2024hvv2

1. 菜刀、蚁剑、冰蝎、哥斯拉流量特征
  a. 菜刀：一句话；payload明文传输，url+base64；
payload带eval/assert/base64_decode这样的字符，
payload有默认固定的&z0=QGluaV9zZXQ开头，base64解密后可以看到代码
  b. 蚁剑：assert/eval，带有base64编码解码的字符特征
抓包看每个请求体都是@ini_set("display_errors","0");@set_time_limit(0)开头
我们去除混淆字符进行base64解码，解码后响应体返回结果的格式：随机数 解码后的结果 随机数，观察payload可看攻击行为
参数名_0x开头  “_0x.....=”这种形式（下划线可能为其他）
  c. 冰蝎
    ⅰ. 冰蝎2.0：AES+base64，动态获取密钥，UA头频繁切换
    ⅱ. 冰蝎3.0：AES+base64，固定密钥，请求时UA头频繁切换
且Content-Type=application/octet-stream
webshell都有“e45e329feb5d925b” 一串密钥
    ⅲ. 冰蝎4.0
UA头频繁切换
弱特征如Accept、Content-Type
连接的端口有特征，大端口49700左右
使用长连接：Connection：Keep-Alive
有固定的响应头和请求头：请求字节头：dFAXQV1LORcHRQtLRlwMAhwFTAg/M ，响应字节头：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
默认时，冰蝎 webshell都有“e45e329feb5d925b” 一串密钥
  d. 哥斯拉：webshell动态生成
jsp会出现xc、pass字符和Java反射(ClassLoader，getClass().getClassLoader())，base64加解码等特征
UA和Accept字段弱特征，攻击者可去除或修改
Cookie最后有个分号
响应体数据特征，把一个32位的md5字符串按照一半拆分，分别放在base64编码的数据前后，即“md5前16位+base64+md5后16位”
2. EDR有大量的内网扫描告警，防守怎么应急
  a. 判断扫描源头，是通过dmz打进来还是钓鱼
  b. 如果是dmz--->排查webshell、隧道、横向
3. 域控被打穿如何排查
  a. 加固krbtgt hash、钻石蓝宝石
  b. acl策略改写
  c. 排查是否存在域控伪造
  d. ssp注入
  e. 高权限域用户--dcsync
  f. 看约束性委派、非约束性委派、基于资源的约束性委派
4. web是192.168.1.2的机子，经研判192.168.3.4被上线CS，如何应急
  a. 首先就是看他跟3.4通不通，如果本身就是通的他直接能打
  b. 如果不通，就检查多网卡主机，攻击者可能跳板打隧道过去的
5. TCP三次握手
6. XFF是干什么的
X-Forwarded-For——获取用户ip
7. 401 403 301 500
401：代码层驳回，禁止访问，越权越不了
403：中间件禁止访问
301：永久重定向
500：服务器不知道如何处理
8. sql注入的二次注入原理
第一次写进去，第二次把数据库中的数据拿出来利用
比如用户我们写进去一个admin6永真，然后去用这个admin6用户登录，密码随便输
9. sql注入堆叠注入
;一个命令执行两个sql命令
10. sql注入的读写应用条件
my.ini：
secure_file_priv=''	空或NULL
11. sql注入修复/防御
预编译、PDO、waf过滤
12. get和post请求的区别
get长度限制
13. xss和csrf的区别
xss：跨站脚本攻击——骗用户
csrf：跨站请求伪造——骗服务器
14. 执行函数有什么
15. xxe盲注利用方法有哪些
16. 有没有挖过漏洞
自己讲
17. 有哪些中间件框架漏洞
tomcat nginx weblogic spring
18. p开头的什么反序列化
phar——一个php伪协议的
19. 外连怎么判断
  a. 设备大量告警
  b. 提取外连ip，上微步查
20. 正反向代理的区别
正向是客户端搭的去访问
反代比如nginx，是卡在服务器和客户端之间，客户端无察觉，访问服务器其实是走了反代然后转发给服务器的
21. 内网提权
MS14-068、补丁漏洞、土豆家族、计划任务
22. 用过什么设备
雷池waf
23. 怎么判断dnslog盲注判断成功
外带数据
24. 溯源反制
AWVS10、冰蝎2.0RCE、CS4.7 XSS RCE、Goby老版本RCE、蜜罐
25. win的dos和linux命令
dos不就是windows命令吗
26. Windows Linux查看进程命令
netstat -ano
ps -aux
27. 流量分析问题
wireshark抓包、看hex编码
28. 识别cs，哥斯拉冰蝎的流量特征
  a. cs：HTTP请求url Checksum8解密特征
HTTPS证书特征
Get /cx POST /q.cgi
client hello的JA3，server hello包的JA3S
  b. 哥斯拉
  c. 冰蝎
    ⅰ. 2.0
    ⅱ. 3.0
    ⅲ. 4.0
29. 内存马
  a. 在这个马子生效流程中，跳过文件转换和编译过程，直接加载到JVM运行时内存
  b. 关机就杀
  c. 解决不出网
30. 钓鱼邮件
钓不到我
31. 客户问技术型问题，要是不会怎么解决
客户还能问到你不会的？
32. 客户和经理同时给发了任务，这时候冲突了，听谁的，做谁的
听项目经理的