本文內容大部分轉載自Mrxn's Blog,僅作少部分修改。
1.拿到一個待檢測的站,你覺得應該先做什麼?
收集信息
whois、網站源IP、旁站、C段網站、服務器系統版本、容器版本、程序版本、數據庫類型、二級域名、防火牆、維護者信息另說...
2.mysql的網站注入,5.0以上和5.0以下有什麼區別?
5.0以下沒有information_schema這個系統表,無法列表名等,只能暴力跑表名。
5.0以下是多用戶單操作,5.0以上是多用戶多操做。
3.在***過程中,收集目標站註冊人郵箱對我們有什麼價值?
丟社工庫裏看看有沒有泄露密碼,然後嘗試用泄露的密碼進行登錄後臺。
用郵箱做關鍵詞進行丟進搜索引擎。
利用搜索到的關聯信息找出其他郵進而得到常用社交賬號。
社工找出社交賬號,裏面或許會找出管理員設置密碼的習慣 。
利用已有信息生成專用字典。
觀察管理員常逛哪些非大衆性網站,拿下它,你會得到更多好東西。
4.判斷出網站的CMS對***有什麼意義?
查找網上已曝光的程序漏洞。
如果開源,還能下載相對應的源碼進行代碼審計。
5.一個成熟並且相對安全的CMS,***時掃目錄的意義?
敏感文件、二級目錄掃描
站長的誤操作比如:網站備份的壓縮文件、說明.txt、二級目錄可能存放着其他站點
6.常見的網站服務器容器。
IIS、Apache、nginx、Lighttpd、Tomcat
7.mysql注入點,用工具對目標站直接寫入一句話,需要哪些條件?
root權限以及網站的絕對路徑。
8.目前已知哪些版本的容器有解析漏洞,具體舉例。
IIS 6.0
/xx.asp/xx.jpg "xx.asp"是文件夾名IIS 7.0/7.5
默認Fast-CGI開啓,直接在url中圖片地址後面輸入/1.php,會把正常圖片當成php解析Nginx
版本小於等於0.8.37,利用方法和IIS 7.0/7.5一樣,Fast-CGI關閉情況下也可利用。
空字節代碼 xxx.jpg%00.phpApache
上傳的文件命名爲:test.php.x1.x2.x3,Apache是從右往左判斷後綴lighttpd
xx.jpg/xx.php,不全,請小夥伴們在評論處不吝補充,謝謝!
9.如何手工快速判斷目標站是windows還是linux服務器?
linux大小寫敏感,windows大小寫不敏感。
10.爲何一個mysql數據庫的站,只有一個80端口開放?
更改了端口,沒有掃描出來。
站庫分離。
3306端口不對外開放
11.3389無法連接的幾種情況。
沒開放3389 端口
端口被修改
防護攔截
處於內網(需進行端口轉發)
12.如何突破注入時字符被轉義?
寬字符注入
hex編碼繞過
13.在某後臺新聞編輯界面看到編輯器,應該先做什麼?
查看編輯器的名稱版本,然後搜索公開的漏洞。
14.拿到一個webshell發現網站根目錄下有.htaccess文件,我們能做什麼?
能做的事情很多,用隱藏網馬來舉例子:
插入
<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>
.jpg文件會被解析成.php文件。具體其他的事情,不好詳說,建議大家自己去搜索語句來玩玩。
15.注入漏洞只能查賬號密碼?
只要權限廣,***脫到老。
16.安全狗會追蹤變量,從而發現出是一句話***嗎?
是根據特徵碼,所以很好繞過了,只要思路寬,繞狗繞到歡,但這應該不會是一成不變的。
17.access 掃出後綴爲asp的數據庫文件,訪問亂碼。如何實現到本地利用。
迅雷下載,直接改後綴爲.mdb。
18.提權時選擇可讀寫目錄,爲何儘量不用帶空格的目錄?
因爲exp執行多半需要空格界定參數
19.某服務器有站點A,B 爲何在A的後臺添加test用戶,訪問B的後臺。發現也添加上了test用戶?
同數據庫。
20.注入時可以不使用and 或or 或xor,直接order by 開始注入嗎?
and/or/xor,前面的1=1、1=2步驟只是爲了判斷是否爲注入點,如果已經確定是注入點那就可以省那步驟去。
21:某個防注入系統,在注入時會提示:
系統檢測到你有非法注入的行爲。 已記錄您的ip xx.xx.xx.xx 時間:2016:01-23 提交頁面:test.asp?id=15 提交內容:and 1=1
如何利用這個防注入系統拿shell?
在URL裏面直接提交一句話,這樣網站就把你的一句話也記錄進數據庫文件了 這個時候可以嘗試尋找網站的配置文件 直接上菜刀鏈接。具體文章參見:http://ytxiao.lofter.com/post/40583a_ab36540。
22.上傳大馬後訪問亂碼時,有哪些解決辦法?
瀏覽器中改編碼。
23.審查上傳點的元素有什麼意義?
有些站點的上傳文件類型的限制是在前端實現的,這時只要增加上傳類型就能突破限制了。
24.目標站禁止註冊用戶,找回密碼處隨便輸入用戶名提示:“此用戶不存在”,你覺得這裏怎樣利用?
先爆破用戶名,再利用被爆破出來的用戶名爆破密碼。
其實有些站點,在登陸處也會這樣提示
所有和數據庫有交互的地方都有可能有注入。
25.目標站發現某txt的下載地址爲http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什麼思路?
