渗透面试分享(含答案)-长期更新

01

—

红队攻防

渗透测试

讲一下常见提权思路？

• 系统提权

windows：systeminfo查看补丁信息，然后去github找exp提权，例如2003和xp的pr提权，2003的巴西烤肉提权；CS中提权MS14-068，MS16-016

Linux：cat /etc/*-release 查看版本信息 然后通过github、seebug、百度等查找。例如脏牛提权Linux内核版本>=2.6.22（2007年发行），通过nc反弹shell

• 数据库提权

mysql：udf提权（自身功能提权、用提权工具）、mof（漏洞提权）、写入启动项

mssql:   一般用弱口令、恢复扩展存储cmdshell

Oracle: Oracle数据库一般与jsp、aspx网站搭配，如果是jsp网站，默认是系统权限，apsx网站默认需要提权，通过创建java提权函数

access：用的较少，网上方法也不多。access一般用于学校等流量少的小型网站，这种提权容易造成数据库崩掉

• 第三方应用提权

Gene6（传文件）：配置文件获取账密，只能本地登录，所以lcx.exe转发端口

VNC（软控）：注册表获取（cmd或者大马），然后用工具解密

Radmin（软控）：注册表获取（cmd或者大马），然后再使用Radmin哈希版本连接即可

DLL劫持（LPK）：劫持任意软件，一般来说只要放到有网络行为的程序目录下就可以。最好是有自升级功能的，例如杀毒软件，输入法等，输入法目录一般权限较低，比较好利用

通过数据库提权的方法？

• mysql：

①udf提权，UDF（user defined function）用户自定义函数，是mysql的一个拓展接口。用户可以通过自定义函数实现在mysql中无法方便实现的功能，其添加的新函数都可以在sql语句中调用

sqlmap中有udf.dll，也有解密它的工具。相当于加了一些我们可以再SQL中调用的函数

②mof提权，mof 提权的原理其实很简单，就是利用了c:/windows/system32/wbem/mof/目录下的 nullevt.mof 文件，每分钟都会在一个特定的时间去执行一次的特性，来写入我们的cmd命令使其被带入执行

• mssql：弱口令爆破出sa账号密码，然后cmdshell命令添加管理员账户提权，或者OLE相关存储同样能执行命令提权；溢出提权不常见。

权限维持有哪些方法？

• linux隐藏文件

attrib +s +h test.php  隐藏test.php文件

attrib命令 用于修改文件属性

+s 设置系统文件属性

+h 设置隐藏属性

• windows影子账户（账户名后加个$）、shift后门（DLL劫持替换放大镜服务）

 XSS和CSRF和XXE和SSRF有什么区别，以及修复方式？

• XSS是跨站脚本攻击，分为存储型和反射型，指攻击者在网页中嵌入客户端脚本，通常是JavaScript编写的危险代码，当用户使用浏览器浏览网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。一般通过XSS拿cookies

   修复方式：对输入进行过滤 对输出进行编码（但是这个地方注意，编码不     一定可行，因为输出的方式可能是html、js、也有可能是纯文本。多套代     码 专一编码倒是可以）；使用HTTP Only来禁止JavaScript读取Cookie     值、内容安全策略CSP

• CSRF是跨站请求伪造，攻击者盗用了受害者的身份，以用户的名义来发送恶意请求，是客户端发起的，服务器没有确认是否由用户自愿发起。XSS是实现CSRF的诸多手段中的一种。

   修复方式：嵌入Token值验证、验证HTTP Referer字段、再次输入密码或     验证码

• XXE是外部实体注入攻击，服务器的XML解析器可以通过XML实体，从本地文件或者远程URL中获取数据。攻击者利用XML实体传递自己的恶意代码进行攻击

   修复方式：升级版本、过滤用户提交的XML数据、XML解析库在调用时严     格禁止对外部实体的解析（需要代码层面改动）。（现在都是JSON传输       数据了，XML传输很少见了）

• SSRF是服务器端请求伪造，攻击者构造语句，利用服务器的过滤限制不严格发起请求，是服务器发起的，一般利用SSRF来攻击目标网站的内网

    修复方式：白名单过滤，返回内容鉴别。

END

—