营销网站的优势是什么意思,WordPress智能友链审核,5118,保险网站建设方案文章目录
研判#xff08;入侵检测#xff09;
设备
经典网络云网络
异常HTTP请求Webshell分析
Webshell 的分类Webshell 的检测
主机层面流量层面
附录
常见端口漏洞…文章目录
研判入侵检测
设备
经典网络云网络
异常HTTP请求Webshell分析
Webshell 的分类Webshell 的检测
主机层面流量层面
附录
常见端口漏洞
参考文章
研判入侵检测
研判我理解为人工层面对入侵检测事件进行再分析即借助已有的设备告警根据经验判断是否为真实攻击 研判工作要充分利用已有安全设备需要提前了解客户的网络拓扑以及部署设备情况分析其近期的设备告警将全部流量日志日志条件源地址目的地址端口事件名称时间规则ID发生 次数等根据研判标准进行筛选像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件直接过滤掉减少告警数量一般情况下真实攻击不可能只持续一次它一定是长时间、周期性、多IP的进行攻击
对于告警结合威胁情报库如 微步、 奇安信威胁情报中心等对于流量日志的原 IP 地址进行分析判断其是否为恶意攻击推荐使用微步的插件如果确认为攻击行为或者不能确认是否为攻击行为进行下一步操作在之前准备好的表格中查找 IP 是否为客户内网部署的设备如果不是继续进行下一步在事件上报平台查看是否有其他人提交过如果没有则上报 然后根据流量日志对请求数据包和返回数据包分析判断其是否为误报需要留意 X-Forwarded-For简称XFF和x-real-ip 可以了解些 webshell 工具的流量特征尤其是免杀 webshell有可能不会被设备识别
最后上报事件时尽可能提供完整的截图包括源 ip、目的ip请求包请求体响应包响应体等重要信息以方便后续人员研判溯源 注不要任意忽略内网告警适当情况下可以往前推排查时间 设备
根据网络情况可以分为三种经典网络、私有云、公有云
经典网络 注图片来源于深信服官网
即客户拥有物理的基础设施自建机房、自购设备、网络
NGAF/NGFW下一代 Web 应用防火墙Next Generation Application Firewall聚合了以下功能
IDS
HIDS基于主机的入侵检测系统NIDS基于网络的入侵检测系统HIDSNIDS基于混合数据源的入侵检测系统
IPS入侵防御系统AV反病毒系统
EDR主机安全管理\终端检测和响应 EDR 实时监测终端上发生的各类行为采集终端运行状态在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能可第一时间检测并发现恶意活动包括已知和未知威胁并快速智能地做出响应全面赋予终端主动、积极的安全防御能力 简单来说就是给内网环境中所有主机安装管理软件终端可以在管理平台集中管理和数据分析过滤基本所有安全厂商都有自己的 EDR 产品运维审计和管理平台堡垒机DAS数据库安全审计平台LAS日志审计安全平台AC上网行为管理系统伪装欺骗系统蜜罐、蜜网SIP安全态势感知平台 这个算是让整套系统性能得到提升的灵魂了定位为客户的安全大脑是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心支持主流的安全设备、网络设备、操作系统等多源数据接入利用大数据、关联分析、告警降噪等技术实现海量数据的统一挖掘分析
云网络
云网络包括私有云和公有云
云主机安全云防火墙云堡垒机云蜜罐云 DDOS 防护等等
异常HTTP请求
列举下在分析 HTTP 请求中可能出现的异常点好做判断
正常的 HTTP 请求 正常的 HTTP 相应包 接下来分析那些 HTTP 数据包有可能会存在风险
请求URI过长请求数据过长冰蝎3.0就使用超长请求数据包绕过检测异常请求数据判断是否存在 CRLF 攻击、以及 HTTP 请求走私请求方法不合法比如 HTTP 请求大小写混用服务器不支持的请求方法类似tomcat put 文件上传漏洞这种以及未知的不存在的请求方法响应头过长HTTP 协议版本字段不合规URI 字段不合规多余的请求头部请求 chunk 块 size 不合规HTTP请求chunk块size不以数字开头或\r\n不完整认为其不合规请求 chunk 块 body 不合规HTTP请求chunk块body结尾\r\n不完整认为其不合规请求 last chunk 块不合规请求 URI 不可见字符请求 URI 解码后不可见字符
Webshell分析 攻击者在入侵企业网站时通常要通过各种方式获取 webshell 从而获得企业网站的控制权然后方便进行之后的入侵行为 常见攻击方式有直接文件上传获取 webshell、SQL 注入、文件包含、FTP、Redis 未授权甚至使用跨站点脚本 (XSS) 作为攻击的一部分甚至一些比较老旧的方法利用后台数据库备份及恢复获取 webshell、数据库压缩等 webshell 通用功能包括但不限于 shell 命令执行、代码执行、数据库枚举和文件管理 以 webshell 分析为例其他漏洞如 SQL、文件包含等都大同小异
Webshell 的分类
按协议分析
