文末附常见面试题总结,包括HW蓝队和正常渗透测试的面试题
以下是部分摘抄面试题
正向 SHELL 和反向 SHELL 的区别
正向 Shell:
攻击者连接被攻击者机器,可用于攻击者处于内网,被攻击者处于公网的情况。
反向 Shell:
被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者处于内网的情况。
应急响应流程
准备阶段
和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述,初步判定事件响应策略,携带应急响应工具包前往客户现场。
检测阶段
检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害(比如说判断是信息泄露还是被写码了)、范围以及发展的速度,事件会不会进一步升级
抑制阶段
本阶段主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案 系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell 排查、中间件日志排查、安全设备日志排查
恢复阶段
把受影响系统、设备、软件和应用服务还原到正常的工作状态 常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。
跟踪阶段
调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件
日志分析
Web 服务日志一图流 操作系统日志一图流
常见日志文件位置
IIS
Windows Server 2003 iis6 日志路径:
C:WindowsSystem32LogFiles
Windows Server 2008 R2、2012、2016、2019 iis7 以上日志路径:
C:inetpublogsLogFiles
Apache
Apache+Windows
D:xamppapachelogsaccess.log
Apache+Linux
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd/access.log
nginx
/usr/local/nginx/logs
常见格式内容
访问的主机 IP
请求时间
请求方法、请求的 URL、采用的协议
HTTP 状态码
日志分析技巧
1、列出当天访问次数最多的IP命令:
cut -d- -f 1 log_file|uniq -c | sort -rn | head -20
2、查看当天有多少个IP访问:
awk '{print $1}' log_file|sort|uniq|wc -l
3、查看某一个页面被访问的次数:
grep "/index.php" log_file | wc -l
4、查看每一个IP访问了多少个页面:
awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file
5、将每个IP访问的页面数进行从小到大排序:
awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n
6、查看某一个IP访问了哪些页面:
grep ^111.111.111.111 log_file| awk '{print $1,$7}'
7、去掉搜索引擎统计当天的页面:
awk '{print $12,$1}' log_file | grep ^"Mozilla | awk '{print $2}' |sort | uniq | wc -l
8、查看2018年6月21日14时这一个小时内有多少IP访问:
awk '{print $4,$1}' log_file | grep 21/Jun/2018:14 | awk '{print $2}'| sort | uniq | wc -l
9、统计爬虫
grep -E 'Googlebot|Baiduspider' /www/logs/access.2019-02-23.log | awk '{ print $1 }' | sort | uniq
10、统计浏览器
cat /www/logs/access.2019-02-23.log | grep -v -E 'MSIE|Firefox|Chrome|Opera|Safari|Gecko|Maxthon' | sort | uniq -c | sort -r -n | head -n 100
11、IP统计
grep '23/May/2019' /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3"."$4}' | sort | uniq -c | sort -r -n | head -n 10
12、统计网段
cat /www/logs/access.2019-02-23.log | awk '{print $1}' | awk -F'.' '{print $1"."$2"."$3".0"}' | sort | uniq -c | sort -r -n | head -n 200
13、统计域名
cat /www/logs/access.2019-02-23.log |awk '{print $2}'|sort|uniq -c|sort -rn|more
14、 统计URL
cat /www/logs/access.2019-02-23.log |awk '{print $7}'|sort|uniq -c|sort -rn|more
15、URL访问量统计
cat /www/logs/access.2019-02-23.log | awk '{print $7}' | egrep '?|&' | sort | uniq -c | sort -rn | more
Linux 端口查看
#lsof -i:端口号查看某个端口的占用情况
lsof -i:8000
#更多lsof
lsof -i:8080:查看8080端口占用
lsof abc.txt:显示开启文件abc.txt的进程
lsof -c abc:显示abc进程现在打开的文件
lsof -c -p 1234:列出进程号为1234的进程所打开的文件
lsof -g gid:显示归属gid的进程情况
lsof +d /usr/local/:显示目录下被进程开启的文件
lsof +D /usr/local/:同上,但是会搜索目录下的目录,时间较长
lsof -d 4:显示使用fd为4的进程
lsof -i -U:显示所有打开的端口和UNIX domain文件
#netstat -tunlp 用于显示 tcp,udp 的端口和进程等相关情况。
netstat -tunlp | grep 端口号
netstat -ntlp #查看当前所有tcp端口
netstat -ntulp | grep 80 #查看所有80端口使用情况
netstat -ntulp | grep 3306 #查看所有3306端口使用情况
攻击源捕获
安全设备报警,如扫描IP、威胁阻断、病毒⽊⻢、⼊侵事件等
⽇志与流量分析,异常的通讯流量、攻击源与攻击⽬标等
服务器资源异常,异常的⽂件、账号、进程、端⼝,启动项、计划任务和服务等
邮件钓⻥,获取恶意⽂件样本、钓⻥⽹站 URL 等
蜜罐系统,获取攻击者 ID、电脑信息、浏览器指纹、⾏为、意图的相关信息
IP 定位技术
根据IP定位物理地址–代理 IP
溯源案例:通过 IP 端⼝扫描,反向渗透服务器进⾏分析,最终定位到攻击者相关信息
ID 追踪术
ID 追踪术,搜索引擎、社交平台、技术论坛、社⼯库匹配
溯源案例:利⽤ ID 从技术论坛追溯邮箱,继续通过邮箱反追踪真实姓名,通过姓名找到
相关简历信息
⽹站 url
域名 Whois 查询–注册⼈姓名、地址、电话和邮箱 --域名隐私保护
溯源案例:通过攻击 IP 历史解析记录/域名,对域名注册信息进⾏溯源分析
恶意样本分析
提取样本特征、⽤户名、ID、邮箱、C2 服务器等信息–同源分析
溯源案例:样本分析过程中,发现攻击者的个⼈ ID 和 QQ,成功定位到攻击者
社交账号
基于 JSONP 跨域,获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等
利⽤条件:可以找到相关社交⽹站的 jsonp 接⼝泄露敏感信息,相关⽹站登录未注销
怎么发现有没有被攻击
攻击判断可以建⽴在设备的基础上,利⽤设备的告警,如果没有设备的话可以参考以下
⽹站被攻击:⽹站被跳转到赌博⽹站,⽹站⾸⻚被篡改,百度快照被改,⽹站被植⼊
webshell 脚本⽊⻢,⽹站被 DDOS、CC 压⼒攻击
服务器被⿊:服务器系统中⽊⻢病毒,服务器管理员账号密码被改,服务器被攻击者远程
控制,服务器的带宽向外发包,服务器被流量攻击,ARP攻击(⽬前这种⽐较少了,现在都是
基于阿⾥云,百度云,腾讯云等云服务器)
对登录记录、系统⽇志、web ⽇志等进⾏分析
HW面试题全部附带答案
链接:https://pan.quark.cn/s/7dad93ad5fc7
原文始发于微信公众号(道一安全):2025HW蓝队面试题附标准答案
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论