网络安全面试题目
基础问题
1.拿到webshell不出网情况下怎么办?
reg上传去正向连接。探测出网协议,如dns,icmp。
2.3389端口无法连接的几种情况?
1.3389关闭状态,2.端口修改,3.防火墙连接,4.处于 内网环境,5.超过了服务器最大连接数,6.管理员设置 权限,指定用户登录。
3.对于不能直接上传而且只能通过命令行执行的shell,应该怎么办?
- 使用bitsadmin 进行下载
- 使用powershell 进行下载
- 使用certutil 进行下载
- 使用WGET 进行下载
- 参考文章https://blog.csdn.net/weixin_42918771/article/details/110394116
4.shiro不出网怎么利用?
- 定位Web目录写入文件
- 构造回显
- 内存马
- 时间延迟获取Web路径写入webshell
5.横向渗透命令执行手段 ?
- psexec,wmic,smbexec,winrm,net use 共享+计划任务+type命令。
6.psexec和wmic或者其他的区别?
- psexec会记录大量日志,wmic不会记录下日志。wmic更为隐蔽
7.内网抓取密码的话会怎么抓?
- procdump+mimikatz 转储然后用mimikatz离线读取
8.操作系统什么版本之后抓不到密码?抓不到怎么办?
- windows server 2012之后
- 方法:
- 翻阅文件查找运维等等是否记录密码。
- 或者hash传递。
- 或者获取浏览器的账号密码等等。
9.桌面有管理员会话,想要做会话劫持怎么做?
- 提权到system权限,然后去通过工具,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。
10.内网渗透思路?
- 代理穿透
- 权限维持
- 内网信息收集
- 口令爆破
- 凭据窃取
- 社工横行和纵向渗透
- 拿下域控
11.当前机器上有一个密码本,但加密了,应该怎么办?
12.Windows权限维持?Linux权限维持?
- 参考文章
- windows: https://xz.aliyun.com/t/8095
- linux: https://xz.aliyun.com/t/7338
13.代理转发常用的工具有哪些?
14.目标机器ping不通外网,没有办法走网络层协议,如何搭建隧道?
- 搭建基于webshell的内网隧道:Neo-reGeorg、pystinger
15.正向Shell和反向Shell的区别是什么?
- 正向shell:攻击者连接被攻击机器,可用于攻击者处于内网,被攻击者处于公网的情况。
- 反向shell:被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者处于内网的情况。
16.向代理和反向代理的区别?
- 正向代理:当客户端无法访问外部资源的时候(例如goolge,youtube),可以通过一个正向代理去间接的访问。
- 打个比方:A向C借钱,由于一些情况不能直接向C借钱,于是A想了一个办法,他让B去向C借钱,这样B就代替A向C借钱,A就得到了C的钱,C并不知道A的存在,B就充当了A的代理人的角色。
- 反向代理:客户端时无感知代理的存在,以代理服务器来接收internet上的连接,然后将请求转发给内部网络上的服务器,并从服务器上得到的结果返回给internet上请求连接的客户端。
- 再次打个比方:A向B借钱,B没有拿自己的钱,而是悄悄地向C借钱,拿到钱之后再交给A,A以为是B的钱,他并不知道C的存在。
在内网渗透中,正反向代理可以这样回答
正向代理:已控服务器监听端口,通过这个端口形成一个正向的隧道,由代理机器代替主机去访问内网目标。但是内网入口一般处于DMZ区域有防火墙拦截,无法直接进入内网环境。
反向代理:由内网主机主动交出权限到代理机器,然后本地去连接形成反向代理。例如:VPS监听本地端口,已控内网服务器来连接此端口,形成一个隧道。如果内网设备连接外网,就无法回弹只能再想其他办法。
17.windows和Linux查看开放端口和运行服务的命令?
- windows:查看端口使用情况【netstat -ano】,查看运行的服务【 net start】
- Linux:查看本机开放端口【netstat -tuln】,查看当前所有运行的服务【service --status-all | grep running】
18.windows中下载文件的命令有哪些?
- certutil,bitsadmin,powershell,copy
- 参考文章:winodws下载执行命令大全:https://xz.aliyun.com/t/1654
19.windows提权的方法及思路?
