上整理的试问题全,有些HW试的题,已经收集好了,提供给家。
挖洞也有分很多种类型,种是以渗透、种是以找漏洞为主,如果是前者会想各种办法获取权限继获取想要的的东完成渗透标,这类跟HW类似,标各种漏洞不算,要有Shell,服务器权限才给分,这才是最接近实战渗透,跟某部有合作的话也是属于这种打击络犯罪获得权限、传销数据、组织架构,服务器权限、等......
SQL注、密码组合,前者防护分为种,CDN->Web->数据库->主机,设置最权限来应对。密码组合根据个习惯
php中围绕着serialize(),unserialize()这两个函数,序列化就是把个对象变成可以传输的字符串,如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术法的话,就容易造成很严重的漏洞了。
JAVAJava序列化是指把Java对象转换为字节序列的过程便于保存在内存、件、数据库中,ObjectOutputStream类的writeObject()法可以实现序列化。Java反序列化是指把字节序列恢复为Java对象的过程,ObjectInputStream类的readObject()法于反序列化。
初步判断事件类型,事件等级。
抑制范围,隔离使受害不继续扩
查找原因,封堵攻击源。
业务恢复正常平.
总结,报告,并修复、监控
AWVS、Masscan、BurpSuite
AWVS常规漏洞扫描,masscan快速查找端,burp重复提交数据包
想知道是否有开发具,如果没有你对每个安全具有哪些独特的解以及别不知道的技巧法。如:awvs如何批量扫描?burpsuite如何爆破401脱库等、等等...
PHP上传,法上传php、解析、后台没有办法拿到,只有处点可以上传。通过Windows特性shell.php::$DAT,是个项管理系统
提交错误语句是否有异常,除此之外这些显示的错误可以通过sleep,修眠语句执5秒等,除此之外通过DNSlog判断是还有传回值
当程序执访问新闻等些操作都会执到sql语句进调,如果在此调过程中,提交了不合法的数据,数据库法识别则会报错。也就是切输都是有害的。
注提交式:GET、POST、Cookies、件头
利式:具体看什么数据库类型,像SQLSERVER可以命令执,MYSQL写shell有些权限也可以执命令但是条件是在lINUX环境下。
防范:边界,CDN->脚本语过滤->数据库过滤最权限->主机
没有进错误打印或者错误屏蔽
在mysql中使了gbk编码,占2个字节,mysql的种特性,GBK是多字节编码,它认为两个字节就代表个汉字,所以%df时候会和转义符%5c进结合,所以单引号就逃逸了出来,当第个字节的ascii码于128,就可以了。
CRLF注在OWASP被称为HTTP拆分攻击(HTTPSplitting)CRLF是”回+换”(rn)的简称,在HTTP协议中,HTTPHeader与HTTPBody是两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,旦我们能够控制HTTP消息头中的字符,注些恶意的换
5.0以下没有information_schema这个系统表,法列表名等,只能暴跑表名。
5.0以下是多户单操作,5.0以上是多户多操作。
禁PHP函数
允许include或打开访问远程资源
因为在C语中字符串的结束标识符%00是结束符号,PHP就是C写的,所以继承了C的特性,所以判断为%00是结束符号不会继续往后执
条件:PHP<5.3.29,且GPC关闭
grep、关键词、关键函数
安全狗、D盾
包含的件设置为变量,并且过滤导致可以调恶意件还可以对远程件包含,但需要开启allow_url_include=ON通过测试参数的地进本地件/etc/passwd等包含如何存在漏洞且没有回显,有可能没有显示在是源代码中,除了些可以利DNSlog进获取包含的信息。从index.php件级级往读取也可以利PHP封装协议读取件
IIS6.0
IIS7.0/7.5
默认Fast-CGI开启,直接在url中图地址后输/1.php,会把正常图当成php解析
Nginx
版本于等于0.8.37,利法和IIS7.0/7.5样,Fast-CGI关闭情况下也可利。
空字节代码xxx.jpg%00.php
Apache
上传的件命名为:test.php.x1.x2.x3,Apache是从右往左判断后缀
mysql->users
SHA1
禁root
禁远程访问
禁写
单独账号
禁执system等函数
Chkrootkit
Rkhunter
类似phpinfo、站信息
C段、域名
历史解析记录
DDOS
其实这是个常的话题,渗透部分思路都是如此,试官是想听到你回答不样的答案让眼前亮如何才做到让眼前亮都需要看你的经验,把你实践的过程拿出来说,以及遇到什么问题如何解决,最终取得成果渗透其它同异,做为渗透者知识的储备、基础扎实、耐、细都是必不可少。
Windows
