当前位置：首页 > news >正文

某蓝队面试经验

news 2025/6/10 11:54:29

背景

据小道消息说今年的国护疑似提前到了五月份，所以最近也是HW面试的一个高峰期啊，这里分享一下上次长亭的蓝队面试问题（附本人的回答，仅供参考）

面试问答

1、谈谈作为蓝队护网过程使用过厂商的设备

这里我回答的有WAF、IPS、态感、日志审计和数据库审计等，建议去了解一些各大厂商的设备，比如蜜罐、态势感知、WAF等，有流量感知类型的的设备使用经验更好。

2、如何查看系统内存shell

先判断是通过什么方法注入的内存马，可以先查看web日志是否有可疑的web访问日志，如果是filter或者listener类型就会有大量url请求路径相同参数不同的，或者页面不存在但是返回200的，查看是否有类似哥斯拉、冰蝎相同的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。通过查找返回200的url路径对比web目录下是否真实存在文件，如不存在大概率为内存马。如在web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。

3、Linux的登录日志查看文件

linux日志文件说明

/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一/var/log/secure 与安全相关的日志信息/var/log/maillog 与邮件相关的日志信息/var/log/cron 与定时任务相关的日志信息/var/log/spooler 与UUCP和news设备相关的日志信息/var/log/boot.log 守护进程启动和停止相关的日志消息/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

4、获得文件读取漏洞，通常会读哪些文件，Linux和windows都谈谈

敏感信息

Windows：

C:\boot.ini //查看系统版本C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件C:\Windows\repair\sam //存储系统初次安装的密码C:\Program Files\mysql\my.ini //Mysql配置C:\Program Files\mysql\data\mysql\user.MYD //Mysql rootC:\Windows\php.ini //php配置信息C:\Windows\my.ini //Mysql配置信息

Linux：

/root/.ssh/authorized_keys //如需登录到远程主机，需要到.ssh目录下，新建authorized_keys文件，并将id_rsa.pub内容复制进去/root/.ssh/id_rsa //ssh私钥,ssh公钥是id_rsa.pub/root/.ssh/id_ras.keystore //记录每个访问计算机用户的公钥/root/.ssh/known_hosts//ssh会把每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告， 避免你受到DNS Hijack之类的攻击。/etc/passwd // 账户信息/etc/shadow // 账户密码文件/etc/my.cnf //mysql 配置文件/etc/httpd/conf/httpd.conf // Apache配置文件/root/.bash_history //用户历史命令记录文件/root/.mysql_history //mysql历史命令记录文件/proc/self/fd/fd[0-9]*(文件标识符)/proc/mounts //记录系统挂载设备/porc/config.gz //内核配置文件/var/lib/mlocate/mlocate.db //全文件路径/porc/self/cmdline //当前进程的cmdline参数

5、设备出现了误报如何处置（日志）

答：要确认设备是否误报，应当先去查看设备的完整流量日志等信息。在护网过程中如果确实存在异常流量应当及时进行上报，确认是误报后做好事件记录

6、被拿shell了如何处理

答：PDCERF模型

Prepare（准备）：准备用来检测的工具和人

Detection（检测）：紧急事件监测：包括防火墙、系统、web服务器、IDS/WAF/SIEM中的日志，不正常或者是执行了越权操作的用户和管理员的报告

Containment（抑制）：首先先控制受害范围，不要让攻击的影响继续蔓延到其他的IT资产和业务环境，切记不要直接一股脑的投入全部精力到封堵后门。紧接着要做的是去寻找根源原因，彻底解决，封堵攻击源，把业务恢复到正常水平

Eradication（根除）

Recover（恢复）

Follow-Up（跟踪）：根据各种监控去确定没有其他的攻击行为和攻击向量，紧接着就是开会反省此次事件，写报告，持续改进工作流程和工作缓解

简答排查、清除、看看可有即使修复的可能，不得已就关站

7、如何分析被代理出来的数据流

这题我没答上来，后面跟面试官聊了一下他说是看各个隧道之间的流量特征之类的。

8、如何查看区分是扫描流量和手动流量

答：扫描的数据量大，请求流量有规律可寻，手动流量请求少间隔略长

微信公众号

扫一扫关注CatalyzeSec公众号

我们一起来从零开始学习网络安全

加入我们的星球，我们能提供：

Fofa永久高级会员

常态化更新最新的漏洞POC/EXP

常态化更新未公开、半公开漏洞POC

常态化更新优质外网打点、内网渗透工具

常态化更新安全资讯

开放交流环境，解决成员问题

https://t.zsxq.com/18Fq7QNgv

某蓝队面试经验

背景据小道消息说今年的国护疑似提前到了五月份，所以最近也是HW面试的一个高峰期啊，这里分享一下上次长亭的蓝队面试问题（附本人的回答，仅供参考） 面试问答 1、谈谈作为蓝队护网过程使用过厂商的设备这里我回答的…...

编程日记 2024/3/25 22:30:46

【Linux】 centos7安装卸载SQL server（2017、2019）

一、安装配置准备一个基础Linux配置： 内存为20GB 运行内存为2GB的系统（数据库小于2GB安装不了） 1、网络配置我们需要进行网络的连接进入 cd /ect/sysconfig/network-script/ 编辑文件ifcfg-ens33 vi ifcfg-ens33 Insert键进行编辑把ONBOO…...

