网安面试题

-Pn 跳过主机发现，视为所有的主机都在线
sn 只做ping扫描不做端口扫描
sT\A\W\M 不同的扫描端口，进行扫描
-p 指定端口进行扫描 --exclude-ports：排除端口进行扫描
-sV 探测系统的版本
–version-intensity：设置相关的程度，详细级别，0~9 越高越详细
–version-trace：打印详细的版本扫描过程
脚本扫描 –scri= ：指定对应的脚本名称
O：激活系统的探测
–osscan-limit：只对开放端口的有效主机进行系统的探测
-T<0-5>:时间模板，越大速度越快
-6：使能IPV6探测
-A：使能系统探测、版本检测、脚本扫描、路由追踪
-V：打印版本号
-v：增加输出的详细程度

三、内网常问（19）1.横向渗透命令执行手段？

psexec ， wmic ， smbexec ， winrm ， net use 共享 + 计划任务 +type 命令。

2.psexec和wmic或者其他的区别？

psexec 会记录大量日志， wmic 不会记录下日志。 wmic 更为隐蔽

3.Dcom怎么操作？

通过 powershell 执行一些命令，命令语句比较复杂，不记得了

4.抓取密码的话会怎么抓？

procdump+mimikatz 转储然后用 mimikatz 离线读取

5.什么版本之后抓不到密码？

windows server 2012 之后

6.抓不到的话怎么办？

翻阅文件查找运维等等是否记录密码。

或者 hash 传递。

或者获取浏览器的账号密码等等。

7.域内攻击方法有了解过吗？

MS14-068 、 Roasting 攻击离线爆破密码、委派攻击，非约束性委派、基于资源

的约束委派、 ntlm relay 。

8.桌面有管理员会话，想要做会话劫持怎么做？

提权到 system 权限，然后去通过工具，就能够劫持任何处于已登录用户的会

话，而无需获得该用户的登录凭证。

9.内网渗透思路？

代理穿透

权限维持

内网信息收集

口令爆破

凭据窃取

社工横行和纵向渗透

拿下域控

10.当前机器上有一个密码本，但加密了，应该怎么办？

使用 hashcat 或者其他密码爆破工具进行爆破。

11.获取域控的方法有哪些？

SYSVOL

MS14-068 Kerberos

SPN 扫描

黄金票据和白银票据

域服务账号破解

凭证窃取

NTLM relay

kerberos 委派

zerologon 漏洞

地址解析协议

CVE-2021-42278 和 CVE-2021-42287

12.黄金票据和白银票据说一下？

1. Kerberos黄金票据：Kerberos黄金票据是指攻击者通过攻击目标主机的 Kerberos 服务，获取了有效 TGT (Ticket-Granting Ticket) 的凭证，从而能够有效绕过其他系统控制机制而直接访问目标系统的所有资源。攻击者通常会在目标主机上运行恶意软件或使用其他恶意攻击手段，通过收集系统中存在的凭证或使用暴力破解等方式获取有效 TGT 凭证。

2. Windows漏洞利用中的票据提权：票据提权是指攻击者利用已获得的权限或漏洞，获取更高权限的方法。在 Windows 系统中，存在许多突破用户权限或绕过系统保护机制的漏洞，攻击者可以通过利用这些漏洞，提升自己的权限并获取黄金票据。攻击者通常可以通过获得 NTLM哈希值进行票据提权，或利用 Kerberos 明文密码的漏洞等手段进行攻击。

黄金票据是一种危险的攻击形式，被攻击者利用后将对系统产生巨大威胁，因此需要采取一些措施来防止此类攻击。例如，需要定期更新密码和凭证、强化系统访问控制机制、禁用不必要的账户和服务等。同时，还需要采用一些高级安全解决方案，如使用网络监控软件来捕捉可疑事件、部署防火墙和入侵检测设备等对系统进行保护。