基于 TCP 的 Shell基于 UDP 的 Shell基于 ICMP 的 Shell使用于内网主机主机只允许 ICMP 出入网即只能 ping 通的情况基于 ICMP 的 Shell具有较强的隐蔽性
按使用工具分析
Liunx bash 命令反弹 ShellNC 反弹 ShellTelnet 反弹 ShellSSH、iptables、sockets等工具端口转发AWK 反弹 Shell 链接各种编程语言的反弹 shell
Webshell 的检测
webshell 的检测可以分为两个方面一个是主机层面既根据 webshell 的文件特征和行为特征行为特征进行分析第二个层面是流量层面根据webshell 的传输流量分析
主机层面
文件特征分析
一个 webshell 要执行必然会包含某些危险函数以 PHP shell 为例可能存在以下危险函数
存在系统调用的命令执行函数如eval、system、cmd_shell、assert等存在系统调用的文件操作函数如fopen、fwrite、readdir等字符串拼接执行操作存在数据库操作函数调用系统自身的存储过程来连接数据库操作通过自定义加解密函数、利用xor、字符串反转、压缩、截断重组等方法来绕过检测
可以通过关键词匹配脚本文件找出 webshellD盾之类的webshell查杀工具也是利用这种原理对源码进行查杀
行为特征分析
webshell 在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据
主机可以从以下方法进行分析
主机进程分析主机端口调用分析日志应用程序的事件日志系统调用日志syscall主机文件监控系统文件、网站文件、配置文件
对搜索到的内容可以手动查看是否是木马、查看网页生成时间或者上传至一些检测的网站进行检测http://www.virscan.org/、https://x.threatbook.cn、https://www.virustotal.com/gui/home/upload
防御方面Linux 中可以使用 chkrootkit/rkhunter 来定时监测系统以保证系统的安全
chkrootkit 主要功能 检测是否被植入后门、木马、rootkit 检测系统命令是否正常避免在入侵检测分析时使用已被替换的命令 检测登录日志 使用chkrootkit –n如果发现有异常会报出“INFECTED”字样rkhunter 主要功能 系统命令Binary检测包括Md5 校验 Rootkit检测 本机敏感目录、系统配置、服务及套间异常检测 三方应用版本检测 流量层面
流量层面和主机层面相辅相成 基于流量的检测是无法通过检测构成webshell危险函数的关键词来做检测的但webshell带有常见写的系统调用、系统配置、数据库、文件的操作动作等它的行为方式决定了它的数据流量中多带参数具有一些明显的特征通过匹配行为的流量特征做检测这也是基于webshell入侵后行为特征进行检测当然也可以从系统层面webshell入侵行为进行检测 可以参考之前发的对于菜刀、冰蝎、哥斯拉的分析我是链接其流量中即使加密后或多或少也具有一些特征通过大量数据分析比对发现其流量特征或者网上的已知特征后进行阻断拦击
流量分析的好处在于在 web 访问日志中是无法抓取 POST 方式的包也就没法分析 webshell 入侵后的行为而流量很好的做到了这一点
还有就是对于常见的内网工具 CS 流量可以通过在流量层面其 IP 端口心跳包等特征进行检测
以及 N day 流量分析和 明文敏感信息传输分析
其他入侵检测方法
动态检测沙箱统计学
入侵检测可以通过大数据和机器学习来强化设备
附录
常见端口漏洞
转载于javascript:void(0)
1、远程管理端口
22 端口SSH
安全攻击弱口令、暴力猜解、用户名枚举 利用方式 1、通过用户名枚举可以判断某个用户名是否存在于目标主机中 2、利用弱口令/暴力破解获取目标主机权限。
23 端口Telnet
安全漏洞弱口令、明文传输 利用方式 1、通过弱口令或暴力破解获取目标主机权限。 2、嗅探抓取telnet明文账户密码。
3389 端口RDP
安全漏洞暴力破解 利用方式通过弱口令或暴力破解获取目标主机权限。
5632 端口Pcanywhere
安全漏洞弱口令、暴力破解 利用方式通过弱口令或暴力破解获取目标主机权限
5900 端口VNC
安全漏洞弱口令、暴力破解 利用方式通过弱口令或暴力破解获取目标主机权限。 2、Web中间件/服务端口
1090/1099 端口RMI
安全漏洞JAVA RMI 反序列化远程命令执行漏洞 利用方式使用nmap检测端口信息。 端口信息1099/1090 Java-rmi Java RMI Registry 检测工具attackRMI.jar
7001 端口Weblogic
安全漏洞弱口令、SSRF、反序列化漏洞 利用方式 1、控制台弱口令上传war木马 2、SSRF内网探测 3、反序列化远程代码执行等
8000 端口jdwp
安全漏洞JDWP 远程命令执行漏洞 端口信息 8000 jdwp java Debug Wire Protocol 检测工具https://github.com/IOActive/jdwp-shellifier
