网络攻防学习笔记 Day60

常见信息泄露源主要包括 Web 方面的信息泄露和 App 方面的信息泄露。

Web 方面的信息泄露主要包含：Web 站点本身的漏洞导致的入侵事件、数据库未授权的访问、GitHub、网站配置不当导致被搜索引擎爬虫搜索到相关信息、金融类应用转账功能处明文返回个人敏感信息且未进行加密传输等。App 方面的信息泄露主要是源自敏感域名、api 接口信息泄露、重要敏感信息本地保存等。

攻击者常用的针对数据库进行拖库的攻击手法，常见的有以下几种：

SQL 注入：利用应用本身存在的注入漏洞，对数据进行拖库，通常伴随着异常的攻击流量。

数据库弱口令：利用数据库弱口令，直接登录数据库对数据库进行导出。

Web 形式的管理端（phpmyadmin 等）：phpmyadmin 是一个 Web 形式的数据库管理应用，攻击者可以利用 phpmyadmin 的漏洞对数据进行拖库。

远程下载数据库备份文件：运维人员对数据库进行了备份，但是对备份文件未进行妥善的控制、导致数据库的备份文件可被攻击者猜测到并下载。

未授权访问（mongodb 等）：数据库未做好权限、账号访问权限等控制，比如 redis 数据库、mongodb 数据库等。

数据库 0day 绕过认证权限：利用数据库权限认证的未知漏洞进行入侵数据库，对数据进行拖库导出。

内部工作人员泄露：内部人员管理不严，内部人员作案与外部人员相互勾结，对数据进行贩卖等。

主机类型的入侵：黑客一般是利用系统层漏洞直接获取系统权限，利用系统资源获取经济利益，或者安装后门达到长期维持权限的效果。在工作中遇到较多的异常现象包括服务器向外大量发包、CPU 使用率过高、系统或服务意外宕机、用户异常登录等。

攻击者获取到主机权限后，利用系统资源获取经济利益（挖矿/DDoS）、利用系统资源获取经济利益（挖矿/DDoS）、获取系统最高权限（安装后门/长期维持）。

被攻击者攻击沦陷的主机往往会出现以下现象：CPU 使用率过高、系统意外重启/宕机、服务器操作卡顿/网络丢包、非工作时间异常登录/被踢下线。

常见系统漏洞类型可分为系统弱口令、远程代码执行、本地提权漏洞。

系统弱口令：RDP/SSH/MySQL/MSSQL/Redis/SMB/IPC 爆破；

远程代码执行：MS17-010/MS-08067/MS12-020；

本地提权漏洞：MS15-051/Centos2632/dirtycow。