白银票据

在网络安全领域，白银票据指的是攻击者通过获取受害者系统中的普通凭证，然后利用这些凭证将自己伪装成普通用户并以用户权限运行，从而获取受害者系统中一部分敏感资源或特权操作的方式。与黄金票据不同，白银票据无法直接绕过系统保护机制或获取超级管理员权限，但利用这种票据，攻击者仍然可能对目标系统造成损害。

攻击者通常会使用一些工具（如 Mimikatz、WCE等）从受害者计算机中提取出用户的普通凭证，例如NTLM哈希或者明文密码。然后，攻击者就可以利用这些凭证来伪造成普通用户进行攻击，获取目标系统中的一些资源或者执行某些特权操作。

白银票据不同于黄金票据，它无法直接绕过访问控制机制或取得特权操作。但攻击者仍然可以利用白银票据在目标系统上稳定地运行，获取系统中部分资源和权限。因此，在网络安全保护中，不仅要注意防止黄金票据的攻击，还需要对受害者系统的普通凭证进行保护。例如使用NTLMv2, 设定合理的密码复杂度长度和复杂度，禁用本地共享和单点登录等来提高系统的安全性。

13.Windows权限维持？Linux权限维持？

windows:写进注册表里， https://xz.aliyun.com/t/8095

linux: https://xz.aliyun.com/t/7338

14.shellcode免杀了解吗？有哪些方法？

免杀就是反病毒技术，免于被查毒软件查杀。

加冷门壳

加壳改壳

加花指令

通过加一些指令也就是花指令来达到免杀效果，原理跟改特征码差不多。例如杀毒软件本来是在0x00001000到0x00005000处找一个特征码。但因为我们填充了花指令，恶意代码跑到了0x00008000这个位置，就会导致特征码查杀失败，从而达到免杀目的。

改特征码方法：

大多数杀毒软件都是基于特征码进行查杀的。方法：利用myccl工具查找定位复合特征码

15.域信息收集思路？

判断是否存在域

定位域控

域基本信息查询（所有域、域信任信息、域

密码策略）

域内用户查询（定位域管）

域内主机查询

BloodHound 工具

16.代理转发常用的工具有哪些？

frp

Neo-reGeorg

ssf

Venom

.......

