各大厂商护网面试题汇总
"各大厂商护网面试题汇总" 本资源汇总了各大厂商护网面试题,涵盖了大量的IT知识点,包括go语言免杀shellcode、Windows Defender防御机制、卡巴斯基进程保护、Fastjson不出网、内存Webshell命令执行、域内渗透、正向shell方法、域内委派、Shiro漏洞类型、721原理、Oracle攻击利用、护网三大洞、天擎终端防护等。 1. Go语言免杀shellcode: Go语言可以使用go-shellcode加载器(https://github.com/brimstone/go-shellcode)或gsl加载器(https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/gsl-sc-loader.zip)来实现免杀。免杀原理包括修改特征码、花指令、加壳、分离加载等。 2. Windows Defender防御机制: Windows Defender使用病毒定义和启发式来捕捉危险程序。可以使用自定义加密绕过静态分析,部分函数不会触发动态扫描(运行时分析)等方法来绕过Windows Defender的防御机制。 3. 卡巴斯基进程保护: 可以通过蓝屏获得memory.dmp绕过卡巴斯基,然后通过蓝屏绕过卡巴斯基的内存保护,抓取密码使用RPC控制lsass加载SSP。 4. Fastjson不出网: 可以使用内存Webshell命令执行回显(回显在HTTP响应中),使用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl和org.apache.tomcat.dbcp.dbcp2.BasicDataSource等类来实现命令执行。 5. 域内渗透: 可以获取域内密码和Hash,得到NTLM Hash后进行远程连接,然后使用计划任务(at或者schtasks命令)横向渗透;也可以使用票据传递攻击和NTLM Relay攻击等方法。 6. 正向shell方法: 可以使用reg之类的方法,也可以通过webshell实现内网SOCK4代理,端口映射可以使目标不出网情况下在cs上线。 7. 域内委派: 域委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患。可以利用委派获取域管理员权限,甚 至制作深度隐藏的后门。 8. Shiro漏洞类型和721原理: Shiro组件漏洞主要分为两种类型,一种是Java反序列化造成的远程代码执行漏洞,另一种是身份验证绕过漏洞。721:Shiro所使用的cookie里的rememberMe字段采用的AES-128-CBC的加密模式,这使得该字段可以被padding。 9. Oracle攻击利用: 攻击者可以使用一个合法有效的rememberMe的cookie作为前缀来实施POA,然后制造一个特制的rememberMe来执行Java反序列化攻击。 10. 护网三大洞: 包括Shiro、Struts、Weblogic、Fastjson等漏洞。 11. 天擎终端防护绕过: 可以使用天擎自身漏洞、设置防火墙出站规则、禁用远控程序联网等方法来绕过天擎终端防护。 这些知识点涵盖了护网、安全、渗透测试等方面的内容,对于IT从业者和系统管理员具有重要的参考价值。