大河之犬的博客

然后跟进这些jsp代码，通过查找相关的sink函数（可能导致安全问题的敏感操作，例如数据库查询、文件读写等），在去定位source（输入数据源）是否可控，如果可控那么就形成一条污染链，在看是否需要绕过sanitizer（用于对输入数据进行清洗和过滤，以保证数据的安全性）2、熟悉项目的架构，了解项目的技术栈，例如常见的框架：ThinkPHP、Laravel，一些常见的CMS找找已知漏洞，WordPress看看一些高危的插件漏洞。但是壳也有自己的特征，主流的壳例如VMP、Themida等，被检测出将直接报毒。

资产及应用发现：通过数据挖掘和调研的方式确定企业资产范围，之后基于IP或域名，采用Web扫描技术、操作系统探测技术、端口探测技术、服务探测技术、Web爬虫技术等各类探测技术，对参演单位信息系统内的主机/服务器、安全设备、网络设备、工控设备、Web应用、中间件、数据库、邮件系统和DNS系统等进行主动发现，并生成资产及应用列表，列表中不仅包括设备类型、域名、IP、端口，更可深入识别运行在资产上的中间件、应用、技术架构的详细情况（类型、版本、服务名称等）Web应用防火墙是以网站或应用系统为核心的安全产品。

通常会以3人为一个战斗小组，1人为组长。组长通常是红队中综合能力最强的，需要具备较强的组织意识、应变能力和丰富的实战经验。而2名组员则往往需要各有所长，具备边界突破、横向拓展、情报搜集或武器研制等某一方面或几方面的专长

qax的面试官会详细和你说你的不足之处，也会说你的优点，团队主要是做打击国外apt组织的不足：对于红队攻击的手法没有其他人掌握的多，建议看看攻防社区，了解一下最前沿的攻击手段优点：代码能力不错，可以来我们团队做代码这一块的研究工作。

本次面试运气不错，问的都是自己接触过的内容，面试官态度很不错，很有礼貌，期待和青藤云的下一次邂逅。

整体回答很流畅，但是要注意用词的准确性，在保证流畅的同时，想好再说。

问的都很简单，中间断网了，不知道会不会影响面试结果。

扫描模块发送一个SYN标志的数据包给目标主机，如果目标主机回应了一个SYN/ACK数据包，就表明该端口是开放的。扫描模块向目标主机发起一个TCP连接请求，如果目标主机回应一个SYN/ACK数据包，表明该端口是开放的，扫描模块会回应一个ACK数据包，以建立连接。如果没有任何响应，表明该端口可能是开放的。例如，通过解析TCP数据包的TCP标志位、TCP选项和窗口大小等信息，可以确定目标系统上的TCP/IP协议的版本信息。：爆破技术是指利用程序自动化的方式，对域名进行大量的猜测和尝试，以获取其下的子域名列表。

如果发生劫持，使用抓包工具（Wireshark）捕获浏览器访问的链路层流量，可发现对浏览器产生的单个请求， 同时会收到两个不同的 TCP 响应报文，因为伪造的第 1 个数据包先到，所以第 2 个正常的 TCP 响应数据包被客户端忽略了。在 Windows 系统中，打开【网络连接】窗口，双击【以太网】选项，在打开的对话框中单击【详细信息】按钮查看详情。DNS 劫持又称域名劫持，是指控制 DNS 查询解析的记录，在劫持的网络中拦截 DNS 请求，分析匹配请求域名，返回虚假 IP 信息或不做任何操作使请求无效。

鱼叉式攻击：指利用木马程序作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马水坑式攻击：分析目标的上网规律，寻找目标经常访问的网站的弱点，攻破该网站，并植入恶意程序，等待目标访问。

大部分问题都忘记了，只记得这些，总体感觉还好，面试心理素质还有待提高。

基于绿盟旧版本（Python）的端口识别插件，设计并实现了Go语言端口识别插件的核心功能，包括目标主机的端口扫描和结果分析使用多线程技术提高插件的扫描速度，通过与channel配合实现了新的并发方式，提高了对协程控制的精细程度，扫描速度提升了300%集成了常见的端口扫描技术，如TCP连接扫描、SYN扫描和UDP扫描，以确保对不同类型的目标主机都具有较高的识别准确性。