這就是傳說中的下載漏洞!在file=後面嘗試輸入index.php下載他的首頁文件,然後在首頁文件裏繼續查找其他網站的配置文件,可以找出網站的數據庫密碼和數據庫的地址。
26.甲給你一個目標站,並且告訴你根目錄下存在/abc/目錄,並且此目錄下存在編輯器和admin目錄。請問你的想法是?
直接在網站二級目錄/abc/下掃描敏感文件及目錄。
27.在有shell的情況下,如何使用xss實現對目標站的長久控制?
後臺登錄處加一段記錄登錄賬號密碼的js,並且判斷是否登錄成功,如果登錄成功,就把賬號密碼記錄到一個生僻的路徑的文件中或者直接發到自己的網站文件中。(此方法適合有價值並且需要深入控制權限的網絡)。
在登錄後纔可以訪問的文件中插入XSS腳本。
28.後臺修改管理員密碼處,原密碼顯示爲*。你覺得該怎樣實現讀出這個用戶的密碼?
審查元素 把密碼處的password屬性改成text就明文顯示了
29.目標站無防護,上傳圖片可以正常訪問,上傳腳本格式訪問則403.什麼原因?
原因很多,有可能web服務器配置把上傳目錄寫死了不執行相應腳本,嘗試改後綴名繞過
30.審查元素得知網站所使用的防護軟件,你覺得怎樣做到的?
在敏感操作被攔截,通過界面信息無法具體判斷是什麼防護的時候,F12看HTML體部 比如護衛神就可以在名稱那看到<hws>內容<hws>。
31.在win2003服務器中建立一個 .zhongzi文件夾用意何爲?
隱藏文件夾,爲了不讓管理員發現你傳上去的工具。
32、sql注入有以下兩個測試選項,選一個並且闡述不選另一個的理由:
A. demo.jsp?id=2+1 B. demo.jsp?id=2-1
選B,在 URL 編碼中 + 代表空格,可能會造成混淆
33、以下鏈接存在 sql 注入漏洞,對於這個變形注入,你有什麼思路?
demo.do?DATA=AjAxNg==
DATA有可能經過了 base64 編碼再傳入服務器,所以我們也要對參數進行 base64 編碼才能正確完成測試
34、發現 demo.jsp?uid=110 注入點,你有哪幾種思路獲取 webshell,哪種是優選?
有寫入權限的,構造聯合查詢語句使用using INTO OUTFILE,可以將查詢的輸出重定向到系統的文件中,這樣去寫入 WebShell
使用 sqlmap –os-shell 原理和上面一種相同,來直接獲得一個 Shell,這樣效率更高
通過構造聯合查詢語句得到網站管理員的賬戶和密碼,然後掃後臺登錄後臺,再在後臺通過改包上傳等方法上傳 Shell
35、CSRF 和 XSS 和 XXE 有什麼區別,以及修復方式?
XSS是跨站腳本***,用戶提交的數據中可以構造代碼來執行,從而實現竊取用戶信息等***。修復方式:對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字符編碼。
CSRF是跨站請求僞造***,XSS是實現CSRF的諸多手段中的一種,是由於沒有在關鍵操作執行時進行是否由用戶自願發起的確認。修復方式:篩選出需要防範CSRF的頁面然後嵌入Token、再次輸入密碼、檢驗Referer
XXE是XML外部實體注入***,XML中可以通過調用實體來請求本地或者遠程內容,和遠程文件保護類似,會引發相關安全問題,例如敏感文件讀取。修復方式:XML解析庫在調用時嚴格禁止對外部實體的解析。
36、CSRF、***F和重放***有什麼區別?
CSRF是跨站請求僞造***,由客戶端發起
***F是服務器端請求僞造,由服務器發起
重放***是將截獲的數據包進行重放,達到身份認證等目的
37、說出至少三種業務邏輯漏洞,以及修復方式?
密碼找回漏洞中存在密碼允許暴力破解、存在通用型找回憑證、可以跳過驗證步驟、找回憑證可以攔包獲取等方式來通過廠商提供的密碼找回功能來得到密碼
身份認證漏洞中最常見的是會話固定***和 Cookie 仿冒,只要得到 Session 或 Cookie 即可僞造用戶身份
驗證碼漏洞中存在驗證碼允許暴力破解、驗證碼可以通過 Javascript 或者改包的方法來進行繞過
38、圈出下面會話中可能存在問題的項,並標註可能會存在的問題?
get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world” HTTP/1.1Host:*******.com:82User-Agent:Mozilla/ 5.0 Firefox/40Accept:text/css,*/*;q=0.1 Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3 Referer:http://*******.com/eciop/orderForCC/ cgtListForCC.htm?zone=11370601&v=145902 Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d; uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ; st_uid=N90PLYHLZGJXI-NX01VPUF46W; status=True Connection:keep-alive
39、找一類你最擅長的漏洞,談下繞過漏洞修復後的方案?
邏輯漏洞,多維度測試
40、你常用的***工具有哪些,最常用的是哪個?
御劍,Burpsuite,sqlmap
41、描述一個你深入研究過的 CVE 或 POC。
seacms前臺getshell。模板渲染處存在任意代碼執行,直接輸出了用戶輸入的參數。可直接寫shell
42、談談你經常關注的安全平臺?
補天漏洞平臺