全文小结这篇面经整合了**蓝队（蓝中为主，兼顾蓝初）的高频考点**，覆盖主观面试题、基础渗透知识、安全设备、流量特征分析、应急响应实战等模块。主观题部分侧重**回答思路和方向**，客观题保留面试常见问答。  
面蓝初的师傅掌握 TOP10 漏洞原理、基本应急思路、流量分析就差不多；  
蓝中最好有护网经历，额外准备内存马、内网横向、应急排查等知识点。

**思路仅为参考，无法保证细节完全准确，请客观甄别、仔细验证。**

## 主观题

这方面主要看你简历问，主观题这里就不放参考回答了，自己根据这些方面好好总结一下吧

### 自我介绍

介绍一下自己的护网经历、掌握的技能之类的，这部分结合自身实际情况说就好。重点突出：

*   • 参与过几次护网、担任什么角色
    
*   • 熟悉的技能方向（应急、研判、溯源、渗透）
    
*   • 用过哪些安全设备

### 应急响应流程

### 内网横向处置

### 告警研判思路

### 应急响应思路

### 内存马处置

### DLL劫持处置思路

### 钓鱼邮件处置与溯源

### 挖矿病毒处置思路

### 红队常见打点/内网攻击手法

### 红队经历/挖洞经历

### 重保经历、项目经历

### 写过什么技战法

* * *

## 基础渗透

### 登录页面常见漏洞

用户名枚举，密码爆破，验证码逻辑缺陷，SQL 注入，JS 敏感信息泄露，接口未授权，框架特征明显自己打 Nday，目录结构脆弱扫到敏感文件或端口

### CDN网站获取真实IP的方法

全球 ping，证书暴露，子域名指向真实 IP，历史 DNS 解析

### 常见中间件漏洞

*   • **Tomcat**：PUT 文件上传、JP 协议未授权文件读取、弱口令进后台传 WAR 包 RCE
    
*   • **IIS**：分号绕过解析 ASP、HTTP.sys RCE、PUT WebDAV
    
*   • **Apache**：.htaccess 文件解析、目录遍历、后缀解析漏洞

### 文件包含漏洞

本地文件包含靠目录穿越、伪协议与日志包含读取或执行文件。远程文件包含则利用开启远程包含加载恶意 URL 直接执行代码。

### SSRF原理、利用与修复

**原理**：服务端请求伪造，攻击者构造恶意 URL 让服务器发起内网请求

**可用协议**：file、http/https、ftp、gopher、dict

**利用**：可扫端口、读文件，云服务器可以请求元数据

**修复**：IP 白名单、校验 URL 与域名、禁用危险协议

### XXE外部实体注入

XML 解析器没禁用外部实体

### XSS区别

*   • **反射型**：后端反射，需诱骗点击
    
*   • **存储型**：存入数据库，自动触发
    
*   • **DOM型**：纯前端 JS 漏洞，不经后端，恶意修改 DOM 环境触发

### CSRF成因

仅依赖浏览器自动携带的 Cookie 进行身份验证，没有对跨域请求的来源校验

### 内网渗透流程

本地信息收集（IP 段、杀软、权限） → 隧道代理 → 内网探测 → 获取凭据 → 横向移动 → 权限维持

### 黄金票据和白银票据区别

*   • **黄金票据**：伪造 TGT，需域 krbtgt 哈希，绕过 AS 阶段，可访问域内所有服务
    
*   • **白银票据**：伪造 TGS，需指定服务账户哈希，不与 KDC 交互，仅能访问特定服务

### 条件竞争型文件上传漏洞

多线程并发抢先访问，赶在文件被删除前触发解析

### 后台Getshell的方法

文件上传，模板注入，定时任务，数据库执行，反序列化入口

### PHP命令执行函数

`system()``exec()``shell_exec()`

### mysql，mssql函数

MySQL：`load_file()`、`sleep`、`#` 号注释

MSSQL：`xp_cmdshell`、`delay`

### SQL注入原理

攻击者构造恶意 payload，程序没有过滤导致 SQL 语句直接在后端拼接去执行。

联合查询靠 `UNION SELECT` 拼接结果回显。堆叠注入用 `;` 执行多语句，宽字节注入靠宽字符吃掉转义符 `\` 实现单引号逃逸。

### SQL注入报错函数

`updatexml()``exp()``floor()``extractvalue()`

