2024hw蓝队面试题合集

前言

师傅们最近有没有被hw/工作面试问麻木的？以下均为近期整理部分的蓝队面试问题以及答案，有些问题也比较偏红队，市场太卷了呀，答案仅作参考，错误之处请师傅们多多包涵，大家可关注交流学习下~

面试题及答案

使用过哪些设备，出现误报怎么办？

****我使用过的设备包括各种防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)********、安全信息和事件管理(SIEM)系统等。在遇到误报时，我通常会首先确认这是一个真正的误报，而不是对系统的实际威胁。确认后，我会分析误报产生的原因，这可以包括查看规则配置、检查硬件和软件是否存在漏洞等。然后依据我所调查分析的结果，调整设备设置或是规则以避免在未来再发生同样的误报。在这个过程中，我们还需要在一段时间内继续监视该设备，确认新的设置和规则是否有效。

安全设备会出现误报的原因有哪些？

规则配置不当、威胁情报不准确、设备漏洞或缺陷、用户正常活动、软件或服务更新等

安全设备出现误报后，如何辨别真实威胁并采取有效措施？

当安全设备产生误报时，首先，我们需要进行威胁验证，这包括分析报警的详细信息、审计日志、流量数据等，以确认是否真的存在威胁。如果经过初步验证，确定这是一个误报，那么我们可以根据设备产生误报的原因调整设备或规则配置，优化设备的威胁识别能力，减少误报。如果在验证过程中，证实这是一个真实的威胁，那么我们需要及时响应，阻止威胁的进一步发展。这可能包括隔离受影响的系统、修复漏洞、更改账户凭证等措施，以确保网络环境的安全。对于持续出现的误报，我们还需要进行更深入的调查和分析。可能需要重新考虑我们的威胁模型，或者寻求新的解决方案来改进误报问题。在这个过程中，可能需要与设备供应商或其他专业团队进行合作来解决这个问题。

如何在hw中分析webshell流量特征

****1.Webshell通常会通过HTTP POST请求上传到服务器上，如果检测到未知的、大量的或者异常的POST请求，这可能是Webshell的一个信号。****2.Webshell会频繁执行一些敏感的操作，如cmd.exe、/etc/passwd等敏感命令或者文件下载/上传，这是为了获取更多的系统权限和数据。****3.Webshell可能会使用一些罕见或者非标准的HTTP头，或者使用相同的或者非常罕见的用户代理（User-Agent），以此尝试绕过安全设备的检测。****4.Webshell可能会返回一些非标准的状态码，如HTTP 500，这可能表明服务器上的Webshell在尝试执行某些操作时遇到了问题。5.Webshell通常会在非正常工作时间进行访问或者操作，或者源IP地址经常变动，这是由于黑客一般会选择在用户访问量少的时候进行操作以降低被发现的风险。

请讲一下应急响应流程

应急响应是组织在遭受安全事件时采取的一系列重要步骤以最小化损失、恢复服务并防止未来类似事件的发生。通常，应急响应流程包括以下五个主要阶段：

**1.**预备阶段：这是响应流程中的预防步骤，需要组织建立并维护一个适当的安全基础设施，包括防火墙、入侵检测系统等。此外，还需要对所有关键信息进行备份，并确保其可以在需要时进行快速恢复；对重要系统进行定期的安全审计和风险评估；并对员工进行有关安全政策和应急响应流程的培训。**2.**识别阶段：当潜在的安全事件开始出现迹象时，在这个阶段，组织需要迅速识别并确认是否确实发生了安全事件。这可能包括日志分析、异常流量检测、告警系统监控等。**3.**含制阶段：一旦确认了安全事件的发生，立即采取行动阻止其扩大，包括隔离受影响的系统、关闭非必要服务、更改或禁用受影响账号的权限等。**4.**恢复阶段：在安全事件已经得到有效控制后，组织需要将受影响的系统和服务尽快恢复到正常状态。这可能包括修复系统漏洞、恢复数据和服务、重置密码、解除隔离等。5.后期审计和反思阶段：在事件处理结束后，组织需要对此次应急响应进行整理和总结，包括编写详细的事件报告，记录发生的事件详情、采取的响应行动、恢复步骤等；反思此次事件响应过程中是否存在问题和改进之处，定期回顾并改进应急响应流程和策略。

