社交网站开发教程,小程序建站工具,介绍北京的网站html,上海网站建设 中华企业录背景
据小道消息说今年的国护疑似提前到了五月份#xff0c;所以最近也是HW面试的一个高峰期啊#xff0c;这里分享一下上次长亭的蓝队面试问题#xff08;附本人的回答#xff0c;仅供参考#xff09;
面试问答
1、谈谈作为蓝队护网过程使用过厂商的设备
这里我回答的…背景
据小道消息说今年的国护疑似提前到了五月份所以最近也是HW面试的一个高峰期啊这里分享一下上次长亭的蓝队面试问题附本人的回答仅供参考
面试问答
1、谈谈作为蓝队护网过程使用过厂商的设备
这里我回答的有WAF、IPS、态感、日志审计和数据库审计等建议去了解一些各大厂商的设备比如蜜罐、态势感知、WAF等有流量感知类型的的设备使用经验更好。
2、如何查看系统内存shell
先判断是通过什么方法注入的内存马可以先查看web日志是否有可疑的web访问日志如果是filter或者listener类型就会有大量url请求路径相同参数不同的或者页面不存在但是返回200的查看是否有类似哥斯拉、冰蝎相同的url请求哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。通过查找返回200的url路径对比web目录下是否真实存在文件如不存在大概率为内存马。如在web日志中并未发现异常可以排查是否为中间件漏洞导致代码执行注入内存马排查中间件的error.log日志查看是否有可疑的报错根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell排查框架漏洞反序列化漏洞。
3、Linux的登录日志查看文件
linux日志文件说明
/var/log/message 系统启动后的信息和错误日志是Red Hat Linux中最常用的日志之一/var/log/secure 与安全相关的日志信息/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与UUCP和news设备相关的日志信息/var/log/boot.log 守护进程启动和停止相关的日志消息/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件
4、获得文件读取漏洞通常会读哪些文件Linux和windows都谈谈
敏感信息
Windows
C:\boot.ini //查看系统版本C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件C:\Windows\repair\sam //存储系统初次安装的密码C:\Program Files\mysql\my.ini //Mysql配置C:\Program Files\mysql\data\mysql\user.MYD //Mysql rootC:\Windows\php.ini //php配置信息C:\Windows\my.ini //Mysql配置信息
Linux
/root/.ssh/authorized_keys //如需登录到远程主机需要到.ssh目录下新建authorized_keys文件并将id_rsa.pub内容复制进去/root/.ssh/id_rsa //ssh私钥,ssh公钥是id_rsa.pub/root/.ssh/id_ras.keystore //记录每个访问计算机用户的公钥/root/.ssh/known_hosts//ssh会把每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时OpenSSH会核对公钥。如果公钥不同OpenSSH会发出警告 避免你受到DNS Hijack之类的攻击。/etc/passwd // 账户信息/etc/shadow // 账户密码文件/etc/my.cnf //mysql 配置文件/etc/httpd/conf/httpd.conf // Apache配置文件/root/.bash_history //用户历史命令记录文件/root/.mysql_history //mysql历史命令记录文件/proc/self/fd/fd[0-9]*(文件标识符)/proc/mounts //记录系统挂载设备/porc/config.gz //内核配置文件/var/lib/mlocate/mlocate.db //全文件路径/porc/self/cmdline //当前进程的cmdline参数
5、设备出现了误报如何处置日志
答要确认设备是否误报应当先去查看设备的完整流量日志等信息。在护网过程中如果确实存在异常流量应当及时进行上报确认是误报后做好事件记录
6、被拿shell了如何处理
答PDCERF模型
Prepare准备准备用来检测的工具和人
Detection检测紧急事件监测包括防火墙、系统、web服务器、IDS/WAF/SIEM中的日志不正常或者是执行了越权操作的用户和管理员的报告
Containment抑制首先先控制受害范围不要让攻击的影响继续蔓延到其他的IT资产和业务环境切记不要直接一股脑的投入全部精力到封堵后门。紧接着要做的是去寻找根源原因彻底解决封堵攻击源把业务恢复到正常水平
Eradication根除
Recover恢复
Follow-Up跟踪根据各种监控去确定没有其他的攻击行为和攻击向量紧接着就是开会反省此次事件写报告持续改进工作流程和工作缓解
简答排查、清除、看看可有即使修复的可能不得已就关站
7、如何分析被代理出来的数据流
这题我没答上来后面跟面试官聊了一下他说是看各个隧道之间的流量特征之类的。
8、如何查看区分是扫描流量和手动流量
答扫描的数据量大请求流量有规律可寻手动流量请求少间隔略长
微信公众号
扫一扫关注CatalyzeSec公众号
我们一起来从零开始学习网络安全 加入我们的星球我们能提供
Fofa永久高级会员
常态化更新最新的漏洞POC/EXP
常态化更新未公开、半公开漏洞POC
常态化更新优质外网打点、内网渗透工具
常态化更新安全资讯
开放交流环境解决成员问题
https://t.zsxq.com/18Fq7QNgv