### SQL时间盲注函数

`sleep`、`benchmark`、`rlike`

### SQL时间盲注提速方法

二分法盲注、DNSLog 外带

### SQLMap写Shell原理与条件

**原理**：上传木马文件

**条件**：目标关闭安全模式、root 权限、知道网站绝对路径

### SQL注入防御

全局严格过滤输入、预编译、上 WAF

### 数据库提权方式

*   • **UDF 提权**：向 MySQL 插件目录注入恶意动态链接库，将 SQL 指令转化为直接执行的系统命令
    
*   • **MOF**：将恶意 MOF 文件写入系统目录，通过定时任务来进行添加用户等操作
    
*   • 开启 `xp_cmdshell` 功能，执行系统命令

### Shiro有Key无链怎么利用

可以去探测依赖，尝试打 JRMP 链

### CC1和CC6的区别

CC1 靠动态代理触发，Java 8u71 之前可用。CC6 改用 HashMap 哈希计算触发，全版本通杀

### 主流OA漏洞

*   • **用友 NC**：SQL 注入，反序列化，文件上传
    
*   • **泛微 OA**：文件上传，文件读取，反序列化，RCE
    
*   • **万户 OA**：文件上传，文件读取，SQL 注入

### java幽灵比特位攻击

**原理**：Java 处理字符时会丢失高位，导致实际执行时可以解析恶意的字符用来绕 WAF。WAF 看到的和实际执行的不一样。

**防御**：WAF 方面要模拟 Java 处理流程来添加过滤

* * *

## 安全设备

### 常见安全设备

*   • **天融信**：昆仑系列、下一代防火墙、TopEDR
    
*   • **WAF**：长亭雷池、安全狗、奇安信网神
    
*   • **态势感知**：奇安信 ngSOC、深信服、新华三
    
*   • **EDR**：天擎、深信服、亚信
    
*   • **蜜罐**：微步、青藤云、幻阵
    
*   • **堡垒机**：绿盟、齐治、奇安信

### 护网需要哪些安全设备

*   • **态势感知**：联动分析，方便告警研判和处置
    
*   • **网站 WAF**：防绕过、防扫描
    
*   • **服务器终端 EDR**：监控异常状态，及时进行拦截阻断
    
*   • **旁路全流量分析**：流量监控，方便溯源
    
*   • **堡垒机 / 零信任网关**：防止权限失控

### 奇安信天擎、天眼、椒图的区别

*   • **天擎**：部署在终端 — EDR
    
*   • **椒图**：部署在服务器
    
*   • **天眼**：部署在旁路 — 用于流量检测

### 天眼设备三大功能模块

传感器、沙箱、分析平台

### 主机安全设备有哪些

奇安信天擎、椒图、深信服 EDR、启明 EDR、亚信 EDR

云平台安全中心：阿里云、腾讯云

堡垒机：绿盟

### XDR扩展语法

`sip``dip``OR``AND``NOT`

### 态势感知工作原理

从各种渠道搜集数据（安全设备、日志、流量），基于规则引擎去匹配攻击行为，依据历史数据利用统计模型给出态势预警和决策。

### IDS、全流量检测、态势感知的异同

*   • **IDS**：单点流量检测
    
*   • **全流量检测**：全流量的数据保存和分析
    
*   • **态势感知**：多渠道流量统一的汇集和整体的研判

### IDS分类与检测原理

IDS 分\*\*网络型（NIDS）**旁路抓包检测和**主机型（HIDS）\*\*本地行为监控。原理是特征匹配已知攻击、异常分析发现威胁。

### EDR和HIDS的区别

都是部署在终端服务器上。EDR 除了流量检测还能主动响应、拦截，可以直接在端点上执行**隔离主机、杀进程、断网、删除恶意文件**等动作。

### 微步在线及其使用

威胁情报平台，主要用于 IP 查询、恶意样本分析、情报交流

### 恶意文件沙箱分析关注指标

文件哈希比对、外联通信、释放的文件、注册表修改行为、恶意行为（进程注入、持久化）

### 蜜罐开放哪些端口及原因

端口

用途

21、22、23

捕捉爆破行为

80、443

Web 攻击

MySQL、MSSQL、Redis

数据库端口引诱攻击

445（SMB）