8080 端口Tomcat
安全漏洞弱口令、示例目录 利用方式通过弱口令登录控制台上传war包。
8080 端口Jboss
安全漏洞未授权访问、反序列化。 利用方式 1、未授权访问控制台远程部署木马 2、反序列化导致远程命令执行等。 检测工具https://github.com/joaomatosf/jexboss
8080 端口Resin
安全漏洞目录遍历、远程文件读取 利用方式通过目录遍历/远程文件读取获取敏感信息为进一步攻击提供必要的信息。 任意文件读取POC payload1 /resin-doc/resource/tutorial/jndi-appconfig/test?inputFile/etc/passwd payload2 /resin-doc/examples/jndi-appconfig/test?inputFile../../../../../../../../../../etc/passwd payload3 / ..\\\\web-inf
8080 端口Jetty
安全漏洞远程共享缓冲区泄漏 利用方式攻击者可以通过精心构造headers值来触发异常并偏移到共享缓冲区其中包含了之前其他用户提交的请求服务器会根据攻击者的payload返回特定位置的数据。 检测工具https://github.com/GDSSecurity/Jetleak-Testing-Script
8080 端口GlassFish
安全漏洞弱口令、任意文件读取 利用方式 1、弱口令admin/admin直接部署shell 2、任意文件读取获取服务器敏感配置信息
8080 端口Jenkins
安全漏洞未授权访问 、远程代码执行 利用方式访问如下url可以执行脚本命令反弹shell写入webshell等。 http://target:8080/manage http://target:8080/script
8161 端口ActiveMQ
安全漏洞弱口令、任意文件写入、反序列化 利用方式默认密码admin/admin登陆控制台、写入webshell、上传ssh key等方式。
9043 端口webSphere
安全漏洞控制台弱口令、远程代码执行 后台地址https://:9043/ibm/console/logon.jsp
50000 端口 SAP
安全漏洞远程代码执行 利用方式攻击者通过构造url请求实现远程代码执行。 POC:http://target:50000/ctc/servlet/com.sap.ctc.util.ConfigServlet?paramcom.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINEcmd.exe /c ipconfig /all
50070 端口hadoop
安全漏洞未授权访问 利用方式攻击者可以通过命令行操作多个目录下的数据如进行删除操作。 curl -i -X DELETE “http://ip:50070/webhdfs/v1/tmp?opDELETErecursivetrue“ curl -i -X PUT “http://ip:50070/webhdfs/v1/NODATA4U_SECUREYOURSHIT?opMKDIRS“ 3、数据库端口
389 端口ldap
安全漏洞未授权访问 、弱口令 利用方式通过LdapBrowser工具直接连入。
1433 端口Mssql
安全漏洞弱口令、暴力破解 利用方式差异备份getshell、SA账户提权等
1521 端口Oracle
安全漏洞弱口令、暴力破解 利用方式通过弱口令/暴力破解进行入侵。
3306 端口MySQL
安全漏洞弱口令、暴力破解 利用方式利用日志写入webshell、udf提权、mof提权等。
5432 端口 PostgreSQL
安全漏洞弱口令、高权限命令执行 利用方式攻击者通过弱口令获取账号信息连入postgres中可执行系统命令。 PoC参考 DROP TABLE IF EXISTS cmd_exec; CREATE TABLE cmd_exec(cmd_output text); COPY cmd_exec FROM PROGRAM id; SELECT * FROM cmd_exec;
5984 端口CouchDB
安全漏洞垂直权限绕过、任意命令执行 利用方式通过构造数据创建管理员用户使用管理员用户登录构造恶意请求触发任意命令执行。 后台访问http://target:5984/_utils
6379 端口Redis
安全漏洞未授权访问 利用方式绝对路径写webshell 、利用计划任务执行命令反弹shell、 公私钥认证获取root权限、主从复制RCE等。
9200 端口elasticsearch
安全漏洞未授权访问、命令执行 检测方式 1、直接访问如下url获取相关敏感信息。 http://target:9200/_nodes 查看节点数据 http://target:9200/_river 查看数据库敏感信息 2、通过构造特定的数据包执行任意命令。
11211 端口MemCache
安全漏洞未授权访问 检测方式无需用户名密码可以直接连接memcache 服务的11211端口。 nc -vv target 11211
