题目来源:https://github.com/d1nfinite/sec-interview
1如何绕过CDN找到真实IP,请列举五种方法
方法1:查询历史DNS记录
方法2:查询子域名
方法3:网络空间引擎搜索法
方法4:利用SSL证书寻找真实原始IP
方法5:利用HTTP标头寻找真实原始IP
方法6:利用网站返回的内容寻找真实原始IP
方法7:使用国外主机解析域名
方法8:网站漏洞查找
方法9:网站邮件订阅查找
方法10:用 Zmap 扫全网
方法11:F5 LTM解码法
补充一个最新看到的:通过网站的icon,然后得到hash,使用shodan进行搜索
参考:https://www.cnblogs.com/qiudabai/p/9763739.html
2 redis未授权访问如何利用,利用的前提条件是?(★★★)
(1)利用计划任务执行命令反弹shell
(2)写ssh-keygen公钥然后使用私钥登陆
(3)往web物理路径写webshell
条件(1)redis对外开放,且是未授权访问状态. (2)redis服务ssh对外开放,可以通过key登入.
参考:https://xz.aliyun.com/t/256
3 mysql提权方式有哪些?利用条件是什么? (★)
mof提权
利用条件:
mysql用户具有root权限(对上面那个目录可写)
关闭了secure-file-priv
udf提权
利用条件
Mysql版本大于5.1版本udf.dll文件必须放置于MYSQL安装目录下的lib\plugin文件夹下。
Mysql版本小于5.1版本。udf.dll文件在Windows2003下放置于c:\windows\system32,在windows2000下放置于c:\winnt\system32。
掌握的mysql数据库的账号有对mysql的insert和delete权限以创建和抛弃函数,一般以root账号为佳,具备`root账号所具备的权限的其它账号也可以。
可以将udf.dll写入到相应目录的权限。
mysql反弹shell提权
其实这也属于udf提权,只不过应用场景不同,比如现在我们没有webshell但是我们却有偶然得到了mysql的root密码(弱口令等),恰巧目标机的数据库可以外联或者有phpmyadmin,那么我们就可以把上面udf.dll文件的内容先插入到数据表中,然后再导出到/lib/plugin目录。
4 windows+mysql,存在sql注入,但是机器无外网权限,可以利用吗? (★)
可以,做端口转发
5 常用的信息收集手段有哪些,除去路径扫描,子域名爆破等常见手段,有什么猥琐的方法收集企业信息?(★★)
一、whois信息
二、子域名
1.Google语法
2.有许多第三方服务聚合了大量的DNS数据集,并通过它们来检索给定域名的子域名。
3.基于SSL证书查询
4.简单的在线子域名收集(不推荐)
5.爆破枚举
三、IP段的收集
四、开放端口探测
五、网站架构探测
六、敏感文件、敏感目录探测
七、目标域名邮箱收集
八、WAF探测
九、旁站、C段
天眼查,微信公众号,小程序
参考:https://www.freebuf.com/articles/database/195169.html
6 SRC挖掘与渗透测试的区别是什么,针对这两个不同的目标,实施过程中会有什么区别(★★)
面向SRC的漏洞挖掘与传统渗透测试相比,关注的漏洞侧重略有不同。
渗透方面,侧重关注命令执行、XSS、SQL注入等,能进一步推进到getshell层面的漏洞,而面向SRC的漏洞挖掘,不仅关注getshell,还关注业务逻辑方面,对可能造成业务损失(薅羊毛)或者用户信息泄漏的漏洞也进行收集(这些漏洞对getshell而言帮助并不大)。
参考:https://blkstone.github.io/2017/05/28/finding-src-vuls/
7 存储xss在纯内网的环境中,可以怎么利用?(★★)
xss本质上是任意代码执行,不要仅限于弹cookie,知名地XSS框架beef可以参考一下,xss可以修改网站页面,甚至可以扫描端口,如果你也在内网,可以嗅探密码等等。
参考:https://blog.njcit.me/2020/04/22/sec-job/
8 mssql中,假设为sa权限,如何不通过xp_cmdshell执行系统命令(★★)
1 COM
2 CLR
参考:https://zhuanlan.zhihu.com/p/33322584
9 假设某网站存在waf,不考虑正面绕过的预定下,应该如何绕过(分情况讨论云waf /物理waf)(★)
https://cloud.tencent.com/developer/article/1536637