溯源有哪些思路

**1.**日志分析：日志是溯源的重要信息源，包括操作系统日志、应用日志、网络设备日志（如防火墙、入侵检测系统、Web代理日志等），通过这些日志，我们可以了解攻击者的行动轨迹，找出攻击发起的时间和地点以及ip。**2.**分析网络流量：通过抓包工具，我们可以捕获和分析网络中的数据包，从中找到攻击的痕迹，例如攻击的IP地址、使用的端口、使用的协议和工具等。**3.**查看攻击工具和恶意代码：攻击者会使用各种工具和恶意代码，我们可以通过反编译或者静态分析恶意代码，找出攻击者藏在代码中的信息，比如控制服务器的IP地址、攻击者的邮箱或者其他一些标识。**4.**引入威胁情报：威胁情报能提供各种攻击活动的信息，包括攻击手段、漏洞利用、恶意软件、网络诈骗等各方面，我们可以参考这些信息，发现攻击者的模式和特征，帮助我们确定攻击的来源。**5.**社交工程：有的时候，攻击者会在社交媒体或者论坛上分享他们的经验或者炫耀他们的攻击行为，通过这些信息，我们也可能找到一些溯源的线索。6.搭建蜜罐：获取攻击者的服务器的ip或拿下服务器，可以寻找到相关厂商，联系客服说自己忘记密码了，看看能不能获取到云服务器购买者信息，对于获取到的信息可以通过各种社工库搜一搜，各大搜索引擎去搜索看看能不能获取到更多信息，如果是拿下了服务器或者跳板机，可查看泄露的敏感信息和历史执行的命令去一步一步获取更多的信息。

怎么防范邮件钓鱼

**1.**打开邮箱精髓邮件过滤功能：大部分的邮件服务商都会提供垃圾邮件和钓鱼邮件的过滤功能，这可以帮我们自动屏蔽很多的钓鱼邮件。**2.**验证发件人身份：查看发件人的邮箱地址，如果是我们熟悉的邮箱地址那可能是安全的。但如果邮箱地址看起来很奇怪（例如使用不常见的邮箱服务商或者使用了很多无意义的字符）或者与发件人的名字不符，那么就可能是钓鱼邮件。**3.**小心邮件中的链接和附件：不要轻易点击邮件中的链接，我们可以把鼠标悬停在链接上，看看链接是否与链接文本显示的地址一致。对于邮件中的附件，如果我们没有预期收到附件或者附件类型看起来奇怪，那么就不要打开。**4.**注意邮件的语言和语气：钓鱼邮件通常会使用一些语气强烈的词汇来吸引我们的注意力，比如“紧急！”、“立即操作！”等。如果我们收到这样的邮件，应该保持冷静，不要轻易被这些语言所影响。**5.**使用两步验证：如果可能的话，我们可以为我们的重要账户（如银行账户、电子邮件账户等）开启两步验证。这样即使我们的密码被钓鱼邮件获取，攻击者也无法进入我们的账户。6.定期教育和提醒：对于企业来说，定期进行安全教育和提醒也是非常重要的。计算机用户应该被教育如何识别和处理钓鱼邮件，并且应该被提醒要定期修改密码，保持操作系统和防病毒软件的更新。

针对dnslog的反制有哪些

**1.**网络隔离：阻止系统与DNSLog服务器之间的通信，这可以防止任何基于DNS的攻击。**2.**更新防火墙规则：可以更新防火墙规则来阻止到DNSLog的流量，使得攻击者无法利用DNSLog平台探测系统。**3.**采用DNS服务提供商的保护：许多DNS服务提供商都提供了一些防护措施，如对查询进行限制，禁止执行某些可能被利用的类型的查询等。4.查询审查：如果可能，审查什么样的DNS请求是被允许的，限制对外部DNS服务器的查询，尤其是未知的DNS服务器，从而防止信息泄露。

网络基线加固思路

**1.**最小权限原则：应用最少权限原则，只对需要的服务和程序提供必要的权限。例如，应避免使用root或管理员账户进行日常操作。同样，服务和应用程序也只应有执行其功能所需要的最小权限。**2.**开启必要的服务和进程：应关闭不必要的服务和进程。每个运行在系统上的服务和进程都可能成为抵挡外部攻击的一个点，所以只开启必要的服务和进程可以降低风险。**3.**防火墙配置：应使用防火墙来限制网络访问，只允许必要的网络连接，并拒绝其它所有连接。尽可能只开放必要的端口。**4.**打补丁和更新：应保持系统、应用程序、网络设备等的补丁和更新为最新。这可以确保已知的安全漏洞得到修复。**5.**强密码政策：应实施强密码政策来保护所有账户。可以要求密码的复杂度、长度和更改周期等。**6.**日志审核和监控：应启用系统和网络设备的日志功能，并定期查看和分析日志，以发现任何异常或可疑的活动。7.网络隔离和分层：通过网络隔离和分层可以有效地防止安全事件的横向扩散，比如使用DMZ，VLAN等网络分层技术。

