【应急响应】 HVV-HW-护网蓝队实战面经-蓝初蓝中通用

本文为蓝队蓝初、蓝中网络安全备考整理的高频考点面经覆盖主观面试题、基础渗透、安全设备、流量特征、应急响应等模块涵盖漏洞原理、工具指纹、排查处置等核心内容明确不同阶段备考重点供学习者、求职者参考需遵守法律法规。Warning风险声明本文仅用于网络安全技术学习与研究相关内容严禁用于未经授权的渗透测试、恶意攻击及任何违法违规行为。任何个人或组织擅自使用造成的法律责任与不良后果均由使用者自行承担与本文作者及发布平台无关。Abstract全文小结这篇面经整合了蓝队蓝中为主兼顾蓝初的高频考点覆盖主观面试题、基础渗透知识、安全设备、流量特征分析、应急响应实战等模块。主观题部分侧重回答思路和方向客观题保留面试常见问答。面蓝初的师傅掌握 TOP10 漏洞原理、基本应急思路、流量分析就差不多蓝中最好有护网经历额外准备内存马、内网横向、应急排查等知识点。思路仅为参考无法保证细节完全准确请客观甄别、仔细验证。仅供参考无法保证细节完全准确请客观甄别、仔细验证 有些细节写的偏口述主要方便记忆主观题这方面主要看你简历问主观题这里就不放参考回答了自己根据这些方面好好总结一下吧自我介绍介绍一下自己的护网经历、掌握的技能之类的这部分结合自身实际情况说就好。重点突出参与过几次护网、担任什么角色熟悉的技能方向应急、研判、溯源、渗透用过哪些安全设备应急响应流程内网横向处置告警研判思路应急响应思路内存马处置DLL劫持处置思路钓鱼邮件处置与溯源挖矿病毒处置思路红队常见打点/内网攻击手法红队经历/挖洞经历重保经历、项目经历写过什么技战法基础渗透登录页面常见漏洞用户名枚举密码爆破验证码逻辑缺陷SQL 注入JS 敏感信息泄露接口未授权框架特征明显自己打 Nday目录结构脆弱扫到敏感文件或端口CDN网站获取真实IP的方法全球 ping证书暴露子域名指向真实 IP历史 DNS 解析常见中间件漏洞TomcatPUT 文件上传、JP 协议未授权文件读取、弱口令进后台传 WAR 包 RCEIIS分号绕过解析 ASP、HTTP.sys RCE、PUT WebDAVApache.htaccess 文件解析、目录遍历、后缀解析漏洞文件包含漏洞本地文件包含靠目录穿越、伪协议与日志包含读取或执行文件。远程文件包含则利用开启远程包含加载恶意 URL 直接执行代码。SSRF原理、利用与修复原理服务端请求伪造攻击者构造恶意 URL 让服务器发起内网请求可用协议file、http/https、ftp、gopher、dict利用可扫端口、读文件云服务器可以请求元数据修复IP 白名单、校验 URL 与域名、禁用危险协议XXE外部实体注入XML 解析器没禁用外部实体XSS区别反射型后端反射需诱骗点击存储型存入数据库自动触发DOM型纯前端 JS 漏洞不经后端恶意修改 DOM 环境触发CSRF成因仅依赖浏览器自动携带的 Cookie 进行身份验证没有对跨域请求的来源校验内网渗透流程本地信息收集IP 段、杀软、权限 → 隧道代理 → 内网探测 → 获取凭据 → 横向移动 → 权限维持黄金票据和白银票据区别黄金票据伪造 TGT需域 krbtgt 哈希绕过 AS 阶段可访问域内所有服务白银票据伪造 TGS需指定服务账户哈希不与 KDC 交互仅能访问特定服务条件竞争型文件上传漏洞多线程并发抢先访问赶在文件被删除前触发解析后台Getshell的方法文件上传模板注入定时任务数据库执行反序列化入口PHP命令执行函数system()exec()shell_exec()mysqlmssql函数MySQLload_file()、sleep、#号注释MSSQLxp_cmdshell、delaySQL注入原理攻击者构造恶意 payload程序没有过滤导致 SQL 语句直接在后端拼接去执行。联合查询靠UNION SELECT拼接结果回显。堆叠注入用;执行多语句宽字节注入靠宽字符吃掉转义符/实现单引号逃逸。SQL注入报错函数updatexml()exp()floor()extractvalue()SQL时间盲注函数sleep、benchmark、rlikeSQL时间盲注提速方法二分法盲注、DNSLog 外带SQLMap写Shell原理与条件原理上传木马文件条件目标关闭安全模式、root 权限、知道网站绝对路径SQL注入防御全局严格过滤输入、预编译、上 WAF数据库提权方式UDF 提权向 MySQL 插件目录注入恶意动态链接库将 SQL 指令转化为直接执行的系统命令MOF将恶意 MOF 文件写入系统目录通过定时任务来进行添加用户等操作开启xp_cmdshell功能执行系统命令Shiro有Key无链怎么利用可以去探测依赖尝试打 JRMP 链CC1和CC6的区别CC1 靠动态代理触发Java 8u71 之前可用。