17.目标机器ping不通外网，没有办法走网络层协议，如何搭建隧道？

搭建基于 webshell 的内网隧道： Neo-reGeorg 、 pystinger

18.如何快速定位域控，介绍三种方式？

https://blog.csdn.net/weixin_43939009/article/details/118277688

19.pth，ptt，ptk区别？

https://blog.csdn.net/Waffle666/article/details/120268915

四、计算机网络常问（7）

1.说一说OSI模型和TCP/IP体系结构？

OSI 模型：从下到上为物理层，数据链路层，网络层，传输层，会话层，表达

层，应用层。

TCP/IP 结构：从下到上为网络接口层，网络层，传输层，应用层

2.TCP/IP的三次握手和四次挥手过程，且为什么要这样？

三次握手：当客户端连接服务器，首先会对服务器发送一个 SYN 包 ( 连接请求数

据 ) ，表示询问是否可以连接，服务器如果同意连接，就会回复一个 SYN+ACK ，

客户端收到后就会回复一个 ACK 包，连接建立。因为期间相互发送了三包数据，

所以称为三次握手。

四次挥手：处于连接状态的客户端或者服务器都可以发起关闭连接请求，假设客

户端主动发起关闭请求，它先需要先服务端发送一个 FIN 包，表示我要关闭连

接，自己进入终止等待 1 的状态 ( 第一次挥手 ) ，服务器收到 FIN 包之后发送一包

ACK 包，表示自己进入关闭等待的状态，客户端进入终止等待 2 的状态 ( 第二次挥

手 ) ，服务器这时候还可以发送未发送的数据，客户端还可以接收数据，等到服务端将所有数据发送完后，向客户端发送一个 FIN 包，自身进入最后缺人状态 ( 第

三次挥手 ) ，客户端收到后回复一个 ACK 包，自己进入超时等待状态，进入超时时

间后关闭连接，而服务端收到 ACK 包后立即关闭连接 ( 第四次挥手 ) 。

原因：为了解决网络信道不可靠的问题，为了能够在不可靠的信道上建立起可靠

的连接。

3.私有ip的地址划分？

分为三类

A 类： 10.0.0.0——10.255.255.255

B 类： 172.16.0.0——172.31.255.255

C 类： 192.168.0.0——192.168.255.255

4.UDP和TCP协议的区别及优缺点？

UDP 协议是基于非连接的，发送数据就是将数据简单是封装，然后从网卡发出去

即可。数据包之间并没有状态上的联系，所以其优点就是性能消耗少，资源占用

少；缺点就是稳定性弱。

TCP 协议是基于连接的，在收发数据前必须和对方建立可靠的连接，建立连接的

3 次握手、断开连接的 4 次挥手，为数据传输打下可靠基础。所以优点就是传输稳

定可靠。

5.正向Shell和反向Shell的区别是什么？

正向 shell ：攻击者连接被攻击机器，可用于攻击者处于内网，被攻击者处于公网

的情况。

反向 shell ：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内

网的情况。

6.正向代理和反向代理的区别？

正向代理：当客户端无法访问外部资源的时候 ( 例如 goolge ， youtube) ，可以通

过一个正向代理去间接的访问。

打个比方： A 向 C 借钱，由于一些情况不能直接向 C 借钱，于是 A 想了一个办法，

他让 B 去向 C 借钱，这样 B 就代替 A 向 C 借钱， A 就得到了 C 的钱， C 并不知道 A 的存

在， B 就充当了 A 的代理人的角色。

反向代理：客户端时无感知代理的存在，以代理服务器来接收 internet 上的连

接，然后将请求转发给内部网络上的服务器，并从服务器上得到的结果返回给

internet 上请求连接的客户端。再次打个比方： A 向 B 借钱， B 没有拿自己的钱，而是悄悄地向 C 借钱，拿到钱之

后再交给 A,A 以为是 B 的钱，他并不知道 C 的存在。

在内网渗透中，正反向代理可以这样回答

正向代理 ：已控服务器监听端口，通过这个端口形成一个正向的隧道，由代理机

器代替主机去访问内网目标。但是内网入口一般处于 DMZ 区域有防火墙拦截，

无法直接进入内网环境。

反向代理 ：由内网主机主动交出权限到代理机器，然后本地去连接形成反向代

理。例如： VPS 监听本地端口，已控内网服务器来连接此端口，形成一个隧道。

如果内网设备连接外网，就无法回弹只能再想其他办法。

7.常见防火墙的种类？

简单种类：包过滤防火墙，代理防火墙，状态检测防火墙

五、系统(windows及linux)方面常问（10）

1.如何手工判断对方操作系统？

修改 url 中参数，改成大写，正常为 windows ，不正常即为 linux

ping 服务器，返还得 TTL 值不一样， windows 一般在 100 以上， linux 一般是 100

以下。

查看数据包 HTTP 报头，如果是 iis 那就肯定是 windows

2.windows和Linux查看开放端口和运行服务的命令？

windows ：查看端口使用情况【 netstat -ano 】，查看运行的服务【 net start

】 Linux ：

