摘要由 AI 智能生成
绿盟-安全研究(红队方向)
- 先做个简单的自我介绍
- 现在是大几
- 在红队项目里面是承担什么角色(打点还是内网)
- 代码审计有做过吗?
- 假设有个场景,有个 Java 的站点,有个文件上传,有安全设备的 waf,拦截 jsp 后缀和文件内容,怎么绕
- 文件内容这块如果分块传输不行,怎么做
- 现在有一个 Shiro 的站点,有 key 无链 怎么利用
- 打 JRMP 有 WAF 检测,检测 rememberMe 字段怎么绕
- 有研究过 Fastjson 不出网的利用方式吗?
- 一个场景,有 RCE,没有回显并且不出网,怎么判断存在 RCE,或者深入利用
- 如果是完全不出网呢,对你刚刚所说的写入静态文件说细一点
- 那你是怎么知道网站的绝对路径呢?
- 那如果没有报错回显绝对路径,或者说不是默认中间件搭建的路径呢,怎么利用 RCE?
- 平常你打点是怎么样去打点
- 如果平常遇到一些项目,互联网没有通用系统的 nday,你怎么去打点
- 有一个 Java 站点,他是 Spring 开发,有文件上传,上传 Jsp 不解析,有解决方法吗?
- 有个 Sql 注入,你怎么判断当前网站用哪个类型的数据库
- 判断出来是 mssql,你怎么去获取服务器权限
- 他是一个站库分离的情况,你会怎么去深入利用
- 有跟过中间件或者是 OA 系统的漏洞分析吗?
- 平常有研究过这些漏洞,后渗透的手法,比如写工具 EXP 去自动化打内存马,利用等等吗?
- 众测项目,测的是哪个方向的
- 讲一下怎么测金融银行
- 像金融的项目,加解密挺多,有深入过去 Js 逆向吗?
- 挖 Src,是挖什么样的漏洞,是怎么样的思路去挖
- 像小程序这一类你是怎么样去测的?
- 有接触过渗透 APP 吗?
- 看你参加过几次的攻防演练,你说说你比较深刻的打点
知道创宇实习面经(网络安全)
自我介绍
1.什么是java 反序列化漏洞
2.fastjson 有什么特点,怎么利用
3.shiro 框架知道吗,有哪些漏洞
4.jndi 注入是什么
5.给你一个网站怎么做信息收集
6.定时任务你一般怎么排查
7.6379 什么端口,你知道哪些漏洞
8.8173呢?? ? 这个我也忘记是不是8173端口的服务了
9.sql server 你知道有哪些利用点
10sqmap 用过吗,里面的--os -shell 原理是什么,解释一下
11.如果通过cdn 寻找真实ip
12.内网渗透中拿到一台机器后怎么做
13.场景题
某甲方-前沿科技公司,网安实习面经
1:自我介绍
2:智能体原理介绍
3:sql注入宽字节注入实战中挖过么,nosql挖过么?
4:xss的csp知道么, csp怎么防护的, 怎么绕过
5: xxe漏洞挖过么, 原理知道么,xxe的修复
6:jwt认证常见的问题,jwt和cookie的区别
7:有价值的逻辑漏洞
8:域打过么,委派呢
9: java内存马有哪几种
10:jndi的sink点除了lookup还有呢
11:反序列化呢 跟过哪些链子 除了cc1 讲讲cb
12:adcs的esc1和8讲一下13:spel表达式原理
14:ssrf深入利用 metadata下重要的目录
15:白盒为什么要SAST结合LLM 为什么不直接上LLM
观星实验室红队实习,一面面经(网络安全)
1:自我介绍
2:红队项目介绍
3:项目中RCE 0day的审计思路
4:还有哪些rce审计思路
5:怎么审计鉴权
6:文件下载漏洞的利用思路
7:xss在红队项目怎么利用,水坑攻击原理。8:钓鱼网站怎么获取账号密码,但又不被对方察觉,代码实现思路
9:给一个目标,怎么进行全面的资产搜集10:fastjson漏洞原理,高jdk下怎么打
11:项目中的shiro反序列化当时怎么打的
12:有绕过waf吗?shiro反序列化绕waf原理13:shiro被waf拦截的原因可能有哪些14:waf因为自带key爆破,把shiro攻击流量解密检测到了,怎么办
15:打点,钓鱼成功后的内网信息搜集
16:怎么找域控,打域控的方式
17:有没有什么你擅长的我没有问到?
