HW蓝队面试分享

lurker   ·   发表于 2021-03-31 18:02:27   ·   面试经验分享

这几天一直在看相关hw资料,把课程的技术内容都看了几遍,但是突然接到hw面试还是有些慌。
简单分享一下面试内容。
问:做过资产梳理嘛
您说的是信息搜集这块嘛
问:类似于信息收集
主要就是对目标站点找真实Ip、子域名 、旁站、什么系统、开放的端口、服务这些
问:用过什么工具呢
nmap、hydra密码爆破、nessus等(突然有点懵,其他的没想起来)面试小姐姐也是可能有点忙,就直接问下一个问题了
问:那网页显示500是什么原因呢
这个我有点记不得了,我知道200是正常,404访问失败,这块的话就那几个数字,有些记不清了
问:IDS IPS设备有了解过嘛
(上午刚看过IDS IPS资料和一些漏洞复现的技术文章,但是对于设备这块有点懵逼)
最近看的比较多的是应急和溯源方面的东西,Linux安全加固找到资源了还没来得及看,正准备看呢,我了解过一些IDS IPS原理,但是对具体的设备没了解过
问:就是懂原理对吧
嗯嗯
问:那文件包含呢
主要就是Include函数,现在的话可能不会直接就包含一个木马文件,可能会利用file_put_contents()函数重写一个,有一些跳板,不会直接就获取到4
(这里本来想说一下XXE的,但是不想给自己挖坑了,就没说)
问:好的,那密码爆破怎么识别呢
同一个ip对同一个位置多次发包,这个容易看出来
问:我们是蓝队主要分析包的,对于Http包这块呢,除了GET POST还有什么包头
还有COOKIE HEADER REQUEST(差点没想起来REQUEST)
问:怎么识别攻击包呢
比如头部是OPTIONS这个包头,一般游客是不会用这个包头的,这种很大可能就是攻击包
还有一些比如XSS攻击关键字,一句话木马的包,有eval assert这种关键字眼的,可以容易发现是攻击者发的包
问:代码执行了解嘛
主要是几个关键函数,比如eval assert preg_replace create_function 回调函数
我复现过回调函数,preg_replace的话,如果满足条件,可以直接执行.php木马文件
问:中间件漏洞有了解嘛
这块的话我没复现过,但是了解不少这块的内容,比如shiro(学好英语的重要性,虽然过了六级,好长时间不用了还是不得劲,读不出来好尴尬)
通过返回包发现rememberMe这个关键值,如果等于Delectme就有可能触发,还有关系weblogic(上午刚看过一些技术文章,但是有些忘了,没复现记不住太多)
问:我刚听你说的应该是JAVA反序列化,你对反序列化也懂一些嘛
懂一些,我复现过变量覆盖、反序列化、命令执行、越权支付漏洞这些(可能有些多小姐姐没听清又重复了一遍)
问:怎么识别文件上传呢
这个问题我有一点懵,然后我就说我懂文件上传的原理
比如大小写绕过,00截断,图片马,二次渲染 ;/截断,ntfs隐藏之类,您这个问题让我有点绕,我懂文件上传原理并且复现过
问:那关于一些中间件文件上传呢,有没有了解
(这块开始有一些小尴尬,还是自己知识面太窄了),我刚才说的 ;/截断就是IIS6.0解析漏洞,上传一个图片马,后缀为.jpg;,php,服务器不会检测;后面内容,以为是图片,这样就绕过了,还有CGI,也是存在漏洞的话,上传图片马,/.php就执行了
问:关于最新的解析漏洞呢,有没有了解
这块的话,我了解的不多
问:主要还是之前的一些漏洞是吧
嗯嗯,上午看靶场有组件漏洞,想复现一下,但是没权限,需要社区币

基本上就这么多了,360的hw蓝队面试,不知道能不能通过,希望可以过了满足一下护网的小心愿嘛,不然只能直接去工作了。

总结一下,还是该多逛逛安全论坛和社区,实战经验太重要了,最近报名了SRC但是没挖,有些遗憾。技术原理还得多看多复现多实操,不然想找到一份满意的工作有点难了,自己心理上就有一些虚。

用户名金币积分时间理由
Track-聂风 60.00 0 2021-04-01 16:04:19 hw面试

打赏我,让我更有动力~

1 条回复   |  直到 2022-4-13 | 976 次浏览

lurker
发表于 2021-4-1

感谢风哥,可以去复现中间件漏洞了

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.