2024蓝队HW面试题收集（持续更新）

00.前言

24年HW在即，各家厂商也都进入到了面试环节，我特此整理了这一篇HW面试相关的题目，供各位师傅参考。部分题目来自网络，如有侵权烦请告知，我会立即删除并致歉。谢谢！

一.项目相关面试题

简单自我介绍

面试官您好，我是xxx，目前在xxx公司担任xxxxxx，之前做过xxx项目，我熟练掌握kali中工具的使用。

HW的分组和流程

1. 分组

   护网行动的参与者一般分为以下几组：

   • 红队（攻击组）

     • 负责模拟外部黑客攻击。
     • 通过各种手段，如网络钓鱼、漏洞利用、社会工程学等，测试蓝队的防御能力。

   • 蓝队（防御组）

     • 负责防御红队的攻击。
     • 主要任务是检测、响应和修复攻击行为，并确保系统的正常运行。
     • 一般分为初级监测组，中级研判组， 高级应急溯源组

流程

        一般开始前会进行资产梳理，并通过漏洞扫描，渗透测试以及基线检查等做一些自查，一是 可以减少暴漏面，二是减少一些风险点。有些厂商还会利用几天的时间进行一次内部演练，及时发现疏 忽处并进行相应整改；

说一下用过的相关安全产品

天眼、ngsoc、天擎、椒图、奇安信防火墙、青藤万象、深信服态感、绿盟sip等

如果客户和项目经理意见不一致听谁的

 优先听项目经理的，项目经理和客户意见相左的话，让项目经理去和客户沟通

客户问了一些你也不会的问题怎么办

先稳住客户，根据自己的经验尽量答一些，然后可以和客户说去查一下之前的工作记录，尽量拖，给自己充足的求助时间

有没有src的排名

根据自己的情况如实回答

有cve/cnvd吗

如实回答

有没有挖过洞

如实回答，如果真没挖过，就说试着去挖过，但没有审核过

在hw中有什么难忘的经历或者取得过哪些成绩

根据自己的简历回答

工作人员说有告警，但天眼没有显示告警，这是怎么回事？

可以见探针搜索一下告警，可能是告警信息存在一定的延迟。也可能是因为合并规则将原有告警覆盖掉了

客户有每天大批量告警怎么处理

进行策略优化，误报排查

天眼能否识别到代理，如果攻击者挂了很多层代理，在天眼中你如何识别出真实IP？

可以，看XFF

edr检测原理

和探针的原理一样，依据自身的情报库规则库检测库做特征检测匹配生成告警

有哪些威胁情报平台

微步，奇安信等

二.渗透相关面试题

基础漏洞原理

SQL注入：开发人员对前端页面输入的内容没有做好严格过滤，导致前端用户可以将恶意的sql语句拼接到正常的sql语句带入后台数据库得以执行，从而达到攻击的目的。

XSS：网站/程序对前端用户的输入过滤不严格，导致攻击者可以将恶意的js/html代码注入到网页中，当其他用户浏览这些页面时，就会执行其中的恶意代码。

XXE：称为外部实体注入漏洞。XXE漏洞的形成主要是程序在解析XML文档输入时，没有禁止外部实体的加载，导致可加载外部的恶意文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站。

文件上传：应用程序存在上传功能，但是上传的文件没有经过严格的合法性校验或者校验函数存在缺陷，导致可以上传木马文件到服务器。

文件包含：程序开发人员一般希望代码更灵活，所以将被包含的文件设置为变量，用来进行动态调用，文件包含函数加载的参数没有经过过滤或者严格的定义，可以被用户控制，包含其他恶意文件，导致了执行了非预期的代码。从而导致客户端可以调用一个恶意文件，造成文件包含漏洞。

SSRF：形成的原因多是服务端提供了从外部服务获取数据的功能，但没有对目标地址、协议等主要参数进行过滤和限制，从而导致攻击者可以自由构造参数，发起恶意请求。

CSRF：利用网站对于用户网页浏览器的信任，挟持用户当前已登陆的Web应用程序，去执行并非用户本意的操作

RCE： RCE（Remote Code Execution）漏洞是指攻击者可以在远程系统上执行任意代码，从而完全控制该系统的漏洞。这种漏洞通常是由于输入验证不充分或其他安全问题导致的。

