中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

?上整理的?試問(wèn)題?全，有些 HW ?試的題，已經(jīng)收集好了，提供給?家。

1、介紹?下?認(rèn)為有趣的挖洞經(jīng)歷

挖洞也有分很多種類(lèi)型，?種是以滲透、?種是以找漏洞為主，如果是前者會(huì)想各種辦法獲取權(quán)限繼?獲取想要的的東 ?完成滲透?標(biāo)，這類(lèi)跟 HW 類(lèi)似，?標(biāo)各種漏洞不算，要有 Shell，服務(wù)器權(quán)限才給分，這才是最接近實(shí)戰(zhàn)滲透，跟某 部?有合作的話也是屬于這種打擊?絡(luò)犯罪獲得權(quán)限、傳銷(xiāo)數(shù)據(jù)、組織架構(gòu)，服務(wù)器權(quán)限、等......

2、你平時(shí)?的?較多的漏洞是哪些？相關(guān)漏洞的原理？以及對(duì)應(yīng)漏洞的修復(fù)?案？

SQL 注?、密碼組合, 前者防護(hù)分為?種，CDN -> Web -> 數(shù)據(jù)庫(kù) -> 主機(jī), 設(shè)置最?權(quán)限來(lái)應(yīng)對(duì)。密碼組合根據(jù)個(gè)? 習(xí)慣

3、php/java 反序列化漏洞的原理? 解決?案?

php 中圍繞著 serialize()，unserialize() 這兩個(gè)函數(shù)，序列化就是把?個(gè)對(duì)象變成可以傳輸?shù)淖址? 如果服務(wù)器能夠接 收我們反序列化過(guò)的字符串、并且未經(jīng)過(guò)濾的把其中的變量直接放進(jìn)這些魔術(shù)?法??的話，就容易造成很?chē)?yán)重的漏洞了。

O:7:'chybeta':1:{s:4:'test';s:3:'123';} 

這?的 O 代表存儲(chǔ)的是對(duì)象（object）, 假如你給 serialize() 傳?的是?個(gè)數(shù)組，那它會(huì)變成字? a。7 表示對(duì)象的名稱(chēng) 有 7 個(gè)字符。'chybeta' 表示對(duì)象的名稱(chēng)。1 表示有?個(gè)值。{s:4:'test';s:3:'123';} 中，s 表示字符串，4 表示該字符串的 ?度，'test' 為字符串的名稱(chēng)，之后的類(lèi)似。當(dāng)傳給 unserialize() 的參數(shù)可控時(shí)，我們可以通過(guò)傳??個(gè)精?構(gòu)造的序列 化字符串 控 對(duì)象內(nèi)部的變 甚 數(shù)化字符串，從?控制對(duì)象內(nèi)部的變量甚?是函數(shù)。 

JAVA Java 序列化是指把 Java 對(duì)象轉(zhuǎn)換為字節(jié)序列的過(guò)程便于保存在內(nèi)存、?件、數(shù)據(jù)庫(kù)中，ObjectOutputStream 類(lèi)的 writeObject() ?法可以實(shí)現(xiàn)序列化。Java 反序列化是指把字節(jié)序列恢復(fù)為 Java 對(duì)象的過(guò)程，ObjectInputStream 類(lèi)的 readObject() ?法?于反序列化。

4、如果?臺(tái)服務(wù)器被?侵后, 你會(huì)如何做應(yīng)急響應(yīng)?

1. 準(zhǔn)備相關(guān)的?具，查后?等?具

2. 初步判斷事件類(lèi)型, 事件等級(jí)。

3. 抑制范圍，隔離使受害?不繼續(xù)擴(kuò)?

4. 查找原因，封堵攻擊源。

5. 業(yè)務(wù)恢復(fù)正常?平.

6. 總結(jié)，報(bào)告，并修復(fù)、監(jiān)控

以上是常規(guī)的回答，想知道你是否有這??應(yīng)急相關(guān)的經(jīng)驗(yàn)，像這類(lèi)問(wèn)題甲??試?較多。

5、你平時(shí)使?哪些?具? 以及對(duì)應(yīng)?具的特點(diǎn)?

AWVS、Masscan、BurpSuite 

AWVS 常規(guī)漏洞掃描，masscan 快速查找端?，burp 重復(fù)提交數(shù)據(jù)包 

想知道是否有??開(kāi)發(fā)?具，如果沒(méi)有你對(duì)每個(gè)安全?具有哪些獨(dú)特的?解以及別?不知道的技巧?法。如：awvs 如何批量掃描？burpsuite 如何爆破 401?脫庫(kù)等、等等...

6、如果遇到 waf 的情況下如何進(jìn)? sql 注? / 上傳 Webshell 怎么做？請(qǐng)寫(xiě)出曾經(jīng)繞過(guò) WAF 的經(jīng)過(guò) (SQLi，XSS，上傳漏洞選?)

PHP 上傳，?法上傳 php、解析、后臺(tái)沒(méi)有辦法拿到，只有?處點(diǎn)可以上傳。通過(guò) Windows 特性 shell.php::$DAT，是?個(gè)項(xiàng)?管理系統(tǒng)

7、如何判斷 sql 注?，有哪些?法

提交錯(cuò)誤語(yǔ)句是否有異常，除此之外這些顯示的錯(cuò)誤可以通過(guò) sleep, 修眠語(yǔ)句執(zhí)? 5 秒等，除此之外通過(guò) DNSlog 判斷 是還有傳回值

8、如何判斷 SQL 注?漏洞成因，如何防范？注??式有哪些？除了數(shù)據(jù)庫(kù)數(shù)據(jù)，利??式還有哪些？

select * from news where id = '$SQL'; 

當(dāng)程序執(zhí)?訪問(wèn)新聞等?些操作都會(huì)執(zhí)?到 sql 語(yǔ)句進(jìn)?調(diào)?，如果在此調(diào)?過(guò)程中，提交了不合法的數(shù)據(jù)，?數(shù)據(jù)庫(kù)?法識(shí)別則會(huì)報(bào)錯(cuò)。也就是?切輸?都是有害的。 

注?類(lèi)型有 6 種，可以參考 SQLMAP，報(bào)錯(cuò)、盲注、聯(lián)合、時(shí)間、內(nèi)聯(lián)、堆疊 

注?提交?式：GET、POST、Cookies、?件頭 

利??式：具體看什么數(shù)據(jù)庫(kù)類(lèi)型，像 SQLSERVER 可以命令執(zhí)?，MYSQL 寫(xiě) shell 有些權(quán)限?也可以執(zhí)?命令但是條件是在 lINUX 環(huán)境下。 

防范: 邊界, CDN -> 腳本語(yǔ)?過(guò)濾 -> 數(shù)據(jù)庫(kù)過(guò)濾最?權(quán)限 -> 主機(jī)

9、為什么有的時(shí)候沒(méi)有錯(cuò)誤回顯

沒(méi)有進(jìn)?錯(cuò)誤打印或者錯(cuò)誤屏蔽

10、寬字符注?的原理？如何利?寬字符注?漏洞，payload 如何構(gòu)造？

在 mysql 中使?了 gbk 編碼，占? 2 個(gè)字節(jié), ? mysql 的?種特性, GBK 是多字節(jié)編碼，它認(rèn)為兩個(gè)字節(jié)就代表?個(gè)漢字，所以 %df 時(shí)候會(huì)和轉(zhuǎn)義符  %5c 進(jìn)?結(jié)合, 所以單引號(hào)就逃逸了出來(lái), 當(dāng)?shù)?個(gè)字節(jié)的 ascii 碼?于 128，就可以了。

11、CRLF 注?的原理

CRLF 注?在 OWASP ??被稱(chēng)為 HTTP 拆分攻擊（HTTP Splitting）CRLF 是” 回? + 換?”（rn）的簡(jiǎn)稱(chēng), 在 HTTP協(xié)議中，HTTP Header 與 HTTP Body 是?兩個(gè) CRLF 分隔的，瀏覽器就是根據(jù)這兩個(gè) CRLF 來(lái)取出 HTTP 內(nèi)容并顯示出來(lái)。所以，?旦我們能夠控制 HTTP 消息頭中的字符，注??些惡意的換?

12、mysql 的?站注?，5.0 以上和 5.0 以下有什么區(qū)別？

5.0 以下沒(méi)有 information_schema 這個(gè)系統(tǒng)表，?法列表名等，只能暴?跑表名。 

5.0 以下是多?戶單操作，5.0 以上是多?戶多操作。

13、php.ini 可以設(shè)置哪些安全特性

禁? PHP 函數(shù) 

允許 include 或打開(kāi)訪問(wèn)遠(yuǎn)程資源

14、php 的 %00 截?cái)嗟脑硎鞘裁矗?/h3>

因?yàn)樵?C 語(yǔ)?中字符串的結(jié)束標(biāo)識(shí)符 %00 是結(jié)束符號(hào)，? PHP 就是 C 寫(xiě)的，所以繼承了 C 的特性，所以判斷為%00 是結(jié)束符號(hào)不會(huì)繼續(xù)往后執(zhí)? 

條件：PHP<5.3.29，且 GPC 關(guān)閉

15、webshell 檢測(cè)，有哪些?法

grep、關(guān)鍵詞、關(guān)鍵函數(shù) 

安全狗、D 盾

16、php 的 LFI，本地包含漏洞原理是什么？寫(xiě)?段帶有漏洞的代碼。??的話如何發(fā)掘？如果?報(bào)錯(cuò)回顯，你是怎么遍歷?件的？

包含的?件設(shè)置為變量，并且?過(guò)濾導(dǎo)致可以調(diào)?惡意?件 還可以對(duì)遠(yuǎn)程?件包含，但需要開(kāi)啟 allow_url_include = ON 通過(guò)測(cè)試參數(shù)的地?進(jìn)?本地?件 / etc/passwd 等包含 如何存在漏洞?且沒(méi)有回顯，有可能沒(méi)有顯示在???是??源代碼中，除了些可以利? DNSlog 進(jìn)?獲取包含的信息。從 index.php ?件?級(jí)級(jí)往讀取 也可以利? PHP 封裝協(xié)議讀取?件

17、說(shuō)說(shuō)常?的中間件解析漏洞利??式

IIS 6.0

/xx.asp/xx.jpg 'xx.asp' 是?件夾名 

IIS 7.0/7.5 

默認(rèn) Fast-CGI 開(kāi)啟，直接在 url 中圖?地址后?輸? / 1.php，會(huì)把正常圖?當(dāng)成 php 解析 

Nginx 

版本?于等于 0.8.37，利??法和 IIS 7.0/7.5 ?樣，F(xiàn)ast-CGI 關(guān)閉情況下也可利?。 

空字節(jié)代碼 xxx.jpg%00.php 

Apache 

上傳的?件命名為：test.php.x1.x2.x3，Apache 是從右往左判斷后綴

18、mysql 的?戶名密碼是存放在那張表??？mysql 密碼采?哪種加密?式？

mysql -> users 

SHA1

19、Windows、Linux、數(shù)據(jù)庫(kù)的加固降權(quán)思路，任選其?

禁? root 

禁?遠(yuǎn)程訪問(wèn) 

禁?寫(xiě)?

單獨(dú)賬號(hào) 

禁?執(zhí)? system 等函數(shù)

20、你使?什么?具來(lái)判斷系統(tǒng)是否存在后?

