近期一次护网蓝队面试记录分享

您所在的位置:网站首页 爆破真实事件有哪些 近期一次护网蓝队面试记录分享

近期一次护网蓝队面试记录分享

2024-07-16 15:14:10| 来源: 网络整理| 查看: 265

前言

以下为近期的一次蓝队面试记录,答案为本人回答仅作参考,错误之处,多多包涵

面试过程及回答自我介绍

这里就如实回答的工作经历,参与的项目,尽量简短的把你参与的项目和成果说出来就行

使用过哪些设备,出现误报怎么办

天眼、EDR、全流量告警、态势感知、APT、蜜罐设备先去查看设备的完整流量日志等信息确认是否为误报,误报那就是规则问题,上报处置,提供规则优化建议

怎么判断攻击是否真实,是否攻击成功

分析请求包、响应包,分析攻击特征,payload和告警不匹配,多数为误报,也可以查看攻击方向,如果是内对内,多半就是误报,也要具体去分析流量,看响应包内容,请求包如果有执行whoami命令,响应包有root那肯定执行成功了,如果有大批量告警,可以看有没有特殊的响应包判断,重点关注200的数据包,实在无法判断是否攻击成功,自己去复现一下

webshell流量特征

首先通过一些高危的函数判断是否为webshell,会有频繁的HTTP请求,异常的请求方法,base64编码的数据菜刀:使用HTTP协议通信,请求的payload为base64编码,UA中存在百度或者火狐,大多为POST请求,请求的地址为webshell地址,请求体中有固定字符QGluaV9zZXQo蚁剑:很多代码源于菜刀,流量也会比较相似,使用AES算法进行加密,使用的UA是固定的,请求中比较明显的特征为@ini_set("display_errors","0"),加密后的参数多数是0x=这种形式冰蝎:老版本的话会有个密钥协商过程,这个过程是明文传输的,响应包就会有16位的密钥,新版本各种语言的webshell中都会存在16位数的连接密码,默认变量为K,像Content-type、Accept为固定的

webshell检测思路

通过匹配特征码,特征值,危险函数来查找webshell ,webshell如果传到服务器了,在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据,Linux下就是nobody用户起了bash,Windows下就是IIS User启动 cmd,这些都是动态特征。再者如果黑客反向连接的话,那很更容易检测了,Agent 和IDS都可以抓现行,Webshell总有一个 HTTP 请求,如果我在网络层监控 HTTP,并且检测到有人访问了一个从没访问过的文件,而且返回了 200,则很容易定位到webshell。使用webshell一般不会在系统日志中留下记录,但是会在网站的 web日志中留下webshell页面的访问数据和数据提交记录

应急响应流程

收集信息:收集告警信息、客户反馈信息、设备主机信息等判断类型:判断攻击的类型,是ddos还是被挂马了还是被控制了控制范围:隔离目标网络不让危害扩大寻找原因:还原攻击者的攻击链,溯源攻击者的整个过程修复防御:直接封掉攻击者ip,对于产生的原因进行对应防御恢复业务:将业务恢复正常写报告:总结整个过程,反思不足之处,优化应急方案

溯源有哪些思路

通过分析设备的告警、钓鱼邮件、木马病毒找到攻击者IP,先去一些威胁情报平台搜索相关信息,判断攻击者为代理服务器还是跳板机还是国内的云服务器,查一查相关注册信息,对攻击者进行反向渗透,针对攻击者去搭建蜜罐,如果是云服务器,可以寻找到相关厂商,联系客服说自己忘记密码了,看看能不能获取到云服务器购买者信息,对于获取到的信息可以通过各种社工库搜一搜,各大搜索引擎去搜索看看能不能获取到更多信息,也可以直接把服务器厂商打下来,肯定就可以知道购买者的信息了,如果把跳板机拿下就可以去查看桌面的敏感信息,登录日志,历史执行命令这样一步一步去获取更多的信息。

怎么防范邮件钓鱼

定期组织员工安全讲座,提供员工的安全意识,企业内邮件系统使用可信赖的邮件服务,员工企业邮箱不得使用弱口令等,如果被感染了也要让大家清楚该做什么,例如直接拔网线等操作

针对dnslog的反制

对于常见的dnslog平台,直接屏蔽,如果是自己搭建的dnslog平台,批量的去ping,恶意制造各种垃圾dnslog数据,让他无法获取到有效的信息,具体可以写一个脚本进行批量探测存活,httplog也一样,使用爬虫批量进行request请求

网络基线加固思路

先看防护软件有没有升级,先升级最新版本,进行全盘扫毒,查看高危端口,高危服务,查看主机有没有被爆过漏洞的软件windows:重命名administrator账户、禁用GUEST账户、清理系统无效账户、配置密码策略账户锁定策略 Linux:删除无用账号、检查特殊账号、添加口令策略、禁止root直接登录、设置隐藏文件属性、关闭不必要服务、更改ssh端口号防爆破