CC6 改用 HashMap 哈希计算触发全版本通杀主流OA漏洞用友 NCSQL 注入反序列化文件上传泛微 OA文件上传文件读取反序列化RCE万户 OA文件上传文件读取SQL 注入java幽灵比特位攻击原理Java 处理字符时会丢失高位导致实际执行时可以解析恶意的字符用来绕 WAF。WAF 看到的和实际执行的不一样。防御WAF 方面要模拟 Java 处理流程来添加过滤安全设备常见安全设备天融信昆仑系列、下一代防火墙、TopEDRWAF长亭雷池、安全狗、奇安信网神态势感知奇安信 ngSOC、深信服、新华三EDR天擎、深信服、亚信蜜罐微步、青藤云、幻阵堡垒机绿盟、齐治、奇安信护网需要哪些安全设备态势感知联动分析方便告警研判和处置网站 WAF防绕过、防扫描服务器终端 EDR监控异常状态及时进行拦截阻断旁路全流量分析流量监控方便溯源堡垒机 / 零信任网关防止权限失控奇安信天擎、天眼、椒图的区别天擎部署在终端 — EDR椒图部署在服务器天眼部署在旁路 — 用于流量检测天眼设备三大功能模块传感器、沙箱、分析平台主机安全设备有哪些奇安信天擎、椒图、深信服 EDR、启明 EDR、亚信 EDR云平台安全中心阿里云、腾讯云堡垒机绿盟XDR扩展语法sipdipORANDNOT态势感知工作原理从各种渠道搜集数据安全设备、日志、流量基于规则引擎去匹配攻击行为依据历史数据利用统计模型给出态势预警和决策。IDS、全流量检测、态势感知的异同IDS单点流量检测全流量检测全流量的数据保存和分析态势感知多渠道流量统一的汇集和整体的研判IDS分类与检测原理IDS 分网络型NIDS旁路抓包检测和主机型HIDS本地行为监控。原理是特征匹配已知攻击、异常分析发现威胁。EDR和HIDS的区别都是部署在终端服务器上。EDR 除了流量检测还能主动响应、拦截可以直接在端点上执行隔离主机、杀进程、断网、删除恶意文件等动作。微步在线及其使用威胁情报平台主要用于 IP 查询、恶意样本分析、情报交流恶意文件沙箱分析关注指标文件哈希比对、外联通信、释放的文件、注册表修改行为、恶意行为进程注入、持久化蜜罐开放哪些端口及原因端口用途21、22、23捕捉爆破行为80、443Web 攻击MySQL、MSSQL、Redis数据库端口引诱攻击445SMB永恒之蓝3306远程桌面—流量特征Vshell流量特征默认 10 秒心跳包默认监听端口 8084TCP 流量23 00开头WebSocket 协议初始化流量有 GET 请求带ws参数CS流量特征请求路径是随机字母默认 60 秒心跳包默认 50050 端口JA3 TLS 指纹特征蚁剑、冰蝎、哥斯拉流量特征工具特征蚁剑老版本有默认 UA 头请求体常以ini_set开头参数名通常是0x开头base64加密冰蝎流量 AES 加密连接所使用本地端口分布在 49700 左右POST 请求类型一般是application/octet-stream哥斯拉Cookie 有分号请求体pass开头首次连接会产生大体积数据包Java反序列化流量特征与解密流量特征请求中出现二进制头、可能有 RMI/LDAP/JNDI 协议、出现常见链子的类名、Base64 编码序列化数据。解密用工具比对链子特征还原 Payload。相关关键词Runtime()、ProcessBuilder、ClassLoader远程加载恶意类、Reflection反射调用Redis未授权访问利用1. 网站目录写 Shell2. 定时任务反弹 Shell3. Lua 脚本写 Shell4. SSH 写公钥到目标服务器5. 主从复制Shiro反序列化流量rememberMe用 AES Base64 加密。Shiro 550 和 721 的区别550硬编码密钥直接伪造反序列化721需要先登录拿合法 Cookie然后爆破 Key 去构造反序列化攻击爆破成功响应包 200且不显示deleteme响应。Log4j漏洞流量特征与成功判定解析执行${}lookup()参数可控通过 JNDI 让目标加载远程恶意类。流量特征HTTP 请求头或参数含${jndi:ldap/rmi/dns://...}及编码混淆。成功判定看服务器 DNS 解析记录或流量日志大量异常的 200 或 500。Fastjson反序列化流量特征请求报文中查找 JSON 格式的数据type调用恶意类。流量包有typeldap/rmi。看有无 RMI 或机器 DNS 记录有无出网行为看有没有异常进程、异常文件落地。