Chkrootkit 

Rkhunter

21、如何繞過(guò) CDN 獲取?標(biāo)?站真實(shí) IP，談?wù)勀愕乃悸罚?/h3>

類(lèi)似 phpinfo、?站信息 

C 段、?域名

歷史解析記錄 

DDOS

zmap 全?掃描識(shí)別 http 頭 

?站域名管理員郵箱，注冊(cè)過(guò)的域名等相關(guān)信息關(guān)聯(lián)

22、如果給你?個(gè)?站, 你的滲透測(cè)試思路是什么? 在獲取書(shū)?授權(quán)的前提下。

其實(shí)這是?個(gè)?常?的話題，滲透?部分思路都是如此，??試官是想聽(tīng)到你回答不?樣的答案讓?眼前?亮 如何才做到讓?眼前?亮都需要看你的經(jīng)驗(yàn)，把你實(shí)踐的過(guò)程拿出來(lái)說(shuō)，以及遇到什么問(wèn)題如何解決，最終取得成果 滲透其它?同?異, ?做為滲透者知識(shí)的儲(chǔ)備、基礎(chǔ)扎實(shí)、耐?、細(xì)?都是必不可少。

23、談?談 Windows 系統(tǒng)與 Linux 系統(tǒng)提權(quán)的思路？

Windows 

Windows 服務(wù)?較多所以?法也如此，最基本的就是 Exp 提權(quán)，數(shù)據(jù)庫(kù) SQLServer、MYSQL UDF 等、第三?軟件提權(quán)。

除此之外提權(quán)的成功與否和在于信息收集也?常重要，你對(duì)這臺(tái)服務(wù)器和管理員了解多少。 

windows 權(quán)限提升 (?) 

Linux 

Linux 也是類(lèi)似，除了 EXP 或者?版本的內(nèi)核?法提權(quán)之外，通過(guò)第三?軟件和服務(wù)，除了提權(quán)也可以考慮把這臺(tái)機(jī)器 當(dāng)跳版, 達(dá)到先進(jìn)?內(nèi)?安全防線最弱的地?尋找有?的信息，再迂回戰(zhàn)術(shù)。 

linux 權(quán)限提升 

Brief 

枚舉腳本

以 root 權(quán)限運(yùn)?的程序 

?戶安裝的軟件 

弱?令或者明?密碼 

只能內(nèi)部訪問(wèn)的服務(wù) 

suid 和 guid 錯(cuò)誤配置 

濫? sudo 權(quán)限 

以 root 權(quán)限運(yùn)?的腳本?件 

錯(cuò)誤的路徑配置 

計(jì)劃任務(wù) 

未掛載的?件系統(tǒng)

NFS 共享

通過(guò)鍵盤(pán)記錄儀竊取密碼 

其它有?的和提權(quán)相關(guān)的東? 

內(nèi)核提權(quán)

24、列舉出您所知道的所有開(kāi)源組件?危漏洞 (?個(gè)以上)

Tomcat 

Nginx

Apache 

Hadhoop 

Docker 

Jenkins 

Zenoss 

Jboss 

MongoDB 

Redis 

GlassFish

25、反彈 shell 的常?命令？?般常反彈哪?種 shell？為什么？

nc -lvvp 7777 -e /bin/bash 

bash 是交互式, 否則像 useradd ?法執(zhí)?交互

26、CMD 命令?如何查詢遠(yuǎn)程終端開(kāi)放端?

tasklist /svc 

netstat -ano

27、服務(wù)器為 IIS+PHP+MySQL，發(fā)現(xiàn) root 權(quán)限注?漏洞，講講你的滲透思路

可以讀取 IIS 信息，知道路徑, 如果像 WAMMP 類(lèi)似構(gòu)建，通過(guò) @@datadir 知道數(shù)據(jù)庫(kù)路徑也可以猜測(cè)?站路徑。或者直接寫(xiě) Shell

28、請(qǐng)寫(xiě)出 Mysql5 數(shù)據(jù)庫(kù)中查詢庫(kù)’helloworld’中’users’表所有列名的語(yǔ)句

select COLUMN_NAME from information_schema.COLUMNS where table_name = 'your_table_name' and 

table_schema = 'your_db_name';

29、下?這段代碼存在漏洞嗎？如果存在請(qǐng)說(shuō)出存在什么漏洞并利?

http://www.exp.com/1.php

<?php 

$s_func = $_GET['s_func']; 

$info = $_GET['info']; 

$s_func($info); 

?>

代碼執(zhí)?, 通過(guò) assert 調(diào)?

30、udf 提權(quán)

MySQL 可以?定義函數(shù), 通過(guò)?定義函數(shù)做到類(lèi)似 xp_cmdshell 效果

31、SQL 頭注?點(diǎn)

UserAgent 

Referer 

Cookie

X-FOR-I

32、php 中命令執(zhí)?涉及到的函數(shù)

eval() 

assert() 

system() 

exec() 

shell_exec()

33、SSRF 漏洞的成因 防御 繞過(guò)

模擬服務(wù)器對(duì)其它資源進(jìn)?請(qǐng)求 IP 探測(cè)，如果想漏洞利?必需要構(gòu)造好 Payload 禁?跳轉(zhuǎn)，限制協(xié)議，內(nèi)外?限制， 

URL 限制 針對(duì) IP 格式

34、mysql 寫(xiě) shell 有?種?法

outfifile、dumpfifile、開(kāi)啟 log 寫(xiě) webshell

35、Metasploit 打開(kāi)反向監(jiān)聽(tīng)的命令

use exploit/multi/handler 

set payload windows/meterpreter/reverse_tcp

36、應(yīng)急響應(yīng)的步驟

1. 準(zhǔn)備已經(jīng)編譯好的?具以及取證分析等?具?凈可靠放 U 盤(pán)

2. 初步判斷事件的類(lèi)型 是被?侵 ddos 還是其它的原因

3. ?先抑制范圍、影響范圍，隔離使受害?不繼續(xù)擴(kuò)?。

4. 尋找原因，封堵攻擊源。

5. 把業(yè)務(wù)恢復(fù)?正常?平

6. 監(jiān)控有?異常，報(bào)告、管理環(huán)節(jié)的?省和改進(jìn)措施。

37、有哪些反向代理的?具?

reGeirg、EW、lcx、Ngrok、frp

38、有什么?較曲折的滲透經(jīng)歷

這個(gè)問(wèn)題想知道你?作滲透到什么樣的程度，只是簡(jiǎn)單的漏掃搬磚，還是有毅?堅(jiān)持完成整個(gè)滲透，如：對(duì)?標(biāo)不放棄，堅(jiān)持?個(gè)?最終通過(guò)各種?段，曲折的過(guò)程拿下?標(biāo)。

39、UpdateTime:2019.5.11

怎么查找域控 

?法有很多 

1.通過(guò) DNS 查詢 

dig -t SRV _gc._tcp.lab.ropnop.com 

dig -t SRV _ldap._tcp.lab.ropnop.com 

dig -t SRV _kerberos._tcp.lab.ropnop.com 

dig -t SRV _kpasswd._tcp.lab.ropnop.com 

2. 端?掃描

域服務(wù)器都會(huì)開(kāi)啟 389 端?，所以可以通過(guò)掃描端?進(jìn)?識(shí)別。 

3. 其實(shí)很多域環(huán)境?，DNS 服務(wù)器就是域控制根本不需要怎么找。 

4. 各種命令 

dsquery 

net group 'Domain controllers' 

nltest /DCLIST:pentest.com 

......

1、什么是同源策略?

源就是主機(jī)、協(xié)議、端?名的?個(gè)三元組 同源策略 (Same Origin Policy, SOP) 是 Web 應(yīng)?程序的?種安全模型，被? 

泛地應(yīng)?在處理 WEB 內(nèi)容的各種客戶端上，?如各?瀏覽器，微軟的 Silverlight，Adobe 的 Flash/Acrobat 等等。

2、XSS 能?來(lái)做什么？

?絡(luò)釣?、竊取?戶 Cookies、彈?告刷流量、具備改??信息、刪除?章、獲取客戶端信息、傳播蠕?

3、XSS 的三種類(lèi)型，防御?法

反射型、Dom Base XSS、存儲(chǔ)型 防御?法這個(gè)只能說(shuō)個(gè)?概，畢竟這是?個(gè)?較?的話題，?且防御的?法還得看所在的業(yè)務(wù)等。從?絡(luò)層、主機(jī)層、Web 層、數(shù)據(jù)庫(kù)，通過(guò) CDN 都有過(guò)濾常??些攻擊?法，但不能有 CDN 就以為可以了，添加 CDN 只是讓攻擊成本增?，開(kāi)啟 HttpOnly，以防確實(shí)存在避免 cookies 被獲取，CSP 策略、再就是語(yǔ)?中提供的函數(shù)對(duì)輸?過(guò)濾，以及輸出編碼以及 ModSecurity 類(lèi)的防?墻。

4、存儲(chǔ)型 xss 原理?

如?站留?版，把插?的記錄存儲(chǔ)在數(shù)據(jù)庫(kù)中，插?的代碼會(huì)?直留在??上，當(dāng)其它?戶訪問(wèn)會(huì)從數(shù)據(jù)庫(kù)中讀取并觸 

發(fā)漏洞。

5、你怎么理解 xss 攻擊？

是?種被動(dòng)型，在不知道的情況下觸發(fā)類(lèi)似?感型，在滲透很多情況下平常的滲透?段以及取得?標(biāo)的信息，? XSS 就 

能輕松獲取，類(lèi)似 QQ 郵箱你不可能滲透這么?的互聯(lián)?就算可以時(shí)間成本都?常的?，XSS ?較有針對(duì)性。

6、如何快速發(fā)現(xiàn) xss 位置？

各種輸?的點(diǎn)，名稱(chēng)、上傳、留?、可交互的地?，?切輸?都是在害原則。

7、Dom xss 原理 / 防范

DOM 型 XSS 并不需要服務(wù)器解析響應(yīng)的直接參與觸發(fā) XSS 靠的是瀏覽器 DOM 解析 DOM—based XSS 漏洞是基于?檔對(duì)象模型 Document Objeet Model,DOM) 的?種漏洞。 

cument.getElementById('a').innerHTML='yyyyyy'; 

在輸?點(diǎn)過(guò)濾敏感關(guān)鍵字

8、DOM 型 XSS 與反射型 XSS 區(qū)別？

DOM 型就是 JavaScript 中的 Document 對(duì)象 HTML 注?，直接瀏覽器處理。

9、如何使得前端 referer 為空

通過(guò)地址欄輸?、從書(shū)簽??選擇或者瀏覽器的插件 BurpSuite 修改。

10、cookie 參數(shù)，security ?什么的

Httponly：防? cookie 被 xss 偷

https：防? cookie 在?絡(luò)中被偷 

Secure：阻? cookie 在? https 下傳輸，很多全站 https 時(shí)會(huì)漏掉 

Path : 區(qū)分 cookie 的標(biāo)識(shí)，安全上作?不?，和瀏覽器同源沖突

11、如果 SRC 上報(bào)了?個(gè) XSS 漏洞，payload 已經(jīng)寫(xiě)???，但未給出具體位置，如何快速介?？

看是否什么類(lèi)型的 XSS，XSS 反射型看提交的地址，指的參數(shù)是哪個(gè)位置，通過(guò)這個(gè)??進(jìn)? fuzzing 測(cè)試。如果是存儲(chǔ)型??查找關(guān)鍵字。

