记一次蓝初HVV面试

最新推荐文章于 2024-06-07 17:51:45 发布
最新推荐文章于 2024-06-07 17:51:45 发布
阅读量1.8k 收藏 41
点赞数 30
文章标签: 面试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74271951/article/details/137866019
版权

ps(视频面 ,面得那叫一个一言难尽,这些是后续又进行了总结。 本人小白,不对请批评指正!)

1.天眼等安全设备使用的一些问题,一些基本语法  日志查看

日志检索语法:由“字段名称”  “项”  “运算符” 三大元素组成

eg:sip:"10.16.16.13" AND dip:"10.16.17.52"

范围查询:[ ] 和运算符 to构成

eg: ip范围:["192.168.200.0" to "192.168.200.5"]

2.天眼如何判断是误报还是真实攻击?

先查看告警,分析攻击ip是内网ip还是外网ip

1.若是内网ip,查看告警流量包中有无明显恶意请求,比如请求包中有whoami和ipconfig等,内网服务器极有可能失陷,ip立即上报研判组人员。

 还有内网本身系统可能存在业务逻辑问题 上交研判人员跟客户确认,还要判断攻击ip在此告警的时间段附近有没有操作过   攻击来源ip地址是否已知为恶意ip地址,查询黑白名单验证。

2.  外网ip 将请求包和响应包进行对比,分析requests中有无payload,分析payload的具体类型,查看response是否做出了对应的响应。             

3.shell地址如何排查攻击入口

1.审查shell日志:检查系统日志文件,(/var/log/auth.log/var/log/secure、var/log/message)查找异常登录或登录失败信息

2.检查ssh配置:检查ssh配置文件,(/var/log/auth.log/var/log/secure)确认是否有不安全的配置。

3.审计用户活动,用last和w命令查看最近用户登录和谁在线

4.检查可疑进程 ps -aux

5.检查恶意文件(find命令)

6.使用安全扫描工具查看系统是否被感染(chkrootkit)

7.使用netstat 查看开放的端口,ss查看网络连接

8.入侵检测系统:使用 fail2ban 等服务来监视登录尝试,并在达到阈值时屏蔽IP地址。

4.反弹shell的流量特征

5.java反序列化

字符串转化为java对象

ObjectOutputStream类的writeObject()可以实现序列化

ObjectInputStream类的readObject()可以实现反序列化

java反序列化漏洞产生原因大多是产生反序列化时没有被校验,或者校验采用黑名单方式又被绕过,最终使包含恶意代码的序列化对象在服务器端 被反序列化执行。

如何发现java反序列化漏洞?

1.流量中有序列化关键字,ac ,ed 0c,05   rO0AB(为前者经过base64编码得到)

2.Java RMI的传输100%基于反序列化,Java RMI的默认端口是1099

3.查看源码,被序列化的类一定实现了Serializable接口

4.观察反序列化时的readObject()方法是否重写

6.勒索病毒  (触发条件 )

勒索病毒特征是磁盘文件被加密,一旦完成勒索,则文件无法恢复, (重装系统)这类病毒主要以预防为主,打补丁。装杀软,做备份,防钓鱼。  

触发条件:  

邮件附件 网页挂马 服务器入侵 移动截止传播(u盘,硬盘)远程桌面协议(RDP) 网络共享   系统或软件漏洞(勒索病毒可能利用系统或软件的安全漏洞进行传播和执行,如利用永恒之蓝(EternalBlue)漏洞进行传播的WannaCry勒索病毒)

7.挖矿病毒

最大特征:CPU占用率过高

分析:

1.登录网站服务器,查看进程是否异常,

2.看异常进程,选择可疑的服务项,停止服务,

3.查看计划任务是否可疑

中挖矿如何处理?

1.首先查看cpu占用情况,windows下点任务管理器 linux下ps -aux 查看进程分析,

2.top分析算力,含有矿池服务器的流量就是挖矿病毒。

3.记住进程名,然后去搜集一些相关信息

4.kill进程,删掉程序

最后对服务器进行完整化扫描,防止木马再次被写入。

8.sql注入的一系列东西

原理 分类

天眼中sql注入告警分析:

1.查看请求包合响应包,比如请求包中有sql语句,请求包中有执行成功的回显(有数据库版本)那么sql注入执行成功。

9.堆叠注入 和宽字节注入

堆叠注入

堆叠顾名思义就是多条sql语句一起执行  

在sql中(;)标志着一个语句的结束,攻击者利用在结束一个sql语句后继续构造下一个语句。

局限性:可能受到API或数据库引擎的限制,或者由于权限不足而无法执行某些操作。

宽字节注入

代码层与数据库层的编码不一致,并且宽字节本身有“吞”ASCII字符的现象。

在 SQL 注入时,尝试使用单引号 ' 逃逸时,发现被代码层自动加上了转义符号 \,变成了 \',\编码是%5c, 在后面加上%df变成%df%5c,变成了一个有多个字节的字符,因为使用GBK编码,使这个为一个两字节,绕过了单引号闭合,逃逸了转义。

10.xss 

原理 分类  (存储型,反射性,DOM型的区别)