Struts2流量特征URL 含.action/.do注入 OGNL 表达式如${}、%{}被解析执行流量包有Runtime.exec等方法S2-045 基于 OGNL 表达式注入在Content-Type请求头里进行攻击%{}响应包出现 500 异常、OGNL 堆栈报错WeblogicWeblogic T3 反序列化7001 端口TCP流量看二进制头有特征攻击成功可能有命令回显异常请求体可能比较大。MS17010内网通信特征研判抓包看 TCP 445 端口看是不是有连续裸 RPC 请求且伴随数据回传。专门针对 SMB 请求去分析看看是不是有大量请求。应急响应完整溯源攻击链现场处置 → 主机取证 → 内网流量/日志溯源 → 边界溯源 → 梳理全链路场外溯源思路溯源先看 IP 的类型看看是挂了代理、拿肉鸡打的还是个人 VPS。挂了代理可能不太好溯源。有域名的话查 whois、证书记录。溯源主要成果靠抓社交信息QQ、微信、手机号做关联或者去威胁情报平台查。有手机号的话配合一些公开渠道基本能关联出来再到支付宝、做反向验证确认。应急响应流程不管是 Windows 还是 Linux机器被入侵了就先做微隔离。上杀毒看看有没有可疑文件落地或内存马查可疑的端口外联去封 IP。如果是 Web 服务器去看看中间件日志。Windows看异常进程、计划任务、注册表自启项、隐藏账户、事件日志Linux看 SSH 公钥有没有被篡改、异常 root 用户、rc.local自启项和计划任务、异常端口外联0day防御与处置安全加固攻击面最小化关闭非必要端口上蜜罐先手预知攻击信息、0day 漏洞利用细节加强流量监控终端部署 EDR 监控异常行为堡垒机 / 零信任网关开多因素认证防止凭证利用如何搭建安全的内网环境采用纵深防御架构边界防火墙作为第一道防线对外的业务服务器和 Web 服务器放到 DMZWAF 前置在 Web 服务器做防护IDS / IPS 在旁路持续监测流量态势感知统一搜集日志分析HW前暴露面梳理内容资产域名主子域名、测试/老旧遗留域名IP 端口公网 IP 段、高危端口Web 应用核心业务、VPN/OA、老旧边缘系统公众号、小程序、移动应用、联网的 IoT 设备云云存储桶、CDN、云服务SSH公网开放的加固思路改端口、换强密码、禁止 root 权限登录、设置规则限制登录次数防爆破、设置 IP 白名单护网期间设备误报如何处理误报的话一般结合实际业务场景来看。观察请求是内对内还是外对内的、IP 是不是客户白名单、请求有没有执行恶意操作、响应包有没有相关回显。可以和客户确认日志有没有执行成功。误报比较多的是 SQL 注入、RCE、XSS 这几类。比如正常业务带 SQL 语句频繁触发关键词告警跟客户确认后同类误报后续可忽略。大流量场景下优先关注哪些告警扫描或爆破请求频率高且异常的 IP 直接封攻击成功告警高危告警RCE、SQL 注入核心业务、数据库、网关的告警客户被红队攻击后如何处置防火墙下发紧急任务控制出入站流量。排查入口机在哪做微隔离上杀毒。内存、镜像保存下来取证。查 Web 日志、后门。旁路全流量拉日志出来以入口机 IP 为起点开始查。横向经过的主机都做一遍入侵排查。域控改哈希所有服务都重置凭证其他主机改密码。最后查是怎么入侵进来的完善 WAF 规则、打补丁。安全加固不开放高危端口和不必要的服务登录密码强口令限制登录次数IP 白名单系统升级打最新补丁优化防火墙规则按照最小化权限原则上安全设备定期杀毒加固敏感文件不能轻易被更改Linux基础命令用户与权限w # 当前在线用户find / -perm -4000 # 系统所有 SUID 权限异常文件uname -a # 内核版本/proc # 内核原生目录ps查不到查这里/etc/sudoers # SUID管理员权限账号计划任务crontab -l # 查看当前计划任务/etc/crontab # 查看系统计划任务/var/spool/cron/ # 用户计划任务启动与日志/etc/rc.local # 开机自启任务/var/log/secure # 安全日志/etc/ssh/sshd_config # SSH配置防火墙iptables -L -n # 查看防火墙规则看DROP/ACCEPT判断黑白名单systemctl status/start/stop iptablesfirewall-cmd --state进程ps -ef # 查看所有进程-auxpstreetop # 动态实时查看进程uptime端口ss -tulnp # 查看端口及对应进程PIDnetstat -tulnplsof -icat /etc/services磁盘与内存df -h # 查看磁盘4.4. 