常见数据库的端口，Vnc的端口等

参考答案地址：常见数据库默认端口号_数据库端口-CSDN博客

MySQL  3306

Oracle 1521

DB2 5000

PostgreSQL 5432

MongoDB 27017

Redis 6379

SQL Server 1433

vnc的端口是：5900

推荐一个很好的护网笔记：

基础学习 · 2022护网笔记 · 看云

Windows应急响应的流程和命令

参考

应急响应-Windows-进程排查_windows危险进程pid-CSDN博客

用户排查

net user查看所有用户  如果有$大概率是隐藏的影子用户 攻击者留下的

powershell下 wmic useraccount get name,SID查看用户

注册表下\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下的Names可以看到所有用户 包括影子用户

进程排查

1.任务管理器里勾选进程名称和命令行 可以看到进程所在的文件地址

2.对于可能恶意的dll进程 可以用tasklist /m查看

对于特定dll可以用 tasklist /m 名称

tasklist /svc可以显示每个进程的服务对应情况

netstat -ano | findstr "ESTABLISHED"   #可以在所有的网络连接中查看进程PID建立的连接

通过netstat定位出pid后 可以用 tasklist | find "3389"  来查看相应pid具体的应用程序

管理员权限用 netstat -anb 快速定位所有的端口对应的应用程序

启动项排查

cmd下msconfig即可看到所有的启动项

任务管理器里也可以看到启动项

计划任务排查

cmd下用schtasks可以查看

服务排查

services.msc即可

日志排查

win+R下的eventvwr

位置C:\Windows\System32\winevt\Logs

windows安全事件的id  

4624登陆成功  4625无法登录  4776 ----- 域控制器尝试验证帐户的凭据

其它id 运维系列：windows安全事件id汇总_事件id4611-CSDN博客

排查临时文件目录

`C:\Users\Administrators\Local Settings\Temp`

`C:\Documents and Settings\Administrators\Local Settings\Temp`

`C:\Users\Administrator\App Data\Local`

`C:\Users\Administrator\App Data\Roaming`

浏览器相关的：

`C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files`

`C:\Users\Administrator\AppData\Local\Microsoft\Windows\Histroy`

`C:\Users\Administrator\AppData\Local\Microsoft\Windows\Caches`

Linux应急响应的流程

主机排查

lscpu查看主机信息

uname -a查看系统信息

cat /proc/version查看系统信息

用户信息排查

cat /etc/passwd 

cat /etc/passwd|grep '/bin/bash'    查看可登陆的用户

lastlog 查看用户最近一次登陆的时间信息

lastb   ssh登录失败的记录

last 查看系统所有的登陆记录信息等

linux的日志在  /var/log中

who或者w 命令查询utmp文件并报告当前登录的每个用户

有关用户登录的信息记录在 utmp(/var/run/utmp)

登录进入和退出记录在文件wtmp中  wtmp(/var/log/wtmp)

btmp(/var/log/btmp) 

查看所有用户最近登陆信息：last -f /var/log/wtmp

启动项排查

cat /etc/init.d/rc.local

计划任务排查

crontab -l
crontab -u root -l
ls /etc/cron*

日志排查

/var/log/wtmp：记录登录进入、退出、数据交换、关机和重启，即last。
/var/log/cron：记录与定时任务相关的日志信息。
/var/log/messages：记录系统启动后的信息和错误日志。
/var/log/apache2/access.log：记录Apache的访问日志。
/var/log/auth.log：记录系统授权信息，包括用户登录和使用的权限机制等。
/var/log/userlog：记录所有等级用户信息的日志。
/var/log/xferlog（vsftpd.log）：记录Linux FTP日志。
/var/log/lastlog：记录登录的用户，可以使用命令lastlog查看。
/var/log/secure：记录大多数应用输入的账号与密码，以及登录成功与否。
/var/log/faillog：记录登录系统不成功的账号信息。

Webshell排查思路

参考：应急响应-主机后门webshell的排查思路（webshell，启动项，隐藏账户，映像劫持，rootkit后门）_centos webshell排查-CSDN博客

