渗透测试方向

一、上传webshell使用冰蝎进行连接时报错，可能的原因有那些？
1. 客户端附带的服务器为最简版本，没有做容错处理，所以直接浏览器访问可能会报错，但不影响客户端正常连接。
2. 针对php环境，由于通信采用了AES 加密，所以需要开启openssl扩展。
3. Mac系统下需要通过 -XstartOnFirstThread 参数启动，java -XstartOnFirstThread -JarBehinder.jar。
4. Win7运行服务端需要包含phpstudy、Java、apache-tomcat、IIS。
5. Win7运行客户端需要java。

二、文件上传绕过方式有哪些？条件竞争的文件上传方式一般怎么利用？
利用白名单过滤，修改上传文件为白名单中的后缀。
1. 上传文件，抓包，添加文件名。
2. 上传文件，send to repeater ，添加文件名（空格），找到十六进制的20改为00，然后发包。
3. 查看源码，了解如何判断文件类型，创建伪图片马。新建一个包含文件漏洞的页面，将该文件放在根目录下。
4. 查看关键代码，直接利用图片马进行绕过。
条件竞争，由于服务器在处理不同用户的请求时是并发进行的，因此在burp中不断发送上传webshell的数据包，然后不断在浏览器中访问，发现通过竞争可以访问到。
1. 我们可以通过条件竞争的方式在unlink之前，rename，访问webshell

三、创建黄金票据（TGT）需要什么参数？怎么让黄金票据失效？
创建黄金票据需要的条件：
1. 域名称[AD PowerShell]模板：（Get-ADDimain）.DNSRoot]
2. 域的SID值[AD PowerShell模块：（Get-ADDimain）.DomainSID.Value]
3. 域的KRBTGT账户NTLM密码哈希
4. 伪造用户名
让黄金票据失效：
1. 在一个多域AD森林中，如果创建的黄金票据域不包含企业管理员组，则黄金票据不会向林中的其他域提供管理员权限。
2. 经常更新黄金票据用户密码。

四、windows域环境下实施横向移动的方式都有那些，相应都会使用那些工具，请举例说明？
1.使用arp攻击：查看当前被控制主机ip，网段和网关。使用nmap探测局域网开放的网络连接端以及目标电脑网络的设定。开启ip forward，将控制主机模拟成网关，使用arpspoof向目标主机发送arp包，中间经过网关从而实现对目标主机的欺骗，抓取目标主机网站登陆信息，和键盘录入。使用ettercap接收劫持目标浏览的图片。
缺点：如果局域网内有监控平台，会发现arp包剧增。
工具：nmap、arpspoof、ettercap

五、psexec和wmiexec在横向渗透过程中的区别是什么？哪一个更有优势，为什么？
区别：
1. Psexec会留下痕迹，wmiexec不会。但wmiexec在防火墙开启时将会无法连接。
2. Psexec类工具会释放文件，特征明显，专业杀毒软件都能检测到。需要安装服务，会留下日志，并且退出时偶尔会出现服务不能删除的情况。需要开启445端口共享，在事后工具溯源时，调查人员会通过日志信息来推测出攻击过程。但它的优点在于，能直接给我们提供目标主机的system权限。
3. Wmiexec出现在所有的windows操作系统中，windows系统默认不会在日志中记录这些操作，就可以做到攻击无日志，同时攻击脚本无需写入到磁盘，具有极高的隐蔽性。
优势：
由于psexec类的攻击已被很多的杀软查杀，所以wmiexec更具有优势。但如果开启了防火墙，我们只能用psexec，在渗透测试的过程中擦掉自己的痕迹。

六、windows server 2008在进行pth（hash传递）的过程中LM hash是必须的参数吗？为什么？
1. LM hash不是必须的。
2. 我们得到域的hash，他就能导出本地sam中的hash，和所有域内用户的ip 。
只要有了NT hash就就能够在身份验证的时候模拟该用户跳过调用API生成hash的过程。

七、在半交互的CMD SHELL中开交互命令会导致CMD SHELL卡死，这是为什么
1. 同时开启多个shell，由于线程数过多，日志量过大，导致IO过高，很容易将内存写满，系统吞吐量降低，响应时间增加，甚至出现卡死。
2. Win32的多进程和Unix有一定的区别，win32的线程相当于unix的进程，但win32同个进程里的各线程之间是共享数据段的，这就导致一个线程修改过一个变量后，另一个线程却又修改了它，结果引起程序出问题。

八、什么是供应链攻击？谈谈对供应链攻击的看法和应对？
1. 供应链攻击是黑客利用用户对厂商产品的信任，在厂商产品下载安装或者更新时进行恶意软件植入进行攻击的一种方式。一般情况下，用户都不会怀疑受信任的开发人员或供应商，而供应商又可以提供大量的用户，攻击者可以以较低的投入，获得非常高的回报。
2. 看法：对于供应链攻击，用户需要尽可能的使用正版和官方渠道上的软件，安装相应的防病毒软件。而企业和厂商则需要建立可信的开发环境，给开发人员进行培训，并在正规渠道发布软件。

九、CDN节点后找真实IP思路
1. 用户访问域名 -> 经过多个cdn解析出上级域名 -> 如果一直未解析出真实ip直至根服务器 -> 根服务器会依据最后一次的域名分配顶级域名服务器-> 顶级域名服务器依据根服务器给他的域名进行解析，并把解析出的域名给指定管理的组织域，逐级解析直至解析出真实ip -> 访问目标主机
2. 我们可以对dns跟踪，从而获取真实ip。
也可以从大量的cdn中找到为cdn的真实域名和ip。
通过全球ping等网络工具查询真实ip

十、对于企业防御来说，如何面对0day攻击
1. 实时更新补丁、修复漏洞，尽量缩短零日漏洞在系统和应用软件中的存在时间，定期对系统漏洞进行扫描修补，降低系统面对攻击的风险。
2. 实时监测、主动防护，建设实时入侵检测和入侵防护系统，及时发现和阻挡一部分的零日攻击行为。
3. 加固终端系统，计算机终端通常是整个网络环节中最薄弱的环节，对系统进行安全加固是一个减少系统被零日攻击的一个不错的方法。
4. 加强网络基础设施的安全，加强网络基础设施的安全，能降低网络被零日攻击后造成影响的范围和严重程度。
5. 建立一个完善的应对零日攻击的应急响应方案，完善的应急响应方案可以帮助企业快速处理阻止攻击，将企业损失减少到最小。