看登录日志/var/log/secure5. 看计划任务/etc/crontab6. SSH 后门/etc/ssh/sshd_config7. 看异常用户/etc/passwdUID0 的陌生用户8. 看历史命令~/.bash_history有没有横向移动痕迹9. 异常外联ss -tulnp10. 安全加固联系客户修复Linux命令被污染后的排查与修复看命令是否报错、卡顿异常。看 bin 目录路径是否被修改、动态链接库是否被劫持用工具对比文件哈希排查。用busybox修复或者强制重装二进制执行文件。Linux日志删除修复lsof | grep deleted找被删除的文件直接从/proc复制恢复。Linux持久化方式写公钥免密登录计划任务反弹 Shell写不死马 / 内存马劫持环境变量强制优先加载恶意代码劫持系统基础库加载恶意.so文件一般要对比哈希排查Windows持久化方式注册表启动项、计划任务、伪装系统服务、DLL 劫持、映像劫持、浏览器插件、污染远控软件Windows入侵排查思路看异常进程、卡顿、CPU 占用。用火绒剑、日志分析工具去分析日志、计划任务、登录日志、爆破迹象、横向痕迹。注册表排查隐藏用户路径SAM → domain → user。net user $*查隐藏用户。查 Web 中间件日志Tomcat/Apache 等access.log。上 D 盾排查 WebShell、可疑文件。看看是从哪里打进来的和客户沟通能否授权复测和修复。Windows安全日志4624登录成功需关注异常时间或 IP 的成功登录4625登录失败常见于暴力破解或密码输错如何判断文件上传攻击是否成功1. 查看响应体是不是 200有没有返回路径访问路径看看是否解析2. 查看态势感知日志判断文件是否落地3. 登录受害者主机全局搜索上传文件内存马排查与查杀先查看 Web 日志是否有可疑的访问日志。看攻击流量通过查找返回 200 的 URL 路径对比 Web 目录下是否真实存在文件如不存在大概率是内存马。Filter/Listener/Servlet 型内存马Filter 型全量拦截请求Listener 型监听事件自动触发Servlet 型访问特定路径才生效内存马一般来说重启服务器或重启中间件就可以了。JVM 反编译 Java 文件全局搜索恶意 class上内存马专杀工具。彻底清除 重启服务、热加载查杀内存马、删除恶意类、工具查杀、升级补丁、禁用危险接口、椒图打微补丁、应用防护常见入口 反序列化、计划任务、文件上传、表达式注入、模板注入Java 常见命令执行函数Runtime()、ProcessBuilder、ClassLoader远程加载恶意类、Reflection反射调用CS回连成功告警处置1. 若客户同意物理断网或网卡断网2. 可疑资产排查出来做个隔离3. 杀毒最好把客户电脑拿过来检查一下做一下应急4. 若能确定 CS 服务器地址和域名封禁处理挖矿应急响应1. 隔离断网2. 查 CPU 占用锁定挖矿程序备份后删除3. 看网络外联封禁异常 IP4. 清除定时任务、启动项、服务项等持久化驻留机制5. 结合日志溯源入侵途径弱口令、未授权、漏洞并修补6. 全量资产扫描排查是否存在其他潜在肉鸡高频考点总结排名考点出现频率1应急响应流程与命令⭐⭐⭐⭐⭐2Top10漏洞原理与防御⭐⭐⭐⭐⭐3内存马特征、排查、清除⭐⭐⭐⭐⭐4用过什么安全设备⭐⭐⭐⭐5告警研判/误报分析思路⭐⭐⭐⭐6WebShell流量特征⭐⭐⭐⭐7常见反序列化漏洞原理与特征⭐⭐⭐⭐8内网横向攻击链溯源⭐⭐⭐⭐9ssrf/sql注入/java命令执行常见协议/函数/类⭐⭐⭐蓝队面经主观题应急响应流程内网横向处置告警研判思路内存马与DLL劫持钓鱼邮件处置银狐病毒处置红队攻击手法基础渗透SQL注入/XSS/SSRF中间件漏洞内网渗透票据攻击安全设备EDR/IDS/态势感知蜜罐与沙箱流量特征WebShell特征反序列化流量常见工具指纹应急响应Linux/Windows排查持久化方式安全加固对于一些问题每个人的回答都各有千秋以上仅供参考哈~互动话题如果你对网络攻防技术感兴趣想学习更多网安方面的知识和工具可以看看以下题外话题外话黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2026最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2026最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击文章来自网上侵权请联系博主