奇安信面经学习（1）

常见漏洞问了反序列化和xxe，这个我在top总结了理论知识的
1.SQL注入原理、分类、防御
原理：就是在和数据库有交互的地方，对输入的参数没有进行严格的过滤导致输入的恶意查询语句被执行
分类：
a.从注入方式上看有联合查询注入、报错型注入、布尔型注入、延时注入、堆叠注入这些
b.从数据类型上有：字符型、数字型
c.从注入位置可以分为GET型、POST型、HTTP头部、cookie数据
d.从数据库来分：Mysql、MsSQL、Oracle、Access
e.分三大类回显、盲注、带外，
回显包括直接回显、报错，
盲注包括布尔、延时，
带外的话就是mysql的DnsLog注入、MsSQL的跨库查询、Oracle的带外函数

2.Mysql用到什么函数？
与数据库相关的：
Database() 返回数据库名称
@@datadir() 读取数据库路径
@@basedir() 读取数据库安全路径
@@version_complie_os 返回当前操作系统版本
待续。。。。
3.mysql写webshell有了解吗？
写数据的前提
1，在mysql的配置文件 my.ini 中，secure_file_priv=“c:/wamp64/tmp” 被注释 或者 `secure_file_priv 配置的位置是web目录。
2，未开启全局gpc。（php5.329之后就没有magic_quotes_gpc）0x01 union select 写入

最常见的写入方式，union select 后跟 into outfile 语句
注入点语句
?id=1’ union select 1,2,'<?php phphinfo();?>'into outfile ‘E:\phpStudy\PHPTutorial\WWW\numm222.php’–+

什么是redis？
Redis因配置不当就会导致未授权访问。在默认情况下，Redis会绑定在 0.0.0.0:6379。如果没有采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样 Redis 服务直接暴露到公网上，如果在没有设置密码认证（一般为空）的情况下，会导致任意用户在可以访问到目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，还可以利用 Redis 自身提供的config 命令进行写文件操作，攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中，进而可以使用对应私钥直接使用ssh服务登录目标服务器。
该漏洞的产生条件有以下两点：

1.redis绑定在 0.0.0.0:6379，且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略，直接暴露在公网；
2.没有设置密码认证（一般为空），可以免密码(认证)远程登录redis服务。

漏洞危害：
(1) 攻击者无需认证访问到内部数据，可能导致敏感信息泄露，黑客也可以恶意执行flushall来清空所有数据；
(2) 攻击者可通过执行lua代码，或通过数据备份功能往磁盘写入后门文件；
(3) 最严重的情况，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器;
详细看这里
(1条消息) Redis未授权访问漏洞利用及防护措施(非常详细)_7Riven’s blog-CSDN博客_redis未授权访问漏洞

HttpOnly有什么作用？
http-only能够有效地防止XSS攻击。

1、什么是http-only？
HttpOnly是包含在http返回头Set-Cookie里面的一个附加的flag，所以它是后端服务器对cookie设置的一个附加的属性，在生成cookie时使用HttpOnly标志有助于减轻客户端脚本访问受保护cookie的风险（如果浏览器支持的话）
通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击。

2、这个是干什么用的？其他相关点!
大多数XSS攻击都是针对会话cookie的盗窃。后端服务器可以通过在其创建的cookie上设置HttpOnly标志来帮助缓解此问题，这表明该cookie在客户端上不可访问。
如果支持HttpOnly的浏览器检测到包含HttpOnly标志的cookie，并且客户端脚本代码尝试读取该cookie，则浏览器将返回一个空字符串作为结果。这会通过阻止恶意代码（通常是XSS）将数据发送到攻击者的网站来使攻击失败。

CSRF和SSRF的区别
csrf：是对用户提交的随机校验和对http请求包内的refer字段校验不严
ssrf：对用户提供的url过于信任，没有做地址限制和更多的检测

中间件漏洞了解过哪些？
Web中间件常见漏洞总结
漏洞成因：

iis 6.0在处理含有特殊符号的文件路径时会出现逻辑错，从而造成文件解析漏洞，这一漏洞有两种完全不同的利用方式
利用方式一（目录解析）：新建特殊目录
新建一个名为“test.asp”的目录，该目录中的任何文件都被当做asp程序执行，特殊符号是“/”：
利用方式二（文件解析）：上传特殊文件
上传名为“test.asp;.jpg”

iis7.5文件解析漏洞：
URL中文件后缀是.php，便无论该文件是否存在，都直接交给php处理，而php有默认开启”cgi.fix_pathinfo“,会对文件进行”修理“，什么是”修理“，举个例子：当php遇到路径”/aaa.xxx/bbb.yyy“时，若”/aaa.xxx/bbb.yyy““不存在，则会去掉最后的”bbb.yyy“，然后判断”/aaa.xxx“是否存在，若存在，则把“/aaa.xxx”当做文件，若有文件test.jpg,访问时在其后加/.php，便可以把“test.jpg/.php”交给php处理，php修理文件路径得到“test.jpg”,该文件存在，便把该文件做为php程序执行。
漏洞修复：
1.对新建目录文件名进行过滤，不允许新建包含‘.’的文件。
2.取消网站后台新建目录的功能，不允许新建目录。
3.限制上传的脚本执行权限，不允许执行脚本。
4.过滤.asp/xm.jpg,通过ISApi组件过滤。

Fastjson右把了解吗？
Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点，应用范围广泛

给一个站 如何渗透
看我这篇文章： 一次完整的渗透 思路复盘_m0_52556798的博客-CSDN博客

尽量掌握SQL注入这方面拿shell、提权的知识，有空可以汇总复现一下中间件漏洞以及在系统学完编程语言的热门框架之后，再多复现CMS漏洞。

Mssql mysql Oracle写webshelll的方法？
存储过程了解过吗？
http-only除了防止xss对cookie的攻击还有其他作用吗？