0x22 360
来源:https://github.com/vvmdx/Sec-Interview-4-2023
说明:本文件按原面经问题整理答题要点,答案为面试复习口径。
1. shiro 如何绕 waf
参考完整回答(Shiro反序列化):
Shiro 经典反序列化漏洞通常出现在 rememberMe 功能。Shiro 会把序列化对象加密后放进 rememberMe Cookie,如果密钥是默认值或泄露,攻击者就能用这个密钥加密恶意序列化数据发给服务端,服务端解密后反序列化,触发 CommonsCollections 等 gadget 链。
我会回答形成原因是:客户端可控 Cookie、服务端自动解密反序列化、密钥弱或默认、环境中存在可用 gadget。修复包括升级 Shiro,使用随机强密钥,禁用不必要的 rememberMe,减少危险依赖,开启出网限制,并监控异常 rememberMe Cookie 长度、特征和反序列化异常。
2. weblogic 如果在打站的时候,一旦遇到了 waf,第一个 payload 发过去,直接被拦截了, ip 也被 ban 了,如何进行下一步操作
参考完整回答(WAF/IDS/误报):
WAF/IDS 误报多来自规则只看单个关键字、缺少业务上下文、参数位置不同、编码变化、正常运维脚本触发和资产类型差异。比如 mysql 执行 powershell 可能是运维脚本,也可能是入侵后的横向行为,不能只看一个命中点。
优化时我会做分层:高危明确攻击特征可以阻断;中低危先告警并结合频率、来源信誉、参数位置、响应码、命中规则数、登录态和资产重要性打分;对确定的正常业务加精确白名单,而不是大范围放行;持续把处置结果反馈到规则,形成闭环。
3. jboss 反序列化原理
参考完整回答(jboss反序列化原理):
这题我会这样完整回答:针对“jboss 反序列化原理”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
4. weblogic 反序列化原理,随便说一个漏洞,然后说触发原理
参考完整回答(weblogic反序列化原理随便说一个漏洞然后说触发原理):
我会选一个自己能讲清楚的漏洞,例如 SSRF。完整回答可以这样说:SSRF 是服务端请求伪造,入口通常是图片抓取、URL 预览、Webhook 或文件下载。如果后端直接请求用户传入的 URL,攻击者就可能让服务器访问内网地址或云元数据服务,比如 169.254.169.254,从而获取临时凭证或探测内网。我会先用普通外部 URL 验证服务端确实发起请求,再尝试回环地址、私有网段和跳转绕过,评估是否能访问敏感服务。修复上限制协议和端口,使用白名单,DNS 解析后校验 IP,禁止访问内网和保留地址,重定向后重新校验,并通过网络隔离限制服务端出网。
5. fastjson 怎么判断是不是有漏洞,原理是什么
参考完整回答(Fastjson):
Fastjson 的典型问题和 autoType 反序列化有关。攻击者提交带 @type 的 JSON,让 Fastjson 实例化攻击者指定的类;如果目标环境存在可利用 gadget,就可能触发 JNDI、setter、副作用方法或反序列化链,造成远程命令执行、SSRF 或敏感操作。
回答时可以说利用条件包括:目标使用受影响版本、开启或绕过 autoType、类路径中存在可利用类、输入 JSON 可控。修复是升级到安全版本,关闭 autoType,使用白名单而不是黑名单,避免对外部输入做任意类型反序列化;同时限制应用出网,减少 JNDI 类漏洞的利用成功率,并在日志中监控 @type、JdbcRowSetImpl、TemplatesImpl 等高危特征。
6. fastjson 判断漏洞回显是怎么判断的,是用 dns 做回显还是其他的协议做,为什么
参考完整回答(DNS安全):
DNS 的作用是把域名解析为 IP,常见过程是浏览器/系统先查缓存和 hosts,再问本地递归解析器,递归解析器从根、顶级域、权威 DNS 逐级查询并返回结果。安全问题包括 DNS 劫持、缓存投毒、域传送泄露、子域名接管、DNS 隧道、DGA 域名和解析记录暴露真实 IP。
防护上,权威 DNS 要关闭未授权 AXFR,合理配置解析记录和 TTL;重要域名开启 DNSSEC 能降低篡改风险;企业侧监控异常 DNS 查询、长随机子域名和 TXT 大流量;对子域名下线要同时回收云资源,避免子域名接管。
7. fastjson 高版本,无回显的情况,如何进行绕过,为什么可以这样绕过
参考完整回答(SQL注入绕过):
SQL 注入绕过通常是因为防护用了黑名单,比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代;过滤逗号时,MySQL 某些场景可以用 join、from for 或子查询改写。
但我在面试中会强调:绕过技巧说明黑名单不可靠,修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助,但不能代替代码层修复。
8. 代码审计,做过哪些,主流的代码审计 java 框架请简述
参考完整回答(Java代码审计):