PS：因为有JS基础，这里答的还不错DOM是一种用于表示和操作HTML、XML和XHTML等文档结构的编程接口。它将文档解析为一个由节点（节点树）和对象（节点属性和方法）组成的结构，使开发人员可以通过编程方式访问和操作文档的内容、结构和样式访问和修改文档的内容：可以通过DOM API获取和修改文档中的元素、属性、文本等内容。操纵文档的结构：可以通过DOM API添加、删除、移动和修改文档中的节点，从而改变文档的结构。

面试很快，整体流畅度还可以，6分钟就结束了，感觉面试官很着急🪁。

Volatility 是一个开源的内存取证工具，可以分析入侵攻击痕迹，包括网络连接、进程、服务、驱动模块、DLL、handles、进程注入、cmd 历史命令、IE 浏览器历史记录、启动项、用户、shimcache、userassist、部分 rootkit 隐藏文件、cmdliner 等。在获取内存文件后，可以使用 Redline 进行导入分析，其主要收集在主机上运行的有关进程信息、内存中的驱动程序，以及其他数据，如元数据、注册表数据、任务、服务、网络信息和 Internet 历史记录等，最终生成报告。

目录下，有 catalina.out、catalina.YYYY-MM- DD.log、localhost.YYYY-MM-DD.log、localhost_access_log.YYYY-MM-DD.txt、host-manager.YYYY-MM-DD.log、manager.YYYY-MM-DD.log 等几类日志。除了可对 Windows 和 Linux 系统日志进行分析，还可对 Web 日志、中间件日志、数据库日志、FTP 日志等进行分析。在默认情况下，WebLogic 有三种日志，分别是。

这些事件一般可以分为：系统中各种驱动程序在运行中出现的重大问题、操作系统的多种组件在运行中出现的重大问题及应用软件在运行中出现的重大问题等。：Log Parser 是微软公司推出的日志分析工具，其功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory 等。】是从传统的事件日志（如系统日志和应用程序日志）和新 Windows 事件日志技术生成的事件日志中获取事件。】只获取传统的事件日志，而【

攻击者通过获取域控制器的 KRBTGT 账户的 NTLM 哈希值，使用 hashcat 或其他工具破解出该账户的密码，然后使用域控制器的私钥生成一个有效的 TGT，并将该 TGT 写入内存中的 lsass.exe 进程中。：攻击者通过获取服务账户的 SPN，并使用 hashcat 或其他工具破解出该服务账户的密码或哈希值，然后使用该密码或哈希值生成一个有效的 TGS，并将该 TGS 写入内存中的 lsass.exe 进程中。这使得攻击者能够以被攻击用户的身份访问其他服务，并在目标网络中横向移动。

例如我们往系统里面插入一条数据，如果此次操作的数据包被攻击者获取，又恰巧后台没有对重复内容进行验证，那么攻击者就可以利用该数据包重复的发起请求，无限制的往数据库插入数据，即使请求包是加密的也不影响，从而造成资源浪费。$$导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现，使用foreach来遍历数组中的值，然后再将获取到的数组键名作为变量，数组中的键值作为变量的值。变量覆盖即通过外部输入将某个变量的值给覆盖掉，可以让我们修改某些关键变量的值，可能造成越权访问、写入webshell等危害。

③如果通过“Welcome Banner”无法确定应用程序版本，那么nmap会再尝试发送其他的探测包（即从nmap-services-probes中挑选合适的probe），将probe得到回复包与数据库中的签名进行对比。注意需要处理一下cs服务器，需要自定义一个profile文件，这是因为，云函数在与teamserver通信的时候会进行一些编码操作，对应的我们cs服务器需要对其相应的解码操作，因此需要创建一个profile文件(处理一下数据)，cs服务器才能有命令执行成功的回显。

文件包含是指在程序编写过程中，为了减少重复的代码编写操作，将重复的代码采取从外部引入的方式，但如果包含被攻击者所控制，就可以通过包含精心构造的脚本文件来获取控制权，一般分为本地包含和远程包含，文件读取和文件包含类似，区别是文件读取无法被执行，只能查看文件。攻击者修改目标的host头将密码重置链接的域名修改为自己的域名，邮件还是发送到受害者的邮箱,如果受害者没注意的话点击链接，攻击者控制的网站的记录中可以查看到请求记录，然后在拼接成正确的域名即可实现任意用户密码重置。