永恒之蓝

3306（远程桌面）

—

* * *

## 流量特征

### Vshell流量特征

*   • 默认 10 秒心跳包
    
*   • 默认监听端口 8084
    
*   • TCP 流量 `23 00` 开头
    
*   • WebSocket 协议初始化流量有 GET 请求带 `ws` 参数

### CS流量特征

*   • 请求路径是随机字母
    
*   • 默认 60 秒心跳包
    
*   • 默认 50050 端口
    
*   • JA3 TLS 指纹特征

### 蚁剑、冰蝎、哥斯拉流量特征

工具

特征

**蚁剑**

老版本有默认 UA 头，请求体常以 `@ini_set` 开头，参数名通常是 `0x` 开头，base64加密

**冰蝎**

流量 AES 加密，连接所使用本地端口分布在 49700 左右，POST 请求类型一般是 `application/octet-stream`

**哥斯拉**

Cookie 有分号，请求体 `pass=` 开头，首次连接会产生大体积数据包

### Java反序列化流量特征与解密

**流量特征**：请求中出现二进制头、可能有 RMI/LDAP/JNDI 协议、出现常见链子的类名、Base64 编码序列化数据。

**解密**：用工具比对链子特征还原 Payload。

相关关键词：`Runtime()`、`ProcessBuilder`、`ClassLoader` 远程加载恶意类、`Reflection` 反射调用

### Redis未授权访问利用

1.  1\. 网站目录写 Shell
    
2.  2\. 定时任务反弹 Shell
    
3.  3\. Lua 脚本写 Shell
    
4.  4\. SSH 写公钥到目标服务器
    
5.  5\. 主从复制

### Shiro反序列化流量

`rememberMe` 用 AES + Base64 加密。

**Shiro 550 和 721 的区别：**

*   • **550**：硬编码密钥直接伪造反序列化
    
*   • **721**：需要先登录拿合法 Cookie，然后爆破 Key 去构造反序列化攻击

爆破成功响应包 200，且不显示 `deleteme` 响应。

### Log4j漏洞流量特征与成功判定

解析执行 `${}`，`lookup()` 参数可控，通过 JNDI 让目标加载远程恶意类。

**流量特征**：HTTP 请求头或参数含 `${jndi:ldap/rmi/dns://...}` 及编码混淆。

**成功判定**：看服务器 DNS 解析记录，或流量日志大量异常的 200 或 500。

### Fastjson反序列化流量特征

请求报文中查找 JSON 格式的数据，`@type` 调用恶意类。流量包有 `@type` + `ldap/rmi`。看有无 RMI 或机器 DNS 记录有无出网行为，看有没有异常进程、异常文件落地。

### Struts2流量特征

*   • URL 含 `.action` / `.do`
    
*   • 注入 OGNL 表达式（如 `${}`、`%{}`）被解析执行，流量包有 `Runtime.exec` 等方法
    
*   • S2-045 基于 OGNL 表达式注入，在 `Content-Type` 请求头里进行攻击 `%{}`
    
*   • 响应包出现 **500 异常、OGNL 堆栈报错**

### Weblogic

Weblogic T3 反序列化：7001 端口，TCP流量看二进制头有特征，攻击成功可能有命令回显，异常请求体可能比较大。

### MS17010内网通信特征研判

抓包看 TCP 445 端口，看是不是有连续裸 RPC 请求，且伴随数据回传。专门针对 SMB 请求去分析，看看是不是有大量请求。

* * *

## 应急响应

### 完整溯源攻击链

> 现场处置 → 主机取证 → 内网流量/日志溯源 → 边界溯源 → 梳理全链路

### 场外溯源思路

溯源先看 IP 的类型，看看是挂了代理、拿肉鸡打的还是个人 VPS。

挂了代理可能不太好溯源。有域名的话查 whois、证书记录。溯源主要成果靠抓社交信息（QQ、微信、手机号）做关联，或者去威胁情报平台查。有手机号的话配合一些公开渠道基本能关联出来，再到支付宝、做反向验证确认。

