2025面试题
【蓝初】
应急响应流程:
见重要知识点·应急响应思路
ssrf漏洞如何利用:
SSRF漏洞通常采用各种协议来进行利用。
①file:在有回显的情况下,利用 file 协议可以读取4任意内容;②dict:泄露安装软件版本信息,查看端口,操作内网redis服务等;③gopher:支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议(俗称万能协议)。可用于反弹shell;④http/s:探测内网主机存活。
说一下sql 报错注入:
报错注入主要是在网页无显示位,但存在sql语句报错显示的场景9>
使用。主要利用在一些数据库函数中写入恶意sql查询语句,函数错误执行报错提示信息中将带有所执行的恶意sql查询语句的信息。常见的用于报错注入的函数 3 类:
XML 文档操作相关的函数:updatexml()、extractvalue() 等
数学计算相关的函数:floor()、exp()等
图形处理相关函数:polygon()、mutipolygon()等
一个数据量非常大的日志文件,你如何分析:
如果为线上大批量日志,要下载下来本地分析。核心思想个人认为是数据分割分析。详细见评论。
msf里tcp协议的流量特征
将木马注入某个进程的一个线程如何查
命令被替换怎么办,若是hook的形式呢
shiro利用工具设置了ua是什么特征
fastjson请求体除了恶意类type还有什么
外网隔离突破进入外网中转的流量
PDR模型是?
保护-检测-响应
主机资产梳理,梳理哪些
二级金融单位给一个资产风险面的收缩建议
SSH爆破告警,明确说是误报,同时多台服务器指向一个DNS服务器,将数据包提取出来,谋定的payload是一串与当时攻击时间吻合的时间戳,这个服务器除了是DNS服务器外,还可能作为什么服务器。
【深信服蓝中真题1】
java内存马手工排查
手工的话可以分析web日志,filter或者listener类型的内存马,会有大量路径相同参数不同的url请求,或者页面不存在但是返回200的请求,分析web.xml文件,内存马的Filter是动态注册的,web.xml是没有配置的,也有可能是中间件漏洞通过代码执行加载内存马,这就可以去排查中间件的错误日志,像哥斯拉和冰蝎的内存马也会有跟webshell相似的特征,分析特殊的classloader加载,攻击者喜欢利用TemplatesImpl和bcel加载内存马,因为内存马是驻留在内存里的,本地无class文件,通过检测Filter对应的ClassLoader目录下是否存在class文件来判断,也可以把内存中所有的Filter的class dump出来,使用工具分析是否存在恶意代码几几年出生的 大学毕业了吗 实习还是
webshell流量特征菜刀:
1、webshell 为一句话木马
2、ua 头为百度爬虫
3、请求体中存在 eval,base64
4、响应为明文,格式为 X@Y +内容 + X@Y
蚁剑:
1、webshell 同样有 eval,base64
2、ua 头为蚁剑工具
3、请求体中存在 @ini_set
4、响应为明文,格式为 随机数+结果 +随机数
冰蝎:
1、webshell 同样有 eval,base64
2、webshell 中有 md5(密码)前16位
3、2.0 有一次GET请求返回16位的密钥
哥斯拉:
1、webshell 同样有 eval,base64
2、请求为pass=
3、cookie带分号;
4.第一次请求数据包里无cookie,但响应包里有sessionid
后续请求里cookie都带有之前响应包的sessionid
fastjson利用链
weblogic反序列化
大量误报怎么办
内网横向应急
溯源反制思路
溯源反制工具
蜜罐部署和使用简单说一下,外网or内网
监测的流程
IRKey跨域黄金票据后门实现
shellcode免杀
Dcom怎么操作
psexec和wmic的区别
mimikataz劫持管理员会话具体命令 条件
说几个shiro常用链,很细的
重要知识点
shiro的流量特征
https://blog.csdn.net/akxnxbshai/article/details/130045700
菜刀,蚁剑的上传特征
菜刀:
1、webshell 为一句话木马
2、ua 头为百度爬虫
3、请求体中存在 eval,base64
4、响应为明文,格式为 X@Y +内容 + X@Y
蚁剑:
1、webshell 同样有 eval,base64
2、ua 头为蚁剑工具
3、请求体中存在 @ini_set
4、响应为明文,格式为 随机数+结果 +随机数
冰蝎:
1、webshell 同样有 eval,base64
2、webshell 中有 md5(密码)前16位
3、2.0 有一次GET请求返回16位的密钥
哥斯拉:
1、webshell 同样有 eval,base64
2、请求为pass=
3、cookie带分号;
常见的框架漏洞
shiro、weblogic、struts2、JBoss、Tomcat、Thinkphp、Wordpress
应急响应案例:
挖矿病毒:看到cpu占用率接近100%,可能是挖矿,top命令查看进程,找到占用cpu异常进程,netstat -anpt | grep 4452 查看ip,查了一下是国外ip,估计是后门或者挖矿进程。使用kill命令删除过一会儿又自启动了,判断是有定时任务,crontab -l 看到了异常定时任务,每隔一分钟自动取195.3.146.118下载unk.sh文件 并执行。就终止异常进程、删除定时任务。但是过了一会儿cpu又跑起来了,就猜测有守护进程,systemctl status 6651,看到了一个.sh文件,先找到位置pa aux |grep kinsin,看到三个异常进程和文件,全部该killkill该删除删除。最后查看网络连接,netstat -anpt,发现还有连接,接下来查看可以连接的文件位置,ps aux | grep 6712,关闭对应进程,kill -9 6712
