某网安公司护网红队面试经验分享
所在城市:成都
面试职位:2025年护网红队
面试过程:
线下1V2面试,大概40分钟吧。上次侥幸过了一面,这次记录下二面经过。技术问题问得都比较深入,要求对原理系统掌握,其次综合性要求也比一面要高不少,好几个问题我都被追问的没啥思路了,汗。当前环境下,网安圈也越来越卷,希望给最近找工作的小伙伴们提供参考,祝愿大家早日找到“薪”满意足的好工作。
面试官的问题:
问题1、如何绕过CDN获取目标网站真实IP?
查询历史DNS记录:查看IP与域名绑定的历史记录。
利用子域名:通过工具如,查找子域名,尝试解析不在CDN上的IP地址。
网络空间引擎搜索:使用fofa等工具,输入网站标题或正文特征,查找IP域名。
利用SSL证书:使用Censys工具,将域名相关参数组合进行搜索,查看符合条件的证书及相关IPv4主机列表,找到真实原始IP。
利用HTTP标头:在Censys上组合搜索参数,通过比较HTTP标头找到原始服务器,如80.http.get.headers.server cloudflare可查找由CloudFlare提供服务的网站相关信息。
利用网站内容:浏览网站源代码,寻找独特代码片段。还可能发现类似phpinfo、网站信息
使用国外主机解析域名:国内很多CDN厂商只做国内线路,使用国外主机直接访问可能获取真实IP。
问题2、FOFA 在外网打点过程中的使用小技巧?
利用图标指纹进行检索供应链
后台挖掘:
title="后台"&&body="password"&&host="x.cn" 子域名:
title!="404"&&title!="302"&&host="x.cn"C 段:
ip="x.x.x.x/24"&&host="x.cn"框架特征:
body="icon-spring-boot-admin.svg"漏洞:
body="index/of"「列目录漏洞」问题3、SSRF漏洞的原理和成因,如何进行防御?
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。
SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。
常用攻击方式包括:
1.可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;
2.攻击运行在内网或本地的应用程序;
3.对内网web应用进行指纹识别,通过访问默认文件实现;
4.攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);
5.利用file协议读取本地文件等。
防御思路:
1.SSRF 统一错误信息,避免用户可以根据错误信息来判断远程服务器端口状态
2.限制请求的端口为HTTP常用的端口,比如 80,443,8080,8088等
3.黑名单内网IP。
4.禁用不需要的协议,仅仅允许HTTP和HTTPS.
即严格的输入过滤、使用代理服务器、限制访问内部资源、日志和监控。
问题4、给你一个目标,你的打点思路是什么,举一个印象深刻案例?
其实这是一个非常大的话题,渗透大部分思路都是如此,而面试官是想听到你回答不一样的答案让人眼前一亮 如何才做到让人眼前一亮都需要看你的经验,把你实践的过程拿出来说,以及遇到什么问题如何解决,最终取得成果 渗透其它大同小异,而作为渗透者知识的储备、基础扎实、耐心、细心都是必不可少。
我的基本思路:
利用网络空间测绘平台尽可能扩大攻击面(供应链、C段、子域名等等)
端口扫描发现脆弱资产
查找javascript文件,发现API接口并进行逐个测试
CMS指纹识别,往nday上靠
利用burpsuite抓包,挂载shiro/log4j/sqli等被动扫描插件
重点关注管理后台,搜集网站账号信息制作弱口令字典爆破
问题5、有没有零日漏洞挖掘经历?
我曾经提交过2个高危CNVD漏洞和1个中危CNVD漏洞。我的漏洞挖掘思路主要是:
- 静态分析:通过分析代码而不运行程序,识别潜在的漏洞。
- 动态分析:在运行时监控程序的行为,检查是否存在异常。
- 模糊测试:利用随机数据输入程序,寻找可能的崩溃或异常。
- 逆向工程:分析已编译的代码,以识别潜在的安全缺陷。
问题6、今年到目前为止有没有研究过一些比较好用的漏洞,有没有做过复现?
主要关注RCE这类快速拿权限的漏洞。
一个是云环境下Aviatrix RCE的漏洞,该漏洞在CVSS评分中高达10分(满分),该漏洞是由于Aviatrix Controller未能正确检查或验证用户通过其应用程序编程接口(API)发送的数据而产生的。能够在受影响系统上执行未经身份验证的远程代码。做了复现。在云环境下确实比较好用,但是修复也很快,基本上到3月份就很少见了。
二是Tomcat RCE漏洞。该漏洞的核心在于 Tomcat 在处理不完整PUT请求上传时,会使用了一个基于用户提供的文件名和路径生成的临时文件。若同时满足以下条件,攻击者可执行任意代码:
- 默认 Servlet 启用了写权限(默认禁用)
- 启用了部分PUT请求支持(默认启用)
- 应用程序使用 Tomcat 的基于文件的会话持久化(默认存储位置)
- 应用程序包含可被利用于反序列化攻击的库
问题7、如何判断 SQL 注入漏洞成因,如何防范?注入方式有哪 些?除了数据库数据,利用方式还有哪些?