Windows服务较多所以法也如此,最基本的就是Exp提权,数据库SQLServer、MYSQLUDF等、第三软件提权。
除此之外提权的成功与否和在于信息收集也常重要,你对这台服务器和管理员了解多少。
windows权限提升()
Linux
Linux也是类似,除了EXP或者版本的内核法提权之外,通过第三软件和服务,除了提权也可以考虑把这台机器当跳版,达到先进内安全防线最弱的地寻找有的信息,再迂回战术。
linux权限提升
Brief
枚举脚本
以root权限运的程序
户安装的软件
弱令或者明密码
只能内部访问的服务
suid和guid错误配置
滥sudo权限
以root权限运的脚本件
错误的路径配置
计划任务
未挂载的件系统
NFS共享
通过键盘记录仪窃取密码
内核提权
Tomcat
Hadhoop
Docker
Jenkins
Zenoss
Jboss
MongoDB
Redis
GlassFish
nc-lvvp7777-e/bin/bash
bash是交互式,否则像useradd法执交互
tasklist/svc
netstat-ano
可以读取IIS信息,知道路径,如果像WAMMP类似构建,通过@@datadir知道数据库路径也可以猜测站路径。或者直接写Shell
$s_func($info); > 代码执,通过assert调 MySQL可以定义函数,通过定义函数做到类似xp_cmdshell效果 UserAgent Referer Cookie X-FOR-I eval() assert() system() exec() shell_exec() 模拟服务器对其它资源进请求IP探测,如果想漏洞利必需要构造好Payload禁跳转,限制协议,内外限制, URL限制针对IP格式 outfifile、dumpfifile、开启log写webshell useexploit/multi/handler setpayloadwindows/meterpreter/reverse_tcp 准备已经编译好的具以及取证分析等具净可靠放U盘 初步判断事件的类型是被侵ddos还是其它的原因 先抑制范围、影响范围,隔离使受害不继续扩。 寻找原因,封堵攻击源。 把业务恢复正常平 监控有异常,报告、管理环节的省和改进措施。 reGeirg、EW、lcx、Ngrok、frp 这个问题想知道你作渗透到什么样的程度,只是简单的漏扫搬砖,还是有毅坚持完成整个渗透,如:对标不放弃,坚持个最终通过各种段,曲折的过程拿下标。 怎么查找域控 法有很多 1.通过DNS查询 dig-tSRV_gc._tcp.lab.ropnop.com dig-tSRV_ldap._tcp.lab.ropnop.com dig-tSRV_kerberos._tcp.lab.ropnop.com dig-tSRV_kpasswd._tcp.lab.ropnop.com 2.端扫描 域服务器都会开启389端,所以可以通过扫描端进识别。 3.其实很多域环境,DNS服务器就是域控制根本不需要怎么找。 4.各种命令 dsquery nltest/DCLIST:pen ...... 源就是主机、协议、端名的个三元组同源策略(SameOriginPolicy,SOP)是Web应程序的种安全模型,被 泛地应在处理WEB内容的各种客户端上,如各浏览器,微软的Silverlight,Adobe的Flash/Acrobat等等。 络钓、窃取户Cookies、弹告刷流量、具备改信息、删除章、获取客户端信息、传播蠕 反射型、DomBaseXSS、存储型防御法这个只能说个概,毕竟这是个较的话题,且防御的法还得看所在的业务等。从络层、主机层、Web层、数据库,通过CDN都有过滤常些攻击法,但不能有CDN就以为可以了,添加CDN只是让攻击成本增,开启HttpOnly,以防确实存在避免cookies被获取,CSP策略、再就是语中提供的函数对输过滤,以及输出编码以及ModSecurity类的防墙。 如站留版,把插的记录存储在数据库中,插的代码会直留在上,当其它户访问会从数据库中读取并触 发漏洞。 是种被动型,在不知道的情况下触发类似感型,在渗透很多情况下平常的渗透段以及取得标的信息,XSS就 各种输的点,名称、上传、留、可交互的地,切输都是在害原则。 DOM型XSS并不需要服务器解析响应的直接参与触发XSS靠的是浏览器DOM解析DOM—basedXSS漏洞是基于档对象模型DocumentObjeetModel,DOM)的种漏洞。 在输点过滤敏感关键字 DOM型就是JavaScript中的Document对象HTML注,直接浏览器处理。 通过地址栏输、从书签选择或者浏览器的插件BurpSuite修改。 Httponly:防cookie被xss偷 Path:区分cookie的标识,安全上作不,和浏览器同源冲突 看是否什么类型的XSS,XSS反射型看提交的地址,指的参数是哪个位置,通过这个进fuzzing测试。如果是存储型查找关键字。 