应急响应思路:
确定攻击事件、确认攻击范围、隔离受攻击系统、收集证据(日志文件、流量、系统快照)、使用工具对收集到的证据进行分析和调查。这包括查找攻击痕迹、分析恶意代码、检测入侵路径等。目的是确定攻击的来源、影响范围和方法,并评估已受到的损害、删除恶意代码、文件、修复漏洞,阻断攻击路径。恢复系统和数据、通知管理层业务部门。
入侵排查:检查异常账号、检查异常端口进程、检查启动项、计划任务、服务、自动化查杀、日志分析
Redis写shell 5种:
1、直接写,config set
2、计划任务反弹shell /cron/ /crontabs/
3、写ssh公钥
4、设置备份路径,然后主从复制加载恶意模块然后切断主从
5、ssrf gopher搭配未授权访问
SQL注入绕过:
Url unicode HTML编码大小写、编码绕过url hex、特殊符号绕过、函数替换 (substring、mid、substr、and = && 、 or = || ‘aaa’ like ‘aaa’)、注释符号混用 (--+、/**/、#、/*!select*/、/*!12345select*/内联注释、分块传输绕过 (Transfer-Encoding: chunked,换行 )、另类字符集绕过 (ibm037)and user>0-- 字符串与整形作对比报错)、未初始化变量$、换行绕过、协议层绕过(Content-Type为application/x-www-form-urlencoded 修改成 multipart/form-data)、垃圾数据溢出 (传输大量数据,超过waf识别的容量)、HTTP参数污染 (?id=1&id=2&id=3 php取最后一个);宽字节:不输入',而是输入%df'
勒索病毒布置方法:
僵尸网络、特定网络漏洞、持续攻击getshell、钓鱼邮件、软件捆绑下载等
OWASP top10:
注入漏洞、失效的身份认证、敏感数据泄露、XML外部实体漏洞、无效的访问控制、安全配置错误、跨站脚本攻击、不安全的反序列化漏洞、使用含有已知漏洞的组件、日志记录和监控不足导致的风险
电子邮件安全网关:
用于监控企业的入站和出站电子邮件通信中不需要或恶意电子邮件。这些产品的核心功能是阻止或隔离恶意软件、网络钓鱼攻击和垃圾邮件,另外,很多产品还提供针对出站电子邮件的数据丢失防护(DLP)和/或加密功能。
Nmap流量特征:
ACK RST UDP data域有300个C字符 flag位对应syn fin ecn
WAF识别外部攻击:
告警分析、日志分析、流量分析、威胁情报
SQL注入在攻击日志中有什么特征?如何修复?:
现特殊字符、出现sql语句 特殊函数 特殊编码 预编译、特殊字符屏蔽 编码、waf黑名单 规则修改
中间件漏洞:
IIS:put类似tomcat;RCE exp 解析漏洞配合图片马 Apache 解析漏洞.php.exe 换行解析.phpx0A 目录遍历
Nginx:目录遍历目录穿越crlf weblogic 反序列化 弱口令 ssrf(SearchPublicRegistries.jsp 可控参数operator)
Linux查看计划任务:
crontab -l 删除-e编辑 -u制定所管理的计划任务属于哪个用户,默认是针对当前用户
Linux被提权如何排查:
重启、查看系统日志找异常的登录信息、检查账户尤其是管理员账户,有没有添加的密码有没有被改、检查系统文件是否被篡改或替换。使用合法和受信任的源来对比系统文件的散列值。还应检查运行的进程列表,查找异常或可疑的进程。使用工具(如netstat、ss)检查当前的网络连接。查看是否有未知的连接或活动,特别是与远程主机的连接。运行杀毒软件、恶意软件扫描工具或入侵检测系统(IDS/IPS)来扫描系统,寻找恶意软件、后门程序或已知的攻击工具。加固 关端口 更新系统 改弱口令 配置防火墙规则 限制远程访问。收集证据
Linux哪个路径保存ssh登录日志:
var/log/secure
Windows排查隐藏账户:
HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames;查看系统日志:通过“计算机管理”中的“事件查看器”可以查看到隐藏账户以及其登陆的时间。
XSS原理:
服务器对用户提交的数据过滤不严,导致浏览器把用户的输入当成了JS代码并直接返回给客户端执行,从而实现对客户端的攻击目的。
如何研判Shiro反序列化攻击是否攻击成功:
1.先看IP是内部IP还是外部IP,内部IP就去找对应的负责人问他在干嘛?
2.外部IP就是根据漏洞原理去看是否攻击成功,比如SQL注入,看有没有带出库名,表明列名;shiro类的就看其有无回显,有回显危险信息的话就进入应急流程
3.攻击失败就封IP,攻击成功就进入应急,并封IP 应急的话,是止损(尽量下线,通过安全设备查找安全事件,去定位恶意文件在哪里,然然后取证,删除),还原攻击链路(看涉及到这个恶意文件的全部流量,看他的行为,对症下药,出具应急报告),根据应急得到的情报去溯源(攻击IP等信息去溯源)
Shiro密钥如何获取
爆破,获取源码,heapdump内存泄露
原文始发于微信公众号(励行安全):HW面经2【共享文档】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论