蓝队护网面试常见问题
这里收集了一些公众号总结的,都是蓝队初级常见的面试题。面试一般必问web基础漏洞,护网经验(包括设备,厂商,做了什么),应急响应。常问内网知识,框架漏洞。
易问护网面试题总结(按问到的频率次数排序)
2023蓝队面试题总结
01-护网基础面试题-Web安全部分
护网面试题,2023某大厂二面
面试真题
1.sql注入的漏洞原理和绕过,防护
2.ssrf和csrf的区别
3.fastjson的原理和具体函数
4.ssrf打redis
5,shiro550和721
6,log4j漏洞,在代码层面是哪个函数出了问题?
7,fastjson未出网利用?
8。数据包研判,coldfusion反序列化:/flex2gateway/amf
9。命令执行
10。sql注入
11,设备上有大量的报警,如何快速筛选。
12。Java内存马的排查思路
13。重保护网经验,代表的厂商
14,用的设备是什么
15,windows事件日志的ID
16,溯源思路,给你一个电话号码
不熟悉的问题:
shiro有key无链怎么利用?
原生shiro是无cc链的,常见的就是打cb链或者Java别的反序列化链,常规shiro利用cc和cb?
反序列化cc1,cc6的区别
CC6这条链跟CC1中的LazyMap链很像,前面几乎都一样的,区别是CC1是AnnotationInvocationHandler.invoke()调用了LazyMap的get方法,而CC6是TiedMapEntry.getValue调用的LazyMap的get方法
票据
黄金票据和白银票据,
首先得知道什么是kerbars认证,他是一种用户认证协议,包括客服端和kdc,kdc里面有as服务器和tgs服务器,as用于用户认证,颁发TGT 的,TGS 用于票据认证,颁发ST的。
然后在AS阶段,我们就可以伪造KRBTGT的密码hash,这样就可以随意伪造用户的TGT,访问服务器里所有的服务。
这就是黄金票据,
白银票据是针对伪造ST的,只针对于服务器的某一项服务。不经过KDC。
提权
权限维持
横向移动
研判的思路?
1.首先对攻击的来源进行判断,是内对内,外对内还是内对外的情况。
2.依据设备的告警信息结合具体情况来分析攻击行为的类型,比如说告警SQL注入攻击,那我们就去查看一下请求数据包里面是否有单引号,SELECT等敏感字符,返回数据包里面是否有SQL语法报错等信息,有的话就可以初步判断该攻击行为是SQL注入攻击。
3.然后就是根据攻击特征来分析攻击行为使用了什么技术或者说工具,比如说攻击的频率,数据包的信息等等。比如说在使用AWVS或者APPSCAN等工具在扫描的时候,很有可能在请求数据包的user-agent里面就有相关的信息。同样结合告警信息和具体情况来判断攻击行为的危害程度,比如说检测到多条攻击成功告警和内对内及内对外攻击告警,这个时候就需要尽快的交给应急组了。
4.结合设备告警信息及具体情况分析攻击意图,比如说攻击者的目标是主站还是旁站,是主机还是域控,不同的攻击意图对于后续的处理也不同。
5.最后根据我们掌握的信息采取相应的处置方式,比如说告警信息是误报,说明设备需要策略优化,不需要处置。告警信息是尝试攻击,暂时对资产没有影响,就需要后续持续关注,攻击成功时能够做到及时上报。如果告警确认不是误报,并且攻击成功时,我们就需要迅速上报及时采取应急响应。
研判,判断告警是真是假。
通过设备的告警信息,流量特征(攻击特征),去查看数据包里面(请求包、请求体、返回包、返回体),是否存在相应的攻击特征,如果不包含攻击载荷,为误报
以攻击IP为索引,去查看(护网开始-现在),是否有其它攻击行为。
查看攻击方向:内对内、内对外、外对内。内对内的话误报率较大,但也要看具体的流量,最好上机排查。
本地复现:不用客户的网络去访问,可以用其他的网络,比如手机热点。
威胁告警分析思路:
1.优先排查告警成功且安全等级高的告警(catoutcome== ”OK” AND threatSeverity ==”High” )
-
优先查询请求响应成功(responsecode==200)的攻击;
-
以源地址(srcaddress”xxxx”)或目的地址(destaddress”xxxx”)作为筛选条件,若短时间内某地址发起大量攻击行为,多为异常安全事件,恶意攻击发生概率较高。
4.查看攻击的详细页面,通过请求内容判断攻击行为,通过返回内容字段进行分析研判是否攻击成功。
5.内网到外网(direction=”01”)的攻击也应着重分析处理,可能是内网主机成为了肉机,在对外发起攻击。
如何判断是钓鱼邮件
以公司某部门的名义,如安全部、综合部,使用正式的语气,内容涉及到账号和密码等敏感信息,可能带有链接地址或附件,制造紧张氛围,比如24小时内今日下班前完整账号密码修改。
看发件人 设备上也会报IP 上微步查一下IP是不是恶意IP 邮件的发件人和内容是不是正常的业务往来
附件放到沙箱里 看看是否有问题
有的邮件会提示你邮件由另一个邮箱代发,或者邮箱地址不是本公司的,再或者邮箱地址是qq或者163等个人邮箱的,那就更没跑了
挖矿木马应急
挖矿病毒的特征,cpu过高;
先找出名字异常的进程,或者占用内存很高的进程,一般都是445端口,使用netstat 命令查看,找出进程的PID 之后再使用Wmic progress命令找出进程所在的目录文件。然后删掉文件,禁用进程。
如果删掉之后还有,就排查看是否有新增用户lusrmgr.msc,开机启动项,计划任务,服务;注册表regredit里面看开机启动项。任务管理器-计划任务。查看日志,事件日志管理器(enventvmr.msc)查看登录情况,一般挖矿会2网络共享,10远程桌面。
1.给你一个登录页面,根据经验如何渗透
2.常见的SQL注入类型
3.有一家企业请你进行hw前的暴露面梳理该如何梳理?
4.报错注入的函数
extractvalue,upddatexml,第二个参数必须满足xpath的格式,如果不满足就会报错。
5.SQLMAP有两个选项:一个是level一个是risk他两有什么区别?
-level是攻击等级,有五个等级,等级越高,估计的范围越大。
risk,风险等级,3个等级,等级越高可能会造成数据库破坏的风险。
6.DELETE语句存在SQL注入的漏洞
delete是没有回显的,所以依然使用的是报错注入
7.有一个MYSQL时间盲注,有没有更快的获得数据的方法,禁止使用工具和脚本?
二分法?
8.如果一台WINDOWS服务器突然大量出现id为4625的安全日志,服务器现在怎么了
9.有一个SSH开在公网上,如何进行加固
更改默认端口,使用ssh密钥连接,设置登录尝试次数,禁止爆破,设置登录IP白名单。
10.你现在已经登录到网站的后台,如何去进行getshelI的方法
11.MYSQL提权有哪些方法
12.SQLSERVER提权有哪些方法
13.单位有一台主机已经失陷了,交给你应该怎么做
14.讲一下具体怎么去应急和排查
15.还有两个月开始hw,你是负责人怎么去准备前期
16.如何防范钓鱼邮件的攻击(去从技术层面):不要意识方面
17.XSS如何去进行攻击
18。nacos如何通过配置文件拿shell,不出网怎么利用
19..do结尾的是什么语言
xxe的利用
别人的面试