CSRF跨站请求伪造,构造已知的所有参数让对访问,防护CSRF:防御原理:不让你那么容易伪造请求(cookie中加随机数,要求请求中带上,攻击者获取不到cookie中的随机数,验证HTTPReferer字段,在请求地址中添加takon验证 CRLF原理: HTTP拆分攻击(HTTPSplitting),CRLF是”回+换”(rn)的简称。 在HTTP协议中,HTTPHeader与HTTPBody是两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,旦我们能够控制HTTP消息头中的字符,注些恶意的换,这样我们就能注些会话Cookie或者HTML代码,所以CRLFInjection叫HTTPResponseSplitting,简称HRS。 通过地址栏,动输;从书签选择;通过实现设定好的势。上说的这三种都是户去操作,因此不算CSRF。 X-Frame-Options DENY(禁被加载进任何frame) SAMEORIGIN(仅允许被加载进同域内的frame) X-XSS-Protection 0(表示禁这个策略) 1(默认,对危险脚本做些标志或修改,以阻在浏览器上熏染执。) 1;mode=block(强制不熏染,在Chrome下直接跳转到空,在IE下返回个#符号) 这个策略仅针对反射型,对付不了存储型XSS,能识别出反射型是因为提交请求的URL中带有可疑的XSS代码段。 X-Content-Security-Policy 攻击者发现标站存在XSS漏洞,并且可以编写XSS蠕。利个宿主(如博客空间)作为传播源头进XSS攻 击。 HTTP响应头的p3字段是W3C公布的项隐私保护推荐标准,该字段于标识是否允许标站的cookie被另个 域通过加载标站设置或发送,仅IE执了该策略。 篡改标站上的户数据盗取户隐私数据传播CSRF蠕 b、站指纹识别(包括,cms,cdn,证书等),dns记录 e、域名收集,旁站,C段等 f、googlehacking针对化搜索,pdf件,中间件版本,弱令扫描等 g、扫描站录结构,爆后台,站banner,测试件,备份等敏感件泄漏等 h、传输协议,通漏洞,exp,github源码等 a、浏览站,看看站规模,功能,特点等 b、端,弱令,录等扫描,对响应的端进漏洞探测,如rsync,脏出,mysql,ftp,ssh弱令等。 a、mysql提权servu提权oracle提权 b、windows溢出提权 c、linux脏,内核漏洞提权e 志、测试数据的清理 总结,输出渗透测试报告,附修复案 验证并发现是否有新漏洞,输出报告,归档 信息收集 社交账号,或许会找出管理员设置密码的习惯。利已有信息成专字典。 b、查询服务器旁站以及域名站点,因为主站般较难,所以先看看旁站有没有通性的cms或者其他漏洞。 c、查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,如IIS,APACHE,NGINX的解析漏洞 d、查看IP,进IP地址端扫描,对响应的端进漏洞探测,如rsync,脏出,mysql,ftp,ssh弱令等。 e、扫描站录结构,看看是否可以遍历录,或者敏感件泄漏,如php探针 f、googlehack进步探测站的信息,后台,敏感件 漏洞扫描 开始检测漏洞 如XSSXSRFsql注代码执命令执越权访问录读取任意件读取下载件包含开始检测漏洞,如XSS,XSRF,sql注,代码执,命令执,越权访问,录读取,任意件读取,下载,件包含, 远程命令执,弱令,上传,编辑器漏洞,暴破解等 漏洞利 利以上的式拿到webshell,或者其他权限 权限提升 提权服务器,如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,巴烤,linux 脏漏洞,linux内核版本漏洞提权,linux下的mysqlsystem提权以及oracle低权限提权 志清理 总结报告及修复案 查找上已曝光的程序漏洞。 如果开源,还能下载相对应的源码进代码审计。 敏感件、级录扫描 站的误操作如:站备份的压缩件、说明.txt、级录可能存放着其他站点 root权限以及站的绝对路径。 a、IIS6.0 b、IIS7.0/7.5 c、Nginx 版本于等于0.8.37,利法和IIS7.0/7.5样,Fast-CGI关闭情况下也可利。空字节代码xxx.jpg.php d、Apache上传的件命名为:test.php.x1.x2.x3,Apache是从右往左判断后缀 linux写敏感,windows写不敏感。 更改了端,没有扫描出来。 站库分离。 3306端不对外开放 没开放3389端 端被修改防护拦截 处于内(需进端转发) 宽字符注 hex编码绕过 查看编辑器的名称版本,然后搜索公开的漏洞。 能做的事情很多,隐藏来举例: 插 .jpg件会被解析成.php件。 具体其他的事情,不好详说,建议家去搜索语句来玩玩。 只要权限,拖库脱到。 是根据特征码,所以很好绕过了,只要思路宽,绕狗绕到欢,但这应该不会是成不变的。 