去年七月中旬刚在南京考完了IRE的考试。
首先,先总结一下考试的内容。题型分为选择题和实操题两部分。满分为100分,选择题有20道,共20分,主要考查一下安全方面的基础知识。总体不难,我只错了三个。
剩下的为80分的实操题,分为8个实操题。
第一题特别简单,大概是送分的,是一道流量分析。根据题目描述和观察数据包可以知道这是telnet爆破,因为telnet是明文传输,可以直接ctrl+f搜索出来。
第二题是一道日志分析,也不是很难,先对日志进行URL解码,可以发现是一个sql盲注,只要是知道sql注入原理的应该都可以做出来
第三题有俩个小题,根据题目描述可知是网站劫持,我把整个网站目录打包下来,然后通过D盾扫描到一个加密的PHP文件,但是打开都是很奇怪的乱码,我一开始想着var_dump输出变量,但是各种编码都试过了,还是没有解出来
第二小题是把一个pacp文件放在日志目录下了,把它get下来wireshark分析,可以看出来是ftp爆破,然后在追踪数据流,发现一个压缩包,用原始数据保存,然后在服务器的家目录下发现解压密码
第四题在计划任务里面发现了一个脚本,然后用base64解码,发现攻击者下载了一个文件,并进行了压缩,根据解码内容可以看到解压密码
第五题也是两个小题,也是网站劫持,说是从百度访问就会跳转到赌博网站。直接分析后端代码,搜索USER_AGENT和baidu就可以找到key
第二小题是某个网站点击登录会跳转到另一个网站,这题直接F12可以看到跳转的js文件,然后他给了key的前四个值,并提示后四个在nginx服务里,然后我们可以在配置文件里发现它包含了另一个文件,直接查看找到key
最后一题是一个内存分析,需要找到注册表中的隐藏账户才能发现key。
转载于:https://blog.csdn.net/Williamanddog/article/details/132006166
为了更好的支持并服务广大备考同学,提供第一手资讯,便于CISP、CISSP等学员及持证者、网络安全伙伴一起学习和相互交流,建立了微信学习群,欢迎添加微信,拉您入群(备注:cissp),一起学习和交流。
原文始发于微信公众号(CISSP):CISP-IRE应急响应工程师考试经验
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论