架在處理HTTP請(qǐng)求參數(shù)時(shí)，會(huì)將參數(shù)值作為一個(gè)字符串，然后將其解析為OGNL表達(dá)式。攻擊者可以構(gòu)造惡意的請(qǐng)求，將惡意的OGNL表達(dá)式作為參數(shù)值傳遞給框架。當(dāng)框架在處理參數(shù)時(shí)，會(huì)將惡意的OGNL表達(dá)式當(dāng)作合法的代碼執(zhí)行，從而導(dǎo)致命令執(zhí)行漏洞。
  
  ?其中，getter方法用于獲取對(duì)象的屬性值，而setter方法用于設(shè)置對(duì)象的屬性值。攻擊者可以通過(guò)構(gòu)造惡意的參數(shù)值，來(lái)執(zhí)行任意的代碼，包括但不限于執(zhí)行系統(tǒng)命令、訪問(wèn)敏感文件等操作。攻擊者可以利用這個(gè)漏洞來(lái)獲取系統(tǒng)權(quán)限、執(zhí)行遠(yuǎn)程命令等。
  
  ?為了防止Struts2框架的命令執(zhí)行漏洞，開發(fā)人員可以采取以下措施：- 及時(shí)升級(jí)和更新Struts2框架到最新版本，以修復(fù)已知的安全漏洞。- 對(duì)用戶輸入進(jìn)行嚴(yán)格的驗(yàn)證和過(guò)濾，確保只接受預(yù)期格式和內(nèi)容的數(shù)據(jù)。- 配置安全的訪問(wèn)控制策略，限制用戶的訪問(wèn)權(quán)限。- 避免使用動(dòng)態(tài)執(zhí)行代碼的功能，如OGNL表達(dá)式的使用。- 使用安全的編碼和轉(zhuǎn)義方法，防止惡意代碼的注入。
• 2、例子：
• S2-062漏洞形成的原因是struts在處理標(biāo)簽的name屬性時(shí)，將用戶輸入當(dāng)作表達(dá)式進(jìn)行二次解析，導(dǎo)致OGNL表達(dá)式注入。
• s2-046 通過(guò)Content-Type這個(gè)header頭 filename 后面需要00截?cái)?#xff0c;注入OGNL語(yǔ)言，進(jìn)而執(zhí)行命令,通過(guò)不恰當(dāng)?shù)?filename 字段或者大小超過(guò) 2G 的 Content-Length 字段來(lái)觸發(fā)異常，進(jìn)而導(dǎo)致任意代碼執(zhí)行。

• Shrio 反序列化

• 1、原理：Apache Shiro是一個(gè)Java安全框架，執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話管理，Shiro提供了RememberMe的功能，當(dāng)用戶關(guān)閉瀏覽器，下次再打開瀏覽器訪問(wèn)時(shí)，還是能記住我是誰(shuí)，無(wú)需登錄即可訪問(wèn)。
• 其實(shí)很多網(wǎng)站都有這功能，Shiro對(duì)RememberMe的Cookie做了加密處理，在CookieRememberMeManaer類中將Cookie中RememberMe字段內(nèi)容分別進(jìn)行序列化、AES加密、Base64編碼等操作，但是默認(rèn)的加密AES Key是硬編碼進(jìn)去的，都知道這個(gè)Key是什么，所以在逆向操作反序列化、Base64解密的時(shí)候，攻擊者就可以偽造惡意數(shù)據(jù)通過(guò)反序列化遠(yuǎn)程執(zhí)行命令。