PHP反序列化：函数unserialize()以及一些常见的魔术方法，比如构造函数_construct()，析构函数_destruct()，_wakeup()，_toString()，_sleep()等等。如果这些函数在传递参数时没有进行严格的过滤措施，那么攻击者就可以构造恶意代码并将其序列化后传入函数中，从而导致反序列化漏洞。

HTTP状态码

200：客户端请求成功，是最常见的状态
302：重定向。
404：请求资源不存在，是最常见的状态。
401：请求未经授权。
400：客户端请求有语法错误，不能被服务器所理解。
403：服务器收到请求，但是拒绝提供服务
500：服务器内部错误，是最常见的状态。
503：服务器当前不能处理客户端的请求，一段时间后可能恢复正常。

常见服务端口号 

20：FTP服务的数据传输端口
21：FTP服务的连接端口，可能存在  弱口令暴力破解
22：SSH服务端口，可能存在 弱口令暴力破解
23：Telnet端口，可能存在 弱口令暴力破解
25：SMTP简单邮件传输协议端口，和 POP3 的110端口对应
43：whois服务端口
53：DNS服务端口(TCP/UDP 53)
67/68：DHCP服务端口
69：TFTP端口，可能存在弱口令
80：HTTP端口，常见web漏洞
88：Kerberos协议端口
110：POP3邮件服务端口，和SMTP的25端口对应
135：RPC服务
137/138： NMB服务
139：SMB/CIFS服务
143：IMAP协议端口
161/162: Snmp服务，public弱口令
389：LDAP目录访问协议，有可能存在注入、弱口令，域控才会开放此端口
443：HTTPS端口，心脏滴血等与SSL有关的漏洞
445：SMB服务端口，可能存在永恒之蓝漏洞MS17-010
512/513/514：Linux Rexec服务端口，可能存在爆破
636：LDAPS目录访问协议，域控才会开放此端口
873：Rsync ，可能存在Rsync未授权访问漏洞，传送门：rsync 未授权访问漏洞
1080：socket端口，可能存在爆破
1099：RMI，可能存在 RMI反序列化漏洞
1352：Lotus domino邮件服务端口，可能存在弱口令、信息泄露
1414：IBM WebSphere MQ服务端口
1433：SQL Server对外提供服务端口
1434：用于向请求者返回SQL Server使用了哪个TCP/IP端口
1521：oracle数据库端口
2049：NFS服务端口，可能存在NFS配置不当
2181：ZooKeeper监听端口，可能存在 ZooKeeper未授权访问漏洞
2375：Docker端口，可能存在 Docker未授权访问漏洞
2601:   Zebra ，默认密码zebr
3128:   squid ，匿名访问（可能内网漫游)
3268：LDAP目录访问协议，有可能存在注入、弱口令
3306：MySQL数据库端口，可能存在 弱口令暴力破解
3389：Windows远程桌面服务，可能存在 弱口令漏洞 或者 CVE-2019-0708 远程桌面漏洞复现
3690：SVN服务，可能存在SVN泄漏，未授权访问漏洞
4440：Rundeck，弱口令admin
4560：log4j SocketServer监听的端口，可能存在 log4j<=1.2.17反序列化漏洞（CVE-2019-17571）
4750：BMC，可能存在 BMC服务器自动化RSCD代理远程代码执行(CVE-2016-1542)
4848：GlassFish控制台端口，可能存在弱口令admin/adminadmin
5000：SysBase/DB2数据库端口，可能存在爆破、注入漏洞
5432：PostGreSQL数据库的端口
5632：PyAnywhere服务端口，可能存在代码执行漏洞
5900/5901：VNC监听端口，可能存在 VNC未授权访问漏洞
5984：CouchDB端口，可能存在 CouchDB未授权访问漏洞
6379：Redis数据库端口，可能存在Redis未授权访问漏洞，传送门：Redis未授权访问漏洞
7001/7002：Weblogic，可能存在Weblogic反序列化漏洞，传送门：Weblogic反序列化漏洞
7180：Cloudera manager端口
8000：JDWP，可能存在JDWP远程代码执行漏洞。
8069：Zabbix服务端口，可能存在Zabbix弱口令导致的Getshell漏洞
8080：Tomcat、JBoss，可能存在Tomcat管理页面弱口令Getshell，JBoss未授权访问漏洞，传送门：Tomcat管理弱口令页面Getshell
8080-8090：可能存在web服务
8089：Jetty、Jenkins服务端口，可能存在反序列化，控制台弱口令等漏洞
8161：Apache ActiveMQ后台管理系统端口，默认口令密码为：admin:admin ，可能存在CVE-2016-3088漏洞，传送门：Apache ActiveMQ任意文件写入漏洞（CVE-2016-3088）
9000：fastcgi端口，可能存在远程命令执行漏洞
9001：Supervisord，可能存在Supervisord远程命令执行漏洞(CVE-2017-11610)，传送门：Supervisord远程命令执行漏洞(CVE-2017-11610)
9043/9090：WebSphere，可能存在WebSphere反序列化漏洞
9200/9300：Elasticsearch监听端口，可能存在 Elasticsearch未授权访问漏洞
10000：Webmin-Web控制面板，可能存在弱口令
10001/10002：JmxRemoteLifecycleListener监听的，可能存在Tomcat反序列化漏洞，传送门：Tomcat反序列化漏洞(CVE-2016-8735)
11211：Memcached监听端口，可能存在 Memcached未授权访问漏洞
27017/27018：MongoDB数据库端口，可能存在 MongoDB未授权访问漏洞
50000：SAP Management Console服务端口，可能存在 运程命令执行漏洞。
50070：Hadoop服务端口，可能存在 Hadoop未授权访问漏洞
61616：Apache ActiveMQ服务端口，可能存在 Apache ActiveMQ任意文件写入漏洞（CVE-2016-3088）复现
60020：hbase.regionserver.port，HRegionServer的RPC端口
60030：hbase.regionserver.info.port，HRegionServer的http端口 

