奇安信 渗透测试(攻防类)一面复盘
奇安信 渗透测试(攻防类)一面复盘
- 1.你是哪里人
- 2.你是做安全研发的,在qax这边除了这个红队的岗位还投递其他了吗
- 3.看你研发做的比较多,为什么投递这个岗位
- 4.给了一个具体的场景,问你做渗透测试的思路
- 5.后渗透有了解吗,比如内网这一块,还是上面的场景,对于后渗透你的思路讲讲
- 6.真实测试的时候发现内网没法连接外网怎么办
- 7.正向代理和反向代理说说
- 8.代理工具的一些原理了解过吗,比如frp工具的实现机制和原理
- 9.用过那些隧道代理工具
- 10.内网端口转发失败怎么办,反向shell带不出来
- 11.XSS的分类
- 12.XSS你怎么利用
- 13.对于XSS利用手段,除了你说的这些,还了解过其他的利用手段吗,比较新的有没有
- 14.免杀马做过没,讲讲原理
- 15.msf 或者 cs 生成的免杀马的体积一般都比较小,你有了解过这种免杀马的原理吗,包括怎么隐匿,怎么提权?
- 16.SQL注入的原理
- 17.SQL注入的攻击手段都有那些
- 18.SQL注入利用你用的那个工具
- 19.SQLMAP常见的命令
- 20.你的专业学了那些计算机基础课程,你学的怎么样
- 21.讲一下TCP三次握手
- 22.在绿盟已经离职了吗,什么时候离职的
- 23.看了你的博客,写了好多文章,但是关于研发的比较多,渗透这块比较少
- 24.Cobalt Strike工具你们团队是怎么利用的
- 25.Cobalt Strike怎么抓取windows系统的密码
- 26.看你之前主要做安全研发,一些基本的poc插件和python脚本可以写吗
- 27.总结
- 28.结果
1.你是哪里人
xxx
2.你是做安全研发的,在qax这边除了这个红队的岗位还投递其他了吗
没有投递,只投了这一个
3.看你研发做的比较多,为什么投递这个岗位
目前是想多了解一下攻防这一块
4.给了一个具体的场景,问你做渗透测试的思路
PS:这里面试官描述了大概两分钟,要仔细听这个场景的一些细节
根据这个场景回答渗透测试的基本流程即可
5.后渗透有了解吗,比如内网这一块,还是上面的场景,对于后渗透你的思路讲讲
- 横向移动:一旦获得了内网中的一个主机的访问权限,可以尝试横向移动,即在内网中寻找其他易受攻击的主机。这可以通过利用弱密码、共享凭据、漏洞利用等方法实现
- 提权:一旦进入了内网的主机。为了获取更高的权限和更广泛的访问范围,需要寻找操作系统、应用程序或服务的漏洞
- 密码破解:尝试使用弱密码攻击内网中的其他系统和服务。可以通过使用密码爆破工具(例如Hydra、John the Ripper)来尝试
- 信息收集: 进行内网的信息收集
内网主机的基本信息(版本,补丁等)
systeminfo 详细信息
net start 启动服务
tasklist 进程列表
网络信息
ipconfig /all 判断存在域,查看网关IP地址、DNS的ip地址、域名、本机是否和DNS服务器处于同一网段等信息
net view /domain 判断存在域
net time /domain 判断主域,通过查看时间返回计算机名称信息包含域信息
netstat -ano 当前网络端口开放
nslookup 域名 追踪来源地址用户信息(域用户信息,组信息等)
whoami /all 用户权限
net user /domain 获取域用户信息
net group /domain 获取域用户组信息
- 持久性访问:一旦获得了内网中的访问权限,为了确保后续访问,需要在受害主机上安装后门、持久性脚本或恶意软件
6.真实测试的时候发现内网没法连接外网怎么办
可以通过使用代理工具,在内网中建立一个通信隧道,将数据流量转发到外部网络,绕过这些访问限制
7.正向代理和反向代理说说
- 正向代理代表客户端发送请求,而反向代理代表服务器接收请求
- 正向代理转发客户端请求到目标服务器,而反向代理将请求转发到后端的多个目标服务器
- 正向代理隐藏客户端的身份,而反向代理隐藏服务器的身份
- 正向代理常用于翻墙等,而反向代理常用于负载均衡、缓存等服务器端的优化和安全策略
8.代理工具的一些原理了解过吗,比如frp工具的实现机制和原理