- 系统内核溢出提权;
- 数据库提权;
- 错误的系统配置提权;
- DLL劫持提权;
- 特权第三方软件or服务提权;
- 令牌窃取提权;
- web中间件漏洞提权;
- AT,SC,PS提权等等;
20.Linux提权的思路及方法有哪些?
- 系统内核溢出提权;
- SUID和GUID提权;
- 不安全的环境变量提权;
- 定时任务提权;
- 数据库提权等
21.反弹 shell 的常用命令?一般常反弹哪一种 shell?为什么?
- nc -lvvp 7777 -e /bin/bash
- bash是交互式,否则像useradd无法执行交互
22.CMD命令行如何查询远程终端开放端口
- tasklist /svc
- netstat -ano
23.Dcom怎么操作?
- 通过powershell执行一些命令,命令语句比较复杂,不记得了
24.桌面有管理员会话,想要做会话劫持怎么做?
- 提权到system权限,然后去通过工具,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。
25.pth,ptt,ptk区别?
- 参考文章:https://blog.csdn.net/Waffle666/article/details/120268915
内网免杀相关问题
1.shellcode免杀了解吗?有哪些方法?
- 参考文章:https://xz.aliyun.com/t/7170
内网域问题
1.域内攻击方法有了解过吗?
- MS14-068、Roasting攻击离线爆破密码、委派攻击,非约束性委派、基于资源的约束委派、ntlm relay。
2.获取域控的方法有哪些?
- SYSVOL
- MS14-068 Kerberos
- SPN扫描
- 黄金票据和白银票据
- 域服务账号破解
- 凭证窃取
- NTLM relay
- kerberos委派
- zerologon漏洞
- 地址解析协议
- CVE-2021-42278和CVE-2021-42287
3.黄金票据和白银票据说一下?
- 参考文章:https://www.jianshu.com/p/4936da524040
4.域信息收集思路?
- 判断是否存在域
- 定位域控
- 域基本信息查询(所有域、域信任信息、域密码策略)
- 域内用户查询(定位域管)
- 域内主机查询
- BloodHound工具
5.如何快速定位域控,介绍三种方式?
- 使用命令行工具
- nslookup -type=srv _ldap._tcp.dc._msdcs.domain.com
- nltest /dclist:domain.com
- 使用Active Directory Sites and Services
- 使用PowerShell脚本
- 通过Get-ADDomainController命令获取域控制器信息:Get-ADDomainController -Discover -Service PrimaryDC
应急响应与蓝队问题
1.windows或linux被植入后门文件,讲一下你的排查流程?
- 检查系统日志,检查系统用户,查看是否有异常的系统用户,检查异常进程,检查隐藏进程,检查异常系统文件,检查系统文件完整性,检查网络,检查系统计划任务,检查系统后门,检查系统服务。
2.木马驻留的方式有哪些(去哪些敏感位置排查木马)?
3.你知道哪些常用的威胁情报平台?
- 微步情报社区:https://x.threatbook.cn/
- 奇安信情报中心:https://ti.qianxin.com/
- 绿盟情报中心:https://nti.nsfocus.com/apt/home
- 此外360绿盟情报中心,VT,安恒等等
4.设备误报如何处理(日志)?
5.如何查看区分是扫描流量和手动流量?
- 扫描流量:流量集中,具有数据包内容具有一定规律型,数据包请求间隔低或频率基本一致。
- 手工流量:反之扫描流量回答即可
6.内网告警应该如何处理,流程是怎么样的?
- 具体定位到哪台机器,报警说明知道具体漏洞类型,打相应补丁。利用webshell或者是shell查杀工具查杀,查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看,是非有经过其他的机器。拿到攻击ip之后到线上的一些网站查看主机类型,比如360或者微步上,查看是否是傀儡机,vps跳板,或者是国内个人云主机。如果是个人云主机,就可以通过whois查看是非有最近绑定的域名,或者绑定者的邮箱。知道邮箱之后就可以反查询出qq号说多少,再利用社工查询到手机号,到一个知名的网站或知名软件上查询这个手机号有没有注册过什么网站,可以去这些网站通过撞库的方法登入,这样就可以拿到这个攻击者的身份证,学校,地址这些了
7.应急响应的简单流程?
