去面HVV蓝队面试了

今天给大家分享HW面试蓝队经验。希望能对小伙伴们有所帮助。

1、windows defender防御机制原理，如何绕过？

答：Windows Dedender使用病毒定义和启发式来捕捉危险程序。

使用自定义加密绕过静态分析
部分函数不会触发动态扫描（运行时分析）

2、卡巴斯基进程保护如何绕过进行进程迁移？

答：通过蓝屏获得memory.dmp绕过卡巴斯基通过蓝屏绕过卡巴斯基的内存保护抓取密码使用RPC控制lsass加载SSP

3、fastjson不出网如何利用？

答：内存Webshell命令执行回显（回显在HTTP响应中）

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
org.apache.tomcat.dbcp.dbcp2.BasicDataSource

4、内存马的机制？

答：1.servlet-api型

通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的controller内存马，tomcat的valve内存马

2.字节码增强型

通过java的instrumentation动态修改已有代码，进而实现命令执行等功能。

5、shiro漏洞类型，721原理，721利用要注意什么？

答：Shiro组件漏洞主要分为两种类型，一种是java反序列化造成的远程代码执行漏洞，另一种是身份验证绕过漏洞。

721：Shrio所使用的cookie里的rememberMe字段采用了AES-128-CBC的加密模式，这使得该字段可以被padding oracle 攻击利用。攻击者可以使用一个合法有效的rememberMe 的cookie作为前缀来实施POA，然后制造一个特制的rememberMe来执行Java反序列化攻击。

这个漏洞比较鸡肋的地方就是需要获取合法用户的rememberMe，如果配合XSS之类的也许效果更加，并且在利用时Shiro采用的是Collection3.2.1需要搭配相应的paylaod。

6、拿到webshell不出网情况下怎么办

答：reg上传去正向连接。探测出网协议，如dns，icmp

8、常见的未授权访问漏洞有哪些？

7、WAF和IPS的区别

答：IPS位于防火墙和网络的设备之间，防火墙可以拦截底层攻击行为，但无法有效应对应用层的深层攻击。IPS是对防火墙的补充，综合能力更强；WAF是工作在应用层的防火墙，主要对web请求/响应进行防护。

8、如何分辨钓鱼邮件？

答：钓鱼邮件一般具有以下特征：以公司某部门的名义，使用正式的语气，内容涉及到账号和密码等敏感信息，带有链接或附件，制造时间紧迫感。

如何排除钓鱼邮件：查询发件IP是否为恶意IP，确认邮件的发件人和内容是不是正常的业务往来；

可以将邮件中的附件放到沙箱里检查是否存在问题；

有的邮件称是别的邮箱代发，甚至是qq或者163等个人邮箱，基本上就是钓鱼邮件

9、无法连接3389的情况？