第1部分都是hvv三大洞的原理和相关知识:
问:打点一般会用什么洞
1)优先以java反序列化打点:shiro、fastjson、weblogic等等
2)随后再找其他常见脆弱面打点:用友oa、thinkphp等等
3)java的web程序运行都是以高权限有限运行,部分可能会降权
问:平常怎么去发现shiro漏洞的
1)未登陆的情况下,请求包的cookie中没有rememberMe字段,返回包set-Cookie里也没有deleteMe字段
2)登陆失败的话,不管勾选RememberMe字段没有,返回包都会有rememberMe=deleteMe字段
3)不勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段。但是之后的所有请求中Cookie都不会有rememberMe字段
3)勾选RememberMe字段,登陆成功的话,返回包set-Cookie会有rememberMe=deleteMe字段,还会有rememberMe字段,之后的所有请求中Cookie都会有rememberMe字段
问:shiro有几种漏洞类型
1)shiro 550
2)shiro 721
问:fastjson漏洞利用原理
在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type字段进行过滤,从而导致攻击者可以传入恶意的TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,这就达到fastjson通过字段传入一个类,再通过这个类被生成时执行构造函数
问:weblogic有几种漏洞
T3、IIOP、xml解析的反序列化、ssrf、权限绕过等等
问:IIOP听说过吗,和什么协议类似
java RMI通信,也就是远程方法调用,默认是使用jrmp协议,也可以选择IIOP
问:以上问题的漏洞不出网情况下怎么办
利用漏洞回显、端口复用、dns出网等等
问:拿到webshell不出网情况下怎么办
reGeorg上传去正向连接,探测出网协议,如dns,icmp等
问:dns出网协议怎么利用
将域名解析指向自己的vps,然后设置ns记录等等
第2部分主要问题关注内网渗透知识:
问:横向渗透命令执行手段
pexec、wmic、smbexec、winrm、net use共享+计划任务+type命令
问:pexec和wmic或者其他的区别
pexec 会记录大量日志,wmic更为隐蔽,wmic不会记录下日志。
问:Dcom怎么操作?
通过powershell执行一些命令,命令语句比较复杂,需要能背出来一部分
问:抓取密码的话会怎么抓
1)procdump+mimikatz 转储然后用mimikatz离线读取
2)Sam 获取然后离线读取
3)直接劫持网关一天,什么密码都有了
问:有杀软抓不到密码的话怎么办
1)翻阅文件查找运维等等是否记录密码
2)hash传递的 底层原理 和 利用条件
3)获取浏览器、常用运维工具的账号密码
4)用微软官方工具转存
问:域内攻击方法有了解过吗
MS14-068、Roasting攻击离线爆破密码、委派攻击、非约束性委派、基于资源的约束委派、ntlm relay
问:桌面有管理员会话,想要做会话劫持怎么做
提权到system权限,然后通过工具劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证
问:dll劫持,dll注入有什么区别
dll劫持和dll注入本质都一样,主要需要对面试官描述白+黑利用
问:内网优先爆破测试的端口、为什么;如果只有3389开放,爆破3389的实际影响
1)内网优先爆破只是理论上的,而且不推荐爆破
2)爆破3389直接导致登录日志短时间爆发增长
问:钓鱼方法除了exe双击,还有什么?
伪造lnk、docx、文件夹、pdf等等
问:Redis window Getshell方法
redis windows getshell 写lpk,sethc,mof,lnk劫持,启动项等
其他穿插询问的问题:
1)dpapi的原理机制和利用方法
2)filter等内存马的原理和实战经验,包括 php 和 java
3)bypass uac 的技巧、方法、原理
4)Microsoft defender安全机制
5)CS是否有二次开发过,cna脚本有没有写过,讲一下开发经验
欢迎有面试过的朋友提供更新