12、XSS， CSRF， CRLF ?較容易弄混，說(shuō)說(shuō)三者的原理，防御?法

CSRF 跨站請(qǐng)求偽造，構(gòu)造已知的所有參數(shù)讓對(duì)?訪問(wèn)，防護(hù) CSRF: 防御原理：不讓你那么容易偽造請(qǐng)求 (cookie 中加?隨機(jī)數(shù)，要求請(qǐng)求中帶上，?攻擊者獲取不到 cookie中的隨機(jī)數(shù), 驗(yàn)證 HTTP Referer 字段, 在請(qǐng)求地址中添加 takon 驗(yàn)證 

CRLF 原理: 

HTTP 拆分攻擊（HTTP Splitting），CRLF 是” 回? + 換?”（rn）的簡(jiǎn)稱(chēng)。 

在 HTTP 協(xié)議中，HTTP Header 與 HTTP Body 是?兩個(gè) CRLF 分隔的，瀏覽器就是根據(jù)這兩個(gè) CRLF 來(lái)取出 HTTP內(nèi)容并顯示出來(lái)。所以，?旦我們能夠控制 HTTP 消息頭中的字符，注??些惡意的換?，這樣我們就能注??些會(huì)話Cookie 或者 HTML 代碼，所以 CRLF Injection ?叫 HTTP Response Splitting，簡(jiǎn)稱(chēng) HRS。

13、csrf 如何不帶 referer 訪問(wèn)

通過(guò)地址欄，?動(dòng)輸?；從書(shū)簽??選擇；通過(guò)實(shí)現(xiàn)設(shè)定好的?勢(shì)。上?說(shuō)的這三種都是?戶??去操作，因此不算 CSRF。 

跨協(xié)議間提交請(qǐng)求。常?的協(xié)議：ftp://,http://,https://,fifile://,javascript:,data:. 最簡(jiǎn)單的情況就是我們?cè)诒镜卮蜷_(kāi)?個(gè)HTML ?? 這個(gè)時(shí)候?yàn)g覽器地址欄是 fifile:// 開(kāi)頭的 如果這個(gè) HTML ??向任何 http 站點(diǎn)提交請(qǐng)求的話 這些請(qǐng)求HTML ??，這個(gè)時(shí)候?yàn)g覽器地址欄是 fifile:// 開(kāi)頭的，如果這個(gè) HTML ??向任何 http 站點(diǎn)提交請(qǐng)求的話，這些請(qǐng)求的 Referer 都是空的。那么我們接下來(lái)可以利? data: 協(xié)議來(lái)構(gòu)造?個(gè)?動(dòng)提交的 CSRF 攻擊。當(dāng)然這個(gè)協(xié)議是 IE 不?持的，我們可以換? javascript:

14、CSRF 成因及防御措施；如果不? token 如何做防御？

X-Frame-Options 

DENY(禁?被 加載進(jìn)任何 frame) 

SAMEORIGIN(僅允許被加載進(jìn)同域內(nèi)的 frame) 

X-XSS-Protection 

0（表示禁??這個(gè)策略） 

1（默認(rèn)，對(duì)危險(xiǎn)腳本做?些標(biāo)志或修改，以阻?在瀏覽器上熏染執(zhí)?。） 

1;mode=block（強(qiáng)制不熏染，在 Chrome 下直接跳轉(zhuǎn)到空??，在 IE 下返回?個(gè) #符號(hào)） 

這個(gè)策略僅針對(duì)反射型，對(duì)付不了存儲(chǔ)型 XSS，能識(shí)別出反射型是因?yàn)樘峤徽?qǐng)求的 URL 中帶有可疑的 XSS 代碼?段。 

X-Content-Security-Policy

15、Xss worm 原理

攻擊者發(fā)現(xiàn)?標(biāo)?站存在 XSS 漏洞，并且可以編寫(xiě) XSS 蠕?。利??個(gè)宿主（如博客空間）作為傳播源頭進(jìn)? XSS 攻 

擊。

16、Cookie 的 P3P 性質(zhì)

HTTP 響應(yīng)頭的 p3 字段是 W3C 公布的?項(xiàng)隱私保護(hù)推薦標(biāo)準(zhǔn)，該字段?于標(biāo)識(shí)是否允許?標(biāo)?站的 cookie 被另?個(gè)

域通過(guò)加載?標(biāo)?站?設(shè)置或發(fā)送，僅 IE 執(zhí)?了該策略。

17、CSRF 有何危害？

篡改?標(biāo)?站上的?戶數(shù)據(jù) 盜取?戶隱私數(shù)據(jù) 傳播 CSRF 蠕

?、思路流程

1、信息收集

a、服務(wù)器的相關(guān)信息（真實(shí) ip，系統(tǒng)類(lèi)型，版本，開(kāi)放端?，WAF 等） 

b、?站指紋識(shí)別（包括，cms，cdn，證書(shū)等），dns 記錄 

c、whois 信息，姓名，備案，郵箱，電話反查（郵箱丟社?庫(kù)，社?準(zhǔn)備等） 

e、?域名收集，旁站，C 段等 

f、google hacking 針對(duì)化搜索，pdf ?件，中間件版本，弱?令掃描等 

g、掃描?站?錄結(jié)構(gòu)，爆后臺(tái)，?站 banner，測(cè)試?件，備份等敏感?件泄漏等 

h、傳輸協(xié)議，通?漏洞，exp，github 源碼等

2、漏洞挖掘

a、瀏覽?站，看看?站規(guī)模，功能，特點(diǎn)等 

b、端?，弱?令，?錄等掃描, 對(duì)響應(yīng)的端?進(jìn)?漏洞探測(cè)，?如 rsync, ?臟出?，mysql,ftp,ssh 弱?令等。 

c、XSS，SQL 注?，上傳，命令注?，CSRF，cookie 安全檢測(cè)，敏感信息，通信數(shù)據(jù)傳輸，暴?破解，任意?件上傳，越權(quán)訪問(wèn)，未授權(quán)訪問(wèn)，?錄遍歷，?件 包含，重放攻擊（短信轟炸），服務(wù)器漏洞檢測(cè)，最后使?漏掃?具等

3、漏洞利? & 權(quán)限提升

a、 mysql 提權(quán) serv u 提權(quán) oracle 提權(quán)

b、windows 溢出提權(quán) 

c、linux 臟?, 內(nèi)核漏洞提權(quán) e

4、清除測(cè)試數(shù)據(jù) & 輸出報(bào)告

?志、測(cè)試數(shù)據(jù)的清理 

總結(jié)，輸出滲透測(cè)試報(bào)告，附修復(fù)?案

5、復(fù)測(cè)

驗(yàn)證并發(fā)現(xiàn)是否有新漏洞，輸出報(bào)告，歸檔

二、問(wèn)題

1、拿到?個(gè)待檢測(cè)的站，你覺(jué)得應(yīng)該先做什么？

信息收集

a、獲取域名的 whois 信息, 獲取注冊(cè)者郵箱姓名電話等，丟社?庫(kù)?看看有沒(méi)有泄露密碼，然后嘗試?泄露的密碼進(jìn)? 

登錄后臺(tái)。?郵箱做關(guān)鍵詞進(jìn)?丟進(jìn)搜索引擎。利?搜索到的關(guān)聯(lián)信息找出其他郵箱進(jìn)?得到常?社交賬號(hào)。社?找出 

社交賬號(hào)，??或許會(huì)找出管理員設(shè)置密碼的習(xí)慣 。利?已有信息?成專(zhuān)?字典。 

b、查詢服務(wù)器旁站以及?域名站點(diǎn)，因?yàn)橹髡?般?較難，所以先看看旁站有沒(méi)有通?性的 cms 或者其他漏洞。 

c、查看服務(wù)器操作系統(tǒng)版本，web 中間件，看看是否存在已知的漏洞，?如 IIS，APACHE,NGINX 的解析漏洞 

d、查看 IP，進(jìn)? IP 地址端?掃描，對(duì)響應(yīng)的端?進(jìn)?漏洞探測(cè)，?如 rsync, ?臟出?，mysql,ftp,ssh 弱?令等。 

e、掃描?站?錄結(jié)構(gòu)，看看是否可以遍歷?錄，或者敏感?件泄漏，?如 php 探針 

f、google hack 進(jìn)?步探測(cè)?站的信息，后臺(tái)，敏感?件 

漏洞掃描 

開(kāi)始檢測(cè)漏洞 

如 XSS XSRF sql 注? 代碼執(zhí)? 命令執(zhí)? 越權(quán)訪問(wèn) ?錄讀取 任意?件讀取 下載 ?件包含開(kāi)始檢測(cè)漏洞，如 XSS,XSRF,sql 注?，代碼執(zhí)?，命令執(zhí)?，越權(quán)訪問(wèn)，?錄讀取，任意?件讀取，下載，?件包含， 

遠(yuǎn)程命令執(zhí)?，弱?令，上傳，編輯器漏洞，暴?破解等 

漏洞利? 

利?以上的?式拿到 webshell，或者其他權(quán)限 

權(quán)限提升 

提權(quán)服務(wù)器，?如 windows 下 mysql 的 udf 提權(quán)，serv-u 提權(quán)，windows 低版本的漏洞，如 iis6,pr, 巴?烤?，linux 

臟?漏洞，linux 內(nèi)核版本漏洞提權(quán)，linux 下的 mysql system 提權(quán)以及 oracle 低權(quán)限提權(quán) 

?志清理 

總結(jié)報(bào)告及修復(fù)?案 

2、判斷出?站的 CMS 對(duì)滲透有什么意義？

查找?上已曝光的程序漏洞。 

如果開(kāi)源，還能下載相對(duì)應(yīng)的源碼進(jìn)?代碼審計(jì)。

3、?個(gè)成熟并且相對(duì)安全的 CMS，滲透時(shí)掃?錄的意義？

敏感?件、?級(jí)?錄掃描 

站?的誤操作?如：?站備份的壓縮?件、說(shuō)明. txt、?級(jí)?錄可能存放著其他站點(diǎn)

4. 常?的?站服務(wù)器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

5.mysql 注?點(diǎn)，用工具對(duì)?標(biāo)站直接寫(xiě)寫(xiě)入一句話，需要哪些條件？

root 權(quán)限以及?站的絕對(duì)路徑。

6. ?前已知哪些版本的容器有解析漏洞，具體舉例。

a、IIS 6.0

/xx.asp/xx.jpg 'xx.asp' 是?件夾名 

b、IIS 7.0/7.5 

默認(rèn) Fast-CGI 開(kāi)啟，直接在 url 中圖?地址后?輸? / 1.php，會(huì)把正常圖?當(dāng)成 php 解析 

c、Nginx 

版本?于等于 0.8.37，利??法和 IIS 7.0/7.5 ?樣，F(xiàn)ast-CGI 關(guān)閉情況下也可利??？兆止?jié)代碼 xxx.jpg.php 

d、Apache 上傳的?件命名為：test.php.x1.x2.x3，Apache 是從右往左判斷后綴 

e、lighttpd xx.jpg/xx.php，不全, 請(qǐng)?伙伴們?cè)谠u(píng)論處不吝補(bǔ)充，謝謝！ 

7. 如何??快速判斷?標(biāo)站是 windows 還是 linux 服務(wù)器？

linux ??寫(xiě)敏感, windows ??寫(xiě)不敏感。

8. 為何?個(gè) mysql 數(shù)據(jù)庫(kù)的站，只有?個(gè) 80 端?開(kāi)放？

更改了端?，沒(méi)有掃描出來(lái)。 

站庫(kù)分離。 

3306 端?不對(duì)外開(kāi)放

9、3389 ?法連接的?種情況

沒(méi)開(kāi)放 3389 端? 