网页被挂马了，可能有哪些原因

**1.**服务端安全漏洞：如果服务器端的软件（如Web服务器软件、数据库）存在安全漏洞，攻击方可能会利用这些漏洞来控制服务器，进而在网页上挂马。**2.**网页自身存在漏洞：如果网页代码中存在漏洞，如XSS(跨站脚本)，攻击方也能利用这些漏洞在网页上挂马。**3.**FTP口令被窃取：如果FTP账户的口令被攻击方获取，攻击方就能登录FTP服务器，进而在网页上挂马。**4.**开发者的电脑被感染：如果开发者的电脑被木马病毒等恶意软件感染，可能会导致编写的网页代码包含恶意代码，从而导致网页被挂马。**5.**第三方插件或库的安全性问题：如果网页中使用了第三方的插件或者库，而这些插件或库存在安全问题，或者从未经过验证的源中获取，也可能导致网页被挂马。6.未及时安装安全补丁：对于已知的安全漏洞，通常厂商会提供安全补丁。如果未及时安装这些补丁，给攻击方留下了攻击的机会，也可能导致网页被挂马。

如何排查java内存马，请说一下你的思路

**1.**收集基本信息：首先，我们需要收集运行环境的基本信息，包括操作系统的类型和版本、Java的版本和安装位置等。这些信息可以帮助我们理解应用程序运行的上下文。**2.**Java堆内存分析：我们可以使用Java内置的诊断工具，例如jmap，导出Java堆内存的快照，然后利用工具（如MAT、JProfiler、VisualVM等）来分析这个内存快照，找出异常的对象和类。**3.**分析Java的类加载器：内存马通常会通过创建新的类加载器来加载恶意的类。我们可以通过分析Java的类加载器来找出这些隐藏的恶意类。**4.**Java线程分析：我们可以使用Java的线程堆栈分析工具，例如jstack，来观察应用程序的运行状态。如果有恶意线程正在运行，我们可以通过分析线程堆栈来了解其运行情况。**5.**查看Java的系统属性和环境变量：内存马有可能会修改Java的系统属性或者环境变量以达到其目的。我们可以查看Java的系统属性和环境变量，看是否有异常。6.分析网络行为：我们还可以使用网络监控工具来分析应用程序的网络行为。如果应用程序有异常的网络连接，比如连接到未知的远程服务器，那就可能是内存马的迹象。

windows登录日志怎么看，判断是否登录成功

****在Windows操作系统中，可以通过日志查看器来看登录日志，具体步骤如下：****1.首先打开事件查看器：可以在"开始"菜单中搜索"事件查看器"或"Event Viewer"，或者按 Win + R，然后输入"eventvwr"，然后按回车键。****2.在左侧导航树里，依次展开"Windows 日志"->“安全”。****3.在右侧的详细列表中，会看到操作系统的安全事件。其中，登录和注销事件对应的事件ID如下：

•登录成功：事件ID 4624•登录失败：事件ID 4625•用户注销：事件ID 4634

****可以直接在事件查看器的右上方找到"找到"或"Filter Current Log"的选项，然后在"所有事件ID"或"All Event IDs"中输入相应的事件ID，就可以找到相关的登录或注销事件。单击一个事件，查看其详细信息。里面包含了多个重要的信息，如：

•事件生成的时间。•登录类型：交互式 (2)，网络 (3)，批处理 (4) ，服务 (5)，解锁 (7)等。•登录的用户名和域。•来源IP地址等。

反弹shell的原理是什么？有哪些类型的反弹shell

•原理基本如下：

**1.**创建监听：攻击者在自己的机器上设置监听一特定端口。这是为了接收目标主机反弹回来的Shell。**2.**目标执行命令：攻击者通过各种手段使得目标主机执行一个反弹Shell的命令。这个命令通常是让目标主机启动一个Shell并且将此Shell的stdin、stdout和stderr重定向到一个网络连接，这个网络连接就是连接向攻击者事先监听的端口。**3.**建立连接：一旦目标主机执行了这样的命令，就会向攻击者的监听端口发起连接请求，从而建立起一个网络连接。4.交互操作：此时，攻击者就可以通过网络连接，对目标主机进行命令执行，从而达到控制目标主机的目的。

而具体的反弹Shell命令和手段有很多不同的变种，例如可以使用netcat（nc）、bash、python、php、perl甚至PowerShell等进行反弹Shell操作。

