2025HVV行动 | 北京中级研判岗面试分享

来Track安全社区投稿~  

千元稿费！还有保底奖励~（ https://bbs.zkaq.cn）

所面试的公司：北京微x

薪资待遇：护网安排，7x24

所在城市：北京

面试职位：中级研判岗

面试过程：

流程的话都是正常的护网面试的流程，已经是三年国护老兵了，护网也已经开展了很多年了，无非就是投递简历-〉中介-〉供应商-〉厂商-〉客户-〉入场。

其中你像中级研判岗的话，一般至少得面试两次，初级监控岗位的话，相对来讲要求没有那么高，但是价格方面也不高，今年护网的价格行情也没有以前好了。

这次面试一共面试了三次，其中前两次是中介和厂商面试，第三次是直接去客户那边面试，但是客户这边我做完自我介绍，看完我简历，后面就没有做过多的问题，也就直接面试通过了（建议简历一定要多写点亮点），简历中多突出工作和项目经验，先得你是一个多年国护老兵，因为客户那边大多甲方安全方面不是很了解，所以可以多吹吹。

面试官的问题：

下面的问题是汇总了这三次护网面试的问答，所以可能内容有点窜，希望理解下！

1、师傅你知道我们微x的设备有哪些吗？

主要的话有：威胁感知平台TDP、威胁情报社区X、安全情报网关OneSIG、蜜罐Hfishju、威胁情报平台TIP/API、互联网安全接入服务OneDNS 等

2、你之前护网期间有没有使用过哪个设备？

使用过威胁感知平台TDP 和蜜罐Hfishju 还有就是威胁情报社区X 高级权限账号。

设备的蜜罐做的不错，很清晰可以看到攻击者的画像，威胁感知平台TDP 界面做的也很高级，攻击告警看的都很详细

3、之前参加过几次护网？都是国护吗？

三年国护老兵，护网市、省、国护都参加

红队也打过几次线下

4、护网期间设备监控告警和研判分析手法都会吗？

有的，这些都做过

5、蓝队技战法会吗？有写过这样的报告吗？

会的，写过技战法的报告

6、内网横向有哪些告警类型？

cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解

内网主机对内部其他主机的攻击行为，该主机可能被黑客控制沦为跳板机，企图控制更多的内网其他主机

7、出现受害ip为源的时候是什么情况?

当网络攻击者使用IP欺骗或伪造技术时，可能会发生受害IP为源的情况

8、一个告警的目的ip是114.114.114，端口是53，这样的告警，我应该对他的ip和端口进行封禁吗?

不能封禁，明显是dns服务器转发的地址和端口，需要进一步确认真实受害资产的ip信息

9、告警分析payload大概在什么位置？

通常在请求包中的请求头url，以及在post数据包中可能存在

10、XFF字段原理？哪一个可能是客户端真实地址?

是指HTTP请求头中的一个字段，用来标识客户端的IP地址 最后的IP地址就是客户端的真实IP地址

11、X-Forwarded-For(XFF)是否可信?或多个地址的情况?

不可信，存在伪造的可能，存在多个IP地址的情况

12、如何确认设备告警是真实攻击还是误报攻击？

(1)设备误报

来自外网的误报说明安全设备需要进行策略升级，不需要处置。

如果是来自内网的误报可以和负责人协商一下看能不能解决，

有必要的话添加白名单处理。

(2)sql告警

查看请求报文和响应报文。比如：sql注入，特殊字符，比如and、or和id' 以及sql的查询语句union select。再查看状态码为200，且出现success等字样。

13、设备内网攻击你怎么分析的？

是否有隧道流量、是否有横向攻击流量、是否有内网暴力破解的流量；

记录下内网有恶意行为机器的ip；

把IP丢到威胁检测平台，比如微步、沙箱检测，看看有没有被打上恶意标签；

14、ssrf 怎么getshell？

1、ssrf可以配合weblogic反序列化命令执行漏洞，利用MSF成功getshell

2、通过gopher协议攻击Redis，如果内网中的Redis存在未授权访问漏洞，当Redis服务以root权限运行时，通过写入定时任务可以实现反弹shell

15、xxe漏洞（XML外部实体注入）？

通过system外部实体访问服务器上的文件，从而导致xml恶意注入，造成文件读取、命令执行操作

xxe过滤system、public怎么绕过？

可用双重实体编码绕过

16、fastjson反序列化漏洞特征？

请求字段里有@type字段

17、log4j2 漏洞怎么打？

JNDI 注入， JNDI 接口初始化时，lookup() 方法的参数可控，攻击者利用恶意的 url 值，造成注入攻击。

可以使用rmi服务和LDAP服务，来测试漏洞

建议使用DNSlog来检测

log4j特征： payload为${jndi:ldap://***}格式

18、CS攻击流量特征？

• • 分魔改前后的CS流量特征；
• • 老版本的ua头固定不变，新版本ua头每次都会变化；
• • POST请求为/sumbit.php?id=xxx；
• • 会有心跳包，每隔几分钟传输一个信息；
• • SSL证书流量也有特征；