Cai菜努力学技术
关注
2023护网蓝初面试题汇总
m0_74131821的博客
05-18 1911
日薪1000+的护网行动开始招人了,有想法的速看!
hvv面试.md
04-10
hvv面试.md
hvv面试+通用面试
10-08
hvv面试+通用面试
HVV面试的总结(超级详细)
06-03
HVV面试宝典
hw蓝队初级的一次面试(基础)
always_green的博客
04-04 3616
攻击者构造的攻击链接传给服务端执行造成的漏洞。有的大型网站在web应用上提供了从其他服务器获取数据的功能(比如获取别的网站的tittle等信息的)。使用户指定的URL web应用获取图片,下载文件,读取文件内容(这些东西都是外网访问不到的内网资源)。攻击者利用有缺陷的web应用作为代理攻击远程和内网的服务器(跳板)。XSS(Cross-Site Scripting)跨站脚本。CSRF:跨站请求攻击(XSRF)他还问了一个端口忘了是啥了透。SSRF:服务端请求伪造。
2024HVV蓝队初级面试合集(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
05-21 2007
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔和资料,不懂编程也能听懂、看懂这些资料。
HVV蓝初面试题总结
bfq666666的博客
06-11 1069
1.失效的访问控制2.加密机制失效3.注入(包括XSS和SQL注入等)4.不安全设计5.安全配置错误6.自带缺陷和过时的组件7.身份识别和身份验证错误8.软件和数据完整性故障9.安全日志和监控故障10.服务端请求伪造SSRF。
2024 HW蓝初面试
weixin_55762309的博客
05-22 1020
HVV面试题基础
2023年HW蓝队面试
04-26
#### 一、HVV的分组与流程 在网络安全领域,“护网行动”(HVV)是一项重要的实战演练活动,旨在检验和提升网络防御能力。HVV活动通常分为红队与蓝队两大阵营,其中红队扮演攻击者的角色,而蓝队则是防守方。 - **...
2022最新Hvv面试精华版,应急,研判,面试题库
06-09
SQL注入是一种常见的网络安全威胁,其核心原理是攻击者通过在应用程序的用户输入字段中插入恶意SQL代码,使得这些代码被应用程序误认为是合法的查询语句的一部分,从而导致数据库的敏感信息泄露、数据篡改或服务器被...
蓝队面试必看---蓝初百题斩(5万字版)
黑战士的博客
07-03 526
蓝初百题斩(5万字版) Windows 入侵排查思路? 收集信息:收集与系统安全相关的信息,包括日志文件、进程列表、网络连接、系统配置等。 分析信息:对收集到的信息进行分析,确定异常行为和潜在威胁。 确认威胁:确认系统存在威胁,并确定其类型和程度。 阻止攻击:采取相应的措施,尽快阻止攻击并减少损失。 恢复系统:对受到攻击的系统进行恢复,确保其正常运行。 具体来说,可以采取以下几种方法进行入侵排查: 使用防病毒软件:定期使用防病毒软件扫描系统,及时发现并清除潜在的威胁。 定期更新系统:定期更新系统和安全补丁,
小白蓝初面试题结
weixin_64683116的博客
06-04 459
护网蓝初面试
hvv蓝初 看完可去 面试可用 面经
小司机的奥拓
10-23 436
开始检测漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等。这类漏洞经常出现在用户评论的页面,攻击者精心构造XSS代码,保存到数据库中,当其他用户再次访问这个页面时,就会触发并执行恶意的XSS代码,从而窃取用户的敏感信息。设备报警,SQL注入的报警,能看到攻击时间,攻击ip,payload,如何判断是误报还是真是攻击,如果是真实攻击,怎么判断他攻击是否成功,如果成功怎么处理。
一次蓝初面试失败经历(不算很基础的问题)
weixin_65232438的博客
04-16 1281
推荐小白同学看看,欢迎各位大佬提出宝贵的意见
2023蓝初HW面试小结
m0_64375973的博客
06-23 2088
2023蓝初HW面试
我的2023年护网蓝队面试题(一面)
qq_63217130的博客
05-13 6748
我的2023年蓝初面试经历(一面)
使用态势感知设备如何区分告警是否为误报
weixin_44214275的博客
08-05 3140
1、挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量2、一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多IP的进行攻击用流量监测的安全设备,比如天眼,查看报文,分析报文里和 host 和网站目录路径,查看是否可疑,使用微步查询 host 是否为恶意,使用 wireshark 对数据包深度分析看一下请求的网站路径,源 IP 与目的 ip 地址,host 字段的值以及发包内容等。工具有 wearshark,网站的话微步在线。
天眼全流量系统的详细说明
热门推荐
m0_73803866的博客
09-27 1万+
奇安信天眼新一代威胁感知系统(以下简称“天眼”) 汇集流量传感器、文件威胁鉴定 器、邮件告警、奇安信天堤防火墙、网神云锁等多种告警数据,基于奇安信自有的多维度 海量互联网数据,进行自动化挖掘与云端关联分析,提前洞悉各种安全威胁,并向客户推 送定制的专属威胁情报;同时结合部署在客户本地的软、硬件设备,奇安信天眼能够对未 知威胁的恶意行为实现早期的快速发现,并可对受害目标及攻击源头进行精准定位,最终 达到对入侵途径及攻击者背景的研判与溯源;
hvv常见漏洞之上传漏洞
最新发布
Crazy_Stone_liu的博客
06-07 228
我写的较为简单,更为详细的请见另一个博主。
hvv面试题 struts2
04-07
HVV 面试中,可能会涉及到 Struts2 相关的问题。以下是一些常见的 Struts2 面试题及其答案: 1. 什么是 Struts2? Struts2 是一个基于 MVC(Model-View-Controller)设计模式的 Web 应用框架,它通过将应用程序...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cai菜努力学技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值