面试题目(红队方向)

面试题目(红队方向)

1、go语言免杀shellcode如何免杀?免杀原理是什么?

使用go-shellcode加载器: https://github.com/brimstone/go-shellcode 使用gsl加载器:https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/gsl-sc-loader.zip

免杀原理: 修改特征码、花指令、加壳、分离加载

核心是改变静态特征和运行时行为特征。

2、windows defender防御机制原理,如何绕过?

Windows Dedender使用病毒定义和启发式来捕捉危险程序。 绕过方案: 1.使用自定义加密绕过静态分析 2.部分函数不会触发动态扫描(运行时分析)

Defender 还会结合云查杀、AMSI、行为监控和信誉检测。

3、卡巴斯基进程保护如何绕过进行进程迁移?

通过蓝屏获得memory.dmp绕过卡巴斯基 通过蓝屏绕过卡巴斯基的内存保护抓取密码 使用RPC控制lsass加载SSP

面试可从“进程保护、内存访问、句柄控制”三个点回答。

4、fastjson不出网如何利用?

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
org.apache.tomcat.dbcp.dbcp2.BasicDataSource

内存Webshell 命令执行回显(回显在HTTP响应中)

不出网时重点看本地利用链、回显和业务侧可观测结果。

5、工作组环境下如何进行渗透?详细说明渗透思路。

获取域内密码和Hash,得到NTLM Hash后进行远程连接,使用计划任务(at或者schtasks命令)横向渗透; 票据传递攻击; NTLM Relay攻击;

工作组环境重点关注本地账号复用、共享权限和远程管理服务。

6、内存马的机制?

1.servlet-api型通过命令执行等方式动态注册一个新的listener、filter或者servlet,从而实现命令执行等功能。特定框架、容器的内存马原理与此类似,如spring的controller内存马,tomcat的valve内存马2.字节码增强型通过java的instrumentation动态修改已有代码,进而实现命令执行等功能。

本质是把恶意逻辑挂到运行时对象或字节码里。

7、不出网有什么方法,正向shel l 方法除了reg之类的,还有什么?

通过webshell实现内网SOCK4代理,端口映射可以使目标不出网情况下在cs上线。 下载地址:https://github.com/FunnyWolf/pystinger

可以概括为“利用已有入站通道或代理通道解决通信问题”。

8、什么是域内委派?利用要点?

域委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用 委派可获取域管理员权限,甚至制作深度隐藏的后门域委派是指将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动。

1.已知被设置非约束性委派属性的服务账号的口令明文,则可以获取域管理权限 2.已控制非约束性委派服务账号所在的服务器 3.已获取配置了约束性委派的服务账号的口令 NTLM 4.一个主机账号被设置了约束性委派,已获取该主机账号的口令NTLM

常见分类是非约束委派、约束委派、基于资源的约束委派。

9、shiro漏洞类型,721原理,721利用要注意什么?

Shiro组件漏洞主要分为两种类型,一种是java反序列化造成的远程代码执行漏洞,另一种是身份验证绕过漏洞。

721: Shrio所使用的cookie里的rememberMe字段采用了AES-128-CBC的加密模式,这使得该字段可以被padding oracle 攻击利用。攻击者可以使用一个合法有效的rememberMe 的cookie作为前缀来实施POA,然后制造一个特制的rememberMe来执行Java反序列化攻击。

这个漏洞比较鸡肋的地方就是需要获取合法用户的rememberMe,如果配合XSS之类的也许效果更加,并且在利用时Shiro采用的是Collection3.2.1需要搭配相应的paylaod。

修复重点是升级 Shiro、禁用弱密钥和限制 rememberMe 风险。

10、hvv三大洞?

weblogc shiro fastjson

通常指 WebLogic、Shiro、Fastjson。

11、天擎终端防护如何绕过,绕过思路?

可从静态检测、行为检测、进程监控、脚本监控几个角度回答。

12、免杀木马的思路?

阻止杀毒软件扫描内存 加壳免杀 修改壳程序免杀 改文件特征代码免杀 加花指令免杀 修改内存特征代码

一句话概括:对抗文件特征、内存特征和行为特征。

13、jsonp跨域的危害,cors跨域的危害?

共享cookie数据 目前常见的一种形式,就是统一登陆,所有的大型企业,基本上都采用这种方式,登陆验证后会在所有的该企业其他同三级域中授权,因此一旦某个域出现安全威胁后,就可能窃取到用户的cookie信息,就可以利用该用户的cookie信息伪装用户操作

共享个人信息数据 有些时候,可能不存在类似xss这类漏洞,直接获取到用户的cookie信息,但是为了数据在资产域中交换,常常利用jsonp、cors技术,但是会存在配置错误就导致,默认所有域可访问、正则被绕过,引入的某个JS资源该服务器不安全等因素,导致数据被劫持

JSONP 和 CORS 配置不当都可能导致敏感接口数据泄露。

14、说出印象比较深刻的一次外网打点进入内网?

可按“入口发现、漏洞验证、权限获取、内网探测、风险证明、报告复盘”回答。

15、rmi的利用原理?

利用了RMI的默认配置。注册表和RMI激活服务,允许加载类来自任何远程(HTTP)URL。

核心风险是远程调用、类加载和反序列化边界配置不当。

16、域内的一个普通用户(非域用户)如何进行利用?

