hvv常见面试题3

1.渗透测试流程

1.明确范围与目标：确定测试范围，测试类型，签署授权协议
2.信息收集：使用工具获取公开的域名、IP、服务器版本、服务信息等，探测开放的端口，服务器类型和版本，针对HTTP，SSH、FTP等服务进行深度探测。
3.漏洞挖掘：使用工具扫描常见漏洞，如sql注入、xss等，手动验证自动化报告，排除误报，手动测试一些高风险漏洞，如逻辑漏洞，配置错误之类的
4.漏洞利用：使用工具尝试利用漏洞获取权限，如msf，sqlmap等，针对性开发exp/poc，利用系统漏洞或配置错误提升权限
如果有内网渗透的需求
5。植入后门，创建隐藏账户，定时任务，ssh密钥等
    利用横向渗透技术（如Pass-the-Hash、横向移动攻击链）扩散至内网其他系统
6.尝试窃取数据库、配置文件、密钥、日志等敏感信息，模拟数据外传（如通过DNS隧道、HTTP C2信道），清理入侵痕迹，清理日志，webshell等
7，编写渗透测试报告，协助客户修复漏洞，重新测试验证是否完全解决，提供安全加固建议

2.webshell工具流量特征

菜刀：一般以eval开头，http返回包都是明文的
蚁剑：蚁剑：支持base64,ascii码，rot13编码，一般以xxxx=%40eval开头 蚁剑的响应包：开头和结尾都使用随机字符串 支持定制heade
哥斯拉：以xxxx=eval(base64_decode开头请求头中都带有PHPSESSID，固定ua:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0
冰蝎：使用```AES加密 + base64编码```，AES使用动态密钥对通信进行加密，进行请求时内置了十几个User-Agent头，每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换，就可能是冰蝎。 
    2.0：2.0：需要先交换密钥(需要先协商密码)除了初始交换密钥的请求，后续的请求头中都带有PHPSESSID，请求主体和响应主体都是使用aes加密
    3.0：冰蝎3.0和冰蝎2.0最大的区别就是没有密钥协商，直接把密钥写死
    4.0：相对于冰蝎3.0增加了 xor，xor_base64，还支持自定义的加密函数和解密函数

 3.内网渗透思路

拿到跳板后，先探测一波内网存活主机，用net user /domian命令查看跳板机是否在域 内，探测存活主机、提权、提取hash、进行横向移动，定位dc位置，查看是否有能直接提权域 管的漏洞，拿到dc控制权后进行提权，然后制作黄金票据做好维权，清理一路过来的日志擦擦 脚印

4.内网应急

检查受影响主机的日志，查看异常连接，检查是否有可疑进程占用端口，​网络隔离，断网或者防火墙封禁，关闭被利用的服务，杀掉恶意进程，删除恶意文件或将其移动到沙箱分析，通过时间戳、源IP、进程ID关联攻击路径，检查其他主机是否被植入后门，确认敏感数据（如数据库、客户信息）是否被窃取，之后就是利用备份恢复数据，打打补丁，waf配置一下规则

5.内存马排查

可疑的web路径，中间件报错日志，堆栈调用上也会有问题，检查执行文件是否在文件系统中真实存在    如果是jsp注入，日志中排查可疑的jsp的访问请求，也可以使用工具Arthas（阿萨斯）一键查杀

6.怎么防0day

多关注内网方面的流浪，还有就是厂商设备对流浪的检测，比如文件上传出现的恶意文件，以及比较恶意的流浪特征。还有就是主机测出现的一些比较敏感的API（系统层，软件、应用层）

7.0day怎么应急处置

对发现的疑似漏洞进行快速验证，确定是否为真实的0Day漏洞，评估其可信度
深入剖析漏洞的原理、攻击方式、影响范围、危害程度等，明确漏洞的关键特征
根据漏洞情况，采取临时应急措施，如限制访问、隔离受影响系统或服务等，防止漏洞被进一步利用
收集与漏洞相关的各种信息，包括攻击源、攻击手法等，并在必要且合规的情况下，与相关安全机构、合作伙伴等共享信息。
协同软件开发者、安全专家等，共同商讨并制定有效的修复方案，可能涉及代码修改、配置调整等
按照修复方案，对受影响的系统、软件等进行修复操作，确保漏洞得到妥善解决
修复完成后，进行全面严格的测试，验证修复是否成功，确保系统或软件恢复正常运行且漏洞不再存在

8。场景题（如果发现0day，但是业务不能下线和频繁重启，有哪些处置方法）

1.（如果可以）断开受感染设备的网络连接（拔网线、禁用Wi-Fi）。
2.关闭不必要的服务或端口，防止横向扩散。
3.联系软件供应商获取临时补丁（如微软的“月度补丁”之外的紧急修复）。
4.使用WAF（Web应用防火墙）或IPS规则拦截攻击流量（例如屏蔽特定恶意IP或URL）
5.如关闭暴露的API接口、禁用不安全的协议（如SMBv1）
6.优先使用供应商发布的官方补丁，重启受影响系统。
7.若无补丁，可考虑虚拟补丁（通过防火墙规则或IPS模拟补丁效果）
8.将漏洞信息同步至威胁情报平台（如Shodan、VirusTotal）。
9.强化访问控制（如最小权限原则、多因素认证）

9.服务被webshell后如何防止横向渗透

立即隔离受感染服务器​​
        断开服务器与内网、外网的连接（拔网线、关闭Wi-Fi、禁用云服务器公网IP）。关闭非必要服务（如数据库、SSH、RDP等），减少攻击面。
​​阻断攻击源​​
         封禁WebShell使用的IP地址（通过防火墙或云服务商安全组）。清除WebShell文件并修复漏洞（如文件上传、代码注入漏洞）。

网络分段与隔离​​

将关键业务系统、数据库、管理后台等划分到独立子网，限制跨网段通信。

使用防火墙策略（如ACL、安全组）禁止非必要端口（如SMB、RDP、MySQL默认3306）的跨主机访问

禁用高危协议​​

关闭内网中不必要的协议（如SMBv1、Telnet），改用加密协议（如SFTP、SSH）。

禁用Windows系统中的Admin$共享、IPC$共享。

最小权限原则​​

使用低权限账户运行Web服务（如禁用root或Administrator权限运行）。限制数据库、中间件等服务的系统权限，避免攻击者提权。

禁用高危功能​​

关闭服务器中无用的功能模块（如PHP的exec()、system()函数）。

禁用Windows的远程桌面（RDP）或限制登录IP白名单。