北京某安全大厂面经
1.自我介绍
2.对简历里面的一个项目经历进行拷打
3.对漏洞这一块学得怎么样
4.讲一下SSRF它的一个利用方法
5.讲一下分块绕过waf的思路,分块传输它是如何保证一个传输完整性的
6.报错注入一个语法是怎么样的
7.mysql有哪些内置的危险函数
8.mysql注入和nosql注入的区别
9.讲一下什么是同源策略
10.同源策略中html和 js有哪些是不受限制的标签
11.什么是跨域,如何实现跨域
12.redis怎么打,有什么打法
13.fastjson出网和不出网的打法
14.有文件马和无文件马落地的区别
15.无文件马如何清理
16.如何命令注入没有回显,怎么打
17.DNS这个迭代查询和递归查询的区别,DNS是哪一层的协议
18.被打到域内了,如何去通过安全设备流量的一个判断去确定
红队
0x1 外网 Web 渗透
- 你平时进行渗透测试的流程是什么样的
- 如何绕过 CDN 查找真实 IP
- 过滤逗号的 SQL 注入如何绕过
- 过滤 limit 后的逗号如何绕过
- SSRF 可以怎么利用、如何绕过 SSRF 防护
- 利用 ThinkPHP 的 RCE 时,如果发现有 disable\_function 怎么利用
- 绕过 disable\_function 的通用方法
- 平时怎么测试 SQL 注入漏洞,除了 sqlmap 还用过哪些工具
- JWT 有哪些漏洞和利用方法
- 你知道有哪些常见的未授权访问漏洞
- Spring Actuator 未授权访问漏洞有哪些利用方式
- 你平时使用 Burp 多还是 Yakit 多,选择原因是什么
- Windows 环境下怎么利用 Redis 未授权漏洞
- 文件上传漏洞怎么绕过 WAF
- 有没有做过 APP 渗透,其防御中常见有哪些环境检测点,怎么绕过
- 微信小程序怎么做反编译和动态调试
- 测试越权的场景和思路有哪些
- MySQL 下如何执行系统命令
- Oracle 下如何执行系统命令
- 对于仅仅只有一个登录页面的网站,你的渗透思路是什么
- 你遇到过哪些有关云的测试案例
- 遇到 XSS,你有哪些利用方法
- 怎么绕过同源策略
0x2 攻防演练(红队 OpsSec / 钓鱼 / 主机横向)
- 你平时参加攻防演练,给你一个目标,你的流程是什么样子的
- 做资产收集时,如何确保收集到的域名足够全面
- Linux 除了内核提权,还有什么常用的提权方式
- 平时用过哪些 C2,除了 Cobalt Strike 还有其他吗
- 如何隐藏自己的 Cobalt Strike,避免被公网扫描发现
- MSSQL 执行命令的几种方式
- 正向代理、反向代理的区别
- 你常用哪些方式和工具做流量代理,为什么喜欢用这种方式和工具
- Windows 下你常用哪些权限维持方法
- 怎么做 Bypass UAC
- Windows 自启动的原理
- 你平常钓鱼通常使用什么思路来找到对方的人员,以及用什么话术让对方打开木马
- 邮件钓鱼时怎么绕过对方的邮件网关,如果网关配置了拦截加密压缩包该怎么处理
- 讲讲你知道的攻防演练中的 OPSEC 规范与实操
- 你知道的抓取凭证的方法,除了内存中还有哪里可以获取账号凭据
- 平时用什么工具获取浏览器或常见运维工具保存的密码
- 有没有做过针对 MacOS 的钓鱼,思路是什么
- 如何隐藏用来权限维持的计划任务
- Webshell 下执行命令,提示 error 5,这种会是什么原因,怎么解决
- 怎么获取已保存的 RDP 凭据,大致原理是什么
- 除了 HTTP (S) 和 TCP,你还知道哪些 C2 通信的常见协议,它们特点是什么
- 有没有打过 vCenter,如果上面的虚拟机都锁屏了且没有密码,怎么利用
- 钓鱼时有没有预防对方出网受限的措施,如何判断对方内网哪种协议可出网
- 如果发现已经控制的主机上有 zabbix agent,怎么横向攻击 zabbix server
0x3 内网渗透 / 域安全
- 域内收集信息的常用命令
- Kerberos 认证大致流程和核心角色
- NTLM Relay 原理、利用条件
- 黄金票据原理,在 Kerberos 认证的哪个阶段生效?如何制作?用哪个用户的 hash 来制作?
