首页 > 其他分享 >近期一次护网蓝队面试记录分享

近期一次护网蓝队面试记录分享

时间:2024-05-27 10:22:43浏览次数:20  
标签:webshell 文件 请求 漏洞 蓝队 面试 攻击者 日志 护网

近期一次护网蓝队面试记录分享

前言

以下为近期的一次蓝队面试记录,答案为本人回答仅作参考,错误之处,多多包涵

面试过程及回答

自我介绍

如实回答学校经历,是否参与项目,尽量简短把你参与的项目和成功说出来就行

使用过哪些设备,出现误报怎么办(在校生未使用,网上搜的,背诵就行)

天眼,EDR,全流量警告,态势感知,APT,蜜罐设备

先去查看设备的完整流量日志等信息确认是否为误报,误报就是规则处理,上报处置,提供规则优化建议

怎么判断攻击是否真实,是否攻击成功

分析请求包、响应包,分析攻击特征,payload和告警不匹配,多数为误报,也可以查看攻击方向,如果是内对内,多半就是误报,也要具体去分析流量,看响应包内容,请求包如果有执行whoami命令,响应包有root那肯定执行成功了,如果有大批量告警,可以看有没有特殊的响应包判断,重点关注200的数据包,实在无法判断是否攻击成功,自己去复现一下

webshell流量特征

首先通过一些高危的函数判断是否为webshell,会有频繁的HTTP请求,异常的请求方法,base64编码的数据
菜刀:使用HTTP协议通信,请求的payload为base64编码,UA中存在百度或者火狐,大多为POST请求,请求的地址为webshell地址,请求体中有固定字符QGluaV9zZXQo
蚁剑:很多代码源于菜刀,流量也会比较相似,使用AES算法进行加密,使用的UA是固定的,请求中比较明显的特征为@ini_set("display_errors","0"),加密后的参数多数是0x=这种形式
冰蝎:老版本的话会有个密钥协商过程,这个过程是明文传输的,响应包就会有16位的密钥,新版本各种语言的webshell中都会存在16位数的连接密码,默认变量为K,像Content-type、Accept为固定的

webshell检测思路

通过匹配特征码,特征值,危险函数来查找webshell ,webshell如果传到服务器了,在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据,Linux下就是nobody用户起了bash,Windows下就是IIS User启动 cmd,这些都是动态特征。再者如果黑客反向连接的话,那很更容易检测了,Agent 和IDS都可以抓现行,Webshell总有一个 HTTP 请求,如果我在网络层监控 HTTP,并且检测到有人访问了一个从没访问过的文件,而且返回了 200,则很容易定位到webshell。使用webshell一般不会在系统日志中留下记录,但是会在网站的 web日志中留下webshell页面的访问数据和数据提交记录

应急响应流程

收集信息:收集告警信息、客户反馈信息、设备主机信息等
判断类型:判断攻击的类型,是ddos还是被挂马了还是被控制了
控制范围:隔离目标网络不让危害扩大
寻找原因:还原攻击者的攻击链,溯源攻击者的整个过程
修复防御:直接封掉攻击者ip,对于产生的原因进行对应防御
恢复业务:将业务恢复正常
写报告:总结整个过程,反思不足之处,优化应急方案

溯源有哪些思路

通过分析设备的告警、钓鱼邮件、木马病毒找到攻击者IP,先去一些威胁情报平台搜索相关信息,判断攻击者为代理服务器还是跳板机还是国内的云服务器,查一查相关注册信息,对攻击者进行反向渗透,针对攻击者去搭建蜜罐,如果是云服务器,可以寻找到相关厂商,联系客服说自己忘记密码了,看看能不能获取到云服务器购买者信息,对于获取到的信息可以通过各种社工库搜一搜,各大搜索引擎去搜索看看能不能获取到更多信息,也可以直接把服务器厂商打下来,肯定就可以知道购买者的信息了,如果把跳板机拿下就可以去查看桌面的敏感信息,登录日志,历史执行命令这样一步一步去获取更多的信息。

