关于hvv蓝队面试的这档事

我们在蓝队面试时难免会因为准备不充足甚至忘记一些简单的命令是什么样的，就例如面试时可能会被问到如何打开查看系统账户环境变量、注册表等问题，在Windows系统中，最好的回答是使用什么命令打开，但是我都是Windows系统了，那我就直接回答在搜索输入我们要找的东西如何打开它。理清思路、冷静分析是面试成功的基础，学习巩固知识、准备充足是面试成功的唯一道路。

下面是一些常见的蓝队面试问题以及思路让大家一起学习进步。

被上了webshell应该怎么办？

1.定位shell位置，如使用D盾或河马进行扫描

在遇到被挂webshell的情况，首先要确定shell的位置。最简单有效的方法就是直接上类似于河马、

D盾等工具进行扫描查找。如果遇到攻击者进行流量隐藏扫不出来，可以使用多种工具进行扫描。

例如：僵尸网络查杀工具、挖矿病毒巡查工具、火绒、360等都可以用于扫描发现。

2.查看事件和web日志，定位webshell的创建时间

首先运行对话框中输入“eventvwr.msc”或者通过控制面板的管理工具进入，最直接的方法是在搜索框输入“事件查看器”。

其在事件查看器中，选择“Windows日志”下的“安全”。安全日志记录了系统的安全相关事件，包括登录尝试、权限更改等。

在安全日志中，可以使用筛选器来查找特定类型的事件。对于webshell的创建，通常会关注ID4688（进程创建）和事件ID4624（账户登录）。这些事件可能会记录到webshell文件的创建时间和创建者信息。

web日志文件通常位于服务器的系统目录下，例如在Windows系统中，日志文件可能位于C:\Windows\system32\LogFiles。日志文件的名称通常包含日期信息，例如W3SVC1\aaaa.log,其中aaaa代表年月日。

我们可以使用文本编辑器或专门的日志分析工具打开日志文件。在日志文件中，查找与webshell创建相关的记录。例如，如果指导webshell的文件名或url，可以搜索这些关键字来找到相关的服务记录。

最后在找到的记录中，查看“时间”字段，这通常表示请求到达服务器的时间。如果webshell这是通过上传文件的方式创建的，那么第一次访问该文件的记录很可能就是其创建时间。

3.进行系统排查，查看是否有可疑用户、隐藏用户、克隆用户、影子用户

Windows系统查看是否有可疑账户新增账户。

操作方法：按下Win+R键，输入“usrmgr.msc",查看有没有新增加用户。

查看是否有隐藏用户克隆用户。

第一步：win+r打开运行窗口，输入“regedit”打开注册表编辑器。

二：选择“HKEY_LOCAL_MACHINE/SAM/SAM"，默认无法查看。

三：右击SAM，权限，选择当前用户（一般是Administrator），将权限勾选为完全控制，然后确定并且关闭注册表。

四：选择“HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users"

五：在Names项下可以看到实例所有用户名，查看管理员登录时间，用户名有没有存在异常

4.排查进程、服务、驱动、模块、启动项

排查进程：

可以通过任务管理器查看当前正在运行的进程，也可以使用命令“tasklist”查看所有正在运行的进程。

排查服务：

可以通过服务管理工具查看当前正在运行的服务，也可以使用命令“service.msc”查看所有服务。

排查驱动：

可以通过设备管理器查看当前系统中安装的所有驱动程序。

排查模块：

可以通过系统信息工具（Msinfo32）查看当前系统中加载的所有模块。

查看启动项：

可以通过系统配置工具（msconfig）查看当前系统的启动项。

如果内网中有台主机断网了怎么办？

1.确认是否真的断网

让用户确认是否无法上网、无法访问内网服务，还是某个服务出问题。

操作尝试：ping网关地址；ping外网地址；使用远程工具连接该主机；查看是否是权限或账号限制导致“看似断网”。

2.本机网络排查

查看网卡状态；检查IP地址：ipconfig/all；测试连通性：ping网关、traceroute或tracert某个地址；

检查DNS配置是否异常；检查本地防火墙是否封堵流量（如iptables -L）。

3.网络设备侧排查

登录接入交换机，查看该端口状态：

命令如display interface brief（华为）或show interfaces（思科）。

检查MAC地址表中是否还能看到该机器的MAC地址。

查看ARP表，确认是否有还能解析到对应IP。

确认是否是端口down、电缆松动、VLAN配置错误。

检查是否有ACL（访问控制列表）误封。

4。安全系统排查（重点）

被EDR或NAC封禁：可能因病毒行为、流量异常被自动隔离(如打开vpn）。

被IPS/WAF/防火墙策略封掉访问权限。

集中管控策略推送错误，导致该主机被锁死网络策略。

查看日志平台、集中告警平台是否有提示：如“主机异常通信被封”、“终端中病毒被隔离”等。

5.恢复方法

根据原因恢复：修复本机配置；请求网管恢复交换机端口；调整策略/白名单。

IPS与IDS的区别？

IDS基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用IPS解决了IDS无法阻断的问题，基本上以在下模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。

IDS主要用于被动检测入侵行为，发出告警，不会主动阻断，而IPS在IDS基础上增加了主动阻断功能，比如可以丢包、终止连接。IPS一般部署在网络通路中，实时防御能力更强，但配置更复杂、风险更高。