怎么修改TTL值

windows下是修改Default注册表文件,linux是修改etc/sysctl.conf文件

网页被挂马了,可能有哪些原因

服务器已经被拿下了、通过漏洞修改了前端文件、存储型XSS、可能被上传了木马病毒

怎么排查java内存马

直接利用内存马检测工具去找,github也有很多检测脚本,手工的话可以分析web日志,filter或者listener类型的内存马,会有大量路径相同参数不同的url请求,或者页面不存在但是返回200的请求,分析web.xml文件,内存马的Filter是动态注册的,web.xml是没有配置的,也有可能是中间件漏洞通过代码执行加载内存马,这就可以去排查中间件的错误日志,像哥斯拉和冰蝎的内存马也会有跟webshell相似的特征,分析特殊的classloader加载,攻击者喜欢利用TemplatesImpl和bcel加载内存马,因为内存马是驻留在内存里的,本地无class文件,通过检测Filter对应的ClassLoader目录下是否存在class文件来判断,也可以把内存中所有的Filter的class dump出来,使用工具分析是否存在恶意代码

win登录日志怎么看,判断是否登录成功

事件查看器里面有windows日志文件,在下面安全性就可以看到很多日志,登录成功的话就会有对应的事件id,登录失败就会有不同的事件id

反弹shell的原理是什么

利用TCP协议传了一个bash环境

Linux有哪些提权思路

常用的就内核提权、sudo滥用提权、suid提权、一些高权限运行的应用服务提权,例如mysql、python、vi、定时任务提权、etc/passwd滥用提权

说一下Linux利用passwd提权

这个需要对passwd有写入权限,正常root用户的uid为0,如果自己写进去一个用户把它的uid改为0的话,用这个用户登录,系统就会切到root用户了

Linux后门排查哪些东西

查看用户信息相关的文件,看看有没有多余的账户、特权账户、隐藏账户、可以远程登录的账户、sudo权限的账户,检查一下网络连接、异常进程,检查定时任务、开机启动、服务、端口、可疑的文件,检查系统日志

Linux怎么查看程序调用了哪些文件

lsof -c 指定的程序,查看多个程序的话直接在后面加就可以

SQL注入特征,误报原因,怎么处理告警

肯定会有sql语句,一些关键字select、where、order、union、update、delete,还有一些常见的函数if、user、sleep、substr、ascii等,误报的话就是正常的流量被识别成攻击流量了,可能用户误输入了一些特殊字符触发了告警根据数据包回显内容,响应时间判断是否攻击成功,如果只是一直在进行扫描,封掉ip然后上报

文件上传怎么绕过

因为是黑盒测试,你不知道它的检测规则是怎么样的,看看对哪方面做了检测,有可能只是前端检测,再针对的去绕过,一般的话我先根据后端语言去跑一遍后缀名字典,然后去尝试各种方法,例如变换大小写,插入各种特殊字符像%00、单引号、换行符,去构造一些畸形的数据包

SSRF用哪些协议、函数,怎么绕过,修复

file、dict、ldap、gopher,可以利用curl函数、file_get_contents()函数、fsockopen()绕过:使用短网址、进制转换、302跳转、DNS重绑修复:禁止不需要的协议、设置URL白名单、统一返回信息、限制请求的端口

xss可以使用哪些标签

这个太多了,常用的就



【本文地址】

公司简介

联系我们

今日新闻


点击排行

实验室常用的仪器、试剂和
说到实验室常用到的东西,主要就分为仪器、试剂和耗
不用再找了,全球10大实验
01、赛默飞世尔科技(热电)Thermo Fisher Scientif
三代水柜的量产巅峰T-72坦
作者:寞寒最近,西边闹腾挺大,本来小寞以为忙完这
通风柜跟实验室通风系统有
说到通风柜跟实验室通风,不少人都纠结二者到底是不
集消毒杀菌、烘干收纳为一
厨房是家里细菌较多的地方,潮湿的环境、没有完全密
实验室设备之全钢实验台如
全钢实验台是实验室家具中较为重要的家具之一,很多

推荐新闻


图片新闻

实验室药品柜的特性有哪些
实验室药品柜是实验室家具的重要组成部分之一,主要
小学科学实验中有哪些教学
计算机 计算器 一般 打孔器 打气筒 仪器车 显微镜
实验室各种仪器原理动图讲
1.紫外分光光谱UV分析原理:吸收紫外光能量,引起分
高中化学常见仪器及实验装
1、可加热仪器:2、计量仪器:(1)仪器A的名称:量
微生物操作主要设备和器具
今天盘点一下微生物操作主要设备和器具,别嫌我啰嗦
浅谈通风柜使用基本常识
 众所周知,通风柜功能中最主要的就是排气功能。在

专题文章

    CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