还有就是这个可能是被访问的这个内网系统，本身业务系统存在业务逻辑问题，因为内网所布置的很多业务系统往往不会考虑一些安全性问题，比如在正常的业务逻辑请求中直接带了sql语句，就会触发设备规则产生告警，这一类是属于误报，然后会将此告警上报给研判人员，需要研判组专家和甲方客户确认下是否是该系统存在此业务逻辑问题，并且需要确认告警的源ip在此告警的时间段附近有没有进行操作过。天眼日志分析主要基于系统和应用程序的日志数据来识别安全威胁，而威胁感知则通过收集和分析多种来源的情报信息。理解威胁的性质和威胁背后的原理。

在TCP/IP栈中，操作系统的版本信息会包含在网络数据包的TCP/IP头部中。：例如，在Windows系统上，响应端口135和139时会返回不同的TCP包，而在Linux系统上，这两个端口的响应会返回相同的TCP包。：在目标主机上查找可访问的文件和目录，如根目录的名称、文件路径分隔符、文件系统支持的文件名长度和字符集等特征，也能提供一定的线索。：在Windows操作系统中，文件系统是大小写不敏感的，而在Unix/Linux操作系统中，文件系统是大小写敏感的。

服务端解密客户端发送的参数，然后按照同样的算法计算出协商密钥，并通过客户端发送的encrypted_handshake_message验证有效性，验证通过，发送该报文，告知客户端，以后可以拿协商的密钥来通信了。当发送方和接收方在一个速率较慢的链路时，如果一开始发送的数据太多，可能导致耗尽路由器的缓存空间，从而引发网络崩溃，所以tcp在进行数据发送时，选择逐步增加分组的数量来避免此类问题。1、https在七层协议里面属于应用层，他基于tcp协议，所以，https握手的过程，一定先经过tcp的三次握手。

5、我们发现一个攻击（如平台登录后的SQL注入）可以通过流量回溯装置抓取那个被登录用户的用户名和密码，登录平台后自己利用发现的payload进行尝试，看是否能注入成功。如果一个数据包非常大，几个G或者一个G，我们就考虑数据包是否进行了重传，然后查看数据包的重传数，打个比方就是刷新，如果短时间重传数非常多，就为机器操作，判定为攻击。SMB，SSH，MSSQL，MySQL等协议比较多，看包的大小，成功登陆的包很大。3、确定数据流，攻击的数据流我们是要看HTTP，TCP，还是ssh。

分析针对重要服务器、数据库、应用系统的访问日志，依据被泄露数据的关键字段、特征、时间、量级等要素，发现异常的数据操作和访问行为。发生数据泄露事件后，首先需要及时了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等。6、监控启动后，在监控概览页面可查看监控结果，包含监控到的泄露总数、已经处置的数量，以及查询引擎的状态等。分析重要服务器、终端、应用系统等的流量数据，发现可能窃取数据的攻击行为、异常访问与操作行为、病毒木马等。提取在排查范围内的服务器、终端、应用系统等的告警日志。

根据网页被篡改的内容及影响程度，有针对性地进行处置，如果影响程度不大，篡改内容不多，那么可先将相关网页进行下线处理，其他网页正常运行，然后对篡改内容进行删除恢复；如果篡改网页带来的影响较大，被篡改的内容较多，那么建议先对整个网站进行下线处理，同时挂出网站维护的公告。通过流量监控系统，筛选出问题时间线内所有该主机的访问记录，提取 IP 地址，在系统日志、Web 日志和数据库日志中查找该 IP 地址的所有操作。多数的网页篡改是利用漏洞上传Webshell 文件获取权限的，因此也可以使用 D 盾工具进行扫描。