Linux有哪些提权思路

常用的有以下几种：

**1.**SUID提权：在Linux中，如果一个可执行文件的SUID被设置，那么该文件将以拥有者的权限运行，而不是以执行者的权限运行。因此，如果用户找到了一个SUID为root的文件并成功地使其执行了恶意代码，那么该用户将会获得root权限。**2.**利用系统漏洞：这是最常见的攻击方式，通过研究和利用Linux内核或者系统服务中的漏洞，以此实现权限提升。**3.**安全配置错误：例如配置错误的sudo权限、cron任务、文件系统权限等，都有可能被利用来提权。**4.**利用软件漏洞：如果系统上运行的某个软件存在漏洞，如各种服务器软件、数据库等，我们可以尝试利用这些漏洞进行提权操作。5.密码破解：例如弱口令攻击，或者找到系统中存储密码的文件（如/etc/shadow,/etc/passwd）然后进行破解，以此来提升权限。

Windows有哪些提权思路

**1.**利用系统漏洞：这是最常见一种方式。通过找到并利用Windows系统的漏洞，可以直接获取高级别的权限。**2.**配置错误：主要包括错误的文件和文件夹权限、服务配置错误等情况。**3.服务漏洞：Windows有很多默认安装的服务，一些服务可能存在漏洞4.**利用软件漏洞：如果一个以管理员权限运行的程序存在漏洞，那么攻击者可能可以通过这个漏洞来获取管理员权限。**5.**查找并利用密码：例如，可以从系统内部、配置文件、注册表、或者内存中寻找密码的明文或者哈希值。如果找到了，可以尝试破解或者直接使用。6.Token劫持/Hijacking：在Windows中，权限和访问控制是基于Token的。如果一个程序能获取到另一个权限更高的进程的Token，那么它就可以提升自己的权限。

Linux后门排查哪些东西

**1.**登录记录：检查/var/log/secure 或/var/log/auth.log。这些登录记录文件会记录所有尝试登录系统的行为，包括ssh登录和物理终端。**2.**历史命令：检查~/.bash_history或其他相应的shell历史文件，这能看到输入的命令。**3.**开机自启动程序：查看/etc/rc.d目录下的启动脚本，以及/etc/rc.local、/etc/rc.d/rc.sysinit等文件，检查是否存在异常。**4.**网络连接：使用netstat、ss等命令查看网络连接状态，检查是否有未知的网络连接或监听状态。**5.**进程列表：使用ps、top等命令查看正在运行的进程，特别留意是否有未知或异常的进程。**6.**系统计划任务：检查cron、at等定时任务，看是否有未知的计划任务。主要查看/etc/crontab文件以及/etc/cron.*目录。**7.**系统调用：使用strace等工具追踪可疑进程的系统调用，看其是否进行了非正常的系统调用，如操作隐藏文件、监听网络端口等。**8.**隐藏文件/目录：检查文件系统，看是否有隐藏的或没有权限的文件或目录，具体可以用ls -la命令查看。**9.**系统账户：检查/etc/passwd、/etc/shadow等文件，看是否有未知的用户账户。**10.**系统日志：查看/var/log/下的系统日志，如messages, syslogs等，检查是否有异常或者疑似攻击的记录。11.SSH公钥：检查~/.ssh目录下的authorized_keys文件，查看是否有未知的SSH公钥。

SQL注入特征，误报原因以及怎么处理告警？

1.非法字符检测：这种类型的攻击通常会使用特殊字符，如单引号(')、双引号(")、分号(😉、注释符号(–或/、/)等。检测输入中是否包含这类特殊字符是识别SQL注入攻击的一种方法。**2.**堆栈查询和联合查询：攻击者可能会使用UNION SELECT等语句来尝试提取数据库表的信息。另外，使用’;'连接多个查询语句也是SQL注入攻击的常见特征。**3.**条件操作符：如果用户的输入中包含了例如“OR ‘1’=’1”之类的语句, 那么这可能是一个SQL注入攻击。**4.**使用信息函数：比如CURRENT_USER(),SYSTEM_USER(),USER等，这些都可以提供给攻击者有用的信息。5.时间延迟和布尔盲注：例如使用 sleep、WAITFOR DELAY '0:0:10’和if语句的使用。

SQL注入的误报原因主要有：

**1.**正常请求中包含特殊字符：有些正常请求中可能会包含一些可能被误认为是SQL注入攻击的特殊字符，这可能会导致误报。**2.**防火墙规则设置过于严格：如果防火墙或入侵检测系统的规则设置得过于严格，可能会将一些正常的请求误认为是攻击。3.漏洞扫描工具的误报：有些漏洞扫描工具可能采用一些较为简单的检测规则，可能会产生误报。

