hw面试.

hw面试

1 . xss原理？存储型xss如何利用？

XSS 类型
Dom（Self-XSS） 存储型 反射型

存储型XSS怎么利用？

XSS攻击的原理是通过修改或者添加页面上的JavaScript恶意脚本，在浏览器渲染页面的时候执行该脚本，从而实现窃取COOKIE或者调用Ajax实现其他类型的CSRF攻击

CORS（浏览器同源策略）

js =>ajax 去请求其他网站的东西

test.com 根据浏览器的CORS策略 他只能在test.com里面请求东西 

test.com 调用ajax 去访问 xxxx.com  assdasd.test.com   如果目标的CORS头 默认不放行test.com 这样 test.com 的ajax请求就不会访问其他网站 

存储xss如何利用

利用的方式比较多  因为存储xss  可以控制页面js的渲染 我们用js可以实现很多东西

可以让手机振动

返回劫持 

拍照 截屏 

2.渗透测试流程

1.信息搜集 
2.分析信息
3.绘制思维导图 分析资产
4. 对业务的逻辑点进行逻辑漏洞测试
5. 对其身份验证功能的Token session进行测试
6. 对其数据操作点进行注入测试
7. 对其页面可控点进行xss测试
8. 对其远程访问点进行SSRF测试
9. 对其接口进行FUZZ 模糊测试
10. 对其登录点进行弱口令测试
11. 识别框架 弱框架有反序列化漏洞利用链 可寻找反序列化的点
12. 对其文件上传功能进行任意文件上传测试
13. 对其边界资产 例如gitlab jenkins 进行弱口令测试
14. 对其现有CMS 查找相关漏洞利用工具 （exploit-db）等
15. 对其端口进行扫描 查找其他相关服务测试
16. .git .svn 源代码泄露 可以下载其源码文件 并且可以通过git 查看commit 切换分支等等

3.入侵排查思路

明确一件事情：已经被入侵，还是正在被入侵。

已经被入侵

一、目的已经达成，木马，后门均已销毁

1. 既然知道被入侵，定位被入侵的时间点。
2. 如果这个服务器是云服务器，对其进行快照。（目的，封存内存。）
3. 当定位到时间点，查设备流量信息。找到木马链接信息。
4. 查找系统内对应的日志，找到相关线索
5. 如果日志被删除，因为机器快照已经建立。使用Winhex 对硬盘数据进行恢复。

二、目的没有达成，数据正在回传。木马，后门均在服务器上运行。

1.Volatility 内存取证 建立快照 提取内存 定位到shellcode 找到他的IP
2. 如果他们使用常见的C2的工具，我们可以根据流量分析出入侵者的意图。
3. 关闭服务器，或者在防火墙上 禁掉他们的IP。登录服务器，对shellcode进行移除。
4. 重启以后进入安全模式，排查注册表  计划任务 服务 放大镜后门 shift后门。


正在被入侵

可能入侵者在尝试进行攻击的时候。

弱口令爆破。

1.弱口令爆破会产生日志，日志一定要采用远程日志系统，例如Linux的rsyslog。开启远程日志系统的好处：不怕日志被攻击者删除。

2. 一定要找到入侵者的源IP，在防火墙下发阻断策略。。

4.weblogic redis未授权利用的是哪个端口

Weblogic 7001
redis 6379

5.常见的端口漏洞

21 ftp FTP服务端有很多  anonymous 匿名未授权访问 爆破
22 ssh	root密码爆破  后门用户 可以google查一些关于ssh后门的文章 里面的默认密码 可能会登入进去
23 telnet		一般会发生在 路由器 或者交换机 嵌入式设备 管理端口 攻击方法 弱口令
25 smtp			默认用户 默认密码 邮件账号爆破
80 http			web  常见的Owasp top 10 中间件反序列化 中间件溢出  fastcgi配置不当 造成fastcgi端口泄露
110 pop3		默认用户 默认密码 邮件账号爆破
443 https		openssl 心脏滴血（影响范围较小） SSL/TLS低版本存在的漏洞
135 139 445 netbios smb   MS17010 
3389 RDP		CVE-2019-0708

6.信息收集都是收集什么

资产

服务器资产 
IP资产
域名资产

7.常见漏洞以及自己的见解，防护手段等

sql注入 
PHP PDo Thinkphp DB class 操作类 来预处理sql语句 这样可以避免sql注入攻击 
使用类型判断函数 判断输入的类型是否为需要的类型

8.发现客户被传了webshell如何处置

1.如何发现的？
特征PHP:PHP的危险函数，exec eval assert(<php7.4) create_function call_user_func system exec shell_exec 
冰蝎的 openssl_decrypt
PHP木马关键的函数
2. webshell都干了些什么 该查些什么日志
adminer.php 在/tmp、目录下有adminer的临时文件。(PHP单文件Mysql 管理工具 )
nginx 日志 中间件日志 根据木马的名字查 继续再往上 找木马上传点
PHP-fpm的日志  绕过disable_function 进行提权 使用GC bypass等 PHPFPM日志会有痕迹的
mysql的 二进制日志  确定攻击者在攻击服务器的时候执行过什么语句。



ps:如果中了一个免杀的webshell，日志被删除，所有的工具都查杀不出来，该怎么办
使用Winhex 恢复

9.获得了攻击者的ip如何进行溯源，获取攻击者的个人信息

攻击者的IP是什么，IP的信息
www.ipip.net
根据IP地址 判断地址范围
直接进行扫描 先常规渗透手段。我们可以联系机房 对机房进行社工。可能会得到一些有用的信息