排查外连状态，端口使用情况，后门的位置

外连排查：

pchunter或者火绒剑工具  定位木马位置 上传到微步等各种云沙箱进行文件扫描

netstat -anpt或者tasklist排查进程状态

pchunter查看进程，大多数木马文件在没有做屏蔽等措施，在厂商归属，指纹信息会显示异常，或者无任何厂商归属信息，可以借助为参考

webshell控制工具的流量特征

菜刀

菜刀 webshell 只使用了 url 编码 + base64 编码

shell 特征就是传输参数名为 z0，还存在int_set("display_erros","0")字符串特征

蚁剑

默认的蚁剑 shell，连接时会请求两次，其请求体只是经过 url 编码，其流量中也存在和蚁剑一样的代码

第一次请求，关闭报错和 magic_quotes，接下来去获取主机的信息

第二次请求，会把主机目录列出来

冰蝎2.0

使用 aes 加密发起三次请求

第一次请求服务端产生密钥写入 session，session 和当前会话绑定，不同的客户端的密钥也是不同的

第二次请求是为了获取 key，第三次使用 key 的 aes 加密进行通信

冰蝎3.0

使用 aes 加密发起两次请求

3.0 分析流量发现相比 2.0 少了动态密钥的获取的请求，不再使用随机生成 key，改为取连接密码的 md5 加密值的前 16 位作为密钥

一次请求为判断是否可以建立连接，少了俩次 get 获取冰蝎动态密钥的行为，第二次发送 phpinfo 等代码执行，获取网站的信息

哥斯拉

支持 n 种加密

采用了和冰蝎 3.0 一样的密钥交换方式，哥斯拉建立连接时会发起三次请求，第一次请求数据超级长，建立 session，第二三次请求确认连接

内存木马

参考：【Web】小白友好的Java内存马基础学习笔记_java内存马类型-CSDN博客

标准步骤：
检查Web访问日志

分析可疑访问、对比Web目录、排查中间件和组件漏洞、使用专业工具检测

特征：
- 多个URL请求路径相同，但参数不同。
- 页面不存在，但返回状态码为200（表明请求被成功处理）。

内存马类型：FIlter、Listener、Servlet、Websocket、Agent

不出网的渗透思路

参考：内网渗透：不出网渗透技巧-腾讯云开发者社区-腾讯云

（1）尝试搭建Socks隧道，常用的工具包括reGeorg和Proxifier，将本地带入内网中

（2）借助pystinger工具，通过webshell实现内网SOCK4代理，端口映射可以使目标不出网情况下在cs上线（利用http隧道使用pystinger上线到CobaltStrike）

（3）如果拿下了目标主机的管理员权限，可以激活guest用户，建立基于http的socks隧道，登录远程桌面，在目标内网搭建cs服务端。 缺点：被发现概率上升；需要安装java环境；基于web的socks隧道速度很慢，心态容易蹦。

几个反序列化的流量特征和原理

fastjson

反序列化产生原理：
1.Fastjson漏洞产生原理主要是通过反序列化恶意构造的JSON内容，程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数，进而导致代码执行
2.此外，Fastjson存在远程代码执行漏洞，autotype开关的限制可以被绕过，链式的反序列化攻击者精心构造反序列化利用链，最终达成远程命令执行的后果

流量特征：

weblogic反序列化

端口：7001

流量特征：

        具体到流量特征，可以通过追踪t3流量来进行分析，因为Weblogic使用的协议为T3，态势内的漏洞监测也是基于T3协议来告警触发的。

1、poyload的会存在放请求体中，带有明文的
2、带有明文的请求体的poyload中会有要执行的命令

XMLDecoder反序列化：WLS组件对外提供web服务，使用XMLDecoder解析传入的XML数据，在解析的过程中出现反序列化漏洞，造成命令执行。

T3协议反序列化：通过T3协议触发，造成未授权的用户在远程服务器进行命令执行。

14882/14883未授权绕过权限远程命令执行：../console.portal登录，直接在url中利用恶意类执行命令或者利用远程服务器去加载恶意的xml文件。

Log4j反序列化：

产生原理：
Log4j漏洞的产生原理主要是由于其JNDI（Java Naming and Directory Interface）注入功能，这一功能允许通过日志记录来查找和访问各种服务，如LDAP服务器、数据库等。具体来说，Log4j存在递归解析功能，未取得身份认证的用户可以从远程发送数据请求输入数据日志，从而轻松触发漏洞，最终在目标上执行任意代码。

防御手段：禁用JndiLookup来修复，阿里云则基于RASP技术，无需新增规则也能默认防御此类漏洞。

特征：恶意请求中包含JNDI协议地址，如"ldap://"，JNDI

struct2反序列化：

产生原理：
1.Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个OGNL语句。
因为OGNL过于强大，它也造成了诸多安全问题。
2. REST插件的XStream组件反序列化漏洞、远程命令执行和开放重定向漏洞、用户提交表单数据验证失败导致的安全问题、文件上传时路径遍历漏洞实施RCE、OGNL表达式绕过安全过滤机制

Struts2漏洞的流量特征主要涉及到攻击者通过构造恶意的OGNL表达式来执行代码，这些表达式是在框架执行时对用户传来的恶意OGNL表达式进行解析并执行成代码的过程例如，S2-059 (CVE-2019-0230)漏洞就是由于Apache Struts框架在强制执行时，会对分配给某些标签属性（如id）的属性值执行二次OGNL解析，从而允许攻击者利用这一机制来执行任意代码
此外，Struts2 REST插件的XStream组件存在反序列化漏洞，未对数据内容进行有效验证，可被远程攻击者利用

流量特征：

1、poyload存放在请求头的content-type中，正常content-type是代表的类型
2、content-type会显得非常长、会有一些java命令
3、有回显的