处理SQL注入告警的方法主要有：

**1.**确认是否为真实攻击：可以通过分析日志、重放请求等方式确认是否为真实的攻击。**2.**封禁可疑IP：针对频繁发起SQL注入攻击的IP，可以进行封禁处理。**3.**修复漏洞：对于存在SQL注入漏洞的功能，尽快进行修复。注意使用参数化查询、预编译的SQL语句等手段防止SQL注入。**4.**过滤非法输入：对用户的输入进行校验，严格过滤非法字符。5.教育培训和安全设计：提升开发团队的安全意识和能力，从源头减少漏洞的出现。

文件上传绕过方法有哪些？修复方案有哪些？

**1.**修改文件扩展名：比如把.jpg修改为.php来试图上传服务器端脚本。**2.**添加双扩展名：在某些配置下，Web服务器可能只解析最后一个扩展名，如example.jpg.php可能被解析为php。**3.**绕过内容检查：如果系统只检查文件头（MIME类型），可能遭受这种攻击，攻击者在一个图像文件中插入PHP代码。**4.**利用服务器配置错误：比如在Apache服务器上，可以尝试上传.htaccess文件来改变服务器配置。5.Null Byte注入：在某些老版本的PHP中，上传文件名后面添加\0，可能会终止文件名的解析，如example.php\0.jpg可能被解析为php。

而修复文件上传漏洞，一般的建议包括：

**1.**限制文件类型：后端严格控制允许上传的文件类型，不仅检查扩展名，还要检查文件内容的MIME类型。**2.**设置文件权限：上传文件后，禁止执行权限，防止上传的文件被执行。**3.**使用随机文件名：上传文件后，将文件名更改为随机生成的名字，防止攻击者猜测文件名。**4.**文件内容检查：检查上传文件的内容，防止包含恶意代码。**5.**文件大小限制：限制上传文件的大小，防止DoS攻击。6.限制文件上传数量：在一定时间内，限制用户上传文件的数量。

SSRF用哪些协议、函数，怎么绕过，修复方案有哪些

常见协议：HTTP(s)、FTP、file、dict、gopher、ldap等常见函数：****

•PHP：file_get_contents()、fopen()、curl_*•Java：java.net.URL()、org.apache.http 、java.net.http.HttpClient•Python：urllib.open()、requests.*•NodeJS：http.request()、axios.*

绕过手法有：

•使用别名：如"127.0.0.1"与"localhost[1]"•使用十六进制、八进制、十进制：比如将"127.0.0.1"转化为"2130706433" (十进制) 或 “0x7f000001” (十六进制)•URL编码："%20"代表空格•使用混淆技术：包括点外挂，字符包含，使用反斜杠等•利用解析差异：例如放置@字符可以造成某些解析器混淆•**利用**localhost[2]**的别名IPv6地址：如：[::]或[::1]**

修复手法：

•限制出站连接：限制服务器端发起的对内外网络的请求，如在防火墙层面限制服务器出站请求的目标IP或端口•白名单制度：仅允许已知安全的协议和目标IP进行连接•验证URL：严格验证输入的URL是否符合预期，避免重定向等攻击•禁用不必要的URL Schame：如 file://, dict:// 等•检查和过滤HTTP响应：避免敏感信息被返回•代码审计和模糊测试：针对代码中存在的可能触发SSRF的函数进行审计，同时进行模糊测试验证漏洞。

xss可以使用哪些标签，请举例列举

常见的有：

Mssql xp_cmdshell被禁用了怎么办？

1.重新启用xp_cmdshell：如果账号有足够的权限，可以借助以下SQL命令重新启用xp_cmdshell：

**`EXEC sp_configure 'show advanced options', 1;`    `RECONFIGURE;`    `EXEC sp_configure 'xp_cmdshell', 1;`    `RECONFIGURE;`**

****这样就开启了xp_cmdshell的权限。****2.使用其他存储过程：如果重新启用xp_cmdshell失败，可以尝试其他的存储过程，如用CLR存储过程来创建一个新的存储过程，这个存储过程可以执行操作系统命令。****3.CLR注入攻击：通过CLR注入攻击，把攻击者控制的.NET程序集加载到SQL Server的内存中执行。4.利用有漏洞的存储过程：检查是否有其他的存储过程，或者是未修补的漏洞，这可能允许以某种方式执行系统命令。

