总结护网面试最多问题

最近有很多安全人员都在Hvv面试，面对每天薪资1000-5000的诱惑，相信很多人都蠢蠢欲动了，我这边综合了一下面试题，其中最多的几项要数菜刀、冰蝎，蚁剑、哥斯拉流量特征、各大漏洞流量特征、挖矿木马流量特征等，一遍看不懂建议多看几遍。结尾还有彩蛋。

闲话不多说，咱们直接进入正题

菜刀流量特征。

像这种<?php @eval($_POST[‘cknife‘]);?>是一个常见的PHP代码片段，这段代码的作用是通过POST请求传递的名为’cknife’的参数作为PHP代码进行执行。eval函数会将参数中的字符串作为PHP代码进行解析和执行。也就是常见的一句话木马webshell的强特征。从请求体中可以看到上传的是一个1.php的可执行文件，响应体succes upload 上传成功。

冰蝎流量特征

冰蝎为了绕过检测和防御机制，冰蝎Webshell通常会使用加密和编码技术对流量进行混淆，如Base64编码、RC4加密等。

蚁剑流量特征

蚁剑流量特征和菜刀的流量特征相似，使用了base64进行payload加密，eval函数会将参数中的字符串作为PHP代码进行解析和执行。

哥斯拉流量特征

可以看到请求包、请求体、响应头、响应体，并没有什么明显特征。

这时候需要结合流量的上下文进行判断，像出现pass这样webshell连接。

挖矿木马流量特征

目录遍历流量特征

Xss流量特征

SQL注入联合查询流量特征

SQL注入布尔盲注流量特征

Joomal注入流量特征

彩蛋：

勒索病毒分析链接：

https://lesuobingdu.qianxin.com/

情报分析：https://x.threatbook.com/

原文始发于微信公众号（天银安全）：​整合大量厂商资源--总结护网面试最多问题