### 应急响应流程

不管是 Windows 还是 Linux，机器被入侵了就先做**微隔离**。上杀毒看看有没有可疑文件落地或内存马，查可疑的端口外联去封 IP。

如果是 Web 服务器，去看看中间件日志。

*   • **Windows**：看异常进程、计划任务、注册表自启项、隐藏账户、事件日志
    
*   • **Linux**：看 SSH 公钥有没有被篡改、异常 root 用户、`rc.local` 自启项和计划任务、异常端口外联

### 0day防御与处置（安全加固）

*   • **攻击面最小化**：关闭非必要端口
    
*   • **上蜜罐**：先手预知攻击信息、0day 漏洞利用细节
    
*   • **加强流量监控**，终端部署 EDR 监控异常行为
    
*   • **堡垒机 / 零信任网关**：开多因素认证，防止凭证利用

### 如何搭建安全的内网环境

采用**纵深防御架构**：

*   • 边界防火墙作为第一道防线
    
*   • 对外的业务服务器和 Web 服务器放到 DMZ
    
*   • WAF 前置在 Web 服务器做防护
    
*   • IDS / IPS 在旁路持续监测流量
    
*   • 态势感知统一搜集日志分析

### HW前暴露面梳理内容

*   • **资产域名**：主子域名、测试/老旧遗留域名
    
*   • **IP 端口**：公网 IP 段、高危端口
    
*   • **Web 应用**：核心业务、VPN/OA、老旧边缘系统
    
*   • 公众号、小程序、移动应用、联网的 IoT 设备
    
*   • **云**：云存储桶、CDN、云服务

### SSH公网开放的加固思路

改端口、换强密码、禁止 root 权限登录、设置规则限制登录次数防爆破、设置 IP 白名单

### 护网期间设备误报如何处理

误报的话一般结合实际业务场景来看。观察请求是内对内还是外对内的、IP 是不是客户白名单、请求有没有执行恶意操作、响应包有没有相关回显。可以和客户确认日志有没有执行成功。

误报比较多的是 SQL 注入、RCE、XSS 这几类。比如正常业务带 SQL 语句频繁触发关键词告警，跟客户确认后同类误报后续可忽略。

### 大流量场景下优先关注哪些告警

*   • 扫描或爆破：请求频率高且异常的 IP 直接封
    
*   • 攻击成功告警
    
*   • 高危告警：RCE、SQL 注入
    
*   • 核心业务、数据库、网关的告警

### 客户被红队攻击后如何处置

防火墙下发紧急任务，控制出入站流量。排查入口机在哪，做微隔离，上杀毒。内存、镜像保存下来取证。查 Web 日志、后门。

旁路全流量拉日志出来，以入口机 IP 为起点开始查。横向经过的主机都做一遍入侵排查。域控改哈希，所有服务都重置凭证，其他主机改密码。最后查是怎么入侵进来的，完善 WAF 规则、打补丁。

### 安全加固

*   • 不开放高危端口和不必要的服务
    
*   • 登录密码强口令，限制登录次数，IP 白名单
    
*   • 系统升级，打最新补丁
    
*   • 优化防火墙规则，按照最小化权限原则
    
*   • 上安全设备，定期杀毒
    
*   • 加固敏感文件，不能轻易被更改

### Linux基础命令

`# 用户与权限   w                                # 当前在线用户   find / -perm -4000               # 系统所有 SUID 权限异常文件   uname -a                         # 内核版本   /proc                            # 内核原生目录（ps查不到查这里）   /etc/sudoers                     # SUID管理员权限账号      # 计划任务   crontab -l                       # 查看当前计划任务   /etc/crontab                     # 查看系统计划任务   /var/spool/cron/                 # 用户计划任务      # 启动与日志   /etc/rc.local                    # 开机自启任务   /var/log/secure                  # 安全日志   /etc/ssh/sshd_config             # SSH配置      # 防火墙   iptables -L -n                   # 查看防火墙规则（看DROP/ACCEPT判断黑白名单）   systemctl status/start/stop iptables   firewall-cmd --state      # 进程   ps -ef                           # 查看所有进程（-aux）   pstree   top                              # 动态实时查看进程   uptime      # 端口   ss -tulnp                        # 查看端口及对应进程PID   netstat -tulnp   lsof -i   cat /etc/services      # 磁盘与内存   df -h                            # 查看磁盘空间使用情况   free -h                          # 查看内存使用情况   find / -name "file"              # 按文件名精确查找   kill -9                          # 强制杀死      # 登录审计   last                             # 查看所有历史成功登录账号、IP、时间、重启记录   lastb                            # 查看 SSH 暴力破解失败登录日志   lastlog                          # 查看系统每个用户最后一次登录时间`

