Web滲透測試求職問答大全

0x00前言

     如果我們要面試一個滲透測試工程師，其中一些經典的問題是必要會被問到的，所以本文就這些方面進行一個比較基礎的總結，希望這些總結會對大家面試有所幫助。更重要的是，本文將非常非常具體地分析每一個步驟、所需的工具、思路等等

0x02 常見問答

1 拿到一個待檢測的站，你覺得應該先做什麼？

答：1IP域名類查詢：http://www.aizhan.com/   http://tool.chinaz.com/#輸入目標網址，在查詢框下面，可選擇whois、IP查詢等選項；保存結果，以備後用

2使用nmap 進行服務系統端口查詢：root@kali:~# nmap -sV -T4 -O -Pn  203.195.139.153 #耗時2分鐘-5分鐘

3防火牆檢測：root@kali:~# nmap -p80 --script http-waf-detect m.anzhi.com  #或者 root@kali:~# nmap --script=firewalk --traceroute m.anzhi.com

2 在滲透過程中，收集目標站註冊人郵箱對我們有什麼價值？

答：1社工庫裏看看有沒有泄露密碼，然後嘗試用泄露的密碼進行登錄後臺。 

http://secn.woopoin.com/

https://www.findmima.com/

https://qqgroup.insight-labs.org/

http://so.moonsec.com/

2用郵箱做關鍵詞進行搜索引擎，利用搜索到的關聯信息找出其他郵進而得到常用社交賬號。

3社工找出社交賬號，裏面或許會找出管理員設置密碼的習慣 ， 利用已有信息生成專用字典。

3 判斷出網站的CMS對滲透有什麼意義?

答： 查找網上已曝光的程序漏洞

https://www.seebug.org/  # seebug 第一手漏洞

http://wy.hxsec.com/ #烏雲漏洞搜索

http://bigniu.com/bug/list#比戈大牛

http://0day5.com/#漏洞時代

https://www.exploit-db.com/#kali出版團隊維護的漏洞數據庫

2 如果開源，還能下載相對應的源碼進行代碼審計

4 一個成熟並且相對安全的CMS，滲透時掃目錄的意義?

答：可以掃描出相關敏感文件、隱藏目錄、網站備份的壓縮文件、說明.txt、二級目錄可能存放着其他站點

5 常見的網站服務器容器有哪些？

答：IIS6.0/7.5、Apache、nginx、Lighttpd、Tomcat 6.35

6 MySQL的站注入，5.0以上和5.0以下有什麼區別？

答：mysql 5.0以下沒有information_schema這個系統表 無法列表名等,只能暴力跑表名，5.0以下是多用戶單操作；5.0以上是多用戶多操做。

7.mysql注入點，root權限。用工具對目標站直接寫入一句話，需要哪些條件?

答：root權限以及網站的絕對路徑。例如C;\\wwwroot\

8 目前已知哪些版本的容器有解析漏洞，具體舉例。

答：1 IIS 6.0 (/xx.asp/xx.jpg  "xx.asp"是文件夾名

2 IIS 7.0/7.5 默認Fast-CGI開啓(直接在url中圖片地址後面輸入/1.PHP，會把正常圖片當成php解析

3  Nginx版本小於等於0.8.37,利用方法和IIS 7.0/7.5一樣(Fast-CGI關閉情況下也可利用；空字節代碼 xxx.jpg%00.php

4:Apache 上傳的文件命名爲：test.php.x1.x2.x3,Apache是從右往左判斷後綴

5:lighttpd (xx.jpg/xx.php)

9.如何手工快速判斷目標站是windows還是Linux服務器?

答：linux大小寫敏感,windows大小寫不敏感

10.爲何一個mysql數據庫的站，只有一個80端口開放?

答：1更改了端口，沒有掃描出來；3306端口不對外開放；2 站庫分離

11.3389無法連接的幾種情況。

答：1 沒開放3389 端口；端口被修改 ；2 防護攔截 ；處於內網(需進行端口轉發)

12.如何突破注入時字符被轉義?

