蓝队面试题（三）

面试过程及回答

自我介绍

这里就如实回答的工作经历，参与的项目，尽量简短的把你参与的项目和成果说出来就行

使用过哪些设备，出现误报怎么办

天眼、EDR、全流量告警、态势感知、APT、蜜罐设备 先去查看设备的完整流量日志等信息确认是否为误报，误报那就是规则问题，上报处置，提供规则优化建议

怎么判断攻击是否真实，是否攻**击成功**

分析请求包、响应包，分析攻击特征，payload和告警不匹配，多数为误报，也可以查看攻击方向，如果是内对内，多半就是误报，也要具体去分析流量，看响应包内容，请求包如果有执行whoami命令，响应包有root那肯定执行成功了，如果有大批量告警，可以看有没有特殊的响应包判断，重点关注200的数据包，实在无法判断是否攻击成功，自己去复现一下

webshell流量特征（可以百度下常见webshell管理工具流量特征）

首先通过一些高危的函数判断是否为webshell，会有频繁的HTTP请求，异常的请求方法，base64编码的数据 菜刀：使用HTTP协议通信，请求的payload为base64编码，UA中存在百度或者火狐，大多为POST请求，请求的地址为webshell地址，请求体中有固定字符QGluaV9zZXQo 蚁剑：很多代码源于菜刀，流量也会比较相似，使用AES算法进行加密，使用的UA是固定的，请求中比较明显的特征为@ini_set("display_errors"，"0")，加密后的参数多数是0x=这种形式 冰蝎：老版本的话会有个密钥协商过程，这个过程是明文传输的，响应包就会有16位的密钥，新版本各种语言的webshell中都会存在16位数的连接密码，默认变量为K，像Content-type、Accept为固定的

webshell检测思路

通过匹配特征码，特征值，危险函数来查找webshell ，webshell如果传到服务器了，在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据，Linux下就是nobody用户起了bash,Windo

原文地址：https://blog.csdn.net/Thewei666/article/details/138869993

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！