渗透测试面试题(一)

如果sql注入的注入点在order by之后，要如何注入

1、可以使用报错注入

order by 1 and 1=updatexml(0,concat(0x7e,version(),0x7e),1)

2、可以使用延时注入

order by username,if((1=2),sleep(1),sleep(0))

3、布尔注入

布尔注入和上面的延时注入类似，根据 if 语句的正确与否，然后按后面第二位或者第三位排序

order by if(mid(version(),1,1)like('4%'),username,password);

4、使用 field() 字段自定义排序

order by field(id,1,if(1=1,2,3)) desc;

sql注入有哪些类型

1、报错注入

2、延时注入

3、布尔注入

4、数字型和字符型

5、宽字节注入

sql的延时注入有哪些函数

select if(1+1=2,1,0); select if(1+1=3,1,0)

if(payload,sleep(5),1);

if(payload,benchmark(500000000),1)

select if(left(version(),1)=5,sleep(5),2)

sql的报错注入函数

updatexml():是mysql对xml文档数据进行查询和修改的xpath函数

extractvalue()：是mysql对xml文档数据进行查询的xpath函数

floor():mysql中用来取整的函数 exp():此函数返回e(自然对数的底)指数X的幂值

updatexml函数的作用就是改变（查找并替换）xml文档中符合条件的节点的值

xss有哪些类型，存储型xss和dom型xss有哪些区别

反射型、存储型和DOM型。

存储型的是漏洞产生后被存储到数据库，而DOM型有称为反射型xss，基于dom文档对象模型的一种漏洞

csrf和ssrf中的区别，

csrf是跨站点请求伪造，攻击者盗用身份，利用此身份发起恶意的请求，但服务端认为这是正常的请求，返回数据，以此来完成恶意攻击，

csrf漏洞挖掘

1、使用burp抓取数据，查看是否有referer字段和token，如果不存在可能存在csrf

2、如果存在referer字段和token，就将该字段删除，查看页面返回是否正常

3、使用csrf检测工具检测漏洞

app测试中如果无法抓到包，改怎么办

脱壳反编译，查找证书，将证书导入到bp中

常见的端口号

22 ssh，Linux远程连接

23 不安全的文本传输

25 smtp 邮件服务

53 DNS

80 http

3389 远程终端

1433 orcal数据库

443 https

7001 weblogic

csrf如何预防

验证referer 字段

在请求地址中添加token并验证

在http头中自定义属性并验证

登录框有哪些逻辑漏洞

未授权访问

权限漏洞

找回密码

任意更改密码

sql注入如何绕过白名单

大小写绕过

内敛注释：/* */

双写关键字绕过

空格过滤绕过

内网渗透中，如何发现域控

看服务,看端口，在域内机器看时间同步服务器，和dns服务器都可以

1、cmd命令定位

net group "Domain Admins" /domain            //查询域管理员

2、dns解析记录查询定位域控：

nslookup -type=all _ldap._tcp.dc._msdcs.tubai.com

若当前主机的dns为域内dns，可通过查询dns解析记录定位域控。

3、通过端口探测方式定位域控：

扫描内网中同时开放389，636与53的机器，389默认是LDAP协议端口，636端口是LDAPS，53端口默认是DNS端口，主要用于域名解析，通过DNS服务器可以实现域名与ip地址之间转换，他们都是域控机器开放的端口。

ipconfig /all
systeminfo
net config workstation


定位
nslookup test.com
nslookup -type=SRV _ldap._tcp

越权漏洞挖掘

越权漏洞是权限划分不当导致的数据信息泄露，

水平越权：指攻击者尝试访问与他拥有相同权限的用户资源

垂直越权：由于后台应用没有做权限控制，或仅仅在菜单、按钮上做了权限控制，导致恶意用户只要猜测其他管理页面的URL或者敏感的参数信息，就可以访问或控制其他角色拥有的数据或页面，达到权限提升的目的。