常规的渗透手段 ，可能入侵比较菜。

红队比较菜，在自己的服务器上搭建渗透测试靶机。上面有文件上传功能。直接getshell

可能被蓝队反打

红队利用自己博客等服务器  进行攻击。这样ip反查域名 能得到攻击人员的花名（ID） 靠自己关系 找到他是谁

10.有无其他安全产品的使用经验

有


EVE-NG  自己百度下载 配置 安装  网络拓扑模拟器 可以模拟很多安全设备  例如F5 山石防火墙 华为的防火墙

ensp 华为模拟器  只能windows上使用

11.如果爆发了0day改如何处理

爆发0day 0day已经爆出来了 exp poc 很成熟了

1. 收集提交得分
2. 避免0day打到自己 ，如果有安全设备，自己写规则用于识别0day并且阻断

12 . Linux下权限维持方法

1.Crontab 定时任务 使用corntab 定时触发恶意脚本
2. ssh 后门  进程注入 hook密码校验函数 得到管理员密码
3. 修改管理员二进制 文件 创建软连接 使管理员在输入 ls 或者cd这种命令的时候执行我们的恶意脚本
4. 环境变量劫持
5. 内核后门(难度较高，需要重新编译内核并重启。优点，隐蔽性极强)
6. pam后门
7. /init.d/ 系统启动时默认运行的脚本

13.内网代理正向与反向

正向代理：直接可以从本机访问到对端的代理叫正向代理，通常用于目标主机前面没有防火墙，或者没有进行NAT地址转换的情况下使用

反向代理：需要一台服务器  目标主机主动向服务器进行代理连接 ，我们本机再向服务器请求与目标主机的代理连接。同城用于目标主机前有防火墙，或者有端口限制。

14.SQL注入JSON接口与白名单

json 传参
{["0":"\'11222233333"]}
\"

15.redis未授权与权限获取

redis 未授权访问 
6379  user_pass 
可以向系统内写文件 构成一些安全威胁  

1. 写ssh私钥 
2. 写crontab   定时执行
3. 写init.d    启动执行
4. redis  docker 启动的 可以写dockerfile

16.如何反查真实ip

fofa 互联网搜索引擎 

1. 渗透手段  例如说ssrf 使用dnslog 就可以获取真实ip
2. 查找历史解析  
3. cloudflare github 可以获取真实IP


4.fofa cert ="xxxx.com"
5.http 如果 一个网站有icon 可以根据icon hash 来查找真实IP
6. 前台不一样 css也不一样 可以根据CSS的信息 去fofa上找body对应的信息


7.多地ping  这个 可以查询一个url 是否是cdn 或者是否是真实IP  多地ping 只能判断是否绑定多IP  其中多IP并不一定是CDN 也有可能是服务器负载均衡 

8. nslookup 查找ns的记录 是否为cdn的记录 
9. whois 查询 域名的DNS服务器 是否是cdn的DNS服务器
10.如果网站有邮件功能，有可能邮件发送的地址为网站真实IP地址

11 子域名绑定 测试子域可能回源

17.寻找webshell

1.自动化查找  D盾 河马  fotify 
2. 手动查找		windows  sublime  全文件夹查找 IDE PHPSTORM 全局查找
				Linux  命令查找  grep -rn "eval(" *
				webshell特征 PHP的危险函数
				还有phar <?php XXXXX
				

18.sql注入特征

1 请求里面可能会包含sql函数
2 请求里面可能带/**
3 sql占用系统资源情况要比往常多
4 sql 二进制日志里面可能会有极其异常访问information_schema表名的情况

19.sql注入利用

sqlmap 查询数据

--os-pwn 联动msf getshell

写shell
日志写shell  （发篇文章）
outfile函数写shell

读文件

读管理员hash 

Linux so提权 Windows UDF提权


sqlserver xp_cmd 执行命令 sqlmap --os-shell

20.SQL二级注入。

21.日志中看到的行为分析。

分析方法：
蚁剑 菜刀  

post一个PHP的函数  这些函数可以对文件进行操作  可以对数据库进行操作 
如果特征编码 例如base64 rot13 通过该种编码的解码来实现流量的解密



冰蝎

aes-128加密
在开始连接进行密钥协商的时候 抓取冰蝎流量密钥值

通过冰蝎密钥 对加密的流量进行解密在进行行为分析

22.linux下的敏感文件？

/etc/redhat-release Centos 版本号
/proc/cpuinfo CPU型号信息
/var/log/message 内核日志
/var/log/last 登录日志
/etc/sysconfig/selinux selinux状态
/etc/passwd 用户账户信息
/etc/shadow 用户密码