编程日记 2024/3/25 22:29:44

面试算法-110-课程表

题目你这个学期必须选修 numCourses 门课程，记为 0 到 numCourses - 1 。在选修某些课程之前需要一些先修课程。先修课程按数组 prerequisites 给出，其中 prerequisites[i] [ai, bi] ，表示如果要学习课程 ai 则必须先学习课程 bi 。 …...

编程日记 2024/3/25 22:28:43

注册前后端php的检测

首先，在HTML表单中添加一个用于输入密码的文本框，并在其后面添加一个用于显示密码格式要求提示的元素，例如一个 <span> 标签。 <input type"password" id"passwordInput"> <span id"passwordHint…...

编程日记 2024/3/25 22:26:41

Redis：什么是redis？①

一、思想 Redis是一个开源的高性能基于内存key-value数据库，常用作数据库、缓存或消息代理二、数据类型 String List...

编程日记 2024/3/25 22:23:37

【课程】MyBatisPlus视频教程

MyBatis-Plus是一款非常强大的MyBatis增强工具包,只做增强不做改变. 在不用编写任何SQL语句的情况下即可以极其方便的实现单一、批量、分页等操作。本套教程基于MyBatis-Plus新2.3版本,详细讲授：集成Mybatis-Plus、通用CRUD、EntityWrapper条件构造器、ActiveRec…...

编程日记 2024/3/25 22:21:34

如何使用人工智能和ChatGPT来优化营销转化率

人工智能 （AI） 和营销的交集正在彻底改变企业与客户互动的方式，最终改变营销转化率。人工智能能够分析大量数据、理解模式和自动执行任务，它不仅是一项创新技术，而且是营销领域的根本性转变。这种转变允许更加个性化、…...

编程日记 2024/3/25 22:20:33

Ubuntu 22.04上构建libvirt源码错误解决

当在Ubuntu 22.04上构建libvirt源码时，可能会遇到一些错误。下面是一些常见错误及其解决方法： 1. 错误：Program xmllint’未找到或不可执行解决方法：安装libxml2-utils sudo apt-get install libxml2-utils2. 错误&#xff1a…...

编程日记 2024/3/25 22:17:31

游戏客户端面经

1，3D的模型怎么显示到2DUI上面 2，C#的ArryList和List的区别 3，接口和抽象类的区别，一般什么时候用接口 4，UGUI怎么渲染的UI，UGUI的层级管理（怎么不打断合批），合批流程…...

编程日记 2024/3/25 22:11:24

AS,idea,maven,gradle

Jdk,sdk。提前都是需要下好的。 Maven与gradle的思考： 用AS开发app时，gradle本就有，自己也可以指定，AGP同样。要注意gradle，AGP,jdk版本的事情。还有依赖库。用idea开发网络程序时，也有内置的maven&…...

编程日记 2024/3/25 22:10:22

ElasTool v3.0 程序：材料弹性和机械性能的高效计算和可视化工具包

分享一个材料弹性和机械性能的高效计算和可视化工具包： ElasTool v3.0。感谢论文的原作者！ 主要内容 “弹性和机械性能的高效计算和可视化对于材料的选择和新材料的设计至关重要。该工具包标志着材料弹性和机械性能计算分析和可视化方面的重大进步…...

编程日记 2024/3/25 22:07:19

Redis入门级详解(一）

一、Redis入门介绍 1、什么是Redis? Redis，英文全称是Remote Dictionary Server（远程字典服务），是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库，并提供多种语言的API。…...

编程日记 2024/3/25 22:04:16

java算法题每日多道六

138. 随机链表的复制题目给你一个长度为 n 的链表，每个节点包含一个额外增加的随机指针 random ，该指针可以指向链表中的任何节点或空节点。构造这个链表的深拷贝。深拷贝应该正好由 n 个全新节点组成，其中每个新节点的值都设为其对…...

编程日记 2024/3/25 22:02:13

C# 特性（Attribute）

C# 特性（Attribute） 文章目录 C# 特性（Attribute）Obsolete语法示例代码创建自定义特性（Attribute） Obsolete 这个预定义特性标记了不应被使用的程序实体。它可以让您通知编译器丢弃某个特定的目标元素。例…...

编程日记 2024/3/25 22:00:11

Redis 教程系列之Redis 配置(三)

Redis 配置 Redis 的配置文件位于 Redis 安装目录下，文件名为 redis.conf(Windows 名为 redis.windows.conf)。你可以通过 CONFIG 命令查看或设置配置项。语法 Redis CONFIG 命令格式如下： redis 127.0.0.1:6379> CONFIG GET CONFIG_SETTING_NAME 实例 redis 127.0…...

编程日记 2024/3/25 21:57:07

Java实验03

Code1 package q3;public class Method01{public static void main(String[] args) {class Student{String name;String StuID;public Student(String name,String StuID){this.namename;this.StuIDStuID;}public void speak(String name, String stuID) {//输出学号与姓名Sys…...

编程日记 2024/3/25 21:56:06

背景