当程序执行访问新闻等一些操作都会执行到sql语句进行调用,如果在此调用过程中,提交了不合法的数据,而数据库无法识别则会报错。也就是一切输入都是有害的。
注入类型有6种,可以参考SQLMAP,报错、盲注、联合、时间、内联、堆叠
注入提交方式:GET、POST、Cookies、文件头
利用方式:具体看什么数据库类型,像SQLSERVER可以命令执行,MYSQL写shell有些权限大 也可以执行命令但是条件是在lINUX环境下。
问题8、谈一谈Windows系统与Linux系统提权的思路?
Windows最基本的就是Exp提权,数据库SQLServer、MYSQL UDF等、第三方软件提权。除此之外提权的成功与否和在于信息收集也非常重要,你对这台服务器和管理员了解多少。
Linux也是类似,除了EXP或者高版本的内核无法提权之外,通过第三方软件和服务,除了提权也可以考虑把这台机器当跳版,达到先进入内网安全防线最弱的地方寻找有用的信息,再迂回战术。还有下面:
suid和guid错误配置
滥用sudo权限
以root权限运行的脚本文件
计划任务
通过键盘记录窃取密码
问题9、怎么查找域控
方法有很多
1.通过DNS查询,如下
dig -t SRV _ldap._tcp.lab.ropnop.com 2.端口扫描 域服务器都会开启389端口,所以可以通过扫描端口进行识别。
3.其实很多域环境里,DNS服务器就是域控制根本不需要怎么找。
4.命令行查询方式
dsquery
net group “Domain controllers”
nltest /DCLIST:target.com问题10、XXE 注入有哪些危害,如何利用?
1.引用外部实体或者 当允许引用外部实体时,通过构造恶意内容
2.可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse 和 simplexml_load xml_parse 的实现方式为 expat库,默认情况不 会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁. 除PHP外,在Java,Python等处理xml的组件及函数中都可能存在此问题
问题11、php中命令执行涉及到的函数
eval()
assert()
system()
exec()
shell_exec()
问题12、蚁剑/冰蝎/哥斯拉的相同与不相同之处?
相同:都是用来连接web shell 的工具
不相同:冰蝎有流量动态加密即AES加密,有内网socks代理功能。哥斯拉支持多种加密方式,其webshell需要动态生成,插件免杀性最好。
问题13、邮件钓鱼的准备工作有哪些?
钓鱼邮件,即一种伪造邮件,是指利用伪装的电子邮件,来欺骗收件人点击恶意 URL,或诱导收件人下载带恶意程序的可执行文件。
1、确定邮件钓鱼的形式:链接、附件
2、收集目标相关的邮箱
3、编写钓鱼邮件文案
4、匿名邮箱
5、木马免杀测试、钓鱼站点搭建
6、反溯源
问题14、有没有云上环境横向移动经验?
在某次渗透测试中遇到过云环境下K8s集群。该集群向公网暴露了大量API,通过逐个测试API,发现了存在潜在的存储桶认证凭证敏感信息泄露,利用该脆弱API,在自己的环境中导入凭证,并通过cli直接访问云账户。然后,发现与开发相关的IAM策略中的配置错误,利用该错误成功提升至云环境内主机的管理员权限。
此外,多云环境下供应链攻击(利用跨云间的恶意组件、恶意镜像等等),也可能实现跨云服务商的横向移动。
问题15、蓝队已经发现了你的攻击痕迹,如何快速调整策略?
一是评估当前情况,分析蓝队的检测能力和响应措施,了解他们是通过何种机制发现了攻击痕迹。
二是改变攻击方法,如果蓝队正在监控特定的攻击路径或矢量,可以考虑尝试新的社会工程手法、利用未被修补的漏洞或更隐蔽的攻击手段。
三是增强隐蔽性,清除攻击痕迹或者伪造日志,以隐藏攻击活动。在数据传输和通信中使用加密技术,使用加密和混淆,降低被检测和分析的风险。
四是调整攻击时间和节奏,如果蓝队正在监控特定的活动模式,可以尝试降低攻击频率,利用低频率、随机化的攻击策略来迷惑蓝队。
问题16、如果客户要求隐藏某高危漏洞不上报,你会如何处理?
处理高危漏洞时,网络安全人员的首要任务是保护所有相关方的安全。隐藏漏洞不仅不符合道德和法律标准,还可能导致更严重的后果。
应当坚持责任披露原则,通过有效的沟通、教育客户和遵循专业标准,帮助客户理解修复漏洞的重要性,并采取适当的措施来保障网络空间安全。
总结:
红队工作高强度且需对抗挫败感(如防守方修复漏洞速度远超预期),面试官会评估候选人的抗压能力与持续学习意愿。红队面试不仅是技术考核,更是对攻击者思维和工程化能力的综合评估。2025年的护网红队已从“单点突破”转向“体系化作战”,唯有保持技术敏感度与实战迭代,方能在这场攻防博弈中立足。希望这篇经验分享能为今年参与护网的各位大佬们提供一定的参考方向。