查看本机开放端口【 netstat -tuln 】，查看当前所有运行的服务【 service --

status-all | grep running 】

3.Linux日志目录？

/var/log 下

windows中下载文件的命令有哪些？

certutil ， bitsadmin ， powershell ， copy

winodws 下载执行命令大全： https://xz.aliyun.com/t/1654

4.windows或linux被植入后门文件，讲一下你的排查流程？

检查系统日志，检查系统用户，查看是否有异常的系统用户，检查异常进程，检

查隐藏进程，检查异常系统文件，检查系统文件完整性，检查网络，检查系统计

划任务，检查系统后门，检查系统服务。

5.windows提权的方法及思路？

系统内核溢出提权；

数据库提权；

错误的系统配置提权；

DLL 劫持提权；

特权第三方软件 or 服务提权；

令牌窃取提权；

web 中间件漏洞提权；

AT ， SC ， PS 提权等等；

6.Linux提权的思路及方法有哪些？

系统内核溢出提权；

SUID 和 GUID 提权；

不安全的环境变量提权；

定时任务提权；

数据库提权等

7.windows加固方法

修改 3389 端口

设置安全策略，不允许 SAM 账户的匿名枚举，不允许

SAM 账户和共享的匿名枚举

在组策略中设置阻止访问注册表编辑工具

开启审核对象访问，开启审核目录服务访问，开启审

核系统事件

禁止 445 端口漏洞

设置屏幕保护在恢复时使用密码保护

设置 Windows 密码策略：设密码必须满足复杂性，设

置密码长度最小值为 8 位，最长存留期为 30 天

开启 Windows 防火墙，关闭 ping 服务，打开 3389 、 80

等服务

关闭系统默认共享等 ........

8.Linux加固方法？

修改 ssh 的配置文件，禁止 root 直接登录

修改密码策略配置文件，确保密码最小长度为 8 位

确保错误登录 3 次，锁定此账户 5 分钟

禁止 su 非法提权，只允许 root 和 wheel 组用户 su 到 root

不响应 ICMP 请求

设置登陆超时时间为 10 分钟

结束非法登录用户

等 ..........

9.木马驻留的方式有哪些(去哪些敏感位置排查木马)？

注册表

服务

自启动目录

集合任务

关联文件类型

等 ........

六、应急响应常问（10）

1. 你知道哪些常用的威胁情报平台？

微步情报社区： https://x.threatbook.cn/

奇安信情报中心： https://ti.qianxin.com/

绿盟情报中心： https://nti.nsfocus.com/apt/home

此外 360 绿盟情报中心， VT ，安恒等等

2.设备误报如何处理（日志）？

关键字检测

异常请求

行为分析

3.如何查看区分是扫描流量和手动流量？

扫描流量：流量集中，具有数据包内容具有一定规律型，数据包请求间隔低或频

率基本一致。

手工流量：反之扫描流量回答即可

4.内网告警应该如何处理，流程是怎么样的？

具体定位到哪台机器，报警说明知道具体漏洞类型，打相应补丁。

利用 webshell 或者是 shell 查杀工具查杀，查看 tmp 目录下是非有带有免杀的木

马。彻底清除。再到全流量分析的机子上看，是非有经过其他的机器。拿到攻击

ip 之后到线上的一些网站查看主机类型，比如 360 或者微步上，查看是否是傀儡

机， vps 跳板，或者是国内个人云主机。如果是个人云主机，就可以通过 whois

查看是非有最近绑定的域名，或者绑定者的邮箱。知道邮箱之后就可以反查询出

qq 号说多少，再利用社工查询到手机号，到一个知名的网站或知名软件上查询

这个手机号有没有注册过什么网站，可以去这些网站通过撞库的方法登入，这样

就可以拿到这个攻击者的身份证，学校，地址这些了

5.应急响应的简单流程？

收集信息：由安全设备收集主机，样本信息，以及一些客户信息。

判断类型：是否是安全事件？具体为什么安全事件？挖矿？ DOS ？等。

深入分析：从系统角度深入分析，日志，进程，启动项这些去分析。

清理处置：杀掉异常进程，删除异常文件，打补丁或者修复相关文件等。

产出报告：对此次安全事件进行一个完整的文档描述。

6.对蜜罐有什么了解？

蜜罐是对攻击者的欺骗技术，用以监视、检测、分析和溯源攻击行为，没有业务

用途。

蜜罐的流量预示着扫描或攻击行为，较好聚焦攻击流量。

7.防火墙怎样判断这是一个反序列化漏洞？

抓包，反序列化的数据包有固定格式的字符串： O:length:"value": 属性数： { 属性类

型 : 属性 length: 属性 value; 属性类型 : 属性 length: 属性 value;} 。

8.应急响应如何查找挖矿病毒，如何通过进程找到挖矿

文件？

(1) 任务管理器 netstat -anp 寻找异常进程 PID 看端口信息，然后根据端口信息定位到

文件， cd /proc/PID （ ls -l 查看），禁用可疑的服务项。

(2) windows 还可以用 wmic 分析进程参数。

9.如何查看被入侵后敲过的命令?

