[网络协议]Hvv蓝队指北

本文仅为个人复习中知识点整理，有部分引用（照抄）之处，敬请谅解

一些资料

2021hvv_vul
域（很好的资料）
面经1
面经2
庄周师傅送的
应急响应
windows加固
linux加固
再补一个非常好的合集，应该是群里师傅写的
Hvv

免杀

修改特征码（指令加密、去注释）

花指令免杀

加壳免杀（vmprotect）

二次编译

无文件（PowerShell 、VBS）

隐写术

OWASP

https://www.freebuf.com/articles/web/334113.html

注入

• 报错注入

  updatexml

  floor(rand与order by冲突)

  exp(溢出报错)

• 注入：联合、延时、堆叠（多语句执行）、报错、二次、盲注

• 注入类型：GET POST head UA cookie

域

kerberous认证协议

金银票据：（后渗透，权限维持）

黄金票据：指的是在已经获得域控制器的krbtgt用户哈希的情况下，自行签发TGT，也就能获得域内任意服务的权限。（实际上就是利用域控哈希，跳过前两个认证步骤直接生成TGT，再将凭证发给KDC，继续完成认证过程。由于可以根据服务自行生成TGT，所以可以拥有任何服务的权限）

可以获得域控权限（维持，不过期）

白银票据：指的是在已经获得服务哈希的情况下，自行签发此服务的ST，可以获得服务的权限。

只能获得特定服务权限，过期时间较短。（实际上是利用服务账户hash，跳过前四个步骤直接生成ST票据并利用它访问server的服务，故不会在KDC内留下痕迹，但由于利用的是特定服务hash故只有该服务权限）

溯源（攻击者画像）

ip反查（微步） whois 域名绑定 旁站 同C 判断是否为跳板机

搞到id可以查个人博客、社交媒体，支付宝转账反查，tg社工机器人、社工库

搞到电话之类就可以反钓鱼

厉害的东西：

蜜罐json hijack溯源（本质上是蜜罐+CSRF）

CSRF与SSRF

• CSRF: Cross-site request forgery 跨站请求伪造, 利用用户的cookie，诱导用户完成一些操作

  简单来说就是访问网页，网页里面嵌了恶意js，直接读你的token干坏事

• SSRF: Server-Side Request Forgery 服务端请求伪造，利用缺陷的web应用来攻击本地服务器和远程服务器

  简单来说就是攻击者向服务端发送包含恶意URI链接的请求，让服务端去访问此URI，以获取受保护资源（可以拿来打内网）
  file、dict、gopher协议

应急响应流程

横向排查

首先拿到内网拓扑(该机器的C段以及与它相连的两个段) 把受攻击的机器和与之相连的机器直接下线 然后去排查该机器能连接的段上的机器 排查攻击者权限 排查异常服务与用户添加 最后根据时间戳根据排查日志 还原攻击流程

确认有无横向——有 下线 一批——优先找马删马 排查账号后门持久化 排查内存马 远控

win直接上火绒剑 干进程 排查注册表 启动项 账号

linux 一个道理 先查端口占用 反连 进程 通过/proc/exe直接定位恶意文件位置 排查ssh公钥后门 crontab持久化后门

linux日志目录

/var/log/secure（爆破）

/etc/passwd&shadow（用户&密码）

~/.bash_history （命令记录）

/var/log/cron（历史计划任务）

持久化手法与反制

https://www.freebuf.com/articles/system/229209.html

windows：辅助功能（五次shift，放大镜，屏幕键盘，设置中心，包括使用注册表劫持程序）

启动项、自启服务、计划任务；DLL劫持；WMI无文件；进程注入

反制：注册表扫描、火绒剑排查进程、

linux：crontab，ssh公钥后门，自启动 /etc/rc.d/init.d，替换busybox命令，aliaes，rootkit

反制：查文件，查ssh公钥，看aliaes，编译busybox进行文件对比，rootkit直接上工具

Rootkit（个别厂商问）：

https://paper.seebug.org/1867/

webshell排查/流量排查

仅参考，大佬们一般都对工具进行了魔改，不会有特别明显的特征

https://www.freebuf.com/articles/web/324622.html

静态特征（webshell文件特征）：

菜刀（还有人用这玩意么） ：简单一句话

蚁剑：assert，eval，ClassLoader

冰蝎：16位连接密码，默认变量为k，eval、assert；XOR，execute；ClassLoader，getClass().getClassLoader()