- 进入内网后,你的整体流程和思路是什么样的
- 有哪些方法可以直接攻击域控
- 域内用户和工作组用户的差别
- 什么场景下代表主机已经在域内
- 内网 Potato 系列提权利用和原理
- 几种委派(资源委派、基于资源的约束委派等)的原理和利用方式
- NoPAC 漏洞的原理与利用
- 对一个机器账号有全部属性的写权限,怎么利用
- 如果域默认允许创建 10 个机器账号被修改为 0 了,怎么绕过限制新建机器账号
- Kerberoasting 原理、利用条件
- 利用 Kerberoasting 的时候会重点关注哪些服务
- AS-REPRoasting 原理、利用条件
- 有一台工作组的机器,可以访问域控,这时候怎么利用 AS-REPRoasting
- 几种土豆提权(RottenPotato、JuicyPotato、PrintSpoofer 等)的原理区别
- 黄金票据和白银票据的区别
- ADCS 漏洞系列了解过吗,常见利用链路是什么
- 如果只有用户 NTLM hash,怎么登录 RDP
- Zerologon 漏洞的原理、利用、修复方式
- 域间信任可以从什么方向去挖掘利用
- 如何判断目标环境是否存在域
- 主机挂了 socks 代理,但是 ping 不通内网的机器,为什么
0x4 Java 安全 / 反序列化 / 中间件漏洞
- Java 反射做了什么事情
- Java 反射可以修改 Final 字段吗
- 传统的反射调用方法被加入黑名单怎么绕过
- Java 中可以执行反弹 shell 的命令有哪些
- 假设 Runtime.exec 被加入黑名单还有什么方式执行系统命令
- RMI 和 LDAP 类型的 JNDI 注入分别在哪个 JDK 版本被限制
- RMI、LDAP 的限制版本分别可以怎样绕过防护
- 谈谈 TemplatesImpl 这个类的作用与漏洞利用
- 了解 BCEL ClassLoader 吗,作用是什么
- 谈谈 JDK7u21 反序列化漏洞原理
- 谈谈 JDK8u20 反序列化限制与绕过
- 了解缩小反序列化 Payload 的手段吗
- Shiro 反序列化怎么爆破检测密钥 Key
- Shiro 721 漏洞怎么利用
- 最新版 Shiro 还存在反序列化漏洞吗
- Shiro 反序列化 Gadget 选择有什么坑
- Shiro 注入 Tomcat 内存马有什么坑
- 有什么办法让 Shiro 漏洞只能被你一人触发利用(隐蔽利用)
- Shiro 的权限绕过漏洞了解吗
- Shiro 的 Payload 过长被拦截怎么解决
- 谈谈 Log4j2 RCE 漏洞完整链路
- 知道 Log4j2 2.15.0 RC1 修复的绕过方式吗
- Log4j2 的两个 DoS 拒绝服务 CVE 了解吗
- Log4j2 2.15.0 正式版存在绕过吗
- Log4j2 绕 WAF 的各类编码 / 变形手段有哪些
- Log4j2 除了远程代码执行还有什么利用姿势
- Fastjson 漏洞的核心原理
- Fastjson 漏洞不出网怎么利用
- 利用 Fastjson 漏洞时,怎么判断目标 Fastjson 版本
- 各个中间件(Tomcat/Jetty/WebLogic 等)漏洞回显思路
- 内存马有几种不同类别,分别是什么(注入位置区分)
0x5 免杀对抗(Windows 主机 / 红队工具对抗 EDR)
- 平时怎么做免杀,整体思路流程
- 常见的反沙箱手段有哪些
- 常见的反虚拟机检测手段有哪些
- 你的 Shellcode Loader 中会使用哪些核心技术点
- 怎么规避 360 QVM 引擎查杀
- 权限维持脚本 / 程序怎么绕过常见杀软静态查杀
- 有没有研究过 Cobalt Strike Artifact Kit、Loader Kit 定制免杀
- 进程注入的完整步骤,各类注入方式优缺点
- 有没有挖过 DLL 劫持漏洞,怎么挖掘、怎么利用
- 怎么解决 DLL 劫持利用时程序死锁问题
- 是否了解 syscall 的原理和分类,直接 syscall 对抗 EDR 思路
- 有没有做过 webshell 的免杀,具体会怎么做
- 对于工具免杀,有源码和无源码的情况下你分别会怎么做
- 如何绕过 Windows SmartScreen 新文件告警
- 是否了解主流杀软的各类查杀机制特征,以及对应绕过思路
- 哪些手段可以规避杀软抓取文件哈希校验
- Sleepmask 原理是什么,其本身是否存在特征易被查杀
- BYOVDEDR 致盲 EDR 的原理是什么
- 360 核晶的检测拦截内容包括哪些,如何对抗
- 你测试免杀的时候开不开网络、云样本上传,为什么
- 你平时使用哪种语言写木马 / Loader,选择这种语言的原因是什么
- 为什么木马本地 cmd 运行不被杀,但是钓鱼下发执行时就会被杀
- 知不知道天擎终端安全的检测点,怎么绕过
- 有没有对抗过卡巴斯基,有哪些检测点、如何绕过
- AMSI 是什么,如何 Bypass AMSI
- BOF、execute-assembly 的原理是什么,二者区别、适用场景
红队
一、Shiro / WAF 绕过相关
- Shiro 如何绕 WAF?