TCP三次握手和四次挥手

1.三次握手

1. 第一次握手：客户端向服务器发送一个 SYN（同步）标志的数据包，请求建立连接。
2. 第二次握手：服务器收到客户端发送的 SYN 数据包后，会发送一个 SYN+ACK（同步+确认）标志的数据包，表示已收到客户端的请求，并同意建立连接。
3. 第三次握手：客户端收到服务器发送的 SYN+ACK 数据包后，会向服务器发送一个 ACK（确认）标志的数据包，表示已收到服务器的确认，连接建立成功。

2.四次挥手

1. 发起端发送一个FIN报文，表示自己已经没有数据要发送了，但是仍然可以接收数据。
2. 接收端收到FIN报文后，发送一个ACK报文作为回应，表示已经收到发起端的FIN报文。
3. 接收端发送一个FIN报文，表示自己已经没有数据要发送了，并且已经全部接收完发起端的数据。
4. 发起端收到FIN报文后，发送一个ACK报文作为回应，表示已经收到接收端的FIN报文，并进入TIME_WAIT状态，等待2MSL（最长报文段寿命）时间后才结束连接。

OSI七层模型 

物理层 数据链路层 网络层 传输层 会话层 表示层 应用层 

 内存马有哪些类型

内存马是一种在受感染的主机内存中运行的恶意软件。一般来说，内存马可以分为以下几种类型： 注入型内存马：通过利用漏洞将恶意代码注入到正常进程中，从而在内存中运行。

自执行型内存马：将恶意代码写入自启动项，启动后自动运行。 进程注入型内存马：

利用进程注入技术，在受感染进程的内存中运行恶意代码。

Hook型内存马：利用Windows API的Hook机制，修改进程中的关键函数，从而运行恶意代码。

shiro反序列化漏洞原理？ 

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的 cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列 化RCE漏洞那么，Payload产生的过程： 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie 值在整个漏洞利用过程中，比较重要的是AES加密的密钥如果没有修改默认的密钥那么就很容易就知道密钥了

shiro550与shiro721的区别： 

1、这两个漏洞主要区别在于Shiro550使用已知密钥碰撞，只要有足够密钥库（条件较低），不需要 Remember Cookie

2、Shiro721的ase加密的key基本猜不到，系统随机生成，可使用登录后rememberMe去爆破正确的key 值，即利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀，然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击 

