蓝队经历

1. 面试问上次hw协防单位和主防单位是哪个厂商的
2. 用过安全设备吗
3. 你们设备遇到的最多告警是什么？是误报还是真实攻击？
   • 答：我们设备遇到的最多告警主要是来自网络扫描和暴力破解攻击。大部分告警是误报，但也有一些是实际攻击事件。
4. 期间有没有什么重大发现？有没有成功溯源到IP或是个人的案例或者有没有对攻击方完成过成功反制的案例？
   • 答：我们曾成功溯源到一个来自国外的IP地址，并且通过合作，我们追踪到了一名攻击者的个人信息。此外，我们还对某次DDoS攻击进行了成功的反制，减缓了攻击的影响。
5. 你了解护网是做什么的吗？
   • 答：护网行动是一个攻防演练活动。我们蓝队是防守方，主要分为两组，一组对流量和报警进行监控，一组进行应急响应和溯源。前期会对企业的资产进行梳理和预渗透来进行加固。
6. 说说你们当时护网的经历情况（怎么发现这些漏洞之类，反正就是聊简历上的一些项目经验）
   • 答：在护网行动中，我们通过流量监控和日志分析发现了一些可疑活动。例如，通过分析异常流量模式和不寻常的登录尝试，我们识别并修补了多处漏洞。我们还进行了应急响应，迅速处理了几起安全事件。
7. 研判的经历
   • 答：
     • 200状态码有可能攻击成功
     • 4xx状态码也有可能表明尝试失败
     • 返回值是root或者密码，可能表明攻击成功
     • 请求体包含cmd、whomi等敏感词，可能表明有命令注入攻击

类红队经历

1. 讲讲内网渗透和域控的实战经验
   • 答：在内网渗透中，我们通过钓鱼邮件获取了初始访问权限，随后利用横向移动工具如Pass-the-Hash获取了域控权限。通过Kerberos票据传递攻击，我们成功提升了权限并控制了域内的关键服务器。
2. 讲讲挖过的缓冲区溢出漏洞
   • 答：我们在一个老旧的FTP服务中发现了缓冲区溢出漏洞。通过反复调试，我们成功编写了一个利用代码，能够在目标系统上执行任意代码并获取系统权限。
3. 印象最深的漏洞
   • 答：印象最深的是一次在web应用中发现的SQL注入漏洞。通过该漏洞，我们能够绕过登录验证，获取数据库的管理员权限，并进一步渗透到后台服务器。

护网红队有什么成果

SRC经历

1. 谈谈挖洞和渗透印象较深的两次，过程、方法，获取了什么权限
   • 答：
     • 第一次是在一个企业的官网中发现了一个未授权访问漏洞。通过这个漏洞，我们获得了管理后台的访问权限，能够查看和修改用户信息。
     • 第二次是在一个在线商城中发现了XSS漏洞。通过这个漏洞，我们能够劫持管理员的会话，最终获取了管理员权限。
2. 一个登陆口会想到哪些漏洞？
   • 答：登录口可能存在的漏洞包括：
     • SQL注入
     • 弱密码
     • 暴力破解
     • XSS攻击
     • CSRF攻击
     • 认证绕过
3. 挖到的RCE类漏洞
   • 答：我们在一次代码审计中发现了一个RCE漏洞，通过上传恶意文件并触发文件包含漏洞，我们成功在目标服务器上执行了任意代码，获得了服务器的控制权。

平时挖什么类型的漏洞多一点

项目经历

代码审计类

1. 讲讲写过的安全审计，从出发点和原理层面谈谈
   • 答：在代码审计项目中，我们首先确定了应用的关键功能模块，然后通过静态代码分析工具和手动审计相结合的方法，查找潜在的安全漏洞。主要关注点包括输入验证、身份验证、访问控制和错误处理。我们发现并修复了多个严重漏洞，如SQL注入、XSS、文件包含和未授权访问，确保了系统的安全性。

之前从事的网安工作？具体做了什么？比如资产梳理什么的

资产梳理我不敢顺着说，但是我也没有别的记忆，所以编了一个说法：印象比较深刻的就是给员工做网 络安全知识培训，剩下的就是坐在那老板喊干什么就干什么