怎么防范邮件钓鱼

定期组织员工安全讲座,提供员工的安全意识,企业内邮件系统使用可信赖的邮件服务,员工企业邮箱不得使用弱口令等,如果被感染了也要让大家清楚该做什么,例如直接拔网线等操作

针对dnslog的反制

对于常见的dnslog平台,直接屏蔽,如果是自己搭建的dnslog平台,批量的去ping,恶意制造各种垃圾dnslog数据,让他无法获取到有效的信息,具体可以写一个脚本进行批量探测存活,httplog也一样,使用爬虫批量进行request请求

网络基线加固思路

先看防护软件有没有升级,先升级最新版本,进行全盘扫毒,查看高危端口,高危服务,查看主机有没有被爆过漏洞的软件
windows:重命名administrator账户、禁用GUEST账户、清理系统无效账户、配置密码策略账户锁定策略 Linux:删除无用账号、检查特殊账号、添加口令策略、禁止root直接登录、设置隐藏文件属性、关闭不必要服务、更改ssh端口号防爆破

怎么修改TTL值

windows下是修改Default注册表文件,linux是修改etc/sysctl.conf文件

网页被挂马了,可能有哪些原因

服务器已经被拿下了、通过漏洞修改了前端文件、存储型XSS、可能被上传了木马病毒

怎么排查java内存马

直接利用内存马检测工具去找,github也有很多检测脚本,手工的话可以分析web日志,filter或者listener类型的内存马,会有大量路径相同参数不同的url请求,或者页面不存在但是返回200的请求,分析web.xml文件,内存马的Filter是动态注册的,web.xml是没有配置的,也有可能是中间件漏洞通过代码执行加载内存马,这就可以去排查中间件的错误日志,像哥斯拉和冰蝎的内存马也会有跟webshell相似的特征,分析特殊的classloader加载,攻击者喜欢利用TemplatesImpl和bcel加载内存马,因为内存马是驻留在内存里的,本地无class文件,通过检测Filter对应的ClassLoader目录下是否存在class文件来判断,也可以把内存中所有的Filter的class dump出来,使用工具分析是否存在恶意代码

win登录日志怎么看,判断是否登录成功

事件查看器里面有windows日志文件,在下面安全性就可以看到很多日志,登录成功的话就会有对应的事件id,登录失败就会有不同的事件id

反弹shell的原理是什么

利用TCP协议传了一个bash环境

Linux有哪些提权思路

常用的就内核提权、sudo滥用提权、suid提权、一些高权限运行的应用服务提权,例如mysql、python、vi、定时任务提权、etc/passwd滥用提权

说一下Linux利用passwd提权

这个需要对passwd有写入权限,正常root用户的uid为0,如果自己写进去一个用户把它的uid改为0的话,用这个用户登录,系统就会切到root用户了

Linux后门排查哪些东西

查看用户信息相关的文件,看看有没有多余的账户、特权账户、隐藏账户、可以远程登录的账户、sudo权限的账户,检查一下网络连接、异常进程,检查定时任务、开机启动、服务、端口、可疑的文件,检查系统日志

Linux怎么查看程序调用了哪些文件

lsof -c 指定的程序,查看多个程序的话直接在后面加就可以

SQL注入特征,误报原因,怎么处理告警

肯定会有sql语句,一些关键字select、where、order、union、update、delete,还有一些常见的函数if、user、sleep、substr、ascii等,误报的话就是正常的流量被识别成攻击流量了,可能用户误输入了一些特殊字符触发了告警
根据数据包回显内容,响应时间判断是否攻击成功,如果只是一直在进行扫描,封掉ip然后上报

文件上传怎么绕过

因为是黑盒测试,你不知道它的检测规则是怎么样的,看看对哪方面做了检测,有可能只是前端检测,再针对的去绕过,一般的话我先根据后端语言去跑一遍后缀名字典,然后去尝试各种方法,例如变换大小写,插入各种特殊字符像%00、单引号、换行符,去构造一些畸形的数据包