History

10.sftp，telnet，ssh的端口号？ssh与telnet的区别？

sftp ： 22 ， telnet ： 23 ， ssh ： 22 。简单来说， ssh 和 telnet 的区别就是一个是密

文传输，一个是明文传输。

七、溯源与流量常问（6）

1.如何定位到攻击IP?

首先通过选择 - 统计 - 对话查看流量的走向情况，定位

可疑的 IP 地址。

根据定位到的 IP 地址，尝试对上传的 webshell 进行定

位 ip.addr ==ip &&http matches

"uploadleval|select|xp_cmdshell"&&

http.request.method == "POST" 。

查找到 Webshell 后尝试溯源漏洞位置，

http.request.uri contains“webshell.php” ，定位到最开

始 webshell 执行或上传的时候。

根据最开始的 HTTP 上传包或者其他漏洞特产定位漏

洞类型。

2.假设发现web应用服务器发现文件异常增多，初步怀疑被上传webshell，描述流量分析溯源的思路?

查看 eval 、 z0 、 shell 、 whoami 等关键字，查看出现次数过多的时候，可能需要

查看是哪个页面发起的请求，有可能是 webshell 。

通过 WireShark 工具快速搜索关键字，定位到异常流量包。

找出异常 IP 和所上传的内容，查看是否为 webshell 。

3. wireshark简单的过滤规则?

【过滤 ip 】：过滤源 ip 地址 :ip.src1.1.1.1; 目的 ip 地址：

ip.dst1.1.1.1;

【过滤端口】：过滤 80 端口： tcp.port80 ，源端口： tcp.srcport80 ，目的

端口： tcp.dstport==80

【协议过滤】：直接输入协议名即可，如 http 协议 http

【 http 模式过滤】：过滤 get/post 包 http.request.mothod=="GET/POST"

4.Webshell流量交互的流量特征?

Webshell 是用来控制服务器的，在控制服务器的过程中，就会触发许多系统，

函数，例如 eval 、 z0 （菜刀特征）、 shell. 需监控这些关键的函数，具体需要查

看是哪个网页发起的请求进行鉴别。

Webshell 连接可能使用 base64 编码，正常功能也会使用 base64 容易引起误报，

一般与 eval 数量对比，数量差异较小时可能被上传 webshell 进行编码通讯。

除了系统函数、 base64 编码通讯外，还存在 int_set(“display_errors",0" ） . 为

Webshell 流量特征之一。

还可以监控 ifconfig whoami ipconfig 等关键命令，这是获得 Webshell 后基本，

上都会执行的命令。

5.SQL查询异常流量分析的思路？

数据库短时间内查询增多有可能遭遇到了【扫描】或者【 sql 注入测试】，可以

结合流量分析工具进行研判。

【 select 】和【 union 】为数据库查询语句特征，当这两者数量出现次数较多而

且差异较小可能存在 SOL 注入漏洞或正在被扫描器扫描，可监控这两个关键字，

但还需要进一步查看具体请求参数。如： 1) 使用 wireshark 打开抓取后的流量

包， 2) 对于抓取到的数据包筛选出 HTTP 协议包，在统计处筛选出短时间内流量

较大的 IP 。

尝试定位一些基本的注入特征（ select 、 union 、（）、 /* 、 sleep 等）。

6.批量检查http服务？

方法一：直接使用 nmapsV.py 工具即可，用法为 python3 nmapsV.py

ip.txtresult.txt 。

方法二：使用 nmap 工具扫描，带上 -sV 参数进行版本识别即可，将待检测的 IP 地

址 / 地址段添加进 ip.txt 文件中。使用命令 nmap -sV -il ip.txt-oA OUTPUT --no

stylesheet, 扫出来的结果导出 nmap 文件，使用 nampReport 工具得出结果。

兔子tozi

关注

19
点赞
踩
12

收藏

觉得还不错? 一键收藏
1
评论
网安面试题

11
复制链接

扫一扫