端?被修改防護(hù)攔截

處于內(nèi)? (需進(jìn)?端?轉(zhuǎn)發(fā))

10. 如何突破注?時(shí)字符被轉(zhuǎn)義？

寬字符注? 

hex 編碼繞過(guò)

11. 在某后臺(tái)新聞編輯界?看到編輯器，應(yīng)該先做什么？

查看編輯器的名稱(chēng)版本, 然后搜索公開(kāi)的漏洞。

12. 拿到?個(gè) webshell 發(fā)現(xiàn)?站根?錄下有. htaccess ?件，我們能做什么？

能做的事情很多，?隱藏??來(lái)舉例?： 

插?

<FilesMatch 'xxx.jpg'> SetHandler application/x-httpd-php 

.jpg ?件會(huì)被解析成. php ?件。 

具體其他的事情，不好詳說(shuō)，建議?家??去搜索語(yǔ)句來(lái)玩玩。

13. 注?漏洞只能查賬號(hào)密碼？

只要權(quán)限?，拖庫(kù)脫到?。

14. 安全狗會(huì)追蹤變量，從?發(fā)現(xiàn)出是?句話??嗎？

是根據(jù)特征碼，所以很好繞過(guò)了，只要思路寬，繞狗繞到歡，但這應(yīng)該不會(huì)是?成不變的。

15.access 掃出后綴為 asp 的數(shù)據(jù)庫(kù)?件，訪問(wèn)亂碼， 如何實(shí)現(xiàn)到本地利用？

迅雷下載，直接改后綴為. mdb。

16. 提權(quán)時(shí)選擇可讀寫(xiě)?錄，為何盡量不?帶空格的?錄？因?yàn)?exp 執(zhí)?多半需要空格界定參數(shù)

17. 某服務(wù)器有站點(diǎn) A,B 為何在 A 的后臺(tái)添加 test ?戶，訪問(wèn) B 的后臺(tái)。發(fā)現(xiàn)也添加上了 test ?戶？

同數(shù)據(jù)庫(kù)。

18. 注?時(shí)可以不使? and 或 or 或 xor，直接 order by 開(kāi)始注?嗎？

and/or/xor，前?的 1=1、1=2 步驟只是為了判斷是否為注?點(diǎn)，如果已經(jīng)確定是注?點(diǎn)那就可以省那步驟去。

19: 某個(gè)防注?系統(tǒng)，在注?時(shí)會(huì)提示：

系統(tǒng)檢測(cè)到你有?法注?的?為。 

已記錄您的 ip xx.xx.xx.xx 

時(shí)間: 2016:01-23 

提交??: test.asp?id=15 

提交內(nèi)容: and 1=1

20、如何利?這個(gè)防注?系統(tǒng)拿 shell？

在 URL ??直接提交?句話，這樣?站就把你的?句話也記錄進(jìn)數(shù)據(jù)庫(kù)?件了 這個(gè)時(shí)候可以嘗試尋找?站的配置?件 

直接上菜?鏈接。

21. 上傳??后訪問(wèn)亂碼時(shí)，有哪些解決辦法？

瀏覽器中改編碼。

22. 審查上傳點(diǎn)的元素有什么意義？

有些站點(diǎn)的上傳?件類(lèi)型的限制是在前端實(shí)現(xiàn)的，這時(shí)只要增加上傳類(lèi)型就能突破限制了。

23. ?標(biāo)站禁?注冊(cè)?戶，找回密碼處隨便輸??戶名提示：“此?戶不存在”，你覺(jué)得這?怎樣利?？

先爆破?戶名，再利?被爆破出來(lái)的?戶名爆破密碼。 

其實(shí)有些站點(diǎn)，在登陸處也會(huì)這樣提示 

所有和數(shù)據(jù)庫(kù)有交互的地?都有可能有注?。

24. ?標(biāo)站發(fā)現(xiàn)某 txt 的下載地址為

http://www.test.com/down/down.php?fifile=/upwdown/1.txt，你有什么思路？ 

這就是傳說(shuō)中的下載漏洞！在 fifile = 后?嘗試輸? index.php 下載他的???件，然后在???件?繼續(xù)查找其他?站的配置?件，可以找出?站的數(shù)據(jù)庫(kù)密碼和數(shù)據(jù)庫(kù)的地址。

25. 甲給你?個(gè)?標(biāo)站，并且告訴你根?錄下存在 / abc / ?錄，并且此?錄下存在編輯器和 admin ?錄。請(qǐng)問(wèn)你的想法是？

直接在?站?級(jí)?錄 / abc / 下掃描敏感?件及?錄。

26. 在有 shell 的情況下，如何使? xss 實(shí)現(xiàn)對(duì)?標(biāo)站的?久控制？

后臺(tái)登錄處加?段記錄登錄賬號(hào)密碼的 js，并且判斷是否登錄成功，如果登錄成功，就把賬號(hào)密碼記錄到?個(gè)?僻的路 

徑的?件中或者直接發(fā)到??的?站?件中。(此?法適合有價(jià)值并且需要深?控制權(quán)限的?絡(luò))。 

在登錄后才可以訪問(wèn)的?件中插? XSS 腳本。

27. 后臺(tái)修改管理員密碼處，原密碼顯示為 *。你覺(jué)得該怎樣實(shí)現(xiàn)讀出這個(gè)?戶的密碼？

審查元素 把密碼處的 password 屬性改成 text 就明?顯示了

28. ?標(biāo)站?防護(hù)，上傳圖?可以正常訪問(wèn)，上傳腳本格式訪問(wèn)則 403. 什么原因？

原因很多，有可能 web 服務(wù)器配置把上傳?錄寫(xiě)死了不執(zhí)?相應(yīng)腳本，嘗試改后綴名繞過(guò)

29. 審查元素得知?站所使?的防護(hù)軟件，你覺(jué)得怎樣做到的？

在敏感操作被攔截，通過(guò)界?信息?法具體判斷是什么防護(hù)的時(shí)候，F(xiàn)12 看 HTML 體部 ?如護(hù)衛(wèi)神就可以在名稱(chēng)那看到內(nèi)容。

30. 在 win2003 服務(wù)器中建??個(gè) .zhongzi ?件夾?意何為？

隱藏?件夾，為了不讓管理員發(fā)現(xiàn)你傳上去的?具。

31、sql 注?有以下兩個(gè)測(cè)試選項(xiàng)，選?個(gè)并且闡述不選另?個(gè)的理由：

A. demo.jsp?id=2+1 

B. demo.jsp?id=2-1 

選 B，在 URL 編碼中 + 代表空格，可能會(huì)造成混淆

32、以下鏈接存在 sql 注?漏洞，對(duì)于這個(gè)變形注?，你有什么思路？

demo.do?DATA=AjAxNg== 

DATA 有可能經(jīng)過(guò)了 base64 編碼再傳?服務(wù)器，所以我們也要對(duì)參數(shù)進(jìn)? base64 編碼才能正確完成測(cè)試

33、發(fā)現(xiàn) demo.jsp?uid=110 注?點(diǎn)，你有哪?種思路獲取 webshell，哪種是優(yōu)選？

有寫(xiě)?權(quán)限的，構(gòu)造聯(lián)合查詢語(yǔ)句使? using INTO OUTFILE，可以將查詢的輸出重定向到系統(tǒng)的?件中，這樣去寫(xiě)?

WebShell 使? sqlmap –os-shell 原理和上??種相同，來(lái)直接獲得?個(gè) Shell，這樣效率更? 通過(guò)構(gòu)造聯(lián)合查詢語(yǔ)句 

得到?站管理員的賬戶和密碼，然后掃后臺(tái)登錄后臺(tái)，再在后臺(tái)通過(guò)改包上傳等?法上傳 Shell

34、CSRF 和 XSS 和 XXE 有什么區(qū)別，以及修復(fù)?式？

XSS 是跨站腳本攻擊，?戶提交的數(shù)據(jù)中可以構(gòu)造代碼來(lái)執(zhí)?，從?實(shí)現(xiàn)竊取?戶信息等攻擊。修復(fù)?式：對(duì)字符實(shí)體 

進(jìn)?轉(zhuǎn)義、使? HTTP Only 來(lái)禁? JavaScript 讀取 Cookie 值、輸?時(shí)校驗(yàn)、瀏覽器與 Web 應(yīng)?端采?相同的字符編 

碼。

CSRF 是跨站請(qǐng)求偽造攻擊，XSS 是實(shí)現(xiàn) CSRF 的諸多?段中的?種，是由于沒(méi)有在關(guān)鍵操作執(zhí)?時(shí)進(jìn)?是否由?戶?愿發(fā)起的確認(rèn)。修復(fù)?式：篩選出需要防范 CSRF 的??然后嵌? Token、再次輸?密碼、檢驗(yàn) Referer XXE 是 XML 外部實(shí)體注?攻擊，XML 中可以通過(guò)調(diào)?實(shí)體來(lái)請(qǐng)求本地或者遠(yuǎn)程內(nèi)容，和遠(yuǎn)程?件保護(hù)類(lèi)似，會(huì)引發(fā)相關(guān)安全問(wèn)題，例如敏感?件讀取。修復(fù)?式：XML 解析庫(kù)在調(diào)?時(shí)嚴(yán)格禁?對(duì)外部實(shí)體的解析。

35、CSRF、SSRF 和重放攻擊有什么區(qū)別？

CSRF 是跨站請(qǐng)求偽造攻擊，由客戶端發(fā)起 SSRF 是服務(wù)器端請(qǐng)求偽造，由服務(wù)器發(fā)起 重放攻擊是將截獲的數(shù)據(jù)包進(jìn)?重放，達(dá)到身份認(rèn)證等?的

36、說(shuō)出?少三種業(yè)務(wù)邏輯漏洞，以及修復(fù)?式？

密碼找回漏洞中存在 

1）密碼允許暴?破解、 

2）存在通?型找回憑證、 

3）可以跳過(guò)驗(yàn)證步驟、 

4）找回憑證可以攔包獲取 

等?式來(lái)通過(guò)?商提供的密碼找回功能來(lái)得到密碼。身份認(rèn)證漏洞中最常?的是 

1）會(huì)話固定攻擊 

2） Cookie 仿冒 

只要得到 Session 或 Cookie 即可偽造?戶身份。驗(yàn)證碼漏洞中存在 

1）驗(yàn)證碼允許暴?破解 

2）驗(yàn)證碼可以通過(guò) Javascript 或者改包的?法來(lái)進(jìn)?繞過(guò)

37、圈出下?會(huì)話中可能存在問(wèn)題的項(xiàng)，并標(biāo)注可能會(huì)存在的問(wèn)題？

get /ecskins/demo jsp?uid=2016031900&keyword=”hello world”
HTTP/1.1Host:***.com:82User-Agent:Mozilla/
5.0 Firefox/40Accept:text/css,/;q=0.1
Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3
Referer:http://*******.com/eciop/orderForCC/
cgtListForCC.htm?zone=11370601&v=145902
Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;
uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;
st_uid=N90PLYHLZGJXI-NX01VPUF46W;
status=True
Connection:keep-alive

有寫(xiě)?權(quán)限的，構(gòu)造聯(lián)合查詢語(yǔ)句使? using INTO OUTFILE，可以將查詢的輸出重定向到系統(tǒng)的?件中，這樣去寫(xiě)?WebShell 使? sqlmap –os-shell 原理和上??種相同，來(lái)直接獲得?個(gè) Shell，這樣效率更? 通過(guò)構(gòu)造聯(lián)合查詢語(yǔ)句得到?站管理員的賬戶和密碼，然后掃后臺(tái)登錄后臺(tái)，再在后臺(tái)通過(guò)改包上傳等?法上傳 Shell

38、給你?個(gè)?站你是如何來(lái)滲透測(cè)試的?