哥斯拉：ClassLoader，getClass().getClassLoader()

一些离谱的东西 https://www.freebuf.com/articles/web/241454.html

包括webshell重命名为 . 或者 . .

https://www.freebuf.com/articles/terminal/187842.html

动态特征：

菜刀：

蚁剑：响应包开头@ini_set(“display_errors”, “0”);@set_time_limit(0)

响应包的结果返回格式为 随机数 结果 随机数（所以这里能不能直接去查结果来做分析）

冰蝎：动态二进制加密 关注每次连接的get请求，里面有本次的16位加密密钥

（不就是传个密钥搞AES对称加密么，为啥叫动态二进制，那每个https连接算不算 只要有全流量就跑不掉.jpg）

哥斯拉：ClassLoader，getClass().getClassLoader()），base64加解码；xc,pass

话说这么多都拿base64搞编码，那我直接查base64表或者编解码函数行不行

换表，换表。懂的都懂

Redis

https://www.freebuf.com/articles/web/237263.html

https://www.freebuf.com/328286.html

真实案例：reedis 3.x windows 无法继续利用

linux防火墙配置（iptables、firewall)

https://blog.csdn.net/weixin_41038905/article/details/104727279

核心是端口配置

详细的看这位大佬

https://blog.csdn.net/weixin_53246927/article/details/124500012?spm=1001.2014.3001.5502

Iptables（静态）：基于接口，四表五链 ，本质上是个封包过滤器，决定主机在什么ip什么端口收什么包，又给什么ip什么端口发什么包

firewalld（动态）：基于区域，地址关联区域并执行差异化策略 firewall-config/-cmd

mysql提权：

https://www.sqlsec.com/2020/11/mysql.html

into outfile：直接网站目录写马或者改日志文件目录到网站目录写马

前提：已知绝对路径，secure_file_priv 无限制，有写权限

UDF：自定义函数功能，核心是在插件目录下写恶意.so再直接通过自定义函数提权

mof：写临时文件，等系统以system权限执行vbs

–os-shell（dba权限）：一个文件上传php，一个命令执行php

–sql-shell

sql无回显打dnslog：

通过注入打load file（mysql）或master…xp_dirtree（mssql），进行DNS请求带外，请求域名是关键信息+利用平台定制的域名，完成攻击后远程请求平台域名，平台留下DNS记录，起到了回显的作用

https://blog.csdn.net/qq_53577336/article/details/118615216

OSI七层模型（真有问这个的）

https://blog.csdn.net/m10_2339656216/article/details/119752566

linux提权

https://blog.csdn.net/Breeze_CAT?type=blog 华为大佬

常用CVE：

CVE-2021-4034 pkexec

CVE-2022-0847 dirtypipe

CVE-2021-3156 sudo堆溢出

win提权

print nightmare

smb ghost

JuicyPotato

内存马

https://www.freebuf.com/articles/web/274466.html

servlet-api型：注册一个新的listener、filter或者servlet

字节码增强型：通过java的instrumentation动态修改已有代码，进而实现命令执行

内存马需要用到反射机制，这也是各种马动态特征的来源之一

内存马也可能通过shellcode等方式逃避检测

中间件漏洞

置顶两篇

https://www.freebuf.com/vuls/323927.html

https://www.freebuf.com/vuls/323926.html

fastjson

反序列化

https://www.freebuf.com/vuls/276512.html

fastjson的漏洞核心就是可以加载任意类，在之后的版本中就是一直在完善黑名单

主要问题在autotype，利用大部分都是基于绕过

payload特征在@type

从1.2.45开始，fastjson默认关闭了autotype，并且加入了checkAutotype检测机制

设置了黑名单，如果ClassName命中黑名单，程序则直接抛出异常

在1.2.68之后的版本增加了safeMode。safeMode打开后，完全禁用autoType（原payload打完直接报错）。

tomcat

CVE-2017-12615 任意文件写入

Tomcat配置文件/conf/web.xml 配置了可写（readonly=false），但仅可写.jsp文件（通过put写入）

CVE-2019-0232 RCE 鸡肋洞

Tomcat CGI将命令行参数传递给Windows程序的方式存在错误，使得CHIServler被命令注入影响。该漏洞只影响Windows平台，要求启用了CGIServlet和enableCmdLineArguments参数。但是CGIServlet和enableCmdLineArguments参数默认情况下都不启用。