Java 审计我会从路由和鉴权开始,看 Controller、Filter、Interceptor、Spring Security/Shiro 配置和权限注解是否覆盖所有接口。数据访问层重点看 MyBatis 的 ${} 拼接、JPA 原生 SQL、排序字段拼接和多租户条件缺失。危险能力方面看反序列化、Fastjson/Jackson、SpEL/OGNL、模板引擎、文件上传下载、SSRF、XXE 和第三方依赖 CVE。
举例来说,审 SQL 注入时我会搜索 MyBatis XML 里的 ${},确认参数是否来自请求;如果是 order by,我会要求白名单字段映射。审越权时会看接口是否从 token 中取用户身份,并校验资源 owner,而不是直接使用请求里的 userId。
9. 泛微,致远,用友这三套系统代码框架简述
参考完整回答(泛微致远用友这三套系统代码框架简述):
这题我会这样完整回答:针对“泛微,致远,用友这三套系统代码框架简述”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
10. 泛微的前台漏洞触发和后台漏洞触发,如何通用性的挖泛微的洞,泛微能反序列化吗, 怎么挖
参考完整回答(泛微的前台漏洞触发和后台漏洞触发如何通用性的挖泛微的洞泛微能反序列化吗怎么挖):
这题我会这样完整回答:针对“泛微的前台漏洞触发和后台漏洞触发,如何通用性的挖泛微的洞,泛微能反序列化吗, 怎么挖”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
11. php 代码审计如果审计到了一个文件下载漏洞,如何深入的去利用?
参考完整回答(文件下载):
文件下载漏洞通常是下载接口把 filename、path、url 等参数直接作为文件路径使用,导致攻击者通过 ../、绝对路径、编码绕过或软链接读取任意文件。常见可读目标包括配置文件、源码、数据库连接串、日志、/etc/passwd、SSH key、应用密钥和备份文件。
修复应该用文件 ID 映射真实路径,而不是让用户传路径;如果必须传路径,要规范化路径后检查是否仍在允许目录内,禁止 ../、绝对路径和软链接绕过;下载目录与敏感目录隔离;响应头只使用安全文件名;并对下载行为做鉴权和审计。
12. php 里面的 disable_function 如何去进行绕过,为什么可以绕过,原理是什么
参考完整回答(SQL注入绕过):
SQL 注入绕过通常是因为防护用了黑名单,比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代;过滤逗号时,MySQL 某些场景可以用 join、from for 或子查询改写。
但我在面试中会强调:绕过技巧说明黑名单不可靠,修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助,但不能代替代码层修复。
13. 假如说,在攻防的时候,控下来一台机器,但是只是一台云主机,没有连接内网,然后 也没有云内网,请问怎么深入的对这台云主机进行利用?
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
14. redis 怎么去做攻击,主从复制利用条件,为什么主从复制可以做到拿 shell,原理是什 么,主从复制会影响业务吗,主从复制的原理是什么?
参考完整回答(Redis漏洞):
Redis 常见安全问题是未授权访问和弱口令。如果 Redis 暴露在公网或内网可被攻击者访问,攻击者可能写入 SSH 公钥、写 WebShell、写计划任务,或者通过主从复制和模块加载达到命令执行。它本质上不是 Redis 单点漏洞,而是配置和网络暴露问题。
修复应包括:Redis 只监听内网或本机地址,不暴露公网;设置强密码和 Redis 6 ACL;rename 或禁用高危命令只是辅助;使用低权限用户运行 Redis;限制工作目录写权限;防火墙只允许业务主机访问;开启日志审计和异常命令监控。业务侧还要避免 SSRF 能直接访问 Redis。
15. becl 利用链使用条件,原理,代码跟过底层没有,怎么调用的?
参考完整回答(becl利用链使用条件原理代码跟过底层没有怎么调用的):
这题我会这样完整回答:针对“becl 利用链使用条件,原理,代码跟过底层没有,怎么调用的?”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
16. 假如我攻击了一台 17010 的机器,然后机器被打重启了,然后重启成功后,机器又打成 功了,但是无法抓到密码,为什么无法抓到,这种情况怎么解决这个问题?
参考完整回答(假如我攻击了一台的机器然后机器被打重启了然后重启成功后机器又打成功了但是无法抓到密码为什么无法抓到这种情况怎么解决这个问):
这题我会这样完整回答:针对“假如我攻击了一台 17010 的机器,然后机器被打重启了,然后重启成功后,机器又打成 功了,但是无法抓到密码,为什么无法抓到,这种情况怎么解决这个问题?”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
17. 内网我现在在域外有一台工作组机器的权限,但是没有域用户,横向也不能通过漏洞打 到一台域用户的权限,但是我知道一定有域,请问这种情况怎么进入域中找到域控?