在獲取書(shū)?授權(quán)的前提下。

39、sqlmap，怎么對(duì)?個(gè)注?點(diǎn)注?？

1）如果是 get 型號(hào)，直接，sqlmap -u '諸如點(diǎn)?址'. 

2) 如果是 post 型諸如點(diǎn)，可以 sqlmap -u '注?點(diǎn)?址” --data='post 的參數(shù) ' 

3）如果是 cookie，X-Forwarded-For 等，可以訪問(wèn)的時(shí)候，? burpsuite 抓包，注?處?號(hào)替換，放到?件?，然后 

sqlmap -r '?件地址'

40、nmap，掃描的?種?式

文章：https://www.changchen.cc/archives/20/

41、sql 注?的?種類(lèi)型？

1）報(bào)錯(cuò)注? 

2）bool 型注? 

3）延時(shí)注? 

4）寬字節(jié)注? 

42、報(bào)錯(cuò)注?的函數(shù)有哪些？10 個(gè) 

1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】
2）通過(guò)floor報(bào)錯(cuò) 向下取整3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1) 
4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)
b));
5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
10）.exp()select from test where id=1 and exp(~(select * from(select user())a));

43、延時(shí)注?如何來(lái)判斷？

44、盲注和延時(shí)注?的共同點(diǎn)？

都是?個(gè)字符?個(gè)字符的判斷

45、如何拿?個(gè)?站的 webshell？

上傳，后臺(tái)編輯模板，sql 注?寫(xiě)?件，命令執(zhí)?，代碼執(zhí)?， ?些已經(jīng)爆出的 cms漏洞，?如 dedecms 后臺(tái)可以直接建?腳本?件，wordpress 上傳插件包含腳本?件 zip 壓縮包等

46、sql 注?寫(xiě)?件都有哪些函數(shù)？

select '?句話' into outfile '路徑'
select '?句話' into dumpfile '路徑'
select '<?php eval($_POST[1]) ?>' into dumpfile 'd:\wwwroot\baidu.com\nvhack.php;

47、如何防? CSRF?

1）驗(yàn)證 referer 

2）驗(yàn)證 token 

詳細(xì)：http://cnodejs.org/topic/5533dd6e9138f09b629674fd

48、owasp 漏洞都有哪些？

1）SQL 注?防護(hù)?法： 

2）失效的身份認(rèn)證和會(huì)話管理2）失效的身份認(rèn)證和會(huì)話管理 

3）跨站腳本攻擊 XSS 

4）直接引?不安全的對(duì)象 

5）安全配置錯(cuò)誤 

6）敏感信息泄露 

7）缺少功能級(jí)的訪問(wèn)控制 

8）跨站請(qǐng)求偽造 CSRF 

9）使?含有已知漏洞的組件 

10）未驗(yàn)證的重定向和轉(zhuǎn)發(fā)

49、SQL 注?防護(hù)?法？

1）使?安全的 API 

2）對(duì)輸?的特殊字符進(jìn)? Escape 轉(zhuǎn)義處理 

3）使??名單來(lái)規(guī)范化輸?驗(yàn)證?法 

4）對(duì)客戶端輸?進(jìn)?控制，不允許輸? SQL 注?相關(guān)的特殊字符 

5）服務(wù)器端在提交數(shù)據(jù)庫(kù)進(jìn)? SQL 查詢之前，對(duì)特殊字符進(jìn)?過(guò)濾、轉(zhuǎn)義、替換、刪除。

50、代碼執(zhí)?，?件讀取，命令執(zhí)?的函數(shù)都有哪些？

51、img 標(biāo)簽除了 onerror 屬性外，還有其他獲取管理員路徑的辦法嗎？

src 指定?個(gè)遠(yuǎn)程的腳本?件，獲取 referer

52、img 標(biāo)簽除了 onerror 屬性外，并且 src 屬性的后綴名，必須以. jpg 結(jié)尾，怎么獲取管理員路徑。

1）遠(yuǎn)程服務(wù)器修改 apache 配置?件，配置. jpg ?件以 php ?式來(lái)解析 AddType application/x-httpd-php .jpg 

會(huì)以 php ?式來(lái)解析

53、為什么 aspx ??權(quán)限? asp ?？

aspx 使?的是. net 技術(shù)。IIS 中默認(rèn)不?持，ASP 只是腳本語(yǔ)??已。?侵的時(shí)候 asp 的???般是 guest 權(quán)限… APSX 的???般是 users 權(quán)限。

54、如何繞過(guò) waf？

??寫(xiě)轉(zhuǎn)換法 
?擾字符 /*!*/ 
編碼 base64 unicode hex url ascll 
復(fù)參數(shù)

55、如何向服務(wù)器寫(xiě)? webshell？

56、滲透測(cè)試中常?的端?

a、web 類(lèi) (web 漏洞 / 敏感?錄) 第三?通?組件漏洞 struts thinkphp jboss ganglia zabbix

80 web 
80-89 web 
8000-9090 web

b、數(shù)據(jù)庫(kù)類(lèi) (掃描弱?令)

c、特殊服務(wù)類(lèi) (未授權(quán) / 命令執(zhí)?類(lèi) / 漏洞)

443 SSL?臟滴?
873 Rsync未授權(quán)
5984 CouchDB http://xxx:5984/_utils/ 
6379 redis未授權(quán)
7001,7002 WebLogic默認(rèn)弱?令，反序列
9200,9300 elasticsearch 參考WooYun: 多玩某服務(wù)器ElasticSearch命令執(zhí)?漏洞
11211 memcache未授權(quán)訪問(wèn)
27017,27018 Mongodb未授權(quán)訪問(wèn)
50000 SAP命令執(zhí)?
50070,50030 hadoop默認(rèn)端?未授權(quán)訪問(wèn)

d、常?端?類(lèi) (掃描弱?令 / 端?爆破)

三、深信服??

• 了解哪些漏洞

• ?件上傳有哪些防護(hù)?式

• ?什么掃描端?，?錄

• 如何判斷注?

• 注?有防護(hù)怎么辦

• 有沒(méi)有寫(xiě)過(guò) tamper

• 3306 1443 8080 是什么端?

• 計(jì)算機(jī)?絡(luò)從物理層到應(yīng)?層 xxxx

• 有沒(méi)有 web 服務(wù)開(kāi)發(fā)經(jīng)驗(yàn)

• 如何向服務(wù)器寫(xiě)? webshell

• 有沒(méi)有?過(guò) xss 平臺(tái)

• ?站滲透的流程

• mysql 兩種提權(quán)?式（udf，？）

• 常?加密?式 xxx

• ddos 如何防護(hù)

• 有沒(méi)有抓過(guò)包，會(huì)不會(huì)寫(xiě) wireshark 過(guò)濾規(guī)則

• 清理?志要清理哪些

四、SQL 注?防護(hù)

1、使?安全的 API 

2、對(duì)輸?的特殊字符進(jìn)? Escape 轉(zhuǎn)義處理 

3、使??名單來(lái)規(guī)范化輸?驗(yàn)證?法 

4、對(duì)客戶端輸?進(jìn)?控制，不允許輸? SQL 注?相關(guān)的特殊字符 

5、服務(wù)器端在提交數(shù)據(jù)庫(kù)進(jìn)? SQL 查詢之前，對(duì)特殊字符進(jìn)?過(guò)濾、轉(zhuǎn)義、替換、刪除。 

6、規(guī)范編碼, 字符集

五、為什么參數(shù)化查詢可以防? SQL 注?

原理: 

使?參數(shù)化查詢數(shù)據(jù)庫(kù)服務(wù)器不會(huì)把參數(shù)的內(nèi)容當(dāng)作 sql 指令的?部分來(lái)執(zhí)?，是在數(shù)據(jù)庫(kù)完成 sql 指令的編譯后才套 

?參數(shù)運(yùn)? 

簡(jiǎn)單的說(shuō): 參數(shù)化能防注?的原因在于, 語(yǔ)句是語(yǔ)句，參數(shù)是參數(shù)，參數(shù)的值并不是語(yǔ)句的?部分，數(shù)據(jù)庫(kù)只按語(yǔ)句的語(yǔ) 

義跑

六、SQL 頭注?點(diǎn)

UA
REFERER
COOKIE
IP

七、盲注是什么？怎么盲注？

盲注是在 SQL 注?攻擊過(guò)程中，服務(wù)器關(guān)閉了錯(cuò)誤回顯，我們單純通過(guò)服務(wù)器返回內(nèi)容的變化來(lái)判斷是否存在 SQL 注 

?和利?的?式。盲注的?段有兩種，?個(gè)是通過(guò)??的返回內(nèi)容是否正確 (boolean-based)，來(lái)驗(yàn)證是否存在注?。

?個(gè)是通過(guò) sql 語(yǔ)句處理時(shí)間的不同來(lái)判斷是否存在注? (time-based)，在這?，可以? benchmark，sleep 等造成延 

時(shí)效果的函數(shù)，也可以通過(guò)構(gòu)造?笛卡?積的聯(lián)合查詢表來(lái)達(dá)到延時(shí)的?的。

?、寬字節(jié)注?產(chǎn)?原理以及根本原因

1、產(chǎn)?原理

在數(shù)據(jù)庫(kù)使?了寬字符集? WEB 中沒(méi)考慮這個(gè)問(wèn)題的情況下，在 WEB 層，由于 0XBF27 是兩個(gè)字符，在 PHP 中?如 

addslash 和 magic_quotes_gpc 開(kāi)啟時(shí)，由于會(huì)對(duì) 0x27 單引號(hào)進(jìn)?轉(zhuǎn)義，因此 0xbf27 會(huì)變成 0xbf5c27, ?數(shù)據(jù)進(jìn)?

數(shù)據(jù)庫(kù)中時(shí)，由于 0XBF5C 是?個(gè)另外的字符，因此  轉(zhuǎn)義符號(hào)會(huì)被前?的 bf 帶著 '吃掉'，單引號(hào)由此逃逸出來(lái)可以 

?來(lái)閉合語(yǔ)句。

2、在哪?編碼

3、根本原因

character_set_client(客戶端的字符集) 和 character_set_connection(連接層的字符集) 不同, 或轉(zhuǎn)換函數(shù)如，iconv、 

mb_convert_encoding 使?不當(dāng)。

4、解決辦法

統(tǒng)?數(shù)據(jù)庫(kù)、Web 應(yīng)?、操作系統(tǒng)所使?的字符集，避免解析產(chǎn)?差異，最好都設(shè)置為 UTF-8?；?qū)?shù)據(jù)進(jìn)?正確的轉(zhuǎn) 

義，如 mysql_real_escape_string+mysql_set_charset 的使?。

5、SQL ??只有 update 怎么利?