PS:这里回答的支支吾吾很不清晰,原因可能是对于内网代理这一块还是做的少,不太熟悉,之后要针对性的进阶一下内网这一块
内网渗透代理工具的原理是在目标内网中建立一个中间人代理服务器,使攻击者能够通过该代理服务器与内网中的目标主机进行通信。这样,攻击者可以在不直接与目标主机通信的情况下,对内网进行渗透和攻击
- 代理服务器设置:攻击者在目标内网中部署一个代理服务器,该服务器充当攻击者与目标网络之间的中间人。代理服务器监听指定的端口,并接收来自攻击者的请求
- 隧道建立:攻击者通过合法的网络通信协议(如HTTP、SOCKS等)与代理服务器进行通信,将自己的请求发送给代理服务器。代理服务器接收到请求后,会将请求转发到内网中的目标主机
- 转发与中继:代理服务器接收到来自目标主机的响应后,再将响应转发给攻击者。这样,攻击者就能够通过代理服务器与内网中的目标主机进行通信,实现数据的转发与中继
- 数据加密与解密:为了保护数据的安全性,代理工具通常会使用加密协议对通信数据进行加密
- 数据拦截与篡改:代理服务器可以拦截和检查通过它传递的数据流量。攻击者可以利用这一特性来监视和修改传输的数据,例如窃取用户凭据、篡改请求或响应内容等
9.用过那些隧道代理工具
frp nc lcx powercat(windows)
10.内网端口转发失败怎么办,反向shell带不出来
转发失败的原因:
(1)防火墙的策略 此端口不允许出网
(2)端口转发工具特征比较明显
(3)端口无法提供服务
(4)端口转发的ip 肉鸡无法访问
解决办法:
配置代理服务器:在内部网络中配置代理服务器,使得内部网络的流量可以通过代理服务器访问互联网或其他外部网络资源
配置VPN连接:在内部网络中配置VPN连接,使得内部网络的用户可以通过VPN连接到外部网络,从而访问外部网络资源
修改防火墙策略:修改防火墙的策略,允许内部网络的特定流量访问外部网络资源
说完之后面试官给做了很详细补充:
既然反向代理行不通,那就用正向代理,然后采用正向shell来连接
目标机器不出网,本机能出网,可通过本机当作跳板机将目标机器的正向shell带出来
原理图:
11.XSS的分类
反射、存储、DOM
12.XSS你怎么利用
- 弹窗欺骗:通过弹出恶意弹窗,骗取用户的信息,例如模拟登录页面来窃取用户的用户名和密码
- Cookie劫持:Cookie中一般加密保存了当前用户的登录凭证。可以通过xss获取用户的cookie
<script>alert(document.cookie)</script>
- 构造恶意的GET与POST请求:例如删除文章或商品,修改用户数据
- 网页篡改:攻击者可以修改网页内容,包括显示虚假信息、篡改页面布局、插入恶意链接等
- XSS钓鱼: 利用JavaScript在当前页面上“画出”一个伪造的登录框,当用户在登录框中输入用户名与密码后,其密码将被发送至黑客的服务器上
- 获取敏感数据:发送
xhr请求获取数据,例如纯js请求获取token、获取当前页面源码
13.对于XSS利用手段,除了你说的这些,还了解过其他的利用手段吗,比较新的有没有
PS:当时没说全,一时想不起太多的利用方式了,之后面试官说利用的手段不够新颖,攻击的手法都比较老,建议我去了解一下最新的xss攻击手法
没有了 ┭┮﹏┭┮
14.免杀马做过没,讲讲原理
- 动态免杀方式:可以通过替换 api,重写 api,合理替换调用顺序,绕过调用源来免杀
- 静态免杀方式:替换特征码,替换资源, 修改入口点,(peid工具加壳)加壳
替换静态码方式:
- 加密:使用加密算法对静态码进行加密,然后在运行时进行解密。这样可以使静态码在恶意软件的运行时才被暴露,避免被杀软检测到。
- 压缩:使用压缩算法对静态码进行压缩,然后在运行时进行解压。这样可以使静态码变得更小,难以被杀软检测到。
- 混淆:对静态码进行重命名、随机化、替换等操作,使其难以被杀软识别出来。例如,可以将静态码拆分成多个部分,并在运行时动态组合起来。
- 动态生成:在运行时,动态生成恶意代码的一部分,使其无法在静态分析时被检测出来。这种方法需要恶意软件具备一定的代码生成能力
15.msf 或者 cs 生成的免杀马的体积一般都比较小,你有了解过这种免杀马的原理吗,包括怎么隐匿,怎么提权?