SSRF用哪些协议、函数,怎么绕过,修复

file、dict、ldap、gopher,可以利用curl函数、file_get_contents()函数、fsockopen()
绕过:使用短网址、进制转换、302跳转、DNS重绑
修复:禁止不需要的协议、设置URL白名单、统一返回信息、限制请求的端口

xss可以使用哪些标签

这个太多了,常用的就

<script><a<iframe<EMBED<svg<body <object<form<img

Mssql xp_cmdshell被禁用了怎么办

先看看能不能手动启用,不能的话看看有没有其他的扩展存储可以利用,有的可以执行系统命令,记得有的可以直接操作注册表,也可以利用CLR技术,类似于mysql中的UDF吧,可以直接使用16进制代码来创建自定义函数

XXE中PCDATA和CDATA有什么区别

PCDATA就是被解析的字符数据,会被解析,CDATA属于不会被解析器解析的文本

了解哪些中间件漏洞

IIS有解析漏洞,PUT任意文件写入漏洞,短文件漏洞,Apache也有解析漏洞,然后目录遍历遇到的比较多,Tomcat的话war后门部署、远程代码执行,jBoss和WebLogic的话就反序列化漏洞,weblogic还有ssrf漏洞,任意文件上传

struts2有哪些漏洞,有什么特征

文件上传、命令执行、ognl表达式注入
比较明显的就是访问的目录为.action或者.do,content-Type的值是默认的,返回的页面也可能会有struts2等字样,ognl表达式注入就会使用ognl语法,请求参数会有${},%{}字符

jboss反序列化漏洞特征,判断是否攻击成功

攻击者请求了JBOSS漏洞页面,请求体中有相关llections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征,包含了命令执行语句,如果返回了500,页面报错内容有命令执行的结果那肯定就是攻击成功了

log4j有什么特征,怎么判断是否攻击成功

payload为${jndi:ldap://***}格式,如果攻击成功,目标主机会加载攻击者指定的恶意类,查看有没有相关流量,如果有源ip与dnslog或者ldap服务的外联日志记录那大概率是攻击成功了

CS攻击流量特征

UA头里面可能会有相关特征,http请求中可能包含与C2服务器通信的命令,会有心跳包,每隔几分钟传输一个信息,请求的地址是一个Jquery js文件,不同指令的心跳包也都有相关的特征,SSL证书流量也有特征,不同的becon特征也不一样

fastjson不出网且无回显怎么办

BCEL的打法进行命令执行,无回显的话尝试将执行命令结果去写入到js文件或者一些静态文件里面,然后从web去访问

psexec和wmic区别

psexec会有大量的日志,wmic就不会

PTT有哪些攻击方法

MS14-068、金票、银票

详细讲一下金票以及需要的信息

AS认证中返回的TGT是由krbtgt用户的密码Hash加密的,有krbtgt的密码hash就可以自己制作任意的TGT
需要域名、域SID、要模拟的用户名、krbtgt的hash

读hash读取不到怎么办

用工具把lsass进程dump下来,然后本地去读,或者转储sam文件,AD数据库的话可以用dcsync的方式转出来

dcsync的利用条件

需要配置两个ACL的权限就可以了

详细讲一下ACL

ACL就是访问权限,windows下不同的用户组有默认的ACL配置,你也可以单独添加权限,这样就算普通用户也可以给他添加向域管组添加用户的权限

其他

其他的问了我一些漏洞的具体挖掘过程,问了一下我在护网中遇到过哪些问题,无论技术上还是沟通上,是怎么解决的。上面很多问题回答的都比较笼统,具体师傅们可以去深入研究下

标签:webshell,文件,请求,漏洞,蓝队,面试,攻击者,日志,护网
From: https://www.cnblogs.com/guangen/p/18214983