先理解這句 SQL

如果此 SQL 被修改成以下形式，就實(shí)現(xiàn)了注? 

a、修改 homepage 值為 http://xxx.net', userlevel='3

之后 SQL 語(yǔ)句變?yōu)?/p>

UPDATE user SET password='mypass', homepage='http://xxx.net', userlevel='3' WHERE id='$id'

userlevel 為?戶級(jí)別 

b、修改 password 值為 mypass)' WHERE username='admin'#

之后 SQL 語(yǔ)句變?yōu)?/p>

c、修改 id 值為 ' OR username='admin' 之后 SQL 語(yǔ)句變?yōu)?/p>

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'

九、SQL 如何寫(xiě) shell / 單引被過(guò)濾怎么辦

寫(xiě) shell: root 權(quán)限，GPC 關(guān)閉，知道?件路徑 outfifile 函數(shù)

`http://127.0.0.1:81/sqli.php?id=1 into outfile 'C:\wamp64\www\phpinfo.php' FIELDS TERMINATED BY '<?php phpinfo

(); ?>'`

`http://127.0.0.1:81/sqli.php?id=-1 union select 1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile 'C:\w

amp64\www\phpinfo.php'`

寬字節(jié)注? 

1、代替空格的?法

2、mysql 的?站注?，5.0 以上和 5.0 以下有什么區(qū)別 

5 0 以下沒(méi)有 information schema 這個(gè)系統(tǒng)表 ?法列表名等 只能暴?跑表名。5.0 以下沒(méi)有 information_schema 這個(gè)系統(tǒng)表，?法列表名等，只能暴?跑表名。 

5.0 以下是多?戶單操作，5.0 以上是多?戶多操做。

?、XSS

1、XSS 原理 

反射型 

?戶提交的數(shù)據(jù)中可以構(gòu)造代碼來(lái)執(zhí)?，從?實(shí)現(xiàn)竊取?戶信息等攻擊。需要誘使?戶 “點(diǎn)擊” ?個(gè)惡意鏈接，才能攻擊成功

存儲(chǔ)型 

存儲(chǔ)型 XSS 會(huì)把?戶輸?的數(shù)據(jù) “存儲(chǔ)” 在服務(wù)器端。這種 XSS 具有很強(qiáng)的穩(wěn)定性。 

DOM 型

通過(guò)修改??的 DOM 節(jié)點(diǎn)形成的 XSS，稱(chēng)之為 DOM Based XSS。 

2、DOM 型和反射型的區(qū)別 

反射型 XSS：通過(guò)誘導(dǎo)?戶點(diǎn)擊，我們構(gòu)造好的惡意 payload 才會(huì)觸發(fā)的 XSS。反射型 XSS 的檢測(cè)我們?cè)诿看握?qǐng)求帶payload 的鏈接時(shí)??應(yīng)該是會(huì)帶有特定的畸形數(shù)據(jù)的。DOM 型：通過(guò)修改??的 DOM 節(jié)點(diǎn)形成的 XSS。DOM-based XSS 由于是通過(guò) js 代碼進(jìn)? dom 操作產(chǎn)?的 XSS，所以在請(qǐng)求的響應(yīng)中我們甚?不?定會(huì)得到相應(yīng)的畸形數(shù)據(jù)。根本區(qū)別在我看來(lái)是輸出點(diǎn)的不同。 

3、DOM 型和 XSS ?動(dòng)化測(cè)試或??測(cè)試 

??測(cè)試思路：找到類(lèi)似 document.write、innerHTML 賦值、outterHTML 賦值、window.location 操作、寫(xiě) javascript: 后內(nèi)容、eval、setTimeout 、setInterval 等直接執(zhí)?之類(lèi)的函數(shù)點(diǎn)。找到其變量，回溯變量來(lái)源觀察是否可控，是否經(jīng) 

過(guò)安全函數(shù)。?動(dòng)化測(cè)試參看道哥的博客，思路是從輸???，觀察變量傳遞的過(guò)程，最終檢查是否有在危險(xiǎn)函數(shù)輸出，中途是否有經(jīng)過(guò)安全函數(shù)。但是這樣就需要有?個(gè) javascript 解析器，否則會(huì)漏掉?些通過(guò) js 執(zhí)?帶?的部分內(nèi)容容。

在回答這段問(wèn)題的時(shí)候，由于平時(shí)對(duì)客戶的檢測(cè)中，基本是憑借不同功能點(diǎn)的功能加上經(jīng)驗(yàn)和直覺(jué)來(lái)進(jìn)?檢測(cè)，對(duì)不同類(lèi)型的 XSS 檢測(cè)?式實(shí)際上并沒(méi)有太過(guò)細(xì)分的標(biāo)準(zhǔn)化檢測(cè)?式，所以回答的很爛。。。

4、如何快速發(fā)現(xiàn) XSS 位置 

5、對(duì)于 XSS 怎么修補(bǔ)建議 

輸?點(diǎn)檢查：對(duì)?戶輸?的數(shù)據(jù)進(jìn)?合法性檢查，使? fifilter 過(guò)濾敏感字符或?qū)M(jìn)?編碼轉(zhuǎn)義，針對(duì)特定類(lèi)型數(shù)據(jù)進(jìn)?格 

式檢查。針對(duì)輸?點(diǎn)的檢查最好放在服務(wù)器端實(shí)現(xiàn)。 

輸出點(diǎn)檢查：對(duì)變量輸出到 HTML ??中時(shí)，對(duì)輸出內(nèi)容進(jìn)?編碼轉(zhuǎn)義，輸出在 HTML 中時(shí)，對(duì)其進(jìn)?HTMLEncode，如果輸出在 Javascript 腳本中時(shí)，對(duì)其進(jìn)? JavascriptEncode。對(duì)使? JavascriptEncode 的變量都放在引號(hào)中并轉(zhuǎn)義危險(xiǎn)字符，data 部分就?法逃逸出引號(hào)外成為 code 的?部分。還可以使?更加嚴(yán)格的?法，對(duì)所有數(shù)字字?之外的字符都使??六進(jìn)制編碼。此外，要注意在瀏覽器中，HTML 的解析會(huì)優(yōu)先于 Javascript 的解析，編碼的?式也需要考慮清楚，針對(duì)不同的輸出點(diǎn)，我們防御 XSS 的?法可能會(huì)不同，這點(diǎn)可能在之后的?章會(huì)做下總結(jié)。除此之外，還有做 HTTPOnly 對(duì) Cookie 劫持做限制。 

6、XSS 蠕?的?產(chǎn)條件 

正常情況下，?個(gè)是產(chǎn)? XSS 點(diǎn)的??不屬于 self ??，?戶之間產(chǎn)?交互?為的??，都可能造成 XSS Worm 的產(chǎn)?。

不?定需要存儲(chǔ)型 XSS

??、CSRF

1、CSRF 原理 

CSRF 是跨站請(qǐng)求偽造攻擊，由客戶端發(fā)起, 是由于沒(méi)有在關(guān)鍵操作執(zhí)?時(shí)進(jìn)?是否由?戶?愿發(fā)起的確認(rèn) 

2、防御**

驗(yàn)證 Referer 

添加 token 

3、token 和 referer 做橫向?qū)?，誰(shuí)安全等級(jí)?？ 

token 安全等級(jí)更?，因?yàn)椴⒉皇侨魏畏?wù)器都可以取得 referer，如果從 HTTPS 跳到 HTTP，也不會(huì)發(fā)送 referer。并 

且 FLASH ?些版本中可以?定義 referer。但是 token 的話，要保證其?夠隨機(jī)且不可泄露。(不可預(yù)測(cè)性原則) 

4、對(duì) referer 的驗(yàn)證，從什么?度去做？如果做，怎么杜絕問(wèn)題

對(duì) header 中的 referer 的驗(yàn)證，?個(gè)是空 referer，?個(gè)是 referer 過(guò)濾或者檢測(cè)不完善。為了杜絕這種問(wèn)題，在驗(yàn)證的 

?名單中，正則規(guī)則應(yīng)當(dāng)寫(xiě)完善。 

5、針對(duì) token, 對(duì) token 測(cè)試會(huì)注意哪??被?，會(huì)對(duì) token 的哪??進(jìn)?測(cè)試？ 

引??段請(qǐng)教前輩的回答：

針對(duì)token的攻擊，?是對(duì)它本身的攻擊，重放測(cè)試?次性、分析加密規(guī)則、校驗(yàn)?式是否正確等，?是結(jié)合信息泄露漏洞對(duì)它的獲取，結(jié)合著發(fā)起組合攻擊 

信息泄露有可能是緩存、?志、get，也有可能是利?跨站 

很多跳轉(zhuǎn)登錄的都依賴token，有?個(gè)跳轉(zhuǎn)漏洞加反射型跨站就可以組合成登錄劫持了 

另外也可以結(jié)合著其它業(yè)務(wù)來(lái)描述token的安全性及設(shè)計(jì)不好怎么被繞過(guò)?如搶紅包業(yè)務(wù)之類(lèi)的

??、SSRF

SSRF(Server-Side Request Forgery: 服務(wù)器端請(qǐng)求偽造) 是?種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請(qǐng)求的?個(gè)安全漏洞。?般情況下，SSRF 攻擊的?標(biāo)是從外??法訪問(wèn)的內(nèi)部系統(tǒng)。（正是因?yàn)樗怯煞?wù)端發(fā)起的，所以它能夠請(qǐng)求到與它相連?與外?隔離的內(nèi)部系統(tǒng)） 

SSRF 形成的原因?都是由于服務(wù)端提供了從其他服務(wù)器應(yīng)?獲取數(shù)據(jù)的功能且沒(méi)有對(duì)?標(biāo)地址做過(guò)濾與限制。?如從指 

定 URL 地址獲取???本內(nèi)容，加載指定地址的圖?，下載等等。 

1、監(jiān)測(cè)

SSRF 漏洞的驗(yàn)證?法： 

1）因?yàn)?SSRF 漏洞是讓服務(wù)器發(fā)送請(qǐng)求的安全漏洞，所以我們就可以通過(guò)抓包分析發(fā)送的請(qǐng)求是否是由服務(wù)器的發(fā)送 

的，從?來(lái)判斷是否存在 SSRF 漏洞 

2）在??源碼中查找訪問(wèn)的資源地址 ，如果該資源地址類(lèi)型為 www.baidu.com/xxx.php?image=（地址）的就可能存 

在 SSRF 漏洞 4[1] 

2、SSRF 漏洞的成因 防御 繞過(guò) 

成因：模擬服務(wù)器對(duì)其他服務(wù)器資源進(jìn)?請(qǐng)求，沒(méi)有做合法性驗(yàn)證。利?：構(gòu)造惡意內(nèi)? IP 做探測(cè)，或者使?其余所? 

持的協(xié)議對(duì)其余服務(wù)進(jìn)?攻擊。防御：禁?跳轉(zhuǎn)，限制協(xié)議，內(nèi)外?限制，URL 限制。繞過(guò)：使?不同協(xié)議，針對(duì) IP， 

IP 格式的繞過(guò)，針對(duì) URL，惡意 URL 增添其他字符，@之類(lèi)的。301 跳轉(zhuǎn) + dns rebindding。

??、上傳

1、?件上傳漏洞原理 

由于程序員在對(duì)?戶?件上傳部分的控制不?或者處理缺陷，?導(dǎo)致?戶可以越過(guò)其本身權(quán)限向服務(wù)器上傳可執(zhí)?的動(dòng) 

態(tài)腳本?件 

2、常?的上傳繞過(guò)?式 

前端 js 驗(yàn)證：禁? js/burp 改包 

??寫(xiě) 

雙重后綴名 

過(guò)濾繞過(guò) pphphp->php 

3、防護(hù)

?件上傳?錄設(shè)置為不可執(zhí)? 