PS:没有了解过,还是太菜了┭┮﹏┭┮脚本小子没有前途
下面给出面试后总结的答案:
看过 MSF木马的源码,其采用大马传小马的方式,运行时首先将自己在内存中循环调用三次,也就是为什么会有spwan这个值的原因。它代表将自己在内存中循环调用几次,随后在最后一次时与服务端建立连接,然后服务端将大马传回
16.SQL注入的原理
网站数据过滤不严格,过分信赖用户输入的数据, 没有过滤用户输入的恶意数据,无条件的把用户输入的数据当作SQL语句执行,因此导致sql注入漏洞产生
17.SQL注入的攻击手段都有那些
1-联合查询注入 union select
2-堆叠注入
3-报错注入 updatexml、floor、ExtractValue 其他的用的不多不用说
4-盲注4.1-布尔盲注特点:根据页面正确和错误的两种状态,来判断构造语句是否正确常用函数:Ascii,length,count,substring4.2-时间盲注特点:适用于布尔型盲注失效后,时间型盲注页面没有明显的回显,只能根据页面刷新时间的长短来去判断构造语句是否正确
常用函数:sleep,if,benchmark(执行表达式count次)等
5-宽字节注入
利用条件:数据库采用gbk字符集,网站将引号转义为反斜杠加引号
原理:GBK双字节编码中用两个字节表示一个汉字,可以使用%df使闭合字符绕过反斜杠转义
18.SQL注入利用你用的那个工具
sqlmap
19.SQLMAP常见的命令
sqlmap -u "xxx" -- 设置目标的url
sqlmap -p "id" -- 对指定参数进行注入
sqlmap -r "aaa.txt" -- 用于post注入,将burp拦截的数据包右键保存为txt,随后用sqlmap加载
sqlmap --dbs -- 破解所有数据库(爆数据库)
sqlmap --tables -D aaa -- 破解aaa库下的所有表(爆表名)
sqlmap --columns -T aaa -- 破解aaa表下的所有字段名
sqlmap --dump -C name,password -- 获取字段中的内容 (爆字段)
sqlmap --current-db -- 当前数据库名 (爆数据库名)
sqlmap --current-user -- 当前数据库的用户名
sqlmap --os-dbms -- 爆数据库类型
sqlmap --batch -- 任何选项都选择默认
sqlmap --cookie "cookie值" -- cookie注入
sqlmap --level X -- 设置扫描等级,最高为X=5
sqlmap --risk X -- X取值0~3,risk越高就越慢,但是风险降低
sqlmap --os-shell -- 文件写入挂马 (挂马)
sqlmap --tamper ***.py -- 使用脚本,后面参数为tamper库中的py文件
20.你的专业学了那些计算机基础课程,你学的怎么样
压力题,四大件都学了,学的还可以
21.讲一下TCP三次握手
TCP 三次握手,其实就是 TCP 应用在发送数据前,通过 TCP 协议跟通信对方协商好连接信息,建立起 TCP 的连接关系
- 第一次握手:客户端发送 SYN 报文,并进入 SYN_SENT 状态,等待服务器的确认
- 第二次握手:服务器收到 SYN 报文,需要给客户端发送 ACK 确认报文,同时服务器也要向客户端发送一个SYN报文,所以也就是向客户端发送 SYN + ACK 报文,此时服务器进入 SYN_RCVD 状态
- 第三次握手:客户端收到 SYN + ACK 报文,向服务器发送确认包,客户端进入 established状态。待服务器收到客户端发送的ACK 包也会进入 established 状态,完成三次握手
22.在绿盟已经离职了吗,什么时候离职的
xxx
23.看了你的博客,写了好多文章,但是关于研发的比较多,渗透这块比较少
hahaha
24.Cobalt Strike工具你们团队是怎么利用的
Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作
使用时
- 需要先部署
teamserver到linux服务器 - 使用客户端Cobalt Strike连接到
teamserver,进行协同作战 - 在“
Cobalt Strike -> Listeners”中创建一个监听器,这个监听器将用于与目标系统建立连接 - 生成payload,在肉鸡上执行,上线cs
25.Cobalt Strike怎么抓取windows系统的密码
没实操过,直接说应该有模块可以直接提取
面试后总结的答案:
- 抓取密码哈希:
右键被控主机——>Access——>Dump Hashes,也可以直接输入:hashdump - 利用mimikatz抓取明文密码:
右键被控主机——>Access——>Run Mimikatz,也可以直接输入:logonpasswords
26.看你之前主要做安全研发,一些基本的poc插件和python脚本可以写吗
可以
27.总结
qax的面试官会详细和你说你的不足之处,也会说你的优点,团队主要是做打击国外apt组织的
不足:对于红队攻击的手法没有其他人掌握的多,建议看看攻防社区,了解一下最前沿的攻击手段
优点:代码能力不错,可以来我们团队做代码这一块的研究工作
28.结果
面试结束后直接通知一面过了,注意邮件等二面通知
奇安信 渗透测试(攻防类)一面复盘相关推荐
- 奇安信渗透测试面试题库_渗透测试--安服面试笔试题目记录-2020
整理一下笔试面试遇到的安全问题: 奇安信笔试: 1.sqlmap反弹shell的命令? --os-pwn #反弹shell 比较混淆的几个陌生命令: --os-cmd=whoami #执行系统命令 ...