27017 端口Mongodb
安全漏洞未授权访问、弱口令 利用方式未授权访问/弱口令远程连入数据库导致敏感信息泄露。 4、常见协议端口
21 端口FTP)
安全漏洞1、配置不当 2、明文传输 3、第三方软件提权 利用方式 1、匿名登录或弱口令 2、嗅探ftp用户名和密码 3、Serv-U权限较大的账号可导致系统命令执行。 FTP提权命令 # 增加系统用户 Quote site exec net user 4567 4567 /add # 提升到管理员权限 Quote site exec net localgroup administrators 4567 /add
25 端口SMTP
攻击方式1、匿名发送邮件 2、弱口令 3、SMTP用户枚举 利用方式 1、SMTP服务器配置不当攻击者可以使用任意用户发送邮件。 2、SMTP弱口令扫描获取用户账号密码发送邮件钓鱼。 3、通过SMTP用户枚举获取用户名 nmap -p 25 -- smtp-enum-users.nse target
53 端口DNS
安全攻击1、DNS域传送漏洞、DNS欺骗、DNS缓存投毒 检测方式 1、DNS域传送漏洞Windows下检测使用nslookup命令Linux下检测使用dig命令通过执行命令可以清楚的看到域名解析情况。 2、DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 3、DNS缓存投毒是攻击者欺骗DNS服务器相信伪造的DNS响应的真实性。.
161 端口SNMP
安全漏洞默认团体名/弱口令访问 利用方式通过nmap自带的审计脚本进行检测可能导致敏感信息泄露。。 1、弱口令检测nmap –sU –p161 –scriptsnmp-brute target 2、获取系统信息nmap –sU –p161 –scriptsnmp-sysdescr target 3、获取用户信息nmap -sU -p161 --scriptsnmp-win32-user target 4、获取网络端口状态nmap -sU -p161 --scriptsnmp-netstat target
443 端口SSL
安全漏洞OpenSSL 心脏出血 利用方式攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。 扫描脚本nmap -sV --scriptssl-heartbleed target
445 端口SMB
安全漏洞信息泄露、远程代码执行
利用方式可利用共享获取敏感信息、缓冲区溢出导致远程代码执行如ms17010。
873 端口Rsync
安全漏洞匿名访问、弱口令 利用方式攻击者可以执行下载/上传等操作也可以尝试上传webshell。 1、下载#rsync -avz a.b.c.d::path/file path/filiname 2、上传#rsync -avz path/filename a.b.c.d::path/file
2181 端口Zookeeper
安全漏洞未授权访问 检测方式攻击者可通过执行envi命令获得系统大量的敏感信息包括系统名称、Java环境。 echo envi | nc ip port
2375 端口Docker
登录后复制
安全漏洞未授权方式 检测方式通过docker daemon api 执行docker命令。 #列出容器信息效果与docker ps -a 一致。 curl http://target:2375/containers/json docker -H tcp://target:2375 start Container Id
网络安全学习路线
对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。 同时每个成长路线对应的板块都有配套的视频提供 需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后 如果你确实想自学的话我可以把我自己整理收藏的这些教程分享给你里面不仅有web安全还有渗透测试等等内容包含电子书、面试题、pdf文档、视频以及相关的课件笔记我都已经学过了都可以免费分享给大家 给小伙伴们的意见是想清楚自学网络安全没有捷径相比而言系统的网络安全是最节省成本的方式因为能够帮你节省大量的时间和精力成本。坚持住既然已经走到这条路上虽然前途看似困难重重只要咬牙坚持最终会收到你想要的效果。 黑客工具SRC技术文档PDF书籍web安全等可分享 结语
网络安全产业就像一个江湖各色人等聚集。相对于欧美国家基础扎实懂加密、会防护、能挖洞、擅工程的众多名门正派我国的人才更多的属于旁门左道很多白帽子可能会不服气因此在未来的人才培养和建设上需要调整结构鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”才能解人才之渴真正的为社会全面互联网化提供安全保障。 特别声明 此教程为纯技术分享本教程的目的决不是为那些怀有不良动机的人提供及技术支持也不承担因为技术被滥用所产生的连带责任本教程的目的在于最大限度地唤醒大家对网络安全的重视并采取相应的安全措施从而减少由网络安全而带来的经济损失