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
18. jboss 反序列化漏洞原理
参考完整回答(jboss反序列化漏洞原理):
这题我会这样完整回答:针对“jboss 反序列化漏洞原理”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
19. 内网拿到了一台 mssql 机器的权限,但是主机上有 360,一开 xpcmdshell 就被拦截了, 执行命令的权限都没有,这种情况怎么进行绕过。
参考完整回答(SQL注入绕过):
SQL 注入绕过通常是因为防护用了黑名单,比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代;过滤逗号时,MySQL 某些场景可以用 join、from for 或子查询改写。
但我在面试中会强调:绕过技巧说明黑名单不可靠,修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助,但不能代替代码层修复。
20. 什么是 mssql 的存储过程,本质是什么?为什么存储过程可以执行命令?
参考完整回答(什么是mssql的存储过程本质是什么为什么存储过程可以执行命令):
这题我会这样完整回答:针对“什么是 mssql 的存储过程,本质是什么?为什么存储过程可以执行命令?”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
21. 如果想通过 mssql 上传文件,需要开启哪个存储过程的权限?
参考完整回答(文件上传/WebShell):
文件上传漏洞的风险在于攻击者上传脚本文件或伪装文件,最终让服务器解析执行。绕过方式可能包括双后缀、大小写、MIME 伪造、图片马、解析漏洞、条件竞争和上传路径可控。
完整修复我会这样做:后端使用扩展名白名单,只允许业务需要的类型;校验文件头和真实内容,不信任 Content-Type;上传后随机重命名,文件名不使用用户输入;上传目录放到静态资源域或对象存储,禁止脚本执行;图片类文件做二次处理;限制大小和数量;最后配合杀毒/内容检测和日志审计。Nginx/Apache/PHP-FPM 也要避免把非脚本目录交给解释器解析。
22. 内网文件 exe 落地怎么去做,用什么命令去执行来落地,如果目标主机不出网怎么办?
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
23. 内网域渗透中,利用 ntlm relay 配合 adcs 这个漏洞的情况,需要什么利用条件,responder 这台主机开在哪台机器上,为什么,同时为什么 adcs 这个漏洞能获取域管理员权限,原理 是什么
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
24. 内网域渗透中,最新出的 CVE-2022-26923 ADCS 权限提升漏洞需要什么利用条件,原理 是什么,相比原来的 ESC8 漏洞有什么利用优势?
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
25. 内网渗透中,如果拿到了一套 vcenter 的权限,如何去进一步深入利用?db 文件如何解 密?原理是什么?
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
26. vcenter 机器拿到管理员密码了,也登录进去了,但是存在一个问题,就是内部有些机 器锁屏了,需要输入密码,这个时候怎么去利用?
参考完整回答(vcenter机器拿到管理员密码了也登录进去了但是存在一个问题就是内部有些机器锁屏了需要输入密码这个时候怎么去利用):
这题我会这样完整回答:针对“vcenter 机器拿到管理员密码了,也登录进去了,但是存在一个问题,就是内部有些机 器锁屏了,需要输入密码,这个时候怎么去利用?”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
27. 内网权限维持的时候,360 开启了晶核模式,怎么去尝试权限维持?计划任务被拦截了 怎么办?
参考完整回答(权限维持):
权限维持是攻击者在拿到初始权限后,尝试长期保留访问能力。常见方式有新增账号、写 SSH key、计划任务、启动项、WebShell、反弹服务、数据库 UDF、系统服务、内存马和云平台访问密钥。授权测试中可以验证风险,但不能在生产留下真实后门。
排查时要看账号变化、authorized_keys、crontab、systemd 服务、启动脚本、Web 目录新增文件、异常进程、外连和登录日志。防护是最小权限、文件完整性监控、EDR、账号审计、凭证轮换和及时修入口漏洞。
28. mssql 除了 xpcmdshell,还有什么执行系统命令的方式?需要什么权限才可以执行?
参考完整回答(Linux安全):
Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录;权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行;进程和网络侧用 ps、top、ss、lsof 看异常进程和外连;持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。
加固时禁用 root 远程登录,使用密钥和 MFA,最小化 sudo 权限,关闭不必要服务,配置防火墙,开启日志审计,及时打补丁。发现入侵时先保留证据,再做隔离和清除。
29. 如果 net group "Domain Admins" /domain 这条命令,查询域内管理员,没法查到,那么 可能出现了什么问题?怎么解决
参考完整回答(如果netgroupdomainadmins/domain这条命令查询域内管理员没法查到那么可能出现了什么问题怎么解决):
这题我会这样完整回答:针对“如果 net group "Domain Admins" /domain 这条命令,查询域内管理员,没法查到,那么 可能出现了什么问题?怎么解决”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
30. 查询域内管理员的这条命令的本质究竟是去哪里查,为什么输入了之后就可以查到?
