QAX HW 蓝中 二面

1. samba 漏洞有哪些

永恒之蓝、远程代码执行、缓冲区溢出

2. 他们的原理清楚吗

......

3.说一下永恒之蓝怎么过防护吧，像360，Windows defener之类的

......

4. 一个页面返回了403，怎么绕过

利用web容器、反向代理和后端框架代码对于同一个URL解析的不一致性进行绕过

5. 详细的说一下

......

6. 可爆破的默认端口有哪些

ftp21、ssh22、telnet23  1433mssql、1521oracle、3306mysql、3389rdp、5432pgsql、8080tomcat

7. 有一批防护设备，比如有防火墙、全流量设备、态感、WAF、IDS之类的，知道它们应该部署在什么位置合适吗？说一下大概的拓扑结构

8. 全流量设备和态势感知有什么异同点

9. 正反向 webshell 都有哪些特征

......

10. 说一下weblogic历年漏洞的原理和流量特征吧

......

11. shrio的清楚吗

Shiro提供了RememberMe功能，关闭浏览器再次访问时无需再登录即可访问。默认使用CookieRememberMeManager，对rememberMe的cookie做了加密处理，在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操作。但AES加密的Key是硬编码，每个人通过源代码都能拿到AES加密的密钥。攻击者构造一个恶意的对象，对其序列化、AES加密、base64编码后，作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化，最终就造成了反序列化的RCE漏洞。

流量特征：set-Cookie：remember=一长串

12. 再说下fastjson吧

解析json时，会使用autoType实例化某一个具体的类，并调用set/get方法访问属性。漏洞出现在autoType处理json对象时，没有对@type字段进行完整的安全性验证，可以传入危险的类并调用危险类连接远程RMI服务器，通过恶意类执行恶意代码，进而实现远程代码执行漏洞。

流量特征：请求体中出现@type，状态码为500

13. log4j呢

由于日志在打印时当遇到${后，以:号作为分割，将表达式内容分割成两部分，前面一部分prefix，后面部分作为key，然后通过prefix去找对应的lookup，通过对应的lookup实例调用lookup方法，最后将key作为参数带入执行，引发远程代码执行漏洞

流量特征：${jndi：rmi

14. mysql5.0和5.7区别

一个需要爆破，一个不需要

15. 做过挖矿木马的应急吗

一时之间没想起来......

感受：直接问麻了......

原文始发于微信公众号（走在网安路上的哥布林）：QAX HW 蓝中 二面