XXE中PCDATA和CDATA有什么区别

PCDATA就是会被解析的字符数据，这种类型会被XML解析器解析。在这种类型中，一些特殊字符，如<, >, &等，需要使用转义字符表示，例如<代表<，>代表>，&代表&。CDATA这种类型不会被XML解析器解析，直接原样输出。在CDATA区内的所有内容都会被解析器忽略。它用于包含一些特殊字符，这些字符在XML文档中需要转义的。

了解哪些中间件

****我了解的中间件有很多种，其中包括但不限于：Nginx、Apache、Tomcat、Redis、RabbitMQ、Kafka、Zookeeper等。常见漏洞有：未授权的访问、代码执行漏洞、配置错误、解析错误漏洞等漏洞

struts2有哪些漏洞，有什么特征？

远程代码执行漏洞：如S2-045，在该漏洞中，当开发者使用基于Jakarta插件上传文件时，攻击者可以通过特殊构造的Content-Type头以激活Struts2的远程代码执行路径。特征就是Content-Type中有OGNL表达式的存在OGNL表达式注入：攻击者可以通过构造特定数据带入OGNL表达式即可能被解析并执行，这对服务端对象进行修改，即使是获取和设置Java对象的属性。** **合理的类型转换漏洞：某些情况下，Struts2允许将字符串类型的输入数据转换为其他类型。这在一定条件下可以被攻击者利用来绕过框架的安全检查。****参数拦截器漏洞：一些早期的Struts2版本中，参数拦截器存在漏洞，允许攻击者访问并控制某些不应该被修改的数据成员。****命名空间未正确验证：比如S2-057漏洞，对namespace进行错误配置时，会导致攻击者可以通过特殊构造的URL执行任意OGNL表达式。解析文件上传组件的漏洞：在解析文件上传时，不存在严格的验证逻辑时，可能会被攻击者用来执行远程代码。

你了解哪些jboss反序列化漏洞

**1.**JBoss JMXInvokerServlet 反序列化漏洞：这是一个典型的反序列化漏洞，在该漏洞中，JBoss在处理/invoker/JMXInvokerServlet请求时直接解析了用户传入的对象。如果攻击者利用Apache Commons Collections框架中的某些特殊类（又称为Gadget），则可以在服务器上执行任意代码。2.CVE-2017-12149 JBOSS反序列化漏洞：在此漏洞中，JBoss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器，在进行反序列化操作时并未制定任何安全检查。这意味着攻击者可以构造恶意的序列化数据，导致在服务器上执行任意代码。

log4j2漏洞你了解吗？有什么特征？怎么判断是否攻击成功？如何应对这种漏洞？

****Apache Log4j2的一个严重漏洞（CVE-2021-44228），被广泛称为Log4Shell漏洞。****漏洞的主要特征是：攻击者可以通过向Log4j2提供包含特殊JNDI引用的输入，导致Log4j2在处理该输入时尝试从提供的JNDI引用进行查找，可能导致被攻击者控制的远程代码执行。具体来说，只需要包含形如${jndi:ldap:[//host][:port]/[object]}的输入即可。判断此类攻击成功的方法主要包括：

**1.**检查日志中是否存在这种攻击的痕迹，具体上看是否存在形如${jndi:ldap:[//host][:port]/[object]}的日志输出。**2.**检查网络流量。若出现了不寻常的LDAP请求到未知的、可疑的或者恶意的服务器，那么可能遭受了此类攻击。3.服务器表现出异常行为，比如CPU、内存占用率异常增高，或者服务崩溃等。

应对此类漏洞的方式主要有：

**1.**立即对使用的Log4j2版本进行升级。Apache已经在2.15.0版本中修复了这个问题。但是由于2.15.0版本中存在新的DoS问题，建议更新到2.17.0及其以上版本。**2.**将log4j2.formatMsgNoLookups的系统属性设为true。这可以通过添加-Dlog4j2.formatMsgNoLookups=true到JVM参数来完成。**3.**如果不能升级，那么可以考虑移除或替换JndiLookup.class文件，这个文件包含了有漏洞的代码。4.使用防火墙、IDS、IPS或者其他网络级别的防护措施，限制或者监控LDAP流量。

CS攻击流量特征说一下，如何应对？

流量特征：

**1.**心跳包特征：间隔一定时间，均有通信，且流级上的上下行数据长度固定。**2.**域名/IP特征：如果没有使用CDN或者域前置技术，那么域名和IP-info都可能暴露出来。3.流量大小：Cobalt Strike的初始载荷通常很小（约20KB），用于感染目标系统并为后续的攻击建立立足点。