Fastjson反序列化漏洞

漏洞产⽣的原因是fastjson在解析json过程 中，⽀持使⽤autoType来实例化某⼀个具体的类，并调⽤该类的set/get⽅法来访问属性。通过查找代码中相关 的⽅法，即可构造出⼀些恶意利⽤链。

Log4j2命令注入漏洞 

Log4j2远程代码执行漏洞本质上为JNDI注入。当我们在任何输入框里面输入这个payload，那么log4j2就会将我们的输入的信息记录到日志中，在记录日志的时候会间接的调用log4j2 的 MessagePatternConverter 组件中的 format 方法。该方法会截取美元符和花括号之间的字符串，将该字符作为查找对象的条件。如果字符是 jndi:ldap 这样的协议格式则进行jndi方式的 ldap 调用。通过JNDI这个接口传入一个可控参数，因为JNDI动态协议转换，所以我们传入ldap协议，就会自动换成这个协议，然后调用lookup去LDAP服务器端去获取一个不存在的资源，因为这个资源不存在，且支持JNDI Naming Reference，那么LDAP就会去他指定的一个url去动态加载。如果加载的这个资源里面包含无参构造函数或者静态方法那么代码就会被执行。 

Tomcat任意文件上传

1. Tomcat管理界面的默认配置是允许PUT和DELETE方法请求。
2. PUT方法请求可以用于上传文件。攻击者可以使用PUT方法将恶意JSP文件上传到Tomcat服务器上。
3. Tomcat将上传的文件保存在webapps目录下。如果攻击者上传了包含恶意代码的JSP文件，攻击者就可以通过访问这个JSP文件来执行任意代码。
4. 由于Tomcat管理界面没有身份验证，攻击者可以轻松地上传和部署恶意JSP文件，从而利用该漏洞。

Jboss反序列

1. Jboss应用服务器中的某些组件对外提供了反序列化接口，这些组件包括：jboss-common-core、jboss-remoting、jboss-as-jmx等。
2. 攻击者可以通过构造恶意序列化数据，伪造合法的序列化对象，并将其发送给Jboss服务器。服务器在反序列化数据时，会执行其中包含的代码，从而达到攻击者想要的任意代码执行效果。
3. 由于Jboss默认情况下未对反序列化数据进行安全检查，攻击者可以利用该漏洞在服务器上执行任意代码，包括读取或删除敏感文件、修改系统配置等恶意操作。

Weblogic未授权命令执行

该漏洞是由Weblogic中的一个组件（wls9_async_response）的缺陷导致的。攻击者可以向该组件发送特制的HTTP请求，将攻击者自己的恶意代码写入到Weblogic服务器的临时文件夹中（比如/tmp目录），并且通过相应的请求可以触发服务器上的一个漏洞，进而执行恶意代码。 

文件上传怎么绕过

推荐看一下我这篇文章文件上传绕过方法总结(入门必看)-CSDN博客

黑盒测试的话，可以先根据后端语言去跑一遍后缀名字典，然后去尝试各种方法，例如变换大小写，空格绕过，插入各 种特殊字符像%00、单引号、换行符等等 

csrf跟ssrf区别 

csrf 一是客户端发起，ssrf是从服务端发起的 

SSRF用哪些协议、函数，怎么绕过，修复 

file、dict、ldap、gopher，可以利用curl函数、file_get_contents()函数、fsockopen()