19、如何进行检测内存马？

1、首先判断是什么方式注入的内存马（PHP、python、java内存马）；

2、查看是否有可疑的web访问日志，比如说filter或者listener类型的内存马，会有大量url请求路径相同，参数不同的，或者页面不存在，但是返回200的请求。

3、查看是否有类似哥斯拉、冰蝎特征的url请求，以及内存马注入流量特征。

4、通过查找返回200的url路径对比web目录下是否真实存在文件，如不存在大概率为内存马。

20、Redis主从复制 RCE，了解吗？

是在主从复制基础上，通过复制恶意文件到本地，

结合模块加载功能将恶意文件成功加载，调用恶意文件接口实现命令，执行rce操作

21、如果有一个告警发现有挖矿木马，怎么在威胁感知上从流量方面来确定是挖矿木马？

需要确认是否有挖矿协议流量，常见的有开头jsonrpc、Stratum之类的协议流量。

Stratum是一种用于矿池与矿工之间通信的开放式协议，用于协调矿池中的多个矿工进行加密货币挖掘Stratum协议流量通常使用TCP端口3333或3334。

22、邮件服务器告警有两种可能，产生原因是什么？

一是邮件服务器负责转发邮件至各个用户，所以钓鱼或病毒邮件接收端首先是邮件服务器ip

二是邮件服务器假设的网站存在漏洞可能被攻陷 （邮件服务器一般放在内网中）

23、利用黄金票据前提条件？

• • 域名称
• • 域的SID值
• • 域的KRBTGT账户的 Hash NTLM值
• • 伪造用户名，可以是任意用户甚至是不存在的用户

24、内网隧道如何进行排查？

1、利用流量分析工具wireshark，对数据包的数量检测，判断是什么类型的隧道

2、查看请求包和响应包的payload进行分析

25、如何利用隧道，进行内网穿透？

1、利用AutoSSH建立SSH隧道，实现内网穿透

第一步：在内网主机上产生ssh公钥和私钥，然后免密码登录 第二步：利用 AutoSSH 实现端口转发 在内网主机，利用 AutoSSH 建立一条 SSH 隧道

2、利用socks5代理 ，利用MSF 工具建立静态路由，实现内网互通

26、正向shell和反向shell区别？

正向Shell：攻击者连接被攻击者机器，可用于攻击者处于内网，被攻击者处于公网的情况

反向Shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况

27、正向代理和反向代理的区别？

正向代理：客户端无法访问外部资源的时候（比如Google），可以通过一个正向代理去间接地访问

反向代理：客户端是感受不到代理的存在，代理服务器接收客户端请求，并将请求转发到内部服务器，最后返回给客户端

面试结果：通过

面试难度：有难度

面试感受：

这次面试一共面试了三次，其中前两次是中介和厂商面试，第三次是直接去客户那边面试，但是客户这边我做完自我介绍，看完我简历，后面就没有做过多的问题，也就直接面试通过了（建议简历一定要多写点亮点），简历中多突出工作和项目经验，先得你是一个多年国护老兵，因为客户那边大多甲方安全方面不是很了解，所以可以多吹吹。

给大家的建议：

这里呢也是跟前篇面试文章想给师傅们分享的差不多，这里就拿前篇文章的感悟给师傅们进行一个总结性的分享吧。开始也是跟师傅们说了，最后面给师傅们分享下面试的一些小技巧，因为最近也是蛮多师傅们问我面试找工作的一些事情，然后也算是给师傅们分享下了。首先，我们再进行投递简历的时候，得海投，多去招聘网站，比如BOSS、牛客网、猎聘等进行投递简历，然后简历呢多学会吹吹牛逼，因为hr会先进行一次简历的筛选（你说你面试都没有面都被淘汰了，是不是很可惜）其次，就是面试笔记，也就是面经的重要性了，包括我认识的好几个师傅人家技术水平虽然说不是那么厉害，但是人家面试不论是护网还是找工作面试官都对他的印象很好的，所以说面试笔记得多看多背最后，就是有些师傅问我面过了好几家公司，拿到了好几家公司的office，怎么选择呢，这里我的建议是得看师傅自己的未来一个规划，然后要是能像国企那样的，比较稳定的那种优先