常见面试问题知识点汇总
目录
0x15 Windows查看rdp登录日志 登陆成功的事件id
0x18 流量特征(甩你几张图片让你看是什么webshell工具或者漏洞.....)
0x22 Url或数据中看到恶意payload,如何判断是否是真实攻击
0x01 owasp top 10
SQL注入、失效的身份认证、敏感数据泄露、XML外部实体(XXE)、失效的访问控制、安全配置错误、跨站脚本(XSS)、不安全的反序列化、使用含有已知漏洞的组件、不足的日志记录和监控
0x02 渗透测试流程
1.信息收集(IP、子域名、C段、旁站、框架、服务器系统、语言、目录结构、数据库类型、端口、注册人员信息、防护设备)
2.漏洞发现(网站功能点测试(上传、越权、目录遍历、注入、XSS、CSRF)
3.漏扫(Nessus、AWVS)、系统漏洞)- 验证漏洞(Kali、exp、)
4.权限提升
5.内网渗透
6.出具报告交付-漏洞复测
0x03 shiro
Shiro就是一个Java安全框架
shiro550:提供了记住密码的功能,用户信息存储在cookie中,利用方法:构造恶意cookie的payload触发Java反序列化,导致远程命令执行漏洞。
shiro721:rememberMe字段存在漏洞,通过构造恶意的rememberMe字段进行反序列化,重进请求网站,进行反序列化,最终导致任意代码执行
0x04 log4j2:
log4j是Java的日志软件。
漏洞利用:允许lookup去查看日志和读取相关配置,在Log4j日志输出时,未对输入的字符合法性进行严格的限制,造成JNDI协议加载的远程恶意脚本被执行,从而造成RCE。
0x05 fastjson:
Fastjson 是一个 Java 库,支持autoType来实例化一个类。
漏洞利用:简单来讲就是由于rmi服务器执行了构造伪站点的类文件,从而造成漏洞
0x06 weblogic:
一个基于JAVAEE架构的中间件,默认通信协议是T3协议
漏洞利用:T3协议缺陷实现了Java虚拟机的远程方法调用rmi,能够进行调用远端代码去反弹shell
0x07 JBoss:
基于J2EE的开放源代码的应用服务器
常见漏洞:未授权访问漏洞、反序列化漏洞
漏洞利用:漏洞原理在/invoker/readonly路径下,攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测,导致攻击者可以执行任意代码
0x08 tomcat:
中间件
常见漏洞:文件上传,文件包含,弱口令
文件上传:Tomcat配置文件/conf/web.xml 配置了可写(readonly=false),导致可以使用PUT方法上传任意文件,攻击者将精心构造的payload向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
0x09 Linux怎么看ssh登录日志
/var/log/secure
/var/log/utmp
/var/log/wtmp
/var/log/lastlog
0x10 xss窃取cookie的原理和防御方式
原理:向目标网站注入一段恶意js代码,恶意代码通过document.cookie获取当前页面的cookie信息,并将数据返回至攻击者搭建的伪服务器,从而盗取cookie。
防御方式:
1.设置set-cookie:httpOnly,禁止js的document.cookie读取网站cookie信息
2.设置set-cookie:secure
3.对输出的内容执行html编码
4.过滤敏感字符
0x11 文件上传中,使用了白名单过滤的方式,如何绕过
1.上传图片马
2.利用中间件漏洞进行绕过
3.利用00截断
4.如果代码中进依据Content-type执行白名单校验,则可通过抓包MINE类型绕过
0x12 常见端口及漏洞类型
21端口:FTP文件传输协议端口,用来捕获黑客的FTP爆破行为
22端口:SSH端口 链接Linux主机SSH服务的端口,用来捕获黑客的SSH爆破行为
23端口:Telnet服务,命令执行服务,用来探测黑客对于telnet的爆破
80端口/443端口:WEB服务的端口,用来捕获黑客的WEB攻击行为特征
1521端口:oracle数据库开放端口,捕获黑客的oracle爆破行为,UDF命令执行等行为
3306端口:MYSQL端口,用来捕获黑客对于mysql数据库的爆破行为,UDF命令执行等行为
3389端口:Windows远程桌面端口,用来捕获黑客的爆破行为
6379端口:REDIS端口,捕获黑客REDIS未授权访问的攻击,黑客利用redis写ssh秘钥,写webshell,执行计划任务等的攻击
445端口:SMB服务端口-黑客利用永恒之蓝Enternalblue的攻击行为,黑客的SMB账号爆破(通俗简单理解,爆破windows账号密码)
1433端口:Microsoft SQLserver端口,用来捕获黑客爆破1433端口的行为,并且查看黑客利用sqlserver xp\_cmdshell,sp\_cmdshell等组件命令执行的操作,存储过程的利用
135、139端口:捕获黑客的利用RPC共享的攻击(当蜜罐部署在内网)
比如在8080端口,部署一个假的vpn页面,吸引黑客攻击
0x13 应急响应全流程
csdn搜,后期也会持续更新,单独做个应急响应专栏
0x14 Linux查看定时任务 怎么删除定时任务
Crontab -l / /var/spool/cron/ 查看
/etc/cron 这个目录下面一堆
Crontab -r / Crontab -e 删除整个/编辑文件一条一条删
0x15 Windows查看rdp登录日志 登陆成功的事件id
eventvwr.exe事件查看器/windows/system32/winevt/Logs
登录成功事件ID4624
登录失败事件ID4625
0x16 Windows查找隐藏用户
运行栏:lusrmgr.msc(本地用户和组)查看账号信息,排查是否含有新增账户,检查注册表判断是否存在隐藏账户、克隆账号
0x17 描述一下你接触过哪些设备
根据实际情况作答,多去看看设备的一些参数
0x18 流量特征(甩你几张图片让你看是什么webshell工具或者漏洞.....)