对CS攻击的应对主要有以下几种方式：

**1.**流量监控：通过监控网络流量来检测是否存在上述的攻击流量特征。例如，可以检查是否存在规律性的心跳流量，或者检查是否有小尺寸的网络流量被发送到未知的、可疑的或者恶意的服务器。**2.**防火墙或IDS/IPS：将已知的恶意IP或者域名添加到阻止名单中，或者启用IDS/IPS的特性以自动检测和防止潜在的攻击。**3.**系统和应用程序的更新：及时更新和打补丁的操作系统和应用程序可以在很大程度上缩小攻击者的攻击面，降低攻击的概率。**4.**高级威胁防护：使用专门的高级威胁防护(ATP)解决方案，它能在网络和终端水平上检测、防止和响应高级威胁。5.安全培训和意识：培训员工识别和防止潜在的钓鱼攻击和其他社会工程技巧，这是防止Cobalt Strike和其他攻击工具取得初步立足点的重要手段。

fastjson不出网且无回显怎么办？

**1.**使用本地加载的类：在一些Fastjson的不出网利用中，由于不能引用外部的类，需寻找到可以在目标环境中本地加载的类，以期实现某种形式的攻击。当然这偏向与代码设计。**2.**通过类的属性加载：一些类可能有一些属性，这些属性在反序列化时会触发某种形式的载入。虽然可能无法直接执行命令，但可能可以修改环境，或者创建一个条件后续可以利用的情况。**3.**利用系统命令：在某些情况下，可能能够通过反射来调用Java的Runtime.exec方法来执行系统命令。然而，这在没有回显的情况下可能难以确认命令的执行情况。**4.**使用一些非标准的反射或者绕过方法：某些情况下，可能需要使用一些具有副作用的函数或者方法，通过观察这些副作用来判断是否成功执行了攻击。5.尝试找寻回显：虽然得到直接的命令输出可能较困难，但是可以尝试寻找其他形式的回显。例如能观察到输入的命令对系统状态或者其他可访问的数据产生了改变，从而推断命令已经成功执行。也可以尝试将执行命令结果去写入到js文件或者一些静态文件里面，然后从web去访问。

请说一下内网渗透流程

**1.**信息收集：熟悉内部网络环境，了解目标机制、服务器参数、应用信息等。工具包括方正、nmap、Wireshare等。**2.**漏洞扫描：利用工具对目标内网进行扫描，发现系统漏洞或者敏感信息泄漏问题。**3.**漏洞利用：通过已知的漏洞，获取操作系统的控制权限。这里的工具可以包括Metasploit、Cobalt Strike等。**4.**权限提升：利用一些技术，进一步提升已经获取的权限，目标是得到最高权限（如root或administrator）。**5.**水平和垂直移动：网络内部的进一步探索，以获取更多资产的访问权限。**6.**获取域控制器权限：在内网渗透中，最关键的目标是获取DC的权限。**7.**持久化：为了在渗透测试结束后仍能保持访问内网的能力，攻击者通常会尝试在内网中建立持久性的控制节点。8.清理痕迹：清理日志和其他证据，以避免安全人员发现渗透行为。

请说一下psexec和wmic区别

****PsExec是Sysinternals套件的一部分，由微软提供。PsExec的工作方式是通过在目标系统上创建服务来执行命令。其基本原理是通过IPC共享。****使用PsExec的优点是它能够执行复杂的命令和脚本，而且可以在权限足够的情况下用系统账户执行。然而，它的缺点是需要较高的权限（通常需要管理员权限），并且可能会在目标系统上留下痕迹（例如日志），容易被防病毒软件和IDS/IPS检测到。****WMIC（Windows Management Instrumentation Command-line）则使用WMI（Windows Management Instrumentation）来执行命令。WMI是一系列工具集，可以在本地或者远程管理计算机系统。它没有在目标系统上创建服务，而是直接在WMI接口上执行命令。使用WMIC的优点是它无需在目标系统上创建文件或服务，这使得其在进行横向移动或者在被高度监视的网络中进行操作时更难被检测到。然而，它可能需要特定的WMI权限，并且可能不支持那些需要交互或者复杂输入的命令。

PTT是什么？有哪些攻击方法

PTT（Pass The Ticket）是一种基于Kerberos认证的攻击方式，常用于权限维持和内网渗透。以下是一些常见的PTT攻击方法：

**1.**票据窃取和重用: 在PTT攻击中，攻击者首先需要获取一个有效的Kerberos票据，这通常可以通过某些形式的窃取或者利用漏洞完成。一旦获取了票据，攻击者可以在网络中作为该用户身份进行移动。**2.**黄金票据攻击：如果攻击者能够获取到域内krbtgt用户的NTLM哈希或AES-256的密钥，那么他们可以生成所谓的"黄金票据"。这种票据赋予了攻击者域管理员的权限，而且它的有效期非常长，可以超过默认的最大票据生命周期。3.使用工具进行PTT攻击：一些工具，如Mimikatz和Impacket，提供了进行PTT攻击的功能。例如，Mimikatz可以用来窃取并使用Kerberos票据；Impacket中的goldenPac模块可以用来进行黄金票据攻击。

