Robin

应急响应概述

应急响应流程

事件判断:判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DDoS等等。
临时处置:给出客户临时处置建议，断网隔离，保护现场环境。
信息收集分析:收集客户信息和中毒主机信息，包括样本，日志分析、进程分析、启动项分析、样本分析。
清理处置:直接杀掉进程，删除文件，打补丁，抑或是修复文件。
产出报告:整理并输出完整的安全事件报告。

常受攻击Web漏洞

前言

这次参加的是广州市的护网红队，跟着师兄一起去的，我一个大一的玩意就不指望能拿shell啥的了。
虽然结果排名不高，但是队员们很努力。

总结

准备
首先的话会有提供靶标和虚拟机给你使用，这些机子在上交报告和复现都要用到，其他时候也要挂着VPN。

信息收集

web类

struts2：
太多，略……

thinkphp：

jboss：

ganglia：
CVE-2007-6465: 多个跨站脚本攻击漏洞
CVE-2012-3448: 未明PHP代码执行漏洞
8649端口未授权访问: 通过http协议获取相关监控的xml信息
nmap扫描脚本 nmap --script ganglia-info --script-args ganglia-info.timeout=60,ganglia-info.bytes=100000 -p

DOS攻击

Dos是拒绝服务式攻击。
一切能引起DOS行为的攻击都被称为Dos攻击。
该攻击的效果是使得计算机或网络无法提供正常的服务。

SYN洪水攻击（SYN flood）

SYN洪水攻击属于DoS攻击的一种
它利用TCP协议缺陷，通过发送大量的半连接请求，耗费目标服务的CPU和内存资源。
对于TCP连接而言，当服务器接收到连接请求(SYN=i )时，则将此信息加入未连接队列，并发送请求包给客户端( SYN=j,ACK=i+1 )，此时进入SYN RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时才将此条目从未连接队列删除。
攻击的方式:

1. 利用特殊的程序，设置TCP的Header，向服务器源源不断的发送只有SYN标志的TCP连接请求
2. 服务器接收并为这些请求建立会话，并把它们全部加入未连接队列中并等待客户的确认
3. 由于源地址是不存在的，服务器需要不断的重发直至超时
   这些伪造的SYN包将长时间占用未连接队列，而正常的SYN 请求被丢弃，那么服务器就不能接收其他正常用户的请求了。
   而且SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。

概述

漏洞攻击是危害网络安全中较为常见的一种。
不同应用程序彼此之间的相互作用，如大多数程序必须与其它API相交互，保存并检索文件，同时运行在多种不同类型的设备上，都会可能产生漏洞；
又如互联网通信协议—TCP和UDP，其开放性常常引来黑客的攻击；而IP地址的脆弱性，也给黑客的伪造提供了可能，从而泄露远程服务器的资源信息。

危害/漏洞利用

一、IMAP 和 POP 漏洞：
这些协议常见弱点是密码脆弱，同时，各种IMAP和POP服务还容易受到如缓冲区溢出等类型的攻击。

二、拒绝服务（DoS）攻击：
1.死亡Ping——发送一个无效数据片段，该片段始于包结尾之前，但止于包结尾之后；
2.同步攻击——极快地发送TCP SYN包（它会启动连接），使受攻击的机器耗尽系统资源，进而中断合法连接；
3.循环——发送一个带有完全相同的源／目的地址／端口的伪造SYN包，使系统陷入一个试图完成TCP连接的无限循环中。
DDOS攻击的相关内容后面再写

了解XML

XML 是一种标记语言，很类似于 HTML
XML 不会做任何事情。XML 被设计用来结构化、存储以及传输信息
因此我们需要编写软件或者程序，才能传送、接收和显示出这个文档。

漏洞原理

XXE是针对解析XML输入的应用程序的一种攻击。
当弱配置的XML解析器处理包含对外部实体的引用的XML输入时，就会发生此攻击。

常见漏洞存在点

概述

常见的逻辑漏洞

订单任意金额修改

相同价格增加订单数量，相同订单数量减少产品价格，订单价格设定为负数。
预防思路：

Gopher协议

概述

在WWW出现之前，Gopher是Internet上最主要的信息检索工具
GOPHER协议是一种比HTTP协议还要古老的协议，默认工作端口70
GOPHER协议可以以单个URL的形式传递POST请求，同时支持换行（能换行就有很大操作空间）

