hvv面试题3

1. 以前有参加过吗
  a. 天眼——流量传感器、分析平台、文件沙箱
常见协议字段+搜索语法
    ⅰ. 布尔运算符AND OR NOT
通配符? *，匹配特殊符号的时候前面加/
范围查询：TO
    ⅱ. 检索日志：在分析平台有日志检索
    ⅲ. 协议字段：attack_sip攻击ip、alarm_sip受害者ip、attack_type攻击类型、is_web_attack（标记告警是否为web告警，0否1是）、hazard_level威胁级别
    ⅳ. 网络协议字段sip、dip、sport、dport（五元组：源目ip、源目端口、协议）
    ⅴ. TCP&UDP协议字段proto（协议）、uplink_length、downlink_length（上下行字节数）、src_mac、dst_mac（源目mac）、up_payload、down_payload（下下行100字节）
    ⅵ. HTTP协议，就是直接过滤请求方式就ok
还有method、uri、host、cookie、agent、referer、xff、data（POST的数据）
状态码也可搜索
重要的有xff：找真实ip，referer：溯源辅助,判断告警触发方式
    ⅶ. DNS协议：dns_type（dns访问类型，0请求1响应）、host、addr（A记录）、mx、cname
    ⅷ. SSL协议：版本号version、session_id（会话id）、server_name（服务器名字）、notafter（证书有效期）、public_key（证书公钥）
    ⅸ. 文件传输协议：proto、uri（传输的资源及路径）、host、status、method、file_name、file_md5、mime_type、referer
    X. 登录协议：proto、passwd、info（登录结果--成功就有问题）、user、db_type、normal_ret（登录或数据库操作结果，success就是有问题咯）
    Xⅰ. 邮件协议：proto、time、from、to、cc（邮件抄送人）、subject（主题）、attach_name（附件名称）、attach_md5（附件md5）、plain（邮件正文）
    Xⅱ. 数据库：user、db_name、db_type、ret_code（数据库操作返回的状态码）、sql_info（操作信息）
2. 注入有哪些
sql、xxe、ssti
3. sql注入哪些类型
……
4. sql时间盲注用的函数
sleep()、BENCHMARK(count, expression)
报错注入用的函数
extractvalue()、floor()、updatexml()
5. ssrf原理、能干什么
……
6. JWT
……
7. fastjson payload的特征
@type引用恶意类
8. fastjson这个@type在java中是啥
@type是fastjson库中的一个特殊注解，用于在json序列化和反序列化过程中指定对象的类型信息，确保在反序列化时将JSON字符串正确地映射到相应的Java对象上
9. shiro原理
……
10. shiro的key爆破成功有什么特征
响应包中不会出现rememberme=deleteme
11. struts2的特征
action do
12. sql注入成功了的特征
  a. 数据包的异常查询语句
  b. 错误信息返回
  c. 异常响应时间
  d. 数据库错误日志
  e. 系统行为异常
  f. 异常的数据交互
13. 文件上传成功了的特征
  a. 上传的后缀、类型，是服务器不允许的
  b. 文件名异常
  c. 看日志、有没有频繁上传、异常文件名称
  d. 上传后的文件可访问，可解析
  e. 上传文件大小超限
  f. 上传文件在服务器的存储位置不正确
  g. 应用程序异常
14. webshell管理工具的特征
……
15. 冰蝎3.0和4.0的区别
  a. 4.0加密算法更牛逼
  b. 4.0流量混淆和伪装
  c. 4.0更多的命令控制和功能，比3.0特征更多
  d. 通信频率和模式不同，心跳包不同
  e. 数据传输的隐蔽性
  f. 4.0连接端口是大端口
16. 命令执行设备告警，怎么排除是误报
  a. 看命令具体执行情况
  b. 审查日志有没有异常行为和异常命令执行记录
  c. 确认payload的来源，如果是外面未知来源，并且可能绕过了检测，那就是了（被防火墙waf啥的阻止了的就不是了）
  d. 看具体的系统，漏洞利用的可能性，它的脆弱性，不是0day的话，全网搜索确实存在就可能是真的，如果脆弱性很低，那是误报的概率就大
17. 内打内如何排查
  a. 对发起攻击的内网主机进行检查，看是通过dmz打进来的还是钓进来的，排查攻击者打的隧道，内网横向的痕迹
  b. 网络流量监控，看看是否存在异常的通信模式
  c. 看IDS和IPS的告警、日志
  d. 漏扫一波
  e. 检查防火墙和安全软件的日志，看有没有阻止过的恶意行为记录
  f. 应急：隔离攻击的主机，清除恶意软件，打补丁，恢复数据和系统，调查和溯源，通报沟通
18. 负载均衡的告警如何判断ip
如果攻击 IP 是负载均衡器的地址，可以尝试查看负载均衡器的日志，以确定哪个后端服务器处理了请求。
还可以检查网络设备的日志，如防火墙或路由器，它们可能记录了原始的源 IP 地址。
19. 应急响应模拟题：服务器被上传了webshell怎么排查/10w字代码被写入了webshell怎么排查
  a. webshell
    ⅰ. 审查服务器文件系统，看有没有奇怪的文件，后缀
    ⅱ. 检查一波日志，看看有敏感文件名的http请求
    ⅲ. 发现可疑文件就检查一波内容
    ⅳ. 检查服务器进程/端口，可能已经被连了，那就会产生进程/占用端口
    ⅴ. 已经被连了的话还可以看一波管理工具的特征
  b. 10w字
    ⅰ. 首先肯定判断webshell的存在，搜索这个创建后门的代码，eval什么的，或者是调用系统命令的地方
    ⅱ. 然后确认这个webshell的来源，是写进日志要被包含呢，还是通过正常上传但被做了点免杀，这就又要看一些设备拦截记录
    ⅲ. 看文件变更记录，创建时间、修改时间
    ⅳ. 扫描整个文件系统
    ⅴ. 监控流量，webshell的恶意操作
    ⅵ. 彻底清除恶意代码
20. 内网提权
  a. MS14-068、内核提权
  b. 打印机提权
  c. 委派提权
  d. 系统错配提权
  e. 计划任务
  f. 土豆
  g. linux提权
  h. 数据库提权：udf、mof、mssql
21. 直接问应急响应
22. 直接问溯源反制