利用MS16-068获取高权限票据 zerologon

普通用户也可用于枚举共享、权限、服务账号和错误配置。

17、宝塔禁止PHP函数如何绕过?

可以从 PHP 配置、扩展、FPM 权限和站点隔离角度理解。

18、证书透明度的危害?

CT 日志可能暴露子域名、测试环境和隐藏资产。

19、内网渗透降权的作用?

降权可用于模拟低权限视角,并降低测试动作影响面。

20、webshell有system权限但无法执行命令,怎么办?

找到没有被禁用的命令执行函数。

也要排查权限、路径、杀软拦截、回显和运行环境限制。

21、TrustedInstall权限的原理是什么?

TrustedInstaller是一个权限次于Administrator的虚拟用户

它主要用于保护 Windows 系统组件和关键资源。

22、2008的服务权限如何进行提权?

可用ms15-051

老系统还要关注补丁缺失、服务权限和第三方软件权限问题。

23、Windows UAC原理是什么?

通知用户是否对应用程序使用硬盘驱动器和系统文件授权,以达到帮助阻止恶意程序损坏系统的效果。

UAC 本质是管理员令牌和标准令牌的分离。

24、Windows添加用户如何绕过火绒以及360?

使用UserClone.exe、Create-Clone.ps1

PowerShell:

New-LocalUser betasec -Password (ConvertTo-SecureString -String 'pass!@#!23' -AsPlainText -Force)
Add-LocalGroupMember -Group "administrators" -Member "betasec"

防守侧重点监控账号创建、本地管理员组变化和异常登录。

25、如何伪造钓鱼邮箱?会面临什么问题?

用set之类的工具伪造,有DKIM&SPF的问题

还会受到 DMARC、邮件网关、发信信誉和用户告警影响。

26、分别说出Windows以及Linux提权方式。

Windows:系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、窃取令牌提权、bypassuac提权,第三方软件/服务提权,WEB中间件漏洞提权 Linux: 内核漏洞提权 利用SUID提权 SUDO提权 计划任务提权 NFS提权 MySQL提权

可以按“漏洞、配置、凭据、服务权限”四类归纳。

27、分别说出redis、weblogic、Mongodb、Elasticsearch、ldap、sambda、Jenkins、rmi默认端口。

Redis 6379 Weblogic 7001 Mongodb 27017/27018 Elasticsearch 9200 ldap 389/686 sambda 445 Jenkins 8080 rmi 1099

LDAP 常见安全端口是 636,sambda 通常应写作 Samba。

28、XSS如何配合组合拳进行getshell。

xss加csrf组合拳 或者存储型XSS钓鱼

关键看受害者权限、后台功能和是否能触发高危操作。

29、烂土豆提权使用过吗?它的原理?

  1. 欺骗 “NT AUTHORITY\SYSTEM”账户通过NTLM认证到我们控制的TCP终端。

  2. 对这个认证过程使用中间人攻击(NTLM重放),为“NT AUTHORITY\SYSTEM”账户本地协商一个安全令牌。这个过程是通过一系列的Windows API调用实现的。

  3. 模仿这个令牌。只有具有“模仿安全令牌权限”的账户才能去模仿别人的令牌。一般大多数的服务型账户(IIS、MSSQL等)有这个权限,大多数用户级的账户没有这个权限。

核心是 NTLM 中继和令牌模拟权限。

30、powershell免杀怎么制作?

参考https://www.1ight.top/powershell免杀/

面试可从 AMSI、脚本日志、命令行特征和父子进程角度回答。

31、提取内存hash被查杀,如何绕过?

procdump+Mimikatz 绕过

凭据访问通常会被 EDR 重点监控 LSASS 访问行为。

32、shellcode免杀思路说一下?

远程加载shellcode 分离免杀

可概括为规避静态特征、内存特征和行为链检测。

33、分别说下linux、windows的权限维持?

Linux:定时任务 Windows:新建用户

还可从服务、启动项、计划任务、SSH Key、注册表等角度补充。

34、如何开展蓝队工作?如何开展红队工作?

蓝队重检测响应,红队重路径验证,二者都要形成复盘闭环。

35、大型网络渗透经验是否有?

可从资产规模、授权范围、入口、横向路径、风险证明和整改闭环回答。

36、如何把shellcode嵌入到正常exe中?

注入

防守侧可关注 PE 结构异常、签名异常和可疑内存行为。

37、描述下Spring框架的几个漏洞?

cve-2016-4977 这个漏洞的触发点也是对用户传的参数的递归解析,从而导致SpEL注入,可是两者的补丁方式大不相同。Springboot的修复方法是创建一个NonRecursive类,使解析函数不进行递归。而SpringSecurityOauth的修复方法则是在前缀${前生成一个六位的字符串,只有六位字符串与之相同才会对其作为表达式进行解析。然而如果请求足够多,这种补丁也是会失效的。

Spring 常见问题还包括 SpEL 注入、Actuator 暴露和数据绑定风险。

38、说下strust2的漏洞利用原理?

OGNL

Struts2 多数高危漏洞与 OGNL 表达式解析或参数处理不当有关。

 
© 版权声明
THE END
喜欢就支持一下吧
点赞37赞赏 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容