协议格式

URL:gopher://<host>:<port>/<gopher-path>_后接TCP数据流
注意要有一个_，这个符号可以换成任意一个字符

概述

SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞
SSRF攻击的目标一般是作为跳板机访问从外网无法访问的内部系统
（正是因为它是由服务端发起的，所以它能够请求到内网）

原理

大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制
因此可以从指定URL地址获取网页完本内容、加载指定地址的图片、下载等。

利用价值

Windows

c:/boot.ini //查看系统版本

c:/windows/php.ini //php配置信息

c:/windows/my.ini //MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码

c:/winnt/php.ini

c:/winnt/my.ini

c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码

c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码

c:\Program Files\Serv-U\ServUDaemon.ini

c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置

c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码

c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此

c:\Program Files\RhinoSoft.com\ServUDaemon.exe

C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件

//存储了pcAnywhere的登陆密码

c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf //查看WINDOWS系统apache文件

c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin文件配置信息.

c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机

d:\APACHE\Apache2\conf\httpd.conf

C:\Program Files\mysql\my.ini

C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码

%WINDIR%

%WINDIR%\system32

%TEMP%

%LOCALAPPDATA%

%APPDATA%

Linux

/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件

/usr/local/apache2/conf/httpd.conf

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置

/usr/local/app/php5/lib/php.ini //PHP相关设置

/etc/sysconfig/iptables //从中得到防火墙规则策略

/etc/httpd/conf/httpd.conf // apache配置文件

/etc/rsyncd.conf //同步程序配置文件

/etc/my.cnf //mysql的配置文件

/etc/redhat-release //系统版本

/etc/issue

/etc/issue.net

/usr/local/app/php5/lib/php.ini //PHP相关设置

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf 查看linux APACHE虚拟主机配置文件

/usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

/usr/local/resin-pro-3.0.22/conf/resin.conf 同上

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看

/etc/httpd/conf/httpd.conf或/usr/local/apche/conf /httpd.conf 查看linux APACHE虚拟主机配置文件

/usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看

/usr/local/resin-pro-3.0.22/conf/resin.conf 同上

/usr/local/app/apache2/conf/extra/httpd-vhosts.conf APASHE虚拟主机查看

/etc/sysconfig/iptables 查看防火墙策略

etc/passwd   用户信息文件

etc/crontab   定时任务文件

etc/anacrontab   异步定时任务文件

etc/rc.d/rc.local   开机启动项

var/log/btmp   登录失败日志，使用last命令查看

var/log/cron   定时任务执行日志

/var/log/lastlog   所有用户最近登录信息，使用lastlog查看

var/log/secure   验证、授权等日志

var/log/wtmp   包含用户登录日志，使用last命令查看

var/log/utmp   当前登录系统的用户信息，使用last命令查看

文件寻找方法

概述

是社工的一种，不大流行，但如果被成功利用，危害很大。

XSS与CSRF区别

XSS通过盗取网站内的已有的用户的身份，然后再执行相关操作
CSRF通过伪装用户身份，通过服务器身份认证后，然后发送恶意请求
虽然两者有一些区别，但是通常结合使用

原理

也没干啥正事，天天打CTF有点倦了，休息一下。

首先吐槽一下web方向的一部分题目
经常能遇到各种各样的脑瘫题目完全脱离现实
有的知识点并不实用就罢了，出题人为了出点新题还会把题目设置得脑洞要特别大才能做出来
你们说 Misc 安全杂项本来就是这样那就算了， Web 安全也这样真的合适吗？
不过幸好现在 CTF 大赛都已经往实战的方向走了。
然后就是区块链，上次陕西省赛的区块链给个纸条猜地址是什么鬼……

除了CTF以外，自己也挖了几个洞，差不多总结了一套渗透的方案

7月前后到处发简历，想参加一下护网、实习之类的攒攒经验
在面试了两三个之后，感觉身为大一还是太菜了，根本抢不过高年级的
我总结了一下常见的问题（可能是常见的吧）：

1. 正常的询问年龄学历，对岗位的了解
2. OWASP top10 原理、预防、实践（深度看具体情况）
3. SQLmap之类渗透工具的使用
4. 实战中不同情况下的处理情况（只能多实践了）
5. ip，同源策略，DNS等等网络相关的问题
   如果把市面上流传的面筋背个滚瓜烂熟大概初级的岗位面试是没太大问题