迅雷下载,直接改后缀为.mdb。 同数据库。 and/or/xor,前的1=1、1=2步骤只是为了判断是否为注点,如果已经确定是注点那就可以省那步骤去。 系统检测到你有法注的为。 已记录您的ipxx.xx.xx.xx 提交:test.aspid=15 提交内容:and1=1 在URL直接提交句话,这样站就把你的句话也记录进数据库件了这个时候可以尝试寻找站的配置件 直接上菜链接。 浏览器中改编码。 有些站点的上传件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。 先爆破户名,再利被爆破出来的户名爆破密码。 其实有些站点,在登陆处也会这样提示 所有和数据库有交互的地都有可能有注。 这就是传说中的下载漏洞!在fifile=后尝试输index.php下载他的件,然后在件继续查找其他站的配置件,可以找出站的数据库密码和数据库的地址。 直接在站级录/abc/下扫描敏感件及录。 径的件中或者直接发到的站件中。(此法适合有价值并且需要深控制权限的络)。 审查元素把密码处的password属性改成text就明显示了 原因很多,有可能web服务器配置把上传录写死了不执相应脚本,尝试改后缀名绕过 在敏感操作被拦截,通过界信息法具体判断是什么防护的时候,F12看HTML体部如护卫神就可以在名称那看到内容。 隐藏件夹,为了不让管理员发现你传上去的具。 A.demo.jspid=2+1 B.demo.jspid=2-1 选B,在URL编码中+代表空格,可能会造成混淆 demo.doDATA=AjAxNg== DATA有可能经过了base64编码再传服务器,所以我们也要对参数进base64编码才能正确完成测试 有写权限的,构造联合查询语句使usingINTOOUTFILE,可以将查询的输出重定向到系统的件中,这样去写 WebShell使sqlmap–os-shell原理和上种相同,来直接获得个Shell,这样效率更通过构造联合查询语句 XSS是跨站脚本攻击,户提交的数据中可以构造代码来执,从实现窃取户信息等攻击。修复式:对字符实体 进转义、使HTTPOnly来禁JavaScript读取Cookie值、输时校验、浏览器与Web应端采相同的字符编 码。 CSRF是跨站请求伪造攻击,由客户端发起SSRF是服务器端请求伪造,由服务器发起重放攻击是将截获的数据包进重放,达到身份认证等的 密码找回漏洞中存在 1)密码允许暴破解、 2)存在通型找回凭证、 3)可以跳过验证步骤、 4)找回凭证可以拦包获取 等式来通过商提供的密码找回功能来得到密码。身份认证漏洞中最常的是 1)会话固定攻击 2)Cookie仿冒 只要得到Session或Cookie即可伪造户身份。验证码漏洞中存在 1)验证码允许暴破解 2)验证码可以通过Javascript或者改包的法来进绕过 3)如果是cookie,X-Forwarded-For等,可以访问的时候,burpsuite抓包,注处号替换,放到件,然后 1)报错注 2)bool型注 3)延时注 4)宽字节注 42、报错注的函数有哪些?10个 1)andextractvalue(1,concat(0x7e,(select@@version),0x7e))】】】2)通过floor报错向下取整3)+andupdatexml(1,concat(0x7e,(secect@@version),0x7e),1)4).geometrycollection()selectfromtestwhereid=1andgeometrycollection((selectfrom(selectfrom(selectuser())a)b));5).multipoint()selectfromtestwhereid=1andmultipoint((selectfrom(selectfrom(selectuser())a)b));6).polygon()selectfromtestwhereid=1andpolygon((selectfrom(selectfrom(selectuser())a)b));7).multipolygon()selectfromtestwhereid=1andmultipolygon((selectfrom(selectfrom(selectuser())a)b));8).linestring()selectfromtestwhereid=1andlinestring((selectfrom(selectfrom(selectuser())a)b));9).multilinestring()selectfromtestwhereid=1andmultilinestring((selectfrom(selectfrom(selectuser())a)b));10).exp()selectfromtestwhereid=1andexp(~(select*from(selectuser())a)); 