去面HVV蓝队面试了_hw问内存马

作者：正经夜光杯 | 2024-07-20 09:53:07

踩

hw问内存马

前言

今天给大家分享HW面试蓝队经验。希望能对小伙伴们有所帮助。

1、windows defender防御机制原理，如何绕过？

答：Windows Dedender使用病毒定义和启发式来捕捉危险程序。

使用自定义加密绕过静态分析
部分函数不会触发动态扫描（运行时分析）

2、卡巴斯基进程保护如何绕过进行进程迁移？

答：通过蓝屏获得memory.dmp绕过卡巴斯基通过蓝屏绕过卡巴斯基的内存保护抓取密码使用RPC控制lsass加载SSP

3、fastjson不出网如何利用？

答：内存Webshell命令执行回显（回显在HTTP响应中）

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
org.apache.tomcat.dbcp.dbcp2.BasicDataSource
1
2

4、内存马的机制？

答：1.servlet-api型

通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的controller内存马，tomcat的valve内存马

2.字节码增强型

通过java的instrumentation动态修改已有代码，进而实现命令执行等功能。

5、shiro漏洞类型，721原理，721利用要注意什么？

答：Shiro组件漏洞主要分为两种类型，一种是java反序列化造成的远程代码执行漏洞，另一种是身份验证绕过漏洞。

721：Shrio所使用的cookie里的rememberMe字段采用了AES-128-CBC的加密模式，这使得该字段可以被padding oracle 攻击利用。攻击者可以使用一个合法有效的rememberMe 的cookie作为前缀来实施POA，然后制造一个特制的rememberMe来执行Java反序列化攻击。

这个漏洞比较鸡肋的地方就是需要获取合法用户的rememberMe，如果配合XSS之类的也许效果更加，并且在利用时Shiro采用的是Collection3.2.1需要搭配相应的paylaod。

6、拿到webshell不出网情况下怎么办

答：reg上传去正向连接。探测出网协议，如dns，icmp

8、常见的未授权访问漏洞有哪些？

7、WAF和IPS的区别

答：IPS位于防火墙和网络的设备之间，防火墙可以拦截底层攻击行为，但无法有效应对应用层的深层攻击。IPS是对防火墙的补充，综合能力更强；WAF是工作在应用层的防火墙，主要对web请求/响应进行防护。

8、如何分辨钓鱼邮件？

答：钓鱼邮件一般具有以下特征：以公司某部门的名义，使用正式的语气，内容涉及到账号和密码等敏感信息，带有链接或附件，制造时间紧迫感。

如何排除钓鱼邮件：查询发件IP是否为恶意IP，确认邮件的发件人和内容是不是正常的业务往来；

可以将邮件中的附件放到沙箱里检查是否存在问题；

有的邮件称是别的邮箱代发，甚至是qq或者163等个人邮箱，基本上就是钓鱼邮件

9、无法连接3389的情况？

答：a.3389端口处于关闭状态

b.远程桌面默认端口号已被修改

c.防火墙拦截

d.处于内网环境

e.超过了服务器最大连接数f.管理员设置了权限，指定用户才能通过3389端口进行远程桌面访问

10、蓝队常用的反制方法有哪些？

答：

a.蜜罐

b.对攻击目标进行反渗透（IP定位、IP端口扫描、Web站点渗透）

c.应用漏洞挖掘&利用（菜刀、Goby、Xray、蚁剑）

d.id->社交特征关联

e.钓鱼网站->后台扫描、XSS盲打

f.木马文件->同源样本关联->敏感字符串特征检测

11、木马驻留系统的方式有哪些?

答：1、注册表2、服务3、启动目录4、计划任务5、关联文件类型

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）