绕过：使用短网址、进制转换、302跳转、DNS重绑

修复：禁止不需要的协议、设置URL白名单、统一返回信息、限制请求的端口 

 SQL注入类型

根据闭合符分类：数字型、字符型、搜索型
根据传参位置分类：POST型、GET型、cookie、referer、UA头、XFF
根据利用手法分类：联合查询注入、布尔盲注、时间盲注、报错注入、dnslog注入、宽字节注入、二次注入、堆叠注入

webshell上传成功的特征

首先响应码为200，然后可以看回显，是否回显上传成功后文件的路径，然后可以试着访问一下这个文件，看看是否解析

php的命令执行的函数有哪些

system，passthru()，exec()，pcntl_exec，shell_exec()函数，反引号``

webshell常见的后缀名有哪些

.asp  .php  .aspx  .jsp

burp和xary如何联动

burp设置下游代理 xray监听对应ip和端口

如果是盲xxe，你会怎么利用

用dnslog打回显，或者用自己的vps监听端口，外带数据

如果发现有一个webshell通信行为，你会怎么做 

隔离受害主机，封禁攻击ip，排查有无横向，研判webshell的行为是什么，然后杀毒

HTTP常用请求方法

PUT（上传）、GET（向服务器请求）、POST（提交数据）、HEAD（不回显），options

Linux和Windows的安全日志文件在什么地方

linux：var/log。

windows：Windows/system32/winevt/log

mysql提权可以通过什么方式 

UDF提权：用户自定义函数；MOF提权：windows server 2003及以下系统每5秒会执行一次mof目录下的文件 

fastjsion不出网怎么打？

 攻击方法apache-BCEL，直接传入字节码不需要出网就可执行恶意代码但是需要引入tomcat的依赖，在实际攻击中还算是比较常见的。

利用sqlmap写webshell需要具备什么前提条件

1、root权限；

2、知道web目录；

3、secure_file_priv配置为空

同源策略和非同源策略的区别

同源策略是一种保护用户安全的机制，而非同源策略则是在特定场景下为了允许跨域资源交互而采取的安全机制。

黄白票据的区别 

1.访问权限不同
黄金票据 伪造TGT,可以获取任何Kerberos服务权限 
白银票据 伪造ST,只能访问指定的服务，白银票据的权限就远不如黄金票据的权限
2.加密方式不同
黄金票据 由Kerberos的NTLM Hash加密 
白银票据 由服务账号(通常为计算机账户)NTLM Hash加密，更加隐蔽
3.认证流程不同
黄金票据 利用过程需要访问域控DC
白银票据 不经过KDC，因此白银票据日志相对于黄金票据会更少，同时白银票据的日志都在目标服务器上，域控上不会有日志  

 三.流量分析面试题

AWVS流量特征

1. 扫描目录的时候会默认请求含有awvs关键字的目录

2. 请求包里含有Acunetix-Aspect:等关键字段

3. CONNECT方法请求代理服务器去访问目标站点（www.acunetix.wvs:443）

4. header头中的Accept字段设为acunetix/wvs（为了去验证是否存在敏感信息

或者是否存在注入漏洞）

5. wvs字段

NMAP流量特征

1.大量的建立连接的请求和大量的失败的信息

2.攻击端口为大端口

3.Agent头中有NmapScriptingEngine

4.含有sqlspider字段（进行sql注入扫描的特征）

CS流量特征

1、http-beacon通信中，默认使用get方法向/dpixel、/__utm.gif、/pixel.gif等地址发起请求，同 时请求头存在cookie字段并且值为base64编码

2、dns-beacon通信中，默认使用cdn.、www6.、api.、www.、post.为开头发起dns请求，并且查询结 果伴随0.0.0.0、0.0.0.80、0.0.0.241等非常规IP

3、心跳包间隔一定时间，均有通信，且流级上的上下行数据长度固定

4、常见User-Agent：Cobalt Strike通常使用自定义的User-Agent字符串，例如Mozilla/5.0 (Windows NT 10.0; Win64; x64) Cobalt Strike

5、命令和控制流量：Cobalt Strike的HTTP请求中可能包含与C2服务器通信的命令和控制信息，这些信息 在正常的Web请求中不会出现。

 蚁剑流量特征

1、请求体都存在以@ini_set("display_errors","0");@set_time_limit(0)开头；

2、并且响应体的返回结果是base64编码发混淆字符，格式为：随机数 结果 随机数；

3、还有一个比较明显的特征，即为参数名大多以“_0x.....=”。

菜刀特征 

默认的webshell中链接密码都是caidao，ua头为百度爬虫、请求体中存在eavl，base64等特征字符 响应包中包含X@Y、php的webshel中流量参数z0、z1、z2