都是个字符个字符的判断 上传,后台编辑模板,sql注写件,命令执,代码执,些已经爆出的cms漏洞,如dedecms后台可以直接建脚本件,wordpress上传插件包含脚本件zip压缩包等 2)验证token 1)SQL注防护法: 2)失效的身份认证和会话管理2)失效的身份认证和会话管理 3)跨站脚本攻击XSS 4)直接引不安全的对象 5)安全配置错误 6)敏感信息泄露 7)缺少功能级的访问控制 8)跨站请求伪造CSRF 9)使含有已知漏洞的组件 10)未验证的重定向和转发 1)使安全的API 2)对输的特殊字符进Escape转义处理 3)使名单来规范化输验证法 5)服务器端在提交数据库进SQL查询之前,对特殊字符进过滤、转义、替换、删除。 src指定个远程的脚本件,获取referer 会以php式来解析 aspx使的是.net技术。IIS中默认不持,ASP只是脚本语已。侵的时候asp的般是guest权限…APSX的般是users权限。 80web80-89web8000-9090webb、数据库类(扫描弱令) 了解哪些漏洞 件上传有哪些防护式 什么扫描端,录 如何判断注 注有防护怎么办 有没有写过tamper 330614438080是什么端 计算机络从物理层到应层xxxx 有没有web服务开发经验 如何向服务器写webshell 有没有过xss平台 站渗透的流程 mysql两种提权式(udf,?) 常加密式xxx ddos如何防护 有没有抓过包,会不会写wireshark过滤规则 清理志要清理哪些 1、使安全的API 2、对输的特殊字符进Escape转义处理 3、使名单来规范化输验证法 5、服务器端在提交数据库进SQL查询之前,对特殊字符进过滤、转义、替换、删除。 6、规范编码,字符集 原理: 使参数化查询数据库服务器不会把参数的内容当作sql指令的部分来执,是在数据库完成sql指令的编译后才套 参数运 简单的说:参数化能防注的原因在于,语句是语句,参数是参数,参数的值并不是语句的部分,数据库只按语句的语 义跑 UAREFERERCOOKIEIP七、盲注是什么?怎么盲注?盲注是在SQL注攻击过程中,服务器关闭了错误回显,我们单纯通过服务器返回内容的变化来判断是否存在SQL注 和利的式。盲注的段有两种,个是通过的返回内容是否正确(boolean-based),来验证是否存在注。 时效果的函数,也可以通过构造笛卡积的联合查询表来达到延时的的。 在数据库使了宽字符集WEB中没考虑这个问题的情况下,在WEB层,由于0XBF27是两个字符,在PHP中如 addslash和magic_quotes_gpc开启时,由于会对0x27单引号进转义,因此0xbf27会变成0xbf5c27,数据进 来闭合语句。 character_set_client(客户端的字符集)和character_set_connection(连接层的字符集)不同,或转换函数如,iconv、 mb_convert_encoding使不当。 统数据库、Web应、操作系统所使的字符集,避免解析产差异,最好都设置为UTF-8。或对数据进正确的转 义,如mysql_real_escape_string+mysql_set_charset的使。 先理解这句SQL 如果此SQL被修改成以下形式,就实现了注 之后SQL语句变为 宽字节注 1、代替空格的法 2、mysql的站注,5.0以上和5.0以下有什么区别 50以下没有informationschema这个系统表法列表名等只能暴跑表名。5.0以下没有information_schema这个系统表,法列表名等,只能暴跑表名。 5.0以下是多户单操作,5.0以上是多户多操做。 1、XSS原理 反射型 户提交的数据中可以构造代码来执,从实现窃取户信息等攻击。需要诱使户“点击”个恶意链接,才能攻击成功 存储型 存储型XSS会把户输的数据“存储”在服务器端。这种XSS具有很强的稳定性。 DOM型 通过修改的DOM节点形成的XSS,称之为DOMBasedXSS。 2、DOM型和反射型的区别 反射型XSS:通过诱导户点击,我们构造好的恶意payload才会触发的XSS。反射型XSS的检测我们在每次请求带payload的链接时应该是会带有特定的畸形数据的。DOM型:通过修改的DOM节点形成的XSS。DOM-basedXSS由于是通过js代码进dom操作产的XSS,所以在请求的响应中我们甚不定会得到相应的畸形数据。根本区别在我看来是输出点的不同。 3、DOM型和XSS动化测试或测试 过安全函数。动化测试参看道哥的博客,思路是从输,观察变量传递的过程,最终检查是否有在危险函数输出,中途是否有经过安全函数。但是这样就需要有个javascript解析器,否则会漏掉些通过js执带的部分内容容。 在回答这段问题的时候,由于平时对客户的检测中,基本是凭借不同功能点的功能加上经验和直觉来进检测,对不同类型的XSS检测式实际上并没有太过细分的标准化检测式,所以回答的很烂。。。 