青藤云HW面试

青藤云HW初级面试(北京升鑫网络科技有限公司)

问:一个红队拿到了一台服务器的权限,红队拿到了服务器权限之后,怎么去做横向拓展?

emmm,上来就问红队,答了一些权限维持的姿势

问:通信维持有哪些方法?

不会

问:Linux这块熟悉吗?

熟悉

问:计划任务的查看命令是什么?

crontab -l,crontab -e

问:查看文件的最后100行?

tail -n

tail -100

问:Linux系统端口连接的一些命令有哪些?

netstat -ant

问:Webshell工具的特征?

基本全答了,面试官对我印象还行。

冰蝎 2.0 强特征是 accept 里面有个 q=.2

冰蝎 3.0 Content-Type: application/octet-stream

冰蝎 4.0 ua头 referer头 accept 默认aes128 秘文长度16整数倍

蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头

哥斯拉 pass 字段

菜刀流量存在一些特征字 eval base64

AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段

Nessus 扫描器的特征:nessus 字段

cs 50050端口、心跳包

问:现在如果你在客户现场,发现有一台主机被拿下,告警中,现在你要去溯源,溯源思路是什么样子的?

先隔离,然后进服务器进行备份,然后查毒,检查系统敏感目录有没有被做过手脚,并结合日志分析。

然后处理,恢复最近的一次快照,确定入侵的手法,溯源,查IP。做好记录,写好预案。

总结:

一开始问的红队的知识,估计多半是为了区分初级和中级,自己还是有很多地方没学好。

posted @ 2023-07-07 11:04  Qsons  阅读(189)  评论(0编辑  收藏  举报