参考完整回答(查询域内管理员的这条命令的本质究竟是去哪里查为什么输入了之后就可以查到):
这题我会这样完整回答:针对“查询域内管理员的这条命令的本质究竟是去哪里查,为什么输入了之后就可以查到?”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
31. 免杀中,如何去过国内的杀软,杀软究竟在杀什么?那么国外的杀软比如卡巴斯基为什 么同样的方法过不了呢?
参考完整回答(免杀):
免杀的本质是绕过静态特征、行为检测和沙箱检测。常见思路包括编码/加密载荷、分阶段加载、API 动态解析、混淆、反沙箱、内存加载和行为降噪。但在面试中我会注意边界,不展示可直接滥用的细节,而是从防守视角说明检测点。
防护上不能只依赖特征查杀,要结合行为监控、命令行审计、父子进程关系、网络外连、内存执行、脚本执行策略和最小权限。对企业来说,PowerShell 日志、EDR、应用白名单和出网控制很关键。
32. 免杀中,分离免杀和单体免杀有啥区别,为什么要分离,本质是什么?
参考完整回答(免杀):
免杀的本质是绕过静态特征、行为检测和沙箱检测。常见思路包括编码/加密载荷、分阶段加载、API 动态解析、混淆、反沙箱、内存加载和行为降噪。但在面试中我会注意边界,不展示可直接滥用的细节,而是从防守视角说明检测点。
防护上不能只依赖特征查杀,要结合行为监控、命令行审计、父子进程关系、网络外连、内存执行、脚本执行策略和最小权限。对企业来说,PowerShell 日志、EDR、应用白名单和出网控制很关键。
33. 打点常用什么漏洞,请简述
参考完整回答(打点常用什么漏洞请简述):
这题我会这样完整回答:针对“打点常用什么漏洞,请简述”,我会先说明它对应的安全场景和要解决的问题,再给出一个具体例子。比如在真实测试或审计中,我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作;验证时尽量使用低风险方式证明影响,例如观察响应差异、日志、时间延迟、回连记录或权限边界,而不是破坏数据。修复时从代码、配置和权限三方面处理:代码层使用安全 API、参数化、白名单和输出编码;配置层关闭危险功能、升级组件、限制网络和文件权限;权限层坚持最小权限,避免单点漏洞扩大影响。最后我会补充复测方法,用原触发条件验证漏洞不可再利用,并确认正常业务流程仍然可用。
34. 内网横向中,是直接进去拿一台机器的权限直接开扫,还是有别的方法?
参考完整回答(内网渗透/横向):
内网渗透我会先确认当前落点的权限、网段、路由、DNS、域环境和出网情况。然后做低噪声主机发现和端口识别,重点关注域控、文件共享、数据库、中间件、运维平台和代码仓库。接着收集凭证线索,例如配置文件、历史命令、浏览器缓存、数据库连接串、共享目录和内存凭证;如果授权允许,再验证横向移动和权限提升路径。
防守视角我会补充:内网安全不能只靠边界防火墙,要做分区分域、最小权限、凭证隔离、禁用明文密码和本地管理员复用、开启 EDR、监控东西向流量、审计异常登录和远程执行行为。
35. 钓鱼用什么来钓?文案思路?如何判断目标单位的机器是哪种协议出网?是只做一套来 钓鱼还是做几套来钓鱼?如何提高钓鱼成功率?
参考完整回答(钓鱼):
判断钓鱼网站可以从域名、证书、页面、表单和行为几个方面看。域名可能使用相似字符、拼写变形、非常规后缀或短链跳转;证书只能说明链路加密,不代表网站可信;页面可能复制品牌样式但资源路径、登录接口、备案信息异常;表单可能把账号密码提交到陌生域名。
防护包括企业邮件网关、URL 沙箱、SPF/DKIM/DMARC、浏览器安全提示、员工演练、MFA 和异常登录检测。对用户来说,不从邮件链接登录重要系统,手动输入官方网址更安全。
36. 钓鱼上线的主机,如何进行利用?背景是只发现了一个域用户,但是也抓不到密码,但 是有域
参考完整回答(钓鱼):
判断钓鱼网站可以从域名、证书、页面、表单和行为几个方面看。域名可能使用相似字符、拼写变形、非常规后缀或短链跳转;证书只能说明链路加密,不代表网站可信;页面可能复制品牌样式但资源路径、登录接口、备案信息异常;表单可能把账号密码提交到陌生域名。
防护包括企业邮件网关、URL 沙箱、SPF/DKIM/DMARC、浏览器安全提示、员工演练、MFA 和异常登录检测。对用户来说,不从邮件链接登录重要系统,手动输入官方网址更安全。
返回安全面经目录