使??名單判斷?件上傳類(lèi)型 

?隨機(jī)數(shù)改寫(xiě)?件名和路徑 

4、審查上傳點(diǎn)的元素有什么意義？ 

有些站點(diǎn)的上傳?件類(lèi)型的限制是在前端實(shí)現(xiàn)的，這時(shí)只要增加上傳類(lèi)型就能突破限制了。

?三、?件包含

1、原理 

引??段?戶能控制的腳本或代碼，并讓服務(wù)器端執(zhí)? include() 等函數(shù)通過(guò)動(dòng)態(tài)變量的?式引?需要包含的?件；?戶能夠控制該動(dòng)態(tài)變量。 

2、導(dǎo)致?件包含的函數(shù) 

PHP：include(), include_once(), require(), re-quire_once(), fopen(), readfifile(), … JSP/Servlet：ava.io.File(), 

java.io.Fil-eReader(), … ASP：include fifile, include virtual, 

3、本地?件包含 

能夠打開(kāi)并包含本地?件的漏洞，被稱(chēng)為本地?件包含漏洞

?四、邏輯漏掃

1、?融?業(yè)常?邏輯漏洞 

單針對(duì)?融業(yè)務(wù)的 主要是數(shù)據(jù)的篡改 (涉及?融數(shù)據(jù)，或部分業(yè)務(wù)的判斷數(shù)據(jù))，由競(jìng)爭(zhēng)條件或者設(shè)計(jì)不當(dāng)引起的薅? 

?，交易 / 訂單信息泄露，?平越權(quán)對(duì)別?的賬戶查看或惡意操作，交易或業(yè)務(wù)步驟繞過(guò)。

?五、中間?攻擊

中間?攻擊是?個(gè)（缺乏）相互認(rèn)證的攻擊；由于客戶端與服務(wù)器之間在 SSL 握?的過(guò)程中缺乏相互認(rèn)證?造成的漏洞 

防御中間?攻擊的?案通?；?下?種技術(shù)

1. 公鑰基礎(chǔ)建設(shè) PKI 使? PKI 相互認(rèn)證機(jī)制，客戶端驗(yàn)證服務(wù)器，服務(wù)器驗(yàn)證客戶端；上述兩個(gè)例?中都是只驗(yàn)證服務(wù)

器，這樣就造成了 SSL 握?環(huán)節(jié)的漏洞，?如果使?相互認(rèn)證的的話，基本可以更強(qiáng)?的相互認(rèn)證

1. 延遲測(cè)試

使?復(fù)雜加密哈希函數(shù)進(jìn)?計(jì)算以造成數(shù)?秒的延遲；如果雙?通常情況下都要花費(fèi) 20 秒來(lái)計(jì)算，并且整個(gè)通訊花費(fèi)了 60 秒計(jì)算才到達(dá)對(duì)?，這就能表明存在第三?中間?。

1. 使?其他形式的密鑰交換形式

ARP 欺騙 

原理

每臺(tái)主機(jī)都有?個(gè) ARP 緩存表，緩存表中記錄了 IP 地址與 MAC 地址的對(duì)應(yīng)關(guān)系，?局域?數(shù)據(jù)傳輸依靠的是 MAC

地址。在 ARP 緩存表機(jī)制存在?個(gè)缺陷，就是當(dāng)請(qǐng)求主機(jī)收到 ARP 應(yīng)答包后，不會(huì)去驗(yàn)證??是否向?qū)?主機(jī)發(fā)送過(guò)

ARP 請(qǐng)求包，就直接把這個(gè)返回包中的 IP 地址與 MAC 地址的對(duì)應(yīng)關(guān)系保存進(jìn) ARP 緩存表中，如果原有相同 IP 對(duì)應(yīng)關(guān) 

系，原有的則會(huì)被替換。這樣攻擊者就有了偷聽(tīng)主機(jī)傳輸?shù)臄?shù)據(jù)的可能 

防護(hù)

1. 在主機(jī)綁定?關(guān) MAC 與 IP 地址為靜態(tài)（默認(rèn)為動(dòng)態(tài)），命令：arp -s ?關(guān) IP ?關(guān) MAC

2. 在?關(guān)綁定主機(jī) MAC 與 IP 地址

3. 使? ARP 防?墻

?六、DDOS

1、DDOS 原理 

利?合理的請(qǐng)求造成資源過(guò)載，導(dǎo)致服務(wù)不可? 

syn 洪流的原理 

偽造?量的源 IP 地址，分別向服務(wù)器端發(fā)送?量的 SYN 包，此時(shí)服務(wù)器端會(huì)返回 SYN/ACK 包，因?yàn)樵吹刂肥莻卧斓?，所以偽造?IP 并不會(huì)應(yīng)答，服務(wù)器端沒(méi)有收到偽造 IP 的回應(yīng)，會(huì)重試 3～5 次并且等待?個(gè) SYNTime（?般為 30 秒? 2 分鐘），如果超時(shí)則丟棄這個(gè)連接。攻擊者?量發(fā)送這種偽造源地址的 SYN 請(qǐng)求，服務(wù)器端將會(huì)消耗?常多的資源（CPU 和內(nèi)存）來(lái)處理這種半連接，同時(shí)還要不斷地對(duì)這些 IP 進(jìn)? SYN+ACK 重試。最后的結(jié)果是服務(wù)器?暇理睬正常的連接請(qǐng)求，導(dǎo)致拒絕服務(wù)。 

CC 攻擊原理 

對(duì)?些消耗資源較?的應(yīng)???不斷發(fā)起正常的請(qǐng)求，以達(dá)到消耗服務(wù)端資源的?的。 

2、DOSS 防護(hù) 

SYN Cookie/SYN Proxy、safereset 等算法。SYN Cookie 的主要思想是為每?個(gè) IP 地址分配?個(gè) “Cookie”，并統(tǒng)計(jì)每 

個(gè) IP 地址的訪問(wèn)頻率。如果在短時(shí)間內(nèi)收到?量的來(lái)?同?個(gè) IP 地址的數(shù)據(jù)包，則認(rèn)為受到攻擊，之后來(lái)?這個(gè) IP 地 

址的包將被丟棄。

?七、提權(quán)

MySQL 兩種提權(quán)?式 

udf 提權(quán), mof 提權(quán) 

MySQL_UDF 提取 

要求:

1. ?標(biāo)系統(tǒng)是 Windows(Win2000,XP,Win2003)；

2. 擁有 MYSQL 的某個(gè)?戶賬號(hào)，此賬號(hào)必須有對(duì) mysql 的insert 和 delete 權(quán)限以創(chuàng)建和拋棄函數(shù)

3. 有 root 賬號(hào)密碼 導(dǎo)出 udf: MYSQL 5.1 以上版本，必須要把 udf.dll ?件放到 MYSQL 安裝?錄下的 libplugin ?件夾下才能創(chuàng)建?定義函數(shù) 可以再 mysql ?輸? select @@basedir 

show variables

like '%plugins%’ 尋找 mysql 安裝路徑 提權(quán): 

使? SQL 語(yǔ)句創(chuàng)建功能函數(shù)。語(yǔ)法：Create Function 函數(shù)名（函數(shù)名只能為下?列表中的其中之?）returns string soname '導(dǎo)出的 DLL 路徑’；

create function cmdshell returns string soname 'udf.dll’
select cmdshell('net user arsch arsch /add’);
select cmdshell('net localgroup administrators arsch /add’);

drop function cmdshell;

該?錄默認(rèn)是不存在的，這就需要我們使? webshell 找到 MYSQL 的安裝?錄，并在安裝?錄下創(chuàng)建 libplugin ?件夾，然后將 udf.dll ?件導(dǎo)出到該?錄即可。 

MySQL mof 提權(quán)

其中的第 18 ?的命令，上傳前請(qǐng)??更改。 

2、執(zhí)? load_fifile 及 into dumpfifile 把?件導(dǎo)出到正確的位置即可。

select load file('c:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mov'

執(zhí)?成功后，即可添加?個(gè)普通?戶，然后你可以更改命令，再上傳導(dǎo)出執(zhí)?把?戶提升到管理員權(quán)限，然后 3389 連 

接之就 ok 了。

??、特殊漏洞

1、Struts2-045 

2、Redis 未授權(quán) 

產(chǎn)?原因 

Redis 默認(rèn)情況下，會(huì)綁定在 0.0.0.0:6379，這樣將會(huì)將 Redis 服務(wù)暴露到公?上，如果在沒(méi)有開(kāi)啟認(rèn)證的情況下，可以導(dǎo)致任意?戶在可以訪問(wèn)?標(biāo)服務(wù)器的情況下未授權(quán)訪問(wèn) Redis 以及讀取 Redis 的數(shù)據(jù)。攻擊者在未授權(quán)訪問(wèn) Redis 的情況下可以利? Redis 的相關(guān)?法，可以成功在 Redis 服務(wù)器上寫(xiě)?公鑰，進(jìn)?可以使?對(duì)應(yīng)私鑰直接登錄?標(biāo)服務(wù)器

利?條件和?法 

條件: 

a、redis 服務(wù)以 root 賬戶運(yùn)? 

b、redis ?密碼或弱密碼進(jìn)?認(rèn)證c、redis 監(jiān)聽(tīng)在 0.0.0.0 公?上 

?法: 

a、通過(guò) Redis 的 INFO 命令, 可以查看服務(wù)器相關(guān)的參數(shù)和敏感信息, 為攻擊者的后續(xù)滲透做鋪墊 

b、上傳 SSH 公鑰獲得 SSH 登錄權(quán)限 

c、通過(guò) crontab 反彈 shell 

d、slave 主從模式利? 

修復(fù)

密碼驗(yàn)證 

降權(quán)運(yùn)? 

限制 ip / 修改端? 