### Linux入侵排查思路

1.  1\. 先隔离断网，上 D 盾扫 WebShell
    
2.  2\. 看异常的外联 IP
    
3.  3\. 看 Web 日志，根据时间排查从哪里打进来的
    
4.  4\. 看登录日志：`/var/log/secure`
    
5.  5\. 看计划任务：`/etc/crontab`
    
6.  6\. SSH 后门：`/etc/ssh/sshd_config`
    
7.  7\. 看异常用户：`/etc/passwd`（UID=0 的陌生用户）
    
8.  8\. 看历史命令：`~/.bash_history`（有没有横向移动痕迹）
    
9.  9\. 异常外联：`ss -tulnp`
    
10.  10\. 安全加固，联系客户修复

### Linux命令被污染后的排查与修复

看命令是否报错、卡顿异常。看 bin 目录路径是否被修改、动态链接库是否被劫持，用工具对比文件哈希排查。用 `busybox` 修复或者强制重装二进制执行文件。

### Linux日志删除修复

`lsof | grep deleted` 找被删除的文件，直接从 `/proc` 复制恢复。

### Linux持久化方式

*   • 写公钥免密登录
    
*   • 计划任务反弹 Shell
    
*   • 写不死马 / 内存马
    
*   • 劫持环境变量，强制优先加载恶意代码
    
*   • 劫持系统基础库，加载恶意 `.so` 文件（一般要对比哈希排查）

### Windows持久化方式

注册表启动项、计划任务、伪装系统服务、DLL 劫持、映像劫持、浏览器插件、污染远控软件

### Windows入侵排查思路

看异常进程、卡顿、CPU 占用。用火绒剑、日志分析工具去分析日志、计划任务、登录日志、爆破迹象、横向痕迹。注册表排查隐藏用户，路径：SAM → domain → user。`net user $*` 查隐藏用户。查 Web 中间件日志（Tomcat/Apache 等）`access.log`。上 D 盾排查 WebShell、可疑文件。看看是从哪里打进来的，和客户沟通能否授权复测和修复。

### Windows安全日志

*   • **4624**：登录成功（需关注异常时间或 IP 的成功登录）
    
*   • **4625**：登录失败（常见于暴力破解或密码输错）

### 如何判断文件上传攻击是否成功

1.  1\. 查看响应体是不是 200，有没有返回路径，访问路径看看是否解析
    
2.  2\. 查看态势感知日志判断文件是否落地
    
3.  3\. 登录受害者主机全局搜索上传文件

### 内存马排查与查杀

先查看 Web 日志是否有可疑的访问日志。看攻击流量，通过查找返回 200 的 URL 路径对比 Web 目录下是否真实存在文件，如不存在大概率是内存马。

**Filter/Listener/Servlet 型内存马：**

*   • **Filter 型**：全量拦截请求
    
*   • **Listener 型**：监听事件自动触发
    
*   • **Servlet 型**：访问特定路径才生效

内存马一般来说重启服务器或重启中间件就可以了。JVM 反编译 Java 文件，全局搜索恶意 class，上内存马专杀工具。

**彻底清除：** 重启服务、热加载查杀内存马、删除恶意类、工具查杀、升级补丁、禁用危险接口、椒图打微补丁、应用防护

**常见入口：** 反序列化、计划任务、文件上传、表达式注入、模板注入

> Java 常见命令执行函数：`Runtime()`、`ProcessBuilder`、`ClassLoader` 远程加载恶意类、`Reflection` 反射调用

### CS回连成功告警处置

1.  1\. 若客户同意，物理断网或网卡断网
    
2.  2\. 可疑资产排查出来，做个隔离
    
3.  3\. 杀毒，最好把客户电脑拿过来检查一下，做一下应急
    
4.  4\. 若能确定 CS 服务器地址和域名，封禁处理

### 挖矿应急响应

1.  1\. 隔离断网
    
2.  2\. 查 CPU 占用，锁定挖矿程序，备份后删除
    
3.  3\. 看网络外联，封禁异常 IP
    
4.  4\. 清除定时任务、启动项、服务项等持久化驻留机制
    
5.  5\. 结合日志溯源入侵途径（弱口令、未授权、漏洞）并修补
    
6.  6\. 全量资产扫描排查是否存在其他潜在肉鸡

| 排名考点出现频率                         |
|----------------------------------|
| 1应急响应流程与命令⭐⭐⭐⭐⭐                  |
| 2Top10漏洞原理与防御⭐⭐⭐⭐⭐               |
| 3内存马特征、排查、清除⭐⭐⭐⭐⭐                |
| 4用过什么安全设备⭐⭐⭐⭐                    |
| 5告警研判/误报分析思路⭐⭐⭐⭐                 |
| 6WebShell流量特征⭐⭐⭐⭐                |
| 7常见反序列化漏洞原理与特征⭐⭐⭐⭐               |
| 8内网横向攻击链溯源⭐⭐⭐⭐                   |
| 9ssrf/sql注入/java命令执行常见协议/函数/类⭐⭐⭐ |
|                                  |
|                                  |
|                                  |
|                                  |

护网蓝队蓝初中面经