- 奇安信渗透测试面试题库_奇安信面试经验
面试过程: 视频面试 两轮技术一轮hr,面试官挺和蔼的 问题问的不是很难,说自己不会也不会说什么, 技术面是一对一 . hr面的时候问能不能实习 ,面完了之后说等通知一到两个星期出结果 面试官问的面试 ...
- 奇安信渗透测试工程师试题(2020)
1.Apache的配置文件中,哪个字段定义了访问日志的路径?( ) CustomLog 2.SQL注入时,根据数据库报错信息"Microsoft JET Database-.",通 ...
- 奇安信 测试开发岗位 面经 2019.9.11(秋招)
面试形式:直面 参加秋招的第一个线下面试,可能是因为准备不充分,或是对测试开发有什么误解,导致一面挂掉.后来和同学聊天,他说奇安信的测试开发岗位其实是做纯测试.. 自我介绍,你对测试了解吗? 你学校开 ...
- 第二十三届高交会闭幕 奇安信三项产品获评“优秀产品奖”
近日,第二十三届中国国际高新技术成果交易会在深圳闭幕.本届高交会以"推动高质量发展,构建新发展格局"为主题,聚焦各行业专业化.国际化.便利化.高水平的科技成果,经专家评审,共计59 ...
- 超燃!奇安信首度对外公开内部网络攻防演习纪实片
不久前,我们对奇安信集团内部的一场例行实战攻防演习进行全程记录,最终制作完成了一部用于奇安信内部学习和部分重点客户观摩交流的<实战攻防演习纪实片>. 该片经定向邀请部分来自政府.大型企业的 ...
- 奇安信 测试|测试开发 面试真题|面经 汇总
奇安信测开一面.二面.HR面面经 本 211 硕 985 无实习 一面: 自我介绍 询问研究生期间的科研项目 自动化测试框架怎么用的,怎么看待自动化测试和手工测试 测试用例设计方法,结合具体登录页面设 ...
- 对话奇安信代码安全丨十年砥砺前行 迎来软件供应链安全的风口
日前,奇安信代码安全事业部总经理.代码安全实验室主任黄永刚受邀分享了自身对开发安全领域的认知和洞察. 最近火爆的"元宇宙"概念,向人们勾勒了数字世界的未来发展形态.如果说物理世界是 ...
- 网络安全公司奇安信集团是如何基于 Flink 构建 CEP 引擎实时检测网络攻击【未来不可忽视的网络安全】
摘要: 奇安信集团作为一家网络安全公司是如何基于 Flink 构建 CEP 引擎实时检测网络攻击?其中面临的挑战以及宝贵的实践经验有哪些?本文主要内容分为以下四个方面: 背景及现状 技术架构 产品及运 ...
最新文章
- python二叉搜索树建立_700. 二叉搜索树的搜索(Python)
- Java 开发技巧详细知识体系总结
- TWaver Flex开发示例及license下载
- 11G RAC ORA-32701
- 无法找到“XXX.exe”的调试信息,或者调试信息不匹配。未使用调试信息生成二进制文件...
- 运算符重载,以及迭代器[foreach]示例
- 字符串substring方法在jkd6,7,8中的差异
- 客服机器人代码_电脑问题不会解决?小白智能客服来帮你!
- 电信网络拓扑图自动布局
- 系统损坏 mysql_mysql数据库损坏修复方法(适用window、Linux系统vps云主机)
- IE ADD for rms
- 微信公众号发布和群发的区别是什么?
- 整型最大值java,整数的最大值
- 花音机器人_【扑杀花音攻略组】超弩风机器人攻略(复刻x2)
- [转]android 制作.9.png图片 解决图形变形问题
- PowerJob使用
- 响应式个人信息页面项目7-2用html5+css3
- java中多个条件模糊查询,带条件的查询—模糊查询
- 基础编程题目集 函数题部分
- 解决brew下载慢问题