4、如何快速发现XSS位置 5、对于XSS怎么修补建议 输点检查:对户输的数据进合法性检查,使fifilter过滤敏感字符或对进编码转义,针对特定类型数据进格 式检查。针对输点的检查最好放在服务器端实现。 输出点检查:对变量输出到HTML中时,对输出内容进编码转义,输出在HTML中时,对其进HTMLEncode,如果输出在Javascript脚本中时,对其进JavascriptEncode。对使JavascriptEncode的变量都放在引号中并转义危险字符,data部分就法逃逸出引号外成为code的部分。还可以使更加严格的法,对所有数字字之外的字符都使六进制编码。此外,要注意在浏览器中,HTML的解析会优先于Javascript的解析,编码的式也需要考虑清楚,针对不同的输出点,我们防御XSS的法可能会不同,这点可能在之后的章会做下总结。除此之外,还有做HTTPOnly对Cookie劫持做限制。 6、XSS蠕的产条件 正常情况下,个是产XSS点的不属于self,户之间产交互为的,都可能造成XSSWorm的产。 不定需要存储型XSS 1、CSRF原理 CSRF是跨站请求伪造攻击,由客户端发起,是由于没有在关键操作执时进是否由户愿发起的确认 2、防御** 验证Referer 添加token 3、token和referer做横向对,谁安全等级? token安全等级更,因为并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并 且FLASH些版本中可以定义referer。但是token的话,要保证其够随机且不可泄露。(不可预测性原则) 4、对referer的验证,从什么度去做?如果做,怎么杜绝问题 对header中的referer的验证,个是空referer,个是referer过滤或者检测不完善。为了杜绝这种问题,在验证的 名单中,正则规则应当写完善。 5、针对token,对token测试会注意哪被,会对token的哪进测试? 引段请教前辈的回答: 针对token的攻击,是对它本身的攻击,重放测试次性、分析加密规则、校验式是否正确等,是结合信息泄露漏洞对它的获取,结合着发起组合攻击 信息泄露有可能是缓存、志、get,也有可能是利跨站 另外也可以结合着其它业务来描述token的安全性及设计不好怎么被绕过如抢红包业务之类的 SSRF(Server-SideRequestForgery:服务器端请求伪造)是种由攻击者构造形成由服务端发起请求的个安全漏洞。般情况下,SSRF攻击的标是从外法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连与外隔离的内部系统) SSRF形成的原因都是由于服务端提供了从其他服务器应获取数据的功能且没有对标地址做过滤与限制。如从指 定URL地址获取本内容,加载指定地址的图,下载等等。 1、监测 SSRF漏洞的验证法: 1)因为SSRF漏洞是让服务器发送请求的安全漏洞,所以我们就可以通过抓包分析发送的请求是否是由服务器的发送 的,从来判断是否存在SSRF漏洞 2)在源码中查找访问的资源地址,如果该资源地址类型为www.baidu.com/xxx.phpimage=(地址)的就可能存 在SSRF漏洞4[1] 2、SSRF漏洞的成因防御绕过 成因:模拟服务器对其他服务器资源进请求,没有做合法性验证。利:构造恶意内IP做探测,或者使其余所 持的协议对其余服务进攻击。防御:禁跳转,限制协议,内外限制,URL限制。绕过:使不同协议,针对IP, IP格式的绕过,针对URL,恶意URL增添其他字符,@之类的。301跳转+dnsrebindding。 1、件上传漏洞原理 由于程序员在对户件上传部分的控制不或者处理缺陷,导致户可以越过其本身权限向服务器上传可执的动 态脚本件 2、常的上传绕过式 前端js验证:禁js/burp改包 写 双重后缀名 过滤绕过pphphp->php 3、防护 件上传录设置为不可执 使名单判断件上传类型 随机数改写件名和路径 4、审查上传点的元素有什么意义? 1、原理 引段户能控制的脚本或代码,并让服务器端执include()等函数通过动态变量的式引需要包含的件;户能够控制该动态变量。 2、导致件包含的函数 PHP:include(),include_once(),require(),re-quire_once(),fopen(),readfifile(),…JSP/Servlet:ava.io.File(), java.io.Fil-eReader(),…ASP:includefifile,includevirtual, 3、本地件包含 能够打开并包含本地件的漏洞,被称为本地件包含漏洞 1、融业常逻辑漏洞 单针对融业务的主要是数据的篡改(涉及融数据,或部分业务的判断数据),由竞争条件或者设计不当引起的薅 ,交易/订单信息泄露,平越权对别的账户查看或恶意操作,交易或业务步骤绕过。 