相关文章

  • 面试官:Redis 用的多?那你说说他的内存使用和优化吧
    Redis的内存使用和优化一、reids内存分析二、redis内存使用1、对象内存2、缓冲内存三、redis子进程内存消耗1、关于linux系统的写时复制机制:2、关于linux的透明大页机制THP(TransparentHugePage):3、关于linux配置:四、redis内存管理1、内存上限:maxmemory2、内存回......
  • 研二学妹面试字节,竟倒在了ThreadLocal上,这是不要应届生还是不要女生啊?
    一、写在开头  今天和一个之前研二的学妹聊天,聊及她上周面试字节的情况,着实感受到了Java后端现在找工作的压力啊,记得在18,19年的时候,研究生计算机专业的学生,背背八股文找个Java开发工作毫无问题,但现在即便你是应届生,问的考题也非常的深入和细节了,只会背八股,没有一定的代码量和......
  • Spring Cloud 面试题(五)
    1.Eureka的自我保护模式是什么?Eureka的自我保护模式是一种应对网络异常的安全保护措施,旨在防止因网络分区或其他异常情况导致服务实例被错误地注销。当EurekaServer在短时间内丢失过多的客户端心跳时,会触发自我保护机制。以下是自我保护模式的几个关键点[40][41][46]:触......
  • Spring Cloud 面试题(六)
    1.Nginx与Ribbon的区别Nginx与Ribbon都是负载均衡器,但它们在设计定位、工作方式以及使用场景上存在一些区别:定位与角色:Nginx是一个通用的反向代理服务器,主要作为服务端的负载均衡器和反向代理,位于客户端和后端服务器之间。它通常以独立的服务器程序运行,可以作为独立的......
  • Spring Cloud 面试题(四)
    1.什么是微服务架构?微服务架构是一种软件开发架构风格,它将应用程序作为一组小的服务构建,每个服务运行在其独立的进程中,并通常围绕业务功能进行组织。这些服务可以通过定义良好的轻量级机制(通常是HTTPRESTfulAPI)进行通信。每个服务是自包含的,意味着它拥有自己的业务逻辑......
  • Spring Cloud 面试题(三)
    1.什么是SpringCloudGateway?SpringCloudGateway是SpringCloud的一个项目,旨在为微服务架构提供一种简单而有效的API网关解决方案。它是基于SpringFramework5和SpringBoot2.x构建的,并且设计为一个路由层,用于将请求路由到正确的服务实例。SpringCloudGateway的......
  • 彻底火了!《AIGC 面试宝典》圈粉无数!
    2022年下半年以来,文本生成图像快速出圈,多款应用持续火爆。国外文生图代表:Midjourney、StableDiffusion、OpenAI的DALL-E:海外模型SD开源,进一步促进了国内大厂的研究热情和应用落地:随着多模态技术迭代,图像生成、视频生成、3D生成、音频生成等AIGC应用加速落地,相关岗......
  • 蓝队护网面试题
    蓝队护网面试常见问题这里收集了一些公众号总结的,都是蓝队初级常见的面试题。面试一般必问web基础漏洞,护网经验(包括设备,厂商,做了什么),应急响应。常问内网知识,框架漏洞。易问护网面试题总结(按问到的频率次数排序)2023蓝队面试题总结01-护网基础面试题-Web安全部分护网面试题,2023......
  • 百亿级流量红包系统,如何做架构?(字节面试真题)
    文章很长,且持续更新,建议收藏起来,慢慢读!疯狂创客圈总目录博客园版为您奉上珍贵的学习资源:免费赠送:《尼恩Java面试宝典》持续更新+史上最全+面试必备2000页+面试必备+大厂必备+涨薪必备免费赠送:《尼恩技术圣经+高并发系列PDF》,帮你实现技术自由,完成职业升级,薪......
  • Python面试宝典:Python中与数据库连接和操作相关的面试笔试题(1000加面试笔试题助你轻松
    Python面试宝典:1000加python面试题助你轻松捕获大厂Offer【第二部分:Python高级特性:第十五章:数据库编程:第一节:数据库连接和操作】第十五章:数据库编程第一节:数据库连接和操作数据库API规范:DB-API使用SQLite数据库使用MySQL数据库使用ORM工具注意事项python中和......