• Fastjson 反序列化

• 通過(guò)Fastjson反序列化漏洞，攻擊者可以傳入一個(gè)惡意構(gòu)造的JSON內(nèi)容，程序?qū)ζ溥M(jìn)行反序列化后得到惡意類并執(zhí)行了惡意類中的惡意函數(shù)，進(jìn)而導(dǎo)致代碼執(zhí)行。
  補(bǔ)充：1. 普通反序列化：Fastjson可以直接將JSON字符串轉(zhuǎn)換為Java對(duì)象。通過(guò)調(diào)用`JSON.parseObject()`方法，傳入JSON字符串和目標(biāo)Java對(duì)象的Class類型，Fastjson會(huì)自動(dòng)將JSON字符串中的數(shù)據(jù)映射到Java對(duì)象的對(duì)應(yīng)屬性上。
  ?2. 泛型反序列化：Fastjson支持將JSON字符串轉(zhuǎn)換為泛型類型的Java對(duì)象。通過(guò)使用`TypeReference`類，可以定義一個(gè)泛型類型的引用，然后將其傳遞給`JSON.parseObject()`方法進(jìn)行反序列化。
  ?3. 自定義反序列化：Fastjson允許用戶通過(guò)實(shí)現(xiàn)`com.alibaba.fastjson.parser.deserializer.ObjectDeserializer`接口來(lái)自定義反序列化邏輯。通過(guò)實(shí)現(xiàn)`deserialize`方法，可以在反序列化過(guò)程中對(duì)JSON字符串進(jìn)行自定義處理，例如處理特殊的數(shù)據(jù)格式或者進(jìn)行數(shù)據(jù)校驗(yàn)
  
  
  ?漏洞的根本原因是Fastjson在處理反序列化時(shí)，沒(méi)有對(duì)反序列化的對(duì)象進(jìn)行充分的驗(yàn)證和過(guò)濾。攻擊者可以構(gòu)造惡意的JSON數(shù)據(jù)，將惡意代碼注入到應(yīng)用程序中。當(dāng)應(yīng)用程序?qū)υ摂?shù)據(jù)進(jìn)行反序列化操作時(shí)，惡意代碼將被執(zhí)行，從而導(dǎo)致安全漏洞。
  
  ?具體來(lái)說(shuō)，攻擊者可以通過(guò)構(gòu)造惡意的JSON數(shù)據(jù)，將惡意代碼嵌入到對(duì)象的字段中。當(dāng)Fastjson對(duì)該JSON數(shù)據(jù)進(jìn)行反序列化操作時(shí)，惡意代碼將被執(zhí)行。攻擊者可以利用這個(gè)漏洞來(lái)執(zhí)行任意的命令，獲取敏感信息，或者進(jìn)行其他惡意活動(dòng)。

• redis未授權(quán)

• 1、redis在6379端口
• 2、寫webshell
• 3、寫公鑰實(shí)現(xiàn)免密登錄
• 4、寫計(jì)劃任務(wù)實(shí)現(xiàn)反彈shell
• 5、主從復(fù)制getshell
  Redis未授權(quán)訪問(wèn)漏洞是指未經(jīng)身份驗(yàn)證或授權(quán)的情況下，攻擊者可以直接訪問(wèn)Redis數(shù)據(jù)庫(kù)。這種漏洞通常是由于管理員未正確配置Redis的訪問(wèn)控制機(jī)制，如密碼認(rèn)證或IP白名單，或者是由于使用了默認(rèn)的弱密碼或未更改默認(rèn)端口而導(dǎo)致的。
  ?攻擊者可以通過(guò)掃描公網(wǎng)IP或者利用自動(dòng)化工具來(lái)尋找未授權(quán)訪問(wèn)的Redis實(shí)例。一旦攻擊者獲得了未授權(quán)訪問(wèn)權(quán)限，他們可以執(zhí)行以下惡意行為：
  1. 數(shù)據(jù)泄露：攻擊者可以讀取、修改或刪除Redis數(shù)據(jù)庫(kù)中的數(shù)據(jù)，包括敏感信息如用戶憑證、客戶機(jī)會(huì)話等。
  2. 數(shù)據(jù)篡改：攻擊者可以修改Redis數(shù)據(jù)庫(kù)中的數(shù)據(jù)，例如篡改配置信息、修改業(yè)務(wù)數(shù)據(jù)等。3. 拒絕服務(wù)：攻擊者可以通過(guò)寫入大量數(shù)據(jù)或者刪除關(guān)鍵數(shù)據(jù)來(lái)導(dǎo)致Redis服務(wù)不可用。
  