中间攻击是个(缺乏)相互认证的攻击;由于客户端与服务器之间在SSL握的过程中缺乏相互认证造成的漏洞 防御中间攻击的案通常基于下种技术 公钥基础建设PKI使PKI相互认证机制,客户端验证服务器,服务器验证客户端;上述两个例中都是只验证服务 器,这样就造成了SSL握环节的漏洞,如果使相互认证的的话,基本可以更强的相互认证 延迟测试 使复杂加密哈希函数进计算以造成数秒的延迟;如果双通常情况下都要花费20秒来计算,并且整个通讯花费了60秒计算才到达对,这就能表明存在第三中间。 使其他形式的密钥交换形式 ARP欺骗 原理 每台主机都有个ARP缓存表,缓存表中记录了IP地址与MAC地址的对应关系,局域数据传输依靠的是MAC 地址。在ARP缓存表机制存在个缺陷,就是当请求主机收到ARP应答包后,不会去验证是否向对主机发送过 ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中,如果原有相同IP对应关 系,原有的则会被替换。这样攻击者就有了偷听主机传输的数据的可能 防护 在主机绑定关MAC与IP地址为静态(默认为动态),命令:arp-s关IP关MAC 在关绑定主机MAC与IP地址 使ARP防墙 1、DDOS原理 利合理的请求造成资源过载,导致服务不可 syn洪流的原理 伪造量的源IP地址,分别向服务器端发送量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP并不会应答,服务器端没有收到伪造IP的回应,会重试3~5次并且等待个SYNTime(般为30秒2分钟),如果超时则丢弃这个连接。攻击者量发送这种伪造源地址的SYN请求,服务器端将会消耗常多的资源(CPU和内存)来处理这种半连接,同时还要不断地对这些IP进SYN+ACK重试。最后的结果是服务器暇理睬正常的连接请求,导致拒绝服务。 CC攻击原理 对些消耗资源较的应不断发起正常的请求,以达到消耗服务端资源的的。 2、DOSS防护 SYNCookie/SYNProxy、safereset等算法。SYNCookie的主要思想是为每个IP地址分配个“Cookie”,并统计每 址的包将被丢弃。 MySQL两种提权式 udf提权,mof提权 MySQL_UDF提取 要求: 标系统是Windows(Win2000,XP,Win2003); 拥有MYSQL的某个户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数 有root账号密码导出udf:MYSQL5.1以上版本,必须要把udf.dll件放到MYSQL安装录下的libplugin件夹下才能创建定义函数可以再mysql输select@@basedir showvariables MySQLmof提权 其中的第18的命令,上传前请更改。 2、执load_fifile及intodumpfifile把件导出到正确的位置即可。 接之就ok了。 1、Struts2-045 产原因 利条件和法 条件: a、redis服务以root账户运 b、redis密码或弱密码进认证c、redis监听在0.0.0.0公上 法: c、通过crontab反弹shell d、slave主从模式利 修复 密码验证 降权运 限制ip/修改端 端需密码对数据库进增、删、改、查等任意危操作。 为MongoDB添加认证: 1)MongoDB启动时添加–auth参数 Memcached是套常的key-value缓存系统,由于它本身没有权限控制模块,所以对公开放的Memcache服务很容易被攻击者扫描发现,攻击者通过命令交互可直接读取Memcached中的敏感信息。 利 b、telnet11211,或nc-vv11211,提示连接成功表示漏洞存在 漏洞加固 a、设置memchached只允许本地访问b、禁外访问Memcached11211端c、编译时加上–enable-sasl,启 SASL认证 6、FFMPEG本地件读取 通过调加密API将payload加密放个会被执的段字节中。但是具体回答程中我只回答道了SSRF洞, m3u8头,偏移量,加密。 1、WEB 常WEB开发JAVA框架 STRUTS,SPRING常的java框架漏洞其实试官问这个问题的时候我不太清楚他要问什么,我提到struts的045048,java常反序列化。045错误处理引了ognl表达式048封装action的过程中有步调getstackvalue递归获取ognl表达式反序列化操作对象,通过段引。apachecommon的反射机制、readobject的重写,其实具体的我也记不清楚。。。然后这部分就结束了 同源策略 同源策略限制不同源对当前document的属性内容进读取或设置。不同源的区分:协议、域名、域名、IP、端, 以上有不同时即不同源。 Jsonp安全攻防技术,怎么写Jsonp的攻击 涉及到Jsonp的安全攻防内容 JSON劫持、Callback可定义、JSONP内容可定义、Content-type不为json。 