2024hw蓝队面试题-2

网络基线加固思路

1.最小权限原则：应用最少权限原则，只对需要的服务和程序提供必要的权限。例如，应避免使用root或管理员账户进行日常操作。同样，服务和应用程序也只应有执行其功能所需要的最小权限。2.开启必要的服务和进程：应关闭不必要的服务和进程。每个运行在系统上的服务和进程都可能成为抵挡外部攻击的一个点，所以只开启必要的服务和进程可以降低风险。

3.防火墙配置：应使用防火墙来限制网络访问，只允许必要的网络连接，并拒绝其它所有连接。尽可能只开放必要的端口。

4.打补丁和更新：应保持系统、应用程序、网络设备等的补丁和更新为最新。这可以确保已知的安全漏洞得到修复。

5.强密码政策：应实施强密码政策来保护所有账户。可以要求密码的复杂度、长度和更改周期等。6.日志审核和监控：应启用系统和网络设备的日志功能，并定期查看和分析日志，以发现任何异常或可疑的活动。

7.网络隔离和分层：通过网络隔离和分层可以有效地防止安全事件的横向扩散，比如使用DMZ，VLAN等网络分层技术。

网页被挂马了，可能有哪些原因

1.服务端安全漏洞：如果服务器端的软件（如Web服务器软件、数据库）存在安全漏洞，攻击方可能会利用这些漏洞来控制服务器，进而在网页上挂马。

2.网页自身存在漏洞：如果网页代码中存在漏洞，如XSS(跨站脚本)，攻击方也能利用这些漏洞在网页上挂马。

3.FTP口令被窃取：如果FTP账户的口令被攻击方获取，攻击方就能登录FTP服务器，进而在网页上挂马。

4.开发者的电脑被感染：如果开发者的电脑被木马病毒等恶意软件感染，可能会导致编写的网页代码包含恶意代码，从而导致网页被挂马。

5.第三方插件或库的安全性问题：如果网页中使用了第三方的插件或者库，而这些插件或库存在安全问题，或者从未经过验证的源中获取，也可能导致网页被挂马。

6.未及时安装安全补丁：对于已知的安全漏洞，通常厂商会提供安全补丁。如果未及时安装这些补丁，给攻击方留下了攻击的机会，也可能导致网页被挂马。

如何排查java内存马，请说一下你的思路

1.收集基本信息：首先，我们需要收集运行环境的基本信息，包括操作系统的类型和版本、Java的版本和安装位置等。这些信息可以帮助我们理解应用程序运行的上下文。

2.Java堆内存分析：我们可以使用Java内置的诊断工具，例如jmap，导出Java堆内存的快照，然后利用工具（如MAT、JProfiler、VisualVM等）来分析这个内存快照，找出异常的对象和类。

3.分析Java的类加载器：内存马通常会通过创建新的类加载器来加载恶意的类。我们可以通过分析Java的类加载器来找出这些隐藏的恶意类。

4.Java线程分析：我们可以使用Java的线程堆栈分析工具，例如jstack，来观察应用程序的运行状态。如果有恶意线程正在运行，我们可以通过分析线程堆栈来了解其运行情况。

5.查看Java的系统属性和环境变量：内存马有可能会修改Java的系统属性或者环境变量以达到其目的。我们可以查看Java的系统属性和环境变量，看是否有异常。

6.分析网络行为：我们还可以使用网络监控工具来分析应用程序的网络行为。如果应用程序有异常的网络连接，比如连接到未知的远程服务器，那就可能是内存马的迹象。

windows登录日志怎么看，判断是否登录成功

在Windows操作系统中，可以通过日志查看器来看登录日志，具体步骤如下：

1.首先打开事件查看器：可以在”开始”菜单中搜索”事件查看器”或”Event Viewer”，或者按 Win + R，然后输入”eventvwr”，然后按回车键。

2.在左侧导航树里，依次展开”Windows 日志”->”安全”。

3.在右侧的详细列表中，会看到操作系统的安全事件。其中，登录和注销事件对应的事件ID如下：

•登录成功：事件ID 4624

•登录失败：事件ID 4625

•用户注销：事件ID 4634

可以直接在事件查看器的右上方找到”找到”或”Filter Current Log”的选项，然后在”所有事件ID”或”All Event IDs”中输入相应的事件ID，就可以找到相关的登录或注销事件。单击一个事件，查看其详细信息。里面包含了多个重要的信息，如：

•事件生成的时间。

•登录类型：交互式 (2)，网络 (3)，批处理 (4) ，服务 (5)，解锁 (7)等。

•登录的用户名和域。

•来源IP地址等。

反弹shell的原理是什么？有哪些类型的反弹shell

原理基本如下：

1.创建监听：攻击者在自己的机器上设置监听一特定端口。这是为了接收目标主机反弹回来的Shell。

2.目标执行命令：攻击者通过各种手段使得目标主机执行一个反弹Shell的命令。这个命令通常是让目标主机启动一个Shell并且将此Shell的stdin、stdout和stderr重定向到一个网络连接，这个网络连接就是连接向攻击者事先监听的端口。

3.建立连接：一旦目标主机执行了这样的命令，就会向攻击者的监听端口发起连接请求，从而建立起一个网络连接。

4.交互操作：此时，攻击者就可以通过网络连接，对目标主机进行命令执行，从而达到控制目标主机的目的。

而具体的反弹Shell命令和手段有很多不同的变种，例如可以使用netcat（nc）、bash、python、php、perl甚至PowerShell等进行反弹Shell操作。