  ?為了防止Redis未授權(quán)訪問(wèn)漏洞，可以采取以下措施：
  1. 配置密碼認(rèn)證：在Redis配置文件中設(shè)置密碼，并確保密碼的復(fù)雜度和安全性。
  2. 配置IP白名單：限制允許訪問(wèn)Redis的IP地址范圍，只允許受信任的主機(jī)訪問(wèn)。
  3. 更改默認(rèn)端口：將Redis的默認(rèn)端口（6379）更改為非標(biāo)準(zhǔn)端口，以減少被掃描到的風(fēng)險(xiǎn)。4. 更新和升級(jí)：及時(shí)更新Redis版本，并關(guān)注官方發(fā)布的安全補(bǔ)丁和建議。
  5. 安全審計(jì)：定期審計(jì)Redis的配置和訪問(wèn)日志，以及監(jiān)控Redis的網(wǎng)絡(luò)流量和性能。

• 流量溯源

• 可利用流量工具 wireshark 進(jìn)行溯源：
• 查看 eval、 z0、 shell whoami 等關(guān)鍵字，查看出現(xiàn)次數(shù)過(guò)多的時(shí)候， 需要查看是哪個(gè)頁(yè)面發(fā)起的請(qǐng)求，有可能是 webshell
• 通過(guò) WireShark 工具快速搜索關(guān)鍵字，定位到異常流量包
• 找出異常 IP 和所上傳的內(nèi)容，查看是否為 webshell
• 如何定位到攻擊IP：
• 首先通過(guò)選擇 - 統(tǒng)計(jì) - 對(duì)話查看流量的走向情況， 定位可疑的 IP 地址
• 根據(jù)定位到的 IP 地址，嘗試對(duì)上傳的 webshell 進(jìn)行定位
• ip.addr == ip &&httpmatches"uploadllevallselectlxp_cmdshell" && http.request.method == "POST"
• 查找到 webshell 后嘗試溯源漏洞位置
• http.request.uri contains "webshell.php"
• 定位到最開始 webshell 執(zhí)行或上傳的時(shí)候
• 根據(jù)最開始的 HTTP 上傳包或者其他漏洞特征定位漏洞類型

• 溯源工具

• wireshark
• wireshark 簡(jiǎn)單的過(guò)濾規(guī)則
• 過(guò)濾ip：
• 過(guò)濾源 ip 地址：ip.src1.1.1.1
• 目的 ip 地址：ip.dst1.1.1.1
• 過(guò)濾端口：
• 過(guò)濾80端口：tcp.port == 80
• 源端口：tcp.srcport == 80
• 目的端：tcp.dstport == 80
• 協(xié)議過(guò)濾：直接輸入?yún)f(xié)議名即可，如 http 協(xié)議 http
• http 模式過(guò)濾：過(guò)濾 get/post 包 httprequest.mothod == "GET/POST"

• 常用取證工具

• Wireshark、xplico、 Volatility、 FastlR Collector、Autopsy、 Dumplt、 FTK Imager、Foremost、Scalpel、 Bulk_ exetractor 等
  Volatility：Volatility是一款專門用于內(nèi)存取證和分析的工具。它可以幫助取證人員從內(nèi)存轉(zhuǎn)儲(chǔ)中提取操作系統(tǒng)和進(jìn)程的信息，包括文件、網(wǎng)絡(luò)連接、注冊(cè)表等。Volatility支持多種操作系統(tǒng)，適用于惡意代碼分析和取證調(diào)查。
  
  DumpIt：DumpIt是一款用于取證的內(nèi)存轉(zhuǎn)儲(chǔ)工具，可用于獲取目標(biāo)計(jì)算機(jī)的內(nèi)存快照。它可以幫助取證人員分析內(nèi)存中的進(jìn)程、網(wǎng)絡(luò)連接、注冊(cè)表等信息，有助于發(fā)現(xiàn)和分析惡意活動(dòng)。
  
  Foremost：Foremost是一款開源的文件恢復(fù)工具，用于從存儲(chǔ)介質(zhì)中恢復(fù)已刪除的文件。它可以幫助取證人員查找和提取存儲(chǔ)介質(zhì)中的文件，包括圖像、視頻、文檔等。Foremost支持多種文件類型和數(shù)據(jù)格式。
  
  ?