本文汇总了 2023 年网络安全 HW 行动中蓝队岗位的面试常见问题,涵盖设备误报处理、扫描流量识别、Webshell 处置、日志分析方法、主流安全设备原理(IPS/IDS/WAF 等)、系统加固策略、渗透工具(CS/MSF)使用、SQL 注入原理及 Windows 应急响应流程。内容旨在帮助求职者梳理安全知识体系,掌握实际操作技能与理论基础。
安全设备产生的误报是日常运维中常见的问题,处理流程通常分为外网和内网两种场景:
在日志分析中,区分自动化扫描与人工操作至关重要:
发现 Webshell 后应立即启动应急响应流程:
面对海量日志,直接人工阅读效率极低,应采用以下方法:
IPS 是对防病毒软件和防火墙的补充。它能够监视网络或网络设备的网络数据传输行为,能够即时中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为,属于主动防御设施。
IDS 是一种积极主动的防护措施。它按照一定的安全策略,通过软件或硬件对网络、系统的运行进行实时监控,尽可能地发现网络攻击行为。IDS 主要侧重于告警,通常不直接阻断流量。
防火墙位于两个或多个网络之间,实行网络间访问控制的一组组件集合(硬件或软件)。它隔离网络,制定不同区域之间的访问控制策略,控制不同信任程度区域间传送的数据流。
该系统是对数据库访问行为进行监管的系统。通过镜像或探针方式采集所有数据库的访问流量,基于 SQL 语法、语义解析技术,记录对数据库的所有访问和操作行为(如用户 IP、账号、时间、操作内容等),满足合规要求。
日志审计系统通过主被动结合手段,实时不间断地采集用户网络中不同厂商的安全设备、网络设备、主机、操作系统及应用系统产生的海量日志。汇集到审计中心进行集中存储、备份、查询、审计、告警,并出具报表报告,获悉全网整体安全态势,满足等保关于安全管理中心日志保存时间大于 6 个月的要求。
针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(如登录某些平台必须通过堡垒机)。同时具备账号集中管理、单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。
基于漏洞数据库,通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测系统。注意:针对 WEB 站点扫描的工具与此处的漏洞扫描系统概念有所区别,后者更偏向主机层面。
以大数据平台为基础,收集多元、异构的海量日志,利用关联分析、机器学习、威胁情报、可视化等技术,帮助用户持续监测网络安全态势,实现从被动防御向积极防御的进阶。
集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR 等功能于一体。兼容不同操作系统和计算机平台,帮助客户实现平台一体化、功能一体化、数据一体化的终端安全立体防护。
WAF 是以网站或应用系统为核心的安全产品。通过对 HTTP 或 HTTPS 的 Web 攻击行为进行分析并拦截,有效降低网站安全风险。产品主要部署在网站服务器前方。通过特征提取和分块检索技术进行模式匹配,达到过滤、分析、校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或阻断无效或非法的攻击请求。
蜜罐是一种安全威胁的主动防御技术。它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者,捕获攻击流量与样本,发现网络威胁,提取威胁特征。蜜罐的价值在于被探测、攻陷,从而获取攻击者信息。
系统加固是提升服务器安全基线的关键步骤,主要包括以下几个方面:
passwd -l <用户名> 命令锁定用户,-u 解锁;限制普通用户使用 sudo 提权,或限制提权权限大小;锁定系统中多余的自建账号;设置账户锁定登录失败次数及时间,使用 faillog -u <用户名> 命令管理。/etc/login.defs。compmgmt.msc)。iptables 封禁 IP 或限制端口。chmod 修改文件权限。chattr +i 设置不可修改权限,防止被篡改。/var/log/messages,Cron 日志 /var/log/cron,安全日志 /var/log/secure。CS 是一款渗透测试工具,分为客户端与服务端架构。Linux 服务端是一个,Windows 客户端可以有多个,可用于团队分布式协同操作。主要用于授权的红队演练或安全测试。
CS 集成了端口转发、服务扫描、自动化溢出、多模式端口监听、Windows EXE 木马生成、DLL 木马生成、Java 木马生成、Office 宏病毒生成、木马捆绑、钓鱼攻击等功能。
一般使用步骤如下:
WAF 分为非嵌入型 WAF 和嵌入型 WAF。
Web 应用防火墙是通过执行一系列针对 HTTP 或者 HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。其核心原理包括特征匹配、行为分析、虚拟补丁等,用于拦截 SQL 注入、XSS、命令执行等常见 Web 攻击。
PowerShell 是 Windows 环境所开发的 shell 及脚本语言技术,主要用于 Windows 计算机方便管理员进行系统管理和自动化运维。
常见的操作命令包括:
pwd:显示当前路径。ls / dir:列出目录内容。cd:切换目录。mkdir:创建目录。rmdir:删除目录。
此外,PS 还支持强大的对象处理和脚本编写能力,常用于批量管理、日志分析和自动化任务。MSF 是一款渗透工具,以及开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。MSF 可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。
包括木马免杀、抓取用户密码、关闭杀毒软件、屏幕截图、新建账号、远程登录、迁移进程、提权操作、网络嗅探、端口转发、内网代理、内网扫描、生成后门、清除日志等等。
secure_file_priv 设置允许导出。
满足以上条件后,就能用 select into outfile 写入 Webshell。sqlmap -u "http://127.0.0.1/index.php?page=user-info.php&username=a'f'v&password=afv&user-info-php-submit-button=View+Account+Details" -p 'username' --file-write="shell.php" --file-dest="/tmp/shell.php"
注意:实际环境中请确保拥有合法授权,仅用于安全测试。
连接过程中使用 base64 编码对发送的指令进行加密,其中两个关键 payload z1 和 z2,名字都是可变的。然后还有一段以 QG 开头,7J 结尾的固定代码。这种特征容易被 WAF 或流量分析系统识别。
默认的 user-agent 请求头是 antsword xxx,不过可以修改。一般将 payload 进行分段,然后分别进行 base64 编码,一般具有像 eval 这样的关键字,然后呢大概率还有 @ini_set("display","0"); 这段代码。蚁剑支持多种插件,流量特征较为灵活,需结合行为分析检测。
lusrmgr.msc 查看本地用户管理器,检查是否有新增的异常管理员账号或隐藏账号。taskmgr 任务管理器或 services.msc 服务管理器,检查 CPU/内存占用异常的进程,以及未签名的服务。msconfig 系统配置工具,检查启动项中是否有异常程序。netstat -ano 查看活跃连接,发现异常的外联 IP 或端口。网络安全蓝队工作涉及监控、响应、加固等多个环节。面试中不仅考察对工具的使用,更看重对安全原理的理解、应急处理的逻辑以及对法律法规的遵守。建议在实际工作中积累实战经验,熟悉各类安全设备的配置与调优,保持对最新威胁情报的关注,不断提升自身的防御与对抗能力。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online