攻击 JSON劫持,跨域劫持敏感信息,类似于 Content-type不正确情况下,JSONP和Callback内容可定义可造成XSS。JSONP和FLASH及其他的利参照知道创宇的JSONP安全攻防技术。 2、PHP php中命令执涉及到的函数 代码执:eval()、assert()、popen()、system()、exec()、shell_exec()、 passthru(),pcntl_exec(),call_user_func_array(),create_function()件读取:fifile_get_contents(),highlight_fifile(),fopen(),readfifile(),fread(),fgetss(), fgets(),parse_ini_fifile(),show_source(),fifile()等 命令执:system(),exec(),shell_exec(),passthru(),pcntl_exec(),popen(),proc_open() 安全模式下绕过php的disablefuction DL函数,组件漏洞,环境变量。 PHP弱类型 ==在进较的时候,会先将字符串类型转化成相同,再较 如果较个数字和字符串或者较涉及到数字内容的字符串,则字符串会被转换成数值并且较按照数值来进 0e开头的字符串等于0 各种数据库件存放的位置 mysql: /usr/local/mysql/data/ C:\ProgramData\MySQL\MySQLServer5.6\Data\ oracle:$ORACLE_BASE/oradata/$ORACLE_SID/ 如何清理志如何清理志 meterpreter:clearev 侵Linux服务器后需要清除哪些志? web志,如apache的access.log,error.log。直接将志清除过于明显,般使sed进定向清除 history命令的清除,也是对~/.bash_history进定向清除 wtmp志的清除,/var/log/wtmp LINUX 查看当前端连接的命令有哪些?netstat和ss命令的区别和优缺点 netstat-antp``ss-lss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,且netstat更快速更效。 反弹shell的常命令?般常反弹哪种shell?为什么 通过Linux系统的/proc录,能够获取到哪些信息,这些信息可以在安全上有哪些应? ls/proc系统信息,硬件信息,内核版本,加载的模块,进程 linux系统中,检测哪些配置件的配置项,能够提升SSH的安全性。 /etc/ssh/sshd___configiptables配置 如何条命令查看件内容最后百 如何加固个域环境下的Windows桌作环境?请给出你的思路。 AES/DES的具体作步骤 RSA算法 加密: 密=明^EmodN RSA加密是对明的E次后除以N后求余数的过程 公钥=(E,N) 解密: 明=密^DmodN私钥=(D,N) 三个参数n,e1,e2 n是两个质数p,q的积 分组密码的加密模式 如何成个安全的随机数? SSL握过程 建TCP连接、客户端发送SSL请求、服务端处理SSL请求、客户端发送公共密钥加密过的随机数据、服务端私有 密钥解密加密后的随机数据并协商暗号、服务端跟客户端利暗号成加密算法跟密钥key、之后正常通信。这部分本 来是忘了的,但是之前看SSLPinning的时候好像记了张图在脑,挣扎半天还是没敢确定,遂放弃。。。 对称加密与对称加密的不同,分别在哪些 TCP三次握的过程以及对应的状态转换 (1)客户端向服务器端发送个SYN包,包含客户端使的端号和初始序列号x; (2)服务器端收到客户端发送来的SYN包后,向客户端发送个SYN和ACK都置位的TCP报,包含确认号xx1 和服务器端的初始序列号y; (3)客户端收到服务器端返回的SYNSACK报后,向服务器端返回个确认号为yy1、序号为xx1的ACK报,个标准的TCP连接完成。 TCP和UDP协议区别 tcp向连接,udp向报tcp对系统资源的要求多udp结构简单tcp保证数据完整性和顺序,udp不保证 a、客户端发送请求到服务器端 b、服务器端返回证书和公开密钥,公开密钥作为证书的部分存在 c、客户端验证证书和公开密钥的有效性,如果有效,则成共享密钥并使公开密钥加密发送到服务器端 d、服务器端使私有密钥解密数据,并使收到的共享密钥加密数据,发送到客户端 e、客户端使共享密钥解密数据 fSSL加密建f、SSL加密建 wireshark简单的过滤规则 过滤ip: 过滤源ip地址:ip.src==1.1.1.1;,的ip地址:ip.dst==1.1.1.1; 过滤端: 过滤80端:tcp.port==80,源端:tcp.srcport==80,的端:tcp.dstport==80 协议过滤: 简述路由器交换机、防墙等络设备常的个基础配置加固项,以及配置法。