- 收集信息:由安全设备收集主机,样本信息,以及一些客户信息。
- 判断类型:是否是安全事件?具体为什么安全事件?挖矿?DOS?等。
- 深入分析:从系统角度深入分析,日志,进程,启动项这些去分析。
- 清理处置:杀掉异常进程,删除异常文件,打补丁或者修复相关文件等。
- 产出报告:对此次安全事件进行一个完整的文档描述。
8.防火墙怎样判断这是一个反序列化漏洞?
- 抓包,反序列化的数据包有固定格式的字符串:O:length:“value”:属性数:{属性类型:属性length:属性value;属性类型:属性length:属性value;}。
9.应急响应如何查找挖矿病毒,如何通过进程找到挖矿文件?
(1) 任务管理器netstat -anp寻找异常进程PID看端口信息,然后根据端口信息定位到文件,cd /proc/PID (ls -l查看),禁用可疑的服务项。
(2) windows还可以用wmic分析进程参数。
10.如何查看被入侵后敲过的命令?
11.假设发现web应用服务器发现文件异常增多,初步怀疑被上传webshel,描述流量分析溯源的思路?
- 查看eval、z0、shell、whoami等关键字,查看出现次数过多的时候,可能需要查看是哪个页面发起的请求,有可能是webshell。
- 通过WireShark 工具快速搜索关键字,定位到异常流量包。
- 找出异常IP和所上传的内容,查看是否为webshell。
12.Webshell流量交互的流量特征?
- Webshell是用来控制服务器的,在控制服务器的过程中,就会触发许多系统,函数,例如eval、z0(菜刀特征)、shell.需监控这些关键的函数,具体需要查看是哪个网页发起的请求进行鉴别。
- Webshell连接可能使用base64编码,正常功能也会使用base64容易引起误报,一般与eval数量对比,数量差异较小时可能被上传webshell进行编码通讯。
- 除了系统函数、base64编码通讯外,还存在int_set(“display_errors",0").为Webshell流量特征之一。
- 还可以监控ifconfig whoami ipconfig等关键命令,这是获得Webshell后基本,上都会执行的命令。
13.SQL查询异常流量分析的思路?
- 数据库短时间内查询增多有可能遭遇到了【扫描】或者【sql注入测试】,可以结合流量分析工具进行研判。
- 【select】 和【union】为数据库查询语句特征,当这两者数量出现次数较多而且差异较小可能存在SOL注入漏洞或正在被扫描器扫描,可监控这两个关键字,但还需要进一步查看具体请求参数。如:1)使用wireshark打开抓取后的流量包,2)对于抓取到的数据包筛选出HTTP协议包,在统计处筛选出短时间内流量较大的IP。
- 尝试定位一些基本的注入特征(select、union、()、/*、sleep等)。
14.批量检查http服务?
- 方法一:直接使用nmapsV.py工具即可,用法为python3 nmapsV.py ip.txtresult.txt。
- 方法二:使用nmap工具扫描,带上-sV参数进行版本识别即可,将待检测的IP地址/地址段添加进ip.txt文件中。使用命令nmap -sV -il ip.txt-oA OUTPUT --no-stylesheet,扫出来的结果导出nmap文件,使用nampReport工具得出结果。
15.你使用什么工具来判断系统是否存在后门?
16.sftp,telnet,ssh的端口号?ssh与telnet的区别?
- sftp:22,telnet:23,ssh:22。
- 简单来说,ssh和telnet的区别就是一个是密文传输,一个是明文传输。
17.对蜜罐有什么了解?
- 蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,没有业务用途。
- 蜜罐的流量预示着扫描或攻击行为,较好聚焦攻击流量。
18.有没有了解或者使用过厂商的安全设备?(有的话请举例说明)
- 而目前比较知名的态势感知厂商主要有:服云、安恒、瀚思、360、深信服、新华三,绿盟,奇安信等等。
- 演示视频:新华三A02演示视频:https://v.youku.com/v_show/id_XMzk4NTc4NDM4MA==.html
- 其他的自己找找,或者根据个人情况回答。