Spring MVC 的拦截器（Interceptor）与 Java Servlet 的过滤器（Filter）类似，它主要用于拦截用户的请求并做相应的处理，通常应用在权限验证、记录请求信息的日志、判断用户是否登录等功能上。copagent 使用 javaagent 技术获得了全部的类，判断其包名、实现类名、接口名、注解来提取关键类，并根据类是否在磁盘上有资源链接对象、类中是否包含恶意行为关键字来判断其是否为内存马。使用时先访问恶意的jsp动态注册Servlet，之后访问对应路径的Servlet命令执行。

4、基于域名whois信息，大部分的域名whois的信息乱填的，还有少部分钓鱼网站域名whois信息和被钓正规网站相似。1、先将受害主机进行断网关机处理，如果有主机安全管理设备，先对所有主机资产进行病毒查杀。2、通过查看邮件原文，查看发件人的IP地址，在威胁情报系统上进行查询，扩大信息收集面。检查是否是伪造的相似域名或者和访问服务完全不相关的域名。5、网站备案识别，查看备案信息是否与正常网站信息一致。例如，如果你收到一封电子邮件，要求你登录到 “3、不完美的钓鱼文案，有错别字或语法错误。

在初步预判遭遇勒索病毒攻击后，需要了解被加密文件的修改时间及勒索信建立时间，以此推断攻击者执行勒索程序的时间轴，以便后续依据此时间进行溯源分析，追踪攻击者的活动路径。一些提示信息中会包含勒索病毒的标识，由此可直接判断本次感染的是哪一类勒索病毒，再通过勒索病毒处置工具查看是否能够解密。确认勒索病毒事件后，需要及时对勒索病毒进行清理并进行相应的数据恢复工作，同时对服务器/主机进行安全加固，避免二次感染。此外，文档卫士还集合了“文件解密”功能，安全专家可对一些勒索病毒家族进行逆向分析，实现多种类型的文件解密。

或者将当前网站目录文件与此前备份文件进行比对，查看是否存在新增的不一致内容，确定是否包含 Webshell 相关信息，并确定 Webshell 位置及创建时间。通过在网站目录中发现的 Webshell 文件的创建时间，判断攻击者实施攻击的时间范围，以便后续依据此时间进行溯源分析、追踪攻击者的活动路径。通过日志中发现的问题，针对攻击者活动路径，可排查网站中存在的漏洞， 并进行分析（主要分析什么漏洞导致的webshell攻击）对已发现的漏洞进行漏洞复现，从而还原攻击者的活动路径。

大部分挖矿进程为了使程序驻留，会在当前服务器/主机中写入定时任务，若只清除挖矿木马，定时任务会直接执行挖矿脚本或再次从服务器下载挖矿进程。在发现挖矿现象后，在不影响业务的前提下应及时隔离当前服务器/主机，如禁用非业务使用端口、服务，配置 ACL 白名单，非重要业务系统建议先下线隔离，再做排查。所以在查看进程时，无论是看似正常的进程名还是不规则的进程名， 只要是 CPU 占用率较高的进程都要逐一排查。还有的挖矿进程为确保系统重启后挖矿进程还能重新启动，会在系统中添加启动项。在用户 home 目录的。

将排查过程中整理出的 IP 地址进行梳理、归类，方便日后溯源。由于在 DDoS 攻击中，攻击者多使用僵尸网络，因此为溯源带来很大难度。建议在遭受 DDoS 攻击时及时报案，并保留相关日志、攻击记录等。对可记录流量信息的设备进行排查，确定攻击时间，以便后续依据此时间进行溯源分析，并对攻击者行为、攻击方法进行记录。确认在 DDoS 攻击中受到影响的服务和带宽信息，以便后续排查并采取相应措施缓解。1、了解 DDoS 事件发生的时间。2、了解 DDoS 攻击的影响范围。

有些恶意程序释放子体（即恶意程序运行时投放出的文件）一般会在程序中写好投放的路径，由于不同系统版本的路径有所差别，但是临时文件的路径相对统一，因此在程序中写好的路径一般是临时目录。对于 Windows 系统中的进程排查，主要是找到恶意进程的 PID、程序路径， 有时还需要找到 PPID（PID 的父进程）及程序加载的 DLL。】命令，可移除 i 属性，进而删除文件。打开【运行】对话框，输入【services.msc】命令，可打开【服务】窗口，查看所有的服务项，包括服务的名称、描述、状态等。

应急响应之系统排查方法