IPS：入侵防御系统，是电脑网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。eg：深信服：安全网关；华为防火墙；绿盟科技的入侵检测系统，天融信：topsec；山石网科：山石云界

IDS：入侵检测系统，专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

eg：启明星辰：天珣入侵检测系统；安恒信息：明御；奇安信：网神；永中网络：入侵检测系统；腾讯云安全：云镜

如何判断设备误报？

流量回溯与复现：

利用安全设备的流量回溯功能，查看触发告警的原始流量数据。尝试复现流量场景，观察是否能再次触发告警，并验证其是否为真正的攻击行为。

沙箱测试：

将可疑文件或流量样本提交到沙箱环境中进行测试，观察其行为是否表现出恶意特征。沙箱测试有助于隔离真实攻击与误报行为。

威胁情报查询：

利用威胁情报平台查询告警中涉及的IP地址、域名等信息，确定其是否为已知恶意源。威胁情报平台提供了丰富的恶意行为数据和攻击模式，有助于快速识别误报。

日志综合分析：

结合多种日志来源（如网络日志、系统日志、应用日志等）进行综合分析，观察是否存在于告警相关联的异常行为模式。日志综合分析有助于发现潜在的安全事件，并验证告警的真实性。

设备厂商支持：

如果无法确定告警的真实性，可以向安全设备的厂商寻求支持。厂商通常具有专业的技术支持团队与丰富的经验，能够提供有针对性的建议和解决方案。

研判做哪些工作？

研判组的工作是对设备组上传的事件进行研判，判断攻击IP来源是哪个机房，是不是内部的ip；判断事件的类型，比如是注入、远程执行还是恶意文件上传等；判断受攻击主机是否有代理行为，看看是否有可疑进程，对主机的文件进行扫描以查询是否有木马，对样本进行全流量报文获利数据包分析，确定攻击事件，交给应急处理组。整理如下：

确定来源，确定攻击类型，确定是否为攻击行为，确定攻击路径，确定攻击的后果；

如已经到哪个地步，可能和已经产生的危害；

研判组交一个完整的报告给应急响应组进行响应，反制组提供证据进行反制。

设备组则是查看设备的告警，分析是否误报，将含有恶意流量的事件上报给研判组。

封禁组负责封禁攻击者的恶意IP（现在几乎看不见这么一个单独的组了）

应急响应组负责对攻击事件进行响应，查看事件带来的后果，对主机进行应急，排查后门等。

溯源组负责对攻击者的信息进行溯源，如日志，攻击IP，溯源到攻击者的身份即可加分！需注意，日志查看，客户沟通，全流量设备分析（全流量采集与保存，全行为分析以及全流量回溯）。

中了勒索病毒怎么办？

隔离系统：

在客户同意的情况下，马上下线隔离中招的主机吧，避免影响到内网中其他的机器。

备份为加密数据：

在断网后，应立即备份所有未加密的数据，以防病毒进一步加密或删除这些数据。

使用杀毒软件扫描：

使用最新的杀毒软件对系统进行全面扫描，以检测和清除勒索病毒。如果杀毒软件无法清除病毒，可以考虑使用专门的反勒索软件工具，例如：Bitdefender Antivirus Plus ,Malwarebytes Anti-ransomware,Kaspersky Anti-ransomware Tool, Trend Micro Security ,Avast Antivirus,Zemana Antimalware。

联系专业技术人员：

如果以上步骤无法解决问题，应立即联系专业人员进行协助。他们可以提供专业的技术支持和解决方案。

不支付赎金：

通常情况下，不建议支付赎金，因为这可能会鼓励更多的勒索行为，并不能保证支付赎金后就能恢复数据。

对OWASP 10的了解？

1.注入
包括但不限于SQL注入、cookie注入、xxe注入等，都是开发者忽略了客户端对数据库的恶意代码拼接读取造成的危害。导致攻击者执行任意sql语句获取权限

2.失效的身份认证和会话管理
SSO单点登录，cookie相关信息显示在url内或是未经允许即可访问部分或全部用户信息。

3.跨站脚本语言攻击(XSS)
跨站脚本语言，经常发生在输入框、留言板、评论区等输入框，存在三种分类：反射性、DOM型、存储型。常见的攻击盗取Cookie、钓鱼等

4.不安全的对象直接引用
类似于常见的业务逻辑漏洞，越权访问其他人账号信息等。

5.跨站请求伪造(CSRF)
CSRF跨站请求伪造：通过模拟真实页面信息让用户点击访问，可直接对用户进行操作。

6.安全错误配置
管理员对服务器配置不当，开启了不应该开启的配置，导致存在的大部分敏感信息泄露。

7.限制URL访问失败
用户通过简单的修改url内post或者get请求参数即可达到超级访问。

8.未验证的重定向和转发
302或301直接跳转到用户自己想访问的网站。如网站管理员禁止403页面，跳转功能可用于钓鱼。

9.应用已知脆弱性的组件
应该携带漏洞插件。

10.敏感信息泄露
将用户身份证或手机号直接在网页显示。

上面这些问题和知识只是常见的类型，并不能涵盖全部，希望在一定程度上对读者有帮助！

如果有出现错误，请大佬们指正！