详细讲一下金票以及需要的信息

**1.**krbtgt账户的NTLM哈希：krbtgt是Active Directory中用于签发TGT的一个特殊账户。这个账户的NTLM哈希值是用于加密和签名所有的TGT，因此攻击者需要首先获取这个哈希值。一旦获取到这个哈希值，攻击者就能生成合法的TGT。**2.**域名：金票攻击需要目标的域名.This is necessary to properly form the TGT.**3.**域SID：Security Identifier（SID）是Windows中用于唯一标记安全主体（比如用户、组和计算机）的一个标识符。在金票攻击中，需要知道目标域的SID来正确创建TGT。4.攻击者希望冒充的用户的用户名：这一点比较直接，如果攻击者想要作为特定用户执行操作，他们需要知道该用户的用户名。

最后，攻击者还需要能够生成和使用TGT的工具，例如 Mimikatz 或者其他相关的工具。Mimikatz 是一款可以在内存中寻找Windows凭据，如明文密码、哈希值和Kerberos票据的常用工具。

如何快速痕迹清除和权限维持

痕迹清除：

**1.**清除日志：在Windows上，通过“开始-程序-管理工具-计算机管理-事件查看器(Event Viewer)”来手动删除系统、安全和应用程序日志。Linux下可以通过命令行删除/var/log/中的日志文件。**2.**清除浏览历史：清除Web服务器访问日志，如Apache的access.log，IIS的 LOGS/*.log。3.清除数据库操作记录：清除可能产生的数据库访问记录。这可能涉及删除数据库操作日志或者清理pgsql，mysql等数据库的历史命令。

权限维持：

**1.**利用SSH公私钥：在客户端生成一对公私钥，然后把公钥放到服务器（~/.ssh/authorized_keys)，保留私钥。当ssh登录时，ssh程序将发送私钥去和服务器上的公钥做匹配，这样就能够维持权限。**2.**使用持久化rootkit：例如 Diamorphine Rootkit，当它加载时，模块开始变为隐藏状态；它可以通过发送信号 31 来隐藏/取消隐藏任何进程；向pid为1的进程发送信号 64 将启动/停止模块；3.克隆账号: 还可以使用克隆或创建新的系统账号来维持权限。新建或克隆的账号应具有相应的权限，并与常规系统账号混淆，以降低被发现的风险。

DCSync的利用条件有哪些

DCSync是一种攻击技巧，被设计用于Windows Active Directory环境在域内复制数据。使用 DCsync，攻击者可以冒充域控制器，发起同步请求，获取其他用户的密码哈希。请注意，DCSync的使用需要满足特定的条件：

**1.**管理员权限：默认情况下，只有 Administrators 组、Domain Controllers 组以及 Enterprise Domain Admins 组内的用户才有权限使用DCSync。2.特殊权限：除了以上途径，也可以通过在访问控制列表（ACL）中给普通用户添加指定权限（例如DS-Replication-Get-Changes和DS-Replication-Get-Changes-All），让其得以使用DCSync。

请详细讲一下ACL

****ACL是访问控制列表，它是一种用于确保网络安全的技术，主要基于用户（或用户组）、网络地址、或者服务类型来限制通信。它的主要作用就是决定哪些用户可以访问或者操作某一资源。ACL的类型:

•基于访问源的ACL（Source-Based ACL）：根据数据包的源IP地址进行访问控制。•基于访问目标的ACL（Destination-Based ACL）：根据数据包的目标IP地址进行访问控制。•基于服务类型的ACL：根据所用的顶层协议，如TCP、UDP或ICMP进行访问控制。

****ACL的基本组成：一个ACL通常由多个访问控制条目（Access Control Entry，ACE）组成，每个ACE包括：

•主体：定义了这个规则适用的用户或用户组。•对象：确定了可以被主体访问或操作的资源。•权限：说明了主体对对象可以执行的动作，如读（read）、写（write）、执行（execute）等。

ACL 在日常生活中的一般应用场景包括：对网络设备设置远程管理权限、设置网络设备的转发策略、在防火墙规则中进行详细的访问控制等。

还有很多面试题还没来得及总结，希望师傅们一起交流学习下，点这里可领取蓝队hw面试题合集pdf，更多资料微信扫码领取~