人话：CGI命令注入，但一般情况不会开配置，废

CVE-2020-1938 任意文件读 (ghost cat)

由于 Tomcat AJP 协议设计上存在缺陷，攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。

特征：8009端口，AJP服务

主要是任意读，msf集成了攻击模块

剩下的弱口令、管理界面爆破、文件上传

weblogic

https://www.freebuf.com/articles/web/287165.html

https://www.freebuf.com/vuls/284799.html

T3、IIOP反序列化漏洞

任意文件读+解密获取账号 /hello/file.jsp?path=/etc/passwd

CVE-2017-3506/10271 wls-wsat包中XMLDecoder反序列化漏洞（10271绕过补丁）

/wls-wsat/CoordinatorPortType
/wls-wsat/RegistrationPortTypeRPC
/wls-wsat/ParticipantPortType
/wls-wsat/RegistrationRequesterPortType
/wls-wsat/CoordinatorPortType11
/wls-wsat/RegistrationPortTypeRPC11
/wls-wsat/ParticipantPortType11
/wls-wsat/RegistrationRequesterPortType11

CVE-2019-2725 继续绕补丁

CVE-2018-2894 文件上传 默认不开，拿了后台才有用

配置失当 /ws_utc/begin.do，/ws_utc/config.do

CVE-2021-2394 反序列化（二次反序列化）

CVE-2021-2109 JNDI远程注入（T3）

CVE-2020-14882 + CVE-2020-14883 未授权访问管理后台+后台任意用户命令执行=RCE

structs2

https://www.freebuf.com/vuls/246768.html

https://www.freebuf.com/vuls/246969.html

OGNL表达式双重解析+绕过

thinkphp

全是洞，直接看文章吧

https://www.freebuf.com/vuls/249178.html

https://www.freebuf.com/articles/web/286234.html

shiro

https://www.freebuf.com/articles/web/323529.html

CVE-2016-4437/CVE-2019-12422 反序列化 （常见，有工具）

成因：加密使用AES硬密钥，反序列化数据未进行检查（<1.2.4）

用户登陆成功后会生成经过加密并编码的cookie，在服务端接收cookie值后，Base64解码–>AES解密–>反序列化。攻击者只要找到AES加密的密钥，就可以构造一个恶意对象，对其进行序列化–>AES加密–>Base64编码，然后将其作为cookie的rememberMe字段发送，Shiro将rememberMe进行解密并且反序列化，最终造成反序列化漏洞。

12422适用于<1.4.2版本 高版本密钥改成随机数了

通过Padding Oracle Attack爆破，不需知道密钥，但需要先登录一下看看合法cookie，流量特征应该是有的

漏洞指纹

在请求包的Cookie中为？remeberMe字段赋任意值

返回包中存在set-Cookie：remeberMe=deleteMe

URL中有shiro字样

有时候服务器不会主动返回remeberMe=deleteMe，

CVE-2020-1957、11989 身份认证验证绕过 （鸡肋）

成因：Shiro拦截器与requestURI的匹配流程与Web框架的拦截器的匹配流程有差异

https://xlab.tencent.com/cn/2020/06/30/xlab-20-002/

条件：Apache Shiro与Spring控制器一起使用（针对*拦截有效，**拦截无效）

jboss

多为反序列化

JMXConsole默认未授权访问

/jmx-console/

CVE-2017-12149

/invoker/readonly /invoker/JMXInvokerServlet /invoker/EJBInvokerServlet

请求中，服务器将用户提交的POST内容进行了Java反序列化

漏洞原理：该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中，其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化，

基本上就是一个无检查的反序列化，invoker这个组件下的功能就翻车了

CVE-2017-7504

/jbossmq-httpil/HTTPServerILServlet

漏洞原理：JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTPInvocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

同上，无检查反序列化