答：1 寬字符注入； 2 hex編碼繞過。sqlmap中有參數--hex 和--tamper=unmagicquotes.py

13.在某後臺新聞編輯界面看到編輯器，應該先做什麼？

答：查看編輯器的名稱版本,然後搜索公開的漏洞。例如解析上傳，截斷繞過等等

14.拿到一個webshell發現網站根目錄下有.htaccess文件，我們能做什麼？

答：能做的事情很多，用隱藏網馬來舉例子: 插入<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>後.jpg文件會被解析成.php文件。

15.注入漏洞只能查賬號密碼？

答：只要權限廣，可以拖庫。--dump

16.安全狗會追蹤變量，從而發現出是一句話木馬嗎？

然後在首頁文件裏繼續查找其他網站的配置文件，可以找出網站的數據庫密碼和數據庫的地址

當然我們可以根據文件格式進行遍歷下載

17.access 掃出後綴爲asp的數據庫文件，訪問亂碼。如何實現到本地利用。

答：迅雷、搜狗等下載工具進行下載，直接把該下載文件的後綴名改爲.mdb。

18.提權時選擇可讀寫目錄，爲何儘量不用帶空格的目錄？

答：因爲exp執行多半需要空格界定參數

19.某服務器有站點A,B 爲何在A的後臺添加test用戶，訪問B的後臺。發現也添加上了test用戶？

答：兩個站點是使用同一個數據庫。

20.注入時可以不使用and 或or 或xor 直接order by 開始注入嗎？

答：and/or/xor，前面的1=1、1=2步驟只是爲了判斷是否爲注入點，如果已經確定是注入點那就可以省那步驟去。order by id desc#進行查找列名

21:某個防注入系統，在注入時會提示：【如何利用這個防注入系統拿shell?】

    系統檢測到你有非法注入的行爲。

    已記錄您的ip xx.xx.xx.xx

    時間:2016:01-23

    提交頁面:test.asp?id=15

    提交內容:and 1=1

答：在URL裏面直接提交一句話，這樣網站就把你的一句話也記錄進數據庫文件了 這個時候可以嘗試尋找網站的配置文件 直接上菜刀鏈接。

22.上傳大馬後訪問亂碼時，有哪些解決辦法？

答：瀏覽器中改編碼。

23.審查上傳點的元素有什麼意義？

答：有些站點的上傳文件類型的限制是在前端實現的，這時只要增加上傳類型就能突破限制了。

24.目標站禁止註冊用戶，找回密碼處隨便輸入用戶名提示:"此用戶不存在"，你覺得這裏怎樣利用？

答：先爆破用戶名，再利用被爆破出來的用戶名爆破密碼，證明該站點登錄框可能存在注入。

25.目標站發現某txt的下載地址爲:http://www.test.com/down/down.php?file=/upwdown/1.txt 你有什麼思路?

答：下載漏洞，我們在file=後面 嘗試輸入index.php下載他的首頁文件 

26 假設你一個目標站，並且告訴你。根目錄下存在/xyz/目錄 並且此目錄下存在編輯器和admin目錄 請問你的想法是？

答：直接在網站二級目錄/xyz/下掃描敏感文件及目錄。

27 假設在有shell的情況下，如何使用xss實現對目標站的長久控制？

答：1:後臺登錄處加一段記錄登錄賬號密碼的js，並且判斷是否登錄成功，如果登錄成功 就把賬號密碼記錄到一個生僻的路徑的文件中或者直接發到自己的網站文件中。(此方法適合有價值並且需要深入控制權限的網絡)。

      2:在登錄後纔可以訪問的文件中插入Xss腳本。

28.後臺修改管理員密碼處，原密碼顯示爲*。你覺得該怎樣實現讀出這個用戶的密碼？

答：審查元素 把密碼處的password屬性改成text就明文顯示了

29.目標站無防護，上傳圖片可以正常訪問，上傳腳本格式訪問則403.什麼原因？

答： 原因很多，有可能web服務器配置把上傳目錄寫死了不執行相應腳本，嘗試改後綴名繞過

30.在審查元素得知網站所使用的防護軟件，你覺得怎樣做到的？

答：在敏感操作被攔截時，而通過界面信息無法具體判斷是什麼防護的時候。F12看HTML體部 比如護衛神就可以在名稱那看到<hws>內容<hws>。

歡迎大家分享更好的思路，熱切期待^^_^^ !!！