WebLogic 打点遇 WAF,首次 payload 被拦截、IP 被封禁,后续如何操作?
二、中间件反序列化漏洞
- JBoss 反序列化原理?
WebLogic 反序列化原理,任选一个漏洞阐述触发原理?
三、Fastjson 漏洞专项
- Fastjson 如何判断是否存在漏洞、核心原理是什么?
- Fastjson 漏洞回显如何判断?使用 DNS 还是其他协议?原因是什么?
Fastjson 高版本无回显场景如何绕过利用?绕过原理是什么?
四、代码审计专项(Java/PHP/OA系统)
- 做过哪些代码审计?主流 Java 审计框架简述?
- 泛微、致远、用友三套 OA 系统代码框架简述?
- 泛微前台/后台漏洞挖掘思路、通用挖洞方法?泛微是否存在反序列化漏洞、如何挖掘?
- PHP 审计发现文件下载漏洞,如何深入利用拓展?
PHP disable_function 如何绕过?绕过原理是什么?
五、云主机渗透利用
攻防中拿下孤立云主机,无内网、无云内网,如何深入利用?
六、Redis 漏洞专项
Redis 攻击方式、主从复制利用条件?主从复制 Getshell 原理?是否影响业务?主从复制核心原理?
七、Java 底层漏洞 BCEL
BCEL 利用链使用条件、原理?是否跟过底层代码?调用流程是什么?
八、Windows 主机渗透异常问题
攻击 17010 主机,机器重启后可再次成功上线,但无法抓取密码,原因是什么?如何解决?
九、域外工作组机器打域思路
域外获取工作组机器权限、无域用户、无法漏洞横向,已知存在域环境,如何溯源打进域控?
十、MSSQL 渗透专项(带360拦截场景)
- 拿下带 360 的 MSSQL 主机,xp_cmdshell 被拦截、无法执行命令,如何绕过?
- MSSQL 存储过程本质是什么?为什么存储过程可以执行系统命令?
- MSSQL 上传文件需要开启哪个存储过程权限?
MSSQL 除 xp_cmdshell 外,还有哪些命令执行方式?对应所需权限?
十一、内网文件落地(不出网场景)
内网 EXE 文件落地方式、执行命令?目标主机不出网如何落地?
十二、ADCS + NTLM Relay 域漏洞
- 内网 NTLM-Relay 配合 ADCS 漏洞的利用条件?Responder 部署位置及原因?ADCS 为何能拿到域管权限、核心原理?
CVE-2022-26923 ADCS 提权漏洞:利用条件、原理、对比 ESC8 的优势?
十三、vCenter 渗透专项
- 拿到 vCenter 权限后如何深入利用?DB 数据库文件解密原理与方法?
vCenter 管理员账号密码已获取,但虚拟机全部锁屏无密码,如何利用?
十四、内网权限维持(360核晶拦截场景)
360 核晶模式开启,计划任务被拦截,如何做内网权限维持?
十五、域信息查询异常问题
- 执行 net group "Domain Admins" /domain 查询域管理员失败,原因是什么?如何解决?
net group 查域管理员命令的本质查询位置、查询原理?
十六、免杀对抗专项
- 国内杀软查杀什么、如何绕过?为什么同款免杀无法过卡巴斯基等国外杀软?
分离免杀与单体免杀的区别?分离免杀的核心本质与作用?
十七、红队打点 & 内网横向思路
- 红队外网打点常用漏洞有哪些?简述利用场景?
内网横向是直接拿权限开扫,还是有更优方案?具体思路?
十八、钓鱼专项(红队实战)
- 红队钓鱼工具、文案思路?如何判断目标出网协议?单套/多套钓鱼载体选择?如何提升钓鱼成功率?
- 钓鱼上线主机后如何深入利用?仅有域用户进程、抓不到密码的情况下如何突破?