青藤云HW面试

青藤云HW初级面试（北京升鑫网络科技有限公司）

问:一个红队拿到了一台服务器的权限，红队拿到了服务器权限之后，怎么去做横向拓展？

emmm，上来就问红队，答了一些权限维持的姿势

问：通信维持有哪些方法？

不会

问：Linux这块熟悉吗？

熟悉

问:计划任务的查看命令是什么？

crontab -l,crontab -e

问:查看文件的最后100行？

tail -n

tail -100

问:Linux系统端口连接的一些命令有哪些？

netstat -ant

问:Webshell工具的特征？

基本全答了，面试官对我印象还行。

冰蝎 2.0 强特征是 accept 里面有个 q=.2

冰蝎 3.0 Content-Type: application/octet-stream

冰蝎 4.0 ua头 referer头 accept 默认aes128 秘文长度16整数倍

蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头

哥斯拉 pass 字段

菜刀流量存在一些特征字 eval base64

AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段

Nessus 扫描器的特征:nessus 字段

cs 50050端口、心跳包

问:现在如果你在客户现场，发现有一台主机被拿下，告警中，现在你要去溯源，溯源思路是什么样子的？

先隔离，然后进服务器进行备份，然后查毒，检查系统敏感目录有没有被做过手脚，并结合日志分析。

然后处理，恢复最近的一次快照，确定入侵的手法，溯源，查IP。做好记录，写好预案。

总结:

一开始问的红队的知识，估计多半是为了区分初级和中级，自己还是有很多地方没学好。