0x18.1 菜刀特征
使用了base64的方式加密了发送给“菜刀马”的指令,其中的两个关键payload z1和z2,这个名字是可变的
0x18.2 cs流量特征:
基础特征:心跳包,请求特征:下发的指令,url路径,老版本固定的ua头,源码特征:checksum8(92L93L)
A端口号:50050
0x18.3 MSF流量特征:
端口号:msf默认使用4444端口作为反向连接端口,数据内容:msf数据包通常包含特定字符串:(“meterpreter"、“revshell"等),开始目标机器会发送一些空的get请求到攻击机多攻击机那边执行了命令之后,就会变成post 请求,并且携带加密的数据包
0x18.4 蚁剑特征
默认的USER-agent请求头 是 antsword xxx,
但是可以通过修改:/modules/request.js 文件中请求UA 绕过其中流量最中明显的特征为<span class="label label-primary">@ini\_set(</span>"display\_errors","0");
这段代码基本是所有 WebShell客户端链接PHP类WebShell都有的一种代码蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“\_0x......=”这种形式(下划线可替换),
所以以\_0x开头的参数名也很可能就是恶意流量
冰蝎看包没有发现什么特征,但是可以发现它是POST请求的
1、Accept头有application/xhtml+xmlapplication/xmlapplication/signed- exchange属于弱特征(UA头的浏览器版本很老)
2、特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可 知octet-stream的意思是,只能提交二进制,
而且只能提交一个二进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组);很少使用
0x18.5 冰蝎2特征:
默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种UserAgent ,每次连接 shell 会随机选择一个进行使用。但都是比较老的,r容易被检测到,
但是可以在burp中修改ua头。Content-Length: 16, 16就是冰蝎2连接的特征
0x18.6 冰蝎3特征:
冰蝎3取消动态密钥获取,目前很多waf等设备都做了冰蝎2的流量特征分析,所以3取消了动态密钥获取;
php抓包看包没有发现什么特征,但是可以发现它是POST请求的
1)Accept头application/xhtml+xmlapplication/xmlapplication/signed- exchange属于弱特征
2)ua头该特征属于弱特征。通过burp可以修改,冰蝎3.0内置的默认16个userAgent都比较老。
现实生活中很少有人使用,所以这个也可以作为waf规则特征jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知 octet-stream的意思是,
只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组);很少使用
冰蝎2.0和3.0区别:1,加密方式不同,一个是RC4加密,一个AES加密。2,编写语言不同,2.0采用的是c++,3.0采用的是ava。3,冰蝎流量检测,无论是get请求还是post请求,content-type为application/octet-stream。
0x18.7 冰蝎4.0特征:
流量分析:1,十种ua头,可关键字拦截ua头进行匹配拦截。2,流量特征accept字段Content-type:Application/x-www-form-urlencoded3Accept:application/json.textjavascript.*/*:q=0.01
0x19 参与过哪些项目
根据实际情况作答
0x20 常见的webshell检测工具
D盾、河马webshell、web shell Detector、PHP Malware Finder
0x21 如何判断是手工还是漏扫
查看流量来源,检测流量频率和规律,观察流量的请求路径和参数,分析流量的响应状态码和长度
0x22 Url或数据中看到恶意payload,如何判断是否是真实攻击
综合判断来源ip,看过往流量
0x23 如何判断攻击是否是真实攻击
判断一下ip来源,判断是内网ip还是公网ip,若为内网ip,然后对请求包的内容是否存在恶意payload,然后再根据响应包内容有执行成功的回显,若相应包中有对应的payload的回显,则可以判断为攻击成功;如果是公网ip,看到payload直接判定真实攻击;看流量特征、响应包,看关联流量和访问ip是不是恶意,借助响应包,关联事件,结合会话日志(http访问日志和会话日志,判断攻击是否成功)
0x24 如何判断是否有部署cdn?如何查找真实ip
多地ping,如果是国内的cdn就用国外ping,访问子域名,查看历史域名解析记录,dos将资源耗尽,访问真实ip
0x25 csrf和ssrf的区别及防御措施
区别:CSRF (Cross-site request forgery)跨站请求伪造,SSRF (Server-Side Request Forgery)服务器端请求伪造。csrf 一个是客户端发起,ssrf是从服务端发起的,攻击目标,危害和信任原理都不同
防御措施:输入验证和过滤,白名单验证,使用安全配置,隔离网络环境,更新和修复补丁
0x26 内网
对不起,博主太菜
0x27 正向SHELL和反向SHELL的区别
正向shell,攻击者主动连接被攻击者机器
反向shell,被攻击者主动连接攻击者
0x28 串联和旁路挂载的区别的优劣
旁路部署比较灵活方便,只需要在交换机上面配置镜像端口
持续更新.........
关注我,近期持续更新hvv相关知识。