3、Jenkins 未授權(quán)訪問(wèn) 

4、MongoDB 未授權(quán)訪問(wèn) 

攻擊者通過(guò)未授權(quán)訪問(wèn)進(jìn)?腳本命令執(zhí)?界?執(zhí)?攻擊指令

println 'ifconfig -a'.execute().text 執(zhí)??些系統(tǒng)命令, 利? wget 下載 webshell 

開(kāi)啟 MongoDB 服務(wù)時(shí)不添加任何參數(shù)時(shí), 默認(rèn)是沒(méi)有權(quán)限驗(yàn)證的, ?且可以遠(yuǎn)程訪問(wèn)數(shù)據(jù)庫(kù)，登錄的?戶可以通過(guò)默認(rèn) 

端??需密碼對(duì)數(shù)據(jù)庫(kù)進(jìn)?增、刪、改、查等任意?危操作。 

防護(hù)

為 MongoDB 添加認(rèn)證：

1)MongoDB 啟動(dòng)時(shí)添加–auth 參數(shù) 

2) 給 MongoDB 添加?戶：use admin #使? admin 庫(kù)db.addUser(“root”, “123456”) #添加?戶名 root 密碼 123456 的?戶 db.auth(“root”,“123456”) #驗(yàn)證下是否添加成功，返回 1 說(shuō)明成功 2、禁? HTTP 和 REST 端? MongoDB ?身帶有?個(gè) HTTP 服務(wù)和并?持 REST 接?。在 2.6 以后這些接?默認(rèn)是關(guān)閉的。mongoDB 默認(rèn)會(huì)使?默認(rèn)端?監(jiān)聽(tīng) web 服務(wù)，?般不需要通過(guò) web ?式進(jìn)?遠(yuǎn)程管理，建議禁?。修改配置?件或在啟動(dòng)的時(shí)候選擇–nohttpinterface 參數(shù) nohttpinterface=false 3、限制綁定 IP 啟動(dòng)時(shí)加?參數(shù) –bind_ip 127.0.0.1 或在 / etc/mongodb.conf ?件中添加以下內(nèi)容：bind_ip = 127.0.0.1 

5、Memcache 未授權(quán)訪問(wèn) 

Memcached 是?套常?的 key-value 緩存系統(tǒng)，由于它本身沒(méi)有權(quán)限控制模塊，所以對(duì)公?開(kāi)放的 Memcache 服務(wù)很容易被攻擊者掃描發(fā)現(xiàn)，攻擊者通過(guò)命令交互可直接讀取 Memcached 中的敏感信息。 

利?

a、登錄機(jī)器執(zhí)? netstat -an |more 命令查看端?監(jiān)聽(tīng)情況?；仫@ 0.0.0.0:11211 表示在所有?卡進(jìn)?監(jiān)聽(tīng)，存在 

memcached 未授權(quán)訪問(wèn)漏洞。 

b、telnet 11211，或 nc -vv 11211，提示連接成功表示漏洞存在 

漏洞加固 

a、設(shè)置 memchached 只允許本地訪問(wèn) b、禁?外?訪問(wèn) Memcached 11211 端? c、編譯時(shí)加上–enable-sasl，啟? 

SASL 認(rèn)證

6、FFMPEG 本地?件讀取 

原理

通過(guò)調(diào)?加密 API 將 payload 加密放??個(gè)會(huì)被執(zhí)?的段字節(jié)中。但是具體回答?程中我只回答道了 SSRF ?洞， 

m3u8 頭，偏移量，加密。

?九、安全知識(shí)

1、WEB 

常? WEB 開(kāi)發(fā) JAVA 框架

STRUTS,SPRING 常?的 java 框架漏洞 其實(shí)?試官問(wèn)這個(gè)問(wèn)題的時(shí)候我不太清楚他要問(wèn)什么，我提到 struts 的 045048，java 常?反序列化。045 錯(cuò)誤處理引?了 ognl 表達(dá)式 048 封裝 action 的過(guò)程中有?步調(diào)? getstackvalue 遞歸獲取 ognl 表達(dá)式 反序列化 操作對(duì)象，通過(guò)?段引?。apache common 的反射機(jī)制、readobject 的重寫(xiě)，其實(shí)具體的 我也記不清楚。。。然后這部分就結(jié)束了 

同源策略 

同源策略限制不同源對(duì)當(dāng)前 document 的屬性內(nèi)容進(jìn)?讀取或設(shè)置。不同源的區(qū)分：協(xié)議、域名、?域名、IP、端?， 

以上有不同時(shí)即不同源。 

Jsonp 安全攻防技術(shù)，怎么寫(xiě) Jsonp 的攻擊??

涉及到 Jsonp 的安全攻防內(nèi)容 

JSON 劫持、Callback 可定義、JSONP 內(nèi)容可定義、Content-type 不為 json。 

攻擊??

JSON 劫持，跨域劫持敏感信息，??類(lèi)似于

Content-type 不正確情況下，JSONP 和 Callback 內(nèi)容可定義可造成 XSS。JSONP 和 FLASH 及其他的利?參照知道創(chuàng)宇的 JSONP 安全攻防技術(shù)。 

2、PHP 

php 中命令執(zhí)?涉及到的函數(shù) 

代碼執(zhí)?：eval()、assert()、popen()、system()、exec()、shell_exec()、 

passthru(),pcntl_exec(),call_user_func_array(),create_function()?件讀取：fifile_get_contents(),highlight_fifile(),fopen(),read fifile(),fread(),fgetss(), 

fgets(),parse_ini_fifile(),show_source(),fifile() 等 

命令執(zhí)?：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open() 

安全模式下繞過(guò) php 的 disable fuction 

DL 函數(shù)，組件漏洞，環(huán)境變量。 

PHP 弱類(lèi)型

== 在進(jìn)??較的時(shí)候，會(huì)先將字符串類(lèi)型轉(zhuǎn)化成相同，再?較 

如果?較?個(gè)數(shù)字和字符串或者?較涉及到數(shù)字內(nèi)容的字符串，則字符串會(huì)被轉(zhuǎn)換成數(shù)值并且?較按照數(shù)值來(lái)進(jìn)?

0e 開(kāi)頭的字符串等于 0

3、數(shù)據(jù)庫(kù)

各種數(shù)據(jù)庫(kù)?件存放的位置 

mysql:

/usr/local/mysql/data/

C:\ProgramData\MySQL\MySQL Server 5.6\Data\

oracle: $ORACLE_BASE/oradata/$ORACLE_SID/

4、系統(tǒng)

如何清理?志如何清理?志 

meterpreter: clearev

?侵 Linux 服務(wù)器后需要清除哪些?志？ 

web ?志，如 apache 的 access.log,error.log。直接將?志清除過(guò)于明顯, ?般使? sed 進(jìn)?定向清除 

e.g. sed -i -e '/192.169.1.1/d’ 

history 命令的清除，也是對(duì)~/.bash_history 進(jìn)?定向清除 

wtmp ?志的清除，/var/log/wtmp 

登錄?志清除 /var/log/secure 

LINUX 

查看當(dāng)前端?連接的命令有哪些？netstat 和 ss 命令的區(qū)別和優(yōu)缺點(diǎn)

netstat -antp` `ss -l

ss 的優(yōu)勢(shì)在于它能夠顯示更多更詳細(xì)的有關(guān) TCP 和連接狀態(tài)的信息，?且? netstat 更快速更?效。 

反彈 shell 的常?命令？?般常反彈哪?種 shell？為什么?

通過(guò) Linux 系統(tǒng)的 / proc ?錄 ，能夠獲取到哪些信息，這些信息可以在安全上有哪些應(yīng)?？

ls /proc

系統(tǒng)信息，硬件信息，內(nèi)核版本，加載的模塊，進(jìn)程 

linux 系統(tǒng)中，檢測(cè)哪些配置?件的配置項(xiàng)，能夠提升 SSH 的安全性。

/etc/ssh/sshd___config iptables 配置 

如何?條命令查看?件內(nèi)容最后?百?

Windows

如何加固?個(gè)域環(huán)境下的 Windows 桌??作環(huán)境？請(qǐng)給出你的思路。

5、密碼學(xué)

AES／DES 的具體?作步驟 

RSA 算法 

加密: 

密?＝明? ^EmodN 

RSA 加密是對(duì)明?的 E 次?后除以 N 后求余數(shù)的過(guò)程 

公鑰＝(E,N) 

解密: 

明?＝密? ^DmodN 私鑰＝(D,N)

三個(gè)參數(shù) n,e1,e2 

n 是兩個(gè)?質(zhì)數(shù) p,q 的積 

分組密碼的加密模式 

如何?成?個(gè)安全的隨機(jī)數(shù)？ 

引?之前?個(gè)學(xué)?的答案，可以通過(guò)?些物理系統(tǒng)?成隨機(jī)數(shù)，如電壓的波動(dòng)、磁盤(pán)磁頭讀 / 寫(xiě)時(shí)的尋道時(shí)間、空中電磁波的噪聲等。 

SSL 握?過(guò)程 

建? TCP 連接、客戶端發(fā)送 SSL 請(qǐng)求、服務(wù)端處理 SSL 請(qǐng)求、客戶端發(fā)送公共密鑰加密過(guò)的隨機(jī)數(shù)據(jù)、服務(wù)端?私有 

密鑰解密加密后的隨機(jī)數(shù)據(jù)并協(xié)商暗號(hào)、服務(wù)端跟客戶端利?暗號(hào)?成加密算法跟密鑰 key、之后正常通信。這部分本

來(lái)是忘了的，但是之前看 SSL Pinning 的時(shí)候好像記了張圖在腦??，掙扎半天還是沒(méi)敢確定，遂放棄。。。

對(duì)稱(chēng)加密與?對(duì)稱(chēng)加密的不同，分別?在哪些??

6、TCP/IP

TCP 三次握?的過(guò)程以及對(duì)應(yīng)的狀態(tài)轉(zhuǎn)換 

（1）客戶端向服務(wù)器端發(fā)送?個(gè) SYN 包，包含客戶端使?的端?號(hào)和初始序列號(hào) x; 

（2）服務(wù)器端收到客戶端發(fā)送來(lái)的 SYN 包后，向客戶端發(fā)送?個(gè) SYN 和 ACK 都置位的 TCP 報(bào)?，包含確認(rèn)號(hào) xx1 

和服務(wù)器端的初始序列號(hào) y; 

（3）客戶端收到服務(wù)器端返回的 SYNSACK 報(bào)?后，向服務(wù)器端返回?個(gè)確認(rèn)號(hào)為 yy1、序號(hào)為 xx1 的 ACK 報(bào)?，?個(gè)標(biāo)準(zhǔn)的 TCP 連接完成。 

TCP 和 UDP 協(xié)議區(qū)別 

tcp ?向連接, udp ?向報(bào)? tcp 對(duì)系統(tǒng)資源的要求多 udp 結(jié)構(gòu)簡(jiǎn)單 tcp 保證數(shù)據(jù)完整性和順序，udp 不保證 

https 的建?過(guò)程 

a、客戶端發(fā)送請(qǐng)求到服務(wù)器端 

b、服務(wù)器端返回證書(shū)和公開(kāi)密鑰，公開(kāi)密鑰作為證書(shū)的?部分?存在 

c、客戶端驗(yàn)證證書(shū)和公開(kāi)密鑰的有效性，如果有效，則?成共享密鑰并使?公開(kāi)密鑰加密發(fā)送到服務(wù)器端 

d、服務(wù)器端使?私有密鑰解密數(shù)據(jù)，并使?收到的共享密鑰加密數(shù)據(jù)，發(fā)送到客戶端 

e、客戶端使?共享密鑰解密數(shù)據(jù)

f SSL 加密建?f、SSL 加密建?

7、流量分析

wireshark 簡(jiǎn)單的過(guò)濾規(guī)則 

過(guò)濾 ip: 

過(guò)濾源 ip 地址: ip.src==1.1.1.1; , ?的 ip 地址: ip.dst==1.1.1.1;

過(guò)濾端?: 

過(guò)濾 80 端?: tcp.port==80 , 源端?: tcp.srcport==80 , ?的端?: tcp.dstport==80

協(xié)議過(guò)濾: 

直接輸?協(xié)議名即可, 如 http 協(xié)議 https

http 模式過(guò)濾: 

過(guò)濾 get/post 包 http.request.mothod=='GET/POST'

8、防?墻

簡(jiǎn)述路由器交換機(jī)、防?墻等?絡(luò)設(shè)備常?的?個(gè)基礎(chǔ)配置加固項(xiàng)，以及配置?法。