冰蝎2.0流量特征

建立连接后 所有请求 **Cookie的格式都为: Cookie: PHPSESSID=; path=/；** 静态分析： 各种语言的webshell中都会存在**16位数的连接密码**，默认变量为key 

 冰蝎3.0流量特征

1、使用AES加密 + base64编码,取消了2.0的动态获取密钥，使用固定的连接密钥；

2、默认内置 16 个 user-agent，content-type为application/octet-stream*

3、content-type字段常见为application/octet-stream。

  冰蝎4.0流量特征

1、每次连接使用本地端口都是比较大的端口，每连接一次，每建立一次新的连接，端口就依次增加；

2、请求头和响应头里会带有 Connection：Keep-Alive。

哥斯拉流量特征 

不修改User-Agent，User-Agent会类似于Java/1.8.0_121（具体什么版本取决于JDK环境版本）

在请求包的Cookie中有一个非常致命的特征，最后的分号 标准的HTTP请求中最后一个Cookie的值是不应该出现;的

请求包的特征：1. “pass=”起始 2. 请求包较长 响应包为0 3. 一个tcp包里面有三个http

响应包特征： 整个响应包的结构体征为：md5前十六位+base64+md5后十六位 

struts2漏洞执行命令流量分析 

1. 在请求头中存在OGNL表达式，一般在url中会出现的攻击特征主要是:.action?method | ? redirect:$ 在conten-type中出现的攻击特征主要有:%{#context 、在报文体中出现的攻击特征主要 有:#_memberAccess 等

2. 判断请求中是否包含特定的 Struts2 关键字，如"method:"、"redirect:"等，这些关键字可能是用 于执行命令的操作；

3. 检查请求中是否包含"Content-Type"头字段，并且值为"application/x-www-formurlencoded"，这是 Struts2 框架默认的 Content-Type 值，用于处理 POST 请求；

4. 检查请求参数中是否包含OGNL表达式，如"${}"、"%{}"等字符；

5. 检查请求是否包含一个名为"class"的参数，值为"java.lang.Runtime"，这个参数可以用于执行系 统命令 

shiro反序列化漏洞流量分析

1. 在HTTP请求头Cookie里出现rememberMe字段以及可能出现自定义类型例如c: aWQ=，响应体中出现大 量编码字符串，若需要判断是否攻击成功，需对请求数据和响应体内容进行解密判断

2. 检查请求头中的"rememberMe" cookie。攻击者可能会在此处插入恶意序列化数据

3. 观察服务器响应。如果服务器返回了异常错误信息，如Java反序列化异常，可能表明攻击成功分析应用程 序日志:如果日志中出现了异常堆栈跟踪，可能表明攻击成功例如，攻击者发送了一个包含恶意序列化数据的 请求，服务器响应了一个包含Java反序列化异常的错误信息这可能表明攻击成功。

Fastjson反序列化漏洞流量分析

1.请求头：method: POST content_type: application/json

2.请求体：data:com.sun.rowset.JdbcRowSetImpl,dataSourceName,@type

3.请求体: 包含攻击者C2服务器地址

4.状态码为：400 也可能是500

5.通过态势感知平台进行回溯分析，在分析中心输入语法：(sip:(失陷服务器IP) OR sip:(攻击者 C2IP)) AND (dip:(失陷服务器IP) OR dip:(攻击者C2IP)) 

JBOSS 反序列化漏洞分析 

1.在访问JBOSS漏洞页面/invoker/readonly后，返回值为500

2.请求体有llections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行 为比如whoami

3.在返回500 堆栈报错页面内容中包含了系统返回内容 比如系统用户：root 

 frp代理流量特征是什么

流量特征：
    代理名"proxy_name":"http_proxy"
    "run_id":

Log4j2流量特征

会有JNDI的字样，且后面是含有恶意域名的

分块传输流量特征

有数字和数字对应数量的字符