青藤云HW初级面试(北京升鑫网络科技有限公司)
问:一个红队拿到了一台服务器的权限,红队拿到了服务器权限之后,怎么去做横向拓展?
emmm,上来就问红队,答了一些权限维持的姿势
问:通信维持有哪些方法?
不会
问:Linux这块熟悉吗?
熟悉
问:计划任务的查看命令是什么?
crontab -l,crontab -e
问:查看文件的最后100行?
tail -n
tail -100
问:Linux系统端口连接的一些命令有哪些?
netstat -ant
问:Webshell工具的特征?
基本全答了,面试官对我印象还行。
冰蝎 2.0 强特征是 accept 里面有个 q=.2
冰蝎 3.0 Content-Type: application/octet-stream
冰蝎 4.0 ua头 referer头 accept 默认aes128 秘文长度16整数倍
蚁剑是 ua 有 answord 蚁剑的加密特征是以 "0x.....="开头
哥斯拉 pass 字段
菜刀流量存在一些特征字 eval base64
AWVS 扫描器的特征 :主要是看请求包中是否含有 acunetix wvs 字段
Nessus 扫描器的特征:nessus 字段
cs 50050端口、心跳包
问:现在如果你在客户现场,发现有一台主机被拿下,告警中,现在你要去溯源,溯源思路是什么样子的?
先隔离,然后进服务器进行备份,然后查毒,检查系统敏感目录有没有被做过手脚,并结合日志分析。
然后处理,恢复最近的一次快照,确定入侵的手法,溯源,查IP。做好记录,写好预案。
总结:
一开始问的红队的知识,估计多半是为了区分初级和中级,自己还是有很多地方没学好。