什么是护网行动

护网行动是提高国家网络安全防御能力的一种有效手段，而蓝队作为攻防演习中的防守方，也是护网行动的重要一份子。 在这篇文章中，我们将汇总多篇有关护网行动蓝队初级人员面试题的资料，对这些资料进行整合和分析，为准备参加面试的蓝队初级人员提供参考，为读者提供一些实用的技巧和建议，帮助大家更好地应对蓝队初级人员面试。

基础篇题目

Q：讲一下TOP10有哪些？

A：

• 1.失效的访问控制
• 2.加密机制失效
• 3.注入（包括跨站脚本攻击XSS和SQL注入等）
• 4.不安全设计
• 5.安全配置错误
• 6.自带缺陷和过时的组件
• 7.身份识别和身份验证错误
• 8.软件和数据完整性故障
• 9.安全日志和监控故障
• 10.服务端请求伪造SSRF

Q：常见的端口和相关的服务？

A：

服务 端口号 说明

FTP  20  FTP服务器真正传输所用的端口，用于上传、下载
​
FTP  21  用于FTP的登陆认证
​
SSH、SFTP 22  加密的远程登录，文件传输
​
Telnet  23  远程登录（在本地主机上使用此端口与远程服务器的22/3389端口连接）
​
SMTP  25 用于发送邮件
​
DNS  53  域名解析
​
HTTP  80  用于网页浏览
​
POP3  110  SUN公司的RPC服务所有端口
​
Network News Transfer Protocol  119  NEWS新闻组传输协议，承载USENET通信
​
SMTP  161  Simple Network Management Protocol，简单网络管理协议
​
SNMP Trap  160、162  SNMP陷阱
​
HTTPS  443  加密的网页浏览端口
​
CIFS  445  公共Internet文件系统
​
sql server  1433  Microsoft的SQL服务开放的端口 数据库 
​
Oracle  1521  数据库
​
NFS  2049  通过网络，让不同的机器、不同的操作系统实现文件共享
​
MySQL  3306  数据库
​
WIN2003远程登录  3389  Windows 2000(2003) Server远程桌面的服务端口，本地服务器开放此端口，去连接到远程的服务器
​
QQ·  4000  腾讯QQ客户端开放此端口
​
redis·  6379  数据库
​
WebLogic  7001  一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器
​
Wingate  8010  Wingate代理开放此端口
​
TOMCAT  8080  WWW代理开放此端口

Q：如何判断目标操作系统？

A：

大小写检测：windows大小写不敏感，而linux大小写敏感。
​
PING指令：根据TTL值，winodws一般情况下>100,linux<100

Q：正向代理和反向代理的区别？

A：

正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端
​
反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端

Q：正向shell和反向shell的区别？

A：

正向Shell：攻击者连接被攻击者机器，可用于攻击者处于内网，被攻击者处于公网的情况。
​
反向Shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况。

Q：序列化和反序列化的概念？

A：

序列化：把对象转化为可传输的字节序列过程称为序列化。
反序列化：把字节序列还原为对象的过程称为反序列化。

Q：信息收集具体收集什么信息？

A：

1.服务器的相关信息
​
真实IP，服务器操作系统及其版本，数据库类型及其版本，开放端口及其对应服务（常用端口扫描工具Nmap，Zenmap，Masscan等），WAF探测
​
2.网站相关信息
​
CMS（内容管理系统），web容器，web框架，CDN，web指纹识别（常用指纹识别工具潮汐指纹，云悉指纹，WhatWeb等），旁站和C段信息
​
3.域名相关信息
​
子域名，whois信息（查询域名的IP以及所有者等信息的传输协议），公司名称，注册人或者机构信息、公司或个人联系方式（邮箱，手机号码等信息），备案号
​
4.具体站点信息
​
漏洞扫描（常用漏扫工具Nessus，AppScan，AWVS，X-ray等），目录爆破（常用目录爆破工具dirsearch，dirb，dirbuster，ffuf等），robots.txt

Q：怎么验证是否存在CDN？

A：

使用多地ping的服务，查看对应IP地址是否唯一，如果不唯一大概率就是存在CDN
​
使用nslookup命令检测，查看返回域名解析对应IP地址是否唯一，如果不唯一很可能存在CDN

Q：怎么绕过CDN寻找真实ip？

A：

1.查询历史DNS记录
​
查看IP和域名绑定的历史记录，利用站长工具，微步在线等网站说不定就能找到使用CDN之前的真实IP。
2.查询子域名
收集子域名信息，如果子域名对应的IP不存在CDN，就可以利用这些IP来辅助查找目标网站的真实IP
3.查询主域名
​
有些网站为了方便维护只让WWW域名使用CDN，把目标域名前面的WWW去掉ping一下说不定就是真实IP。
4.通过邮件服务器查找
​
一般邮件系统都在内部，没有经过CDN的解析，通过用户注册、找回密码以及RSS邮件订阅等功能接收目标网站发送的邮件，查看源码（或者信息头）就有可能得到目标网站真实IP。
​
5.使用国外主机解析域名
​
国内很多 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实IP
6.网站漏洞查找
​
利用网站自身存在的漏洞，很多情况下会泄露服务器的真实IP地址
7.利用SSL证书寻找真实原始IP
​
证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址。使用Censys等工具搜索目标网站信息。
​
8. F5 LTM解码法
​
当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的ip。
9.网络空间搜索引擎
​
根据网站特征或者响应内容特征等查找目标网站信息，当然也可以直接通过域名查找。

Q：怎么验证找到的ip是否为真实ip？

A：

使用端口扫描工具扫描开了哪些端口，然后结合开放的端口直接访问找到的IP，看看响应的页面是不是和访问域名返回的一样。

Q：怎么建立隐藏用户？

A：

net user test$ 123456 /add [建立隐藏用户]
​
net localgroup administrators test$ /add[将隐藏用户加入管理组]

Q：判断网站的CMS有什么意义？

A：

查找已曝光的漏洞。
​
如果开源，还能下载相应的源码进行代码审计。
​
根据CMS特征关联同CMS框架站点，进行敏感备份文件扫描，有可能获得站点备份文件。

Q：数据包有哪些请求方式？

A：

目前常用八种请求方式，分别是 GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、 CONNECT，get 和 post 最常用

©著作权归作者所有：来自51CTO博客作者李白来了的原创作品，请联系作者获取转载授权，否则将追究法律责任 2023网络安全HW蓝队面试题汇总 https://blog.51cto.com/lihuailong/6249701