HVV常见面试问题

1. Sql注入的种类：

1.1. 联合注入：select * from user where id=1 order by 5
1.2. 时间盲注：select * from user where id =1 and (substr((select database()),1,1)="t") and sleep(5)
1.3. 布尔盲注：select schema_name from information_schame.schemata limit 1,1
1.4. 堆叠注入：select * from user where id = 1;select database()
1.5. 报错注入：and 1=2 --q
1.6. 延时注入：
1.7. 宽字节注入：

2. Sql注入的语法：

3. 给你一个网站你要怎么渗透

3.1 信息收集
服务器的相关信息（真实 ip，系统类型，版本，开放端口，WAF 等）
网站指纹识别（包括，cms，cdn，证书等），dns 记录
whois 信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等）
子域名收集，旁站查询(有授权可渗透)，C 段等
google hacking 针对化搜索，pdf 文件，中间件版本，弱口令扫描等
扫描网站目录结构，爆后台，网站 banner，测试文件，备份等敏感文件泄漏等
传输协议，通用漏洞，exp，github 源码等

3.2. 漏洞挖掘

浏览网站，看看网站规模，功能，特点等
端口，弱口令，目录等扫描
XSS，SQL 注入，命令注入，CSRF，cookie 安全检测，敏感信息，通信数据传输，暴力破解，任意文件上传，越权访问，未授权访问，目录遍历，文件 包含，重放攻击（短信轰炸），服务器漏洞检测，最后使用漏扫工具等

3.3. 漏洞利用
3.4. 清除测试数据
3.5. 制作报告

4. 域渗透

4.1. 拿到域网络后，第一时间收集域信息，浏览器密码、历史记录、最近使用文件等
4.2. 漏洞：msf尝试ms08067（）、ms17010
4.2.1. MS14-068、Roasting攻击离线爆破密码
4.2.2. 委派攻击
4.2.3. 非约束性委派
4.2.4. 基于资源的约束委派
4.2.5. ntlm relay

5. 讲一下csrf与ssrf的区别

5.1. CSRF 是跨站请求伪造攻击，由客户端发起
5.2. SSRF 是服务器端请求伪造，由服务器发起

6. CSRF 和 XSS 和 XXE 有什么区别

6.1. XSS 是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击
6.2. CSRF 是跨站请求伪造攻击，XSS 是实现 CSRF 的诸多手段中的一种，是由于没有在关键操作执行时进行是否由用户自愿发起的确认
6.3. XXE 是 XML 外部实体注入攻击，XML 中可以通过调用实体来请求本地或者远程内容，和远程文件保护类似，会引发相关安全问题，例如敏感文件读取

7. 怎么加快盲注的速度

7.1. Dnslog
7.2. sqli-Less9
7.3. 二分法
7.4. 二进制延时注入

8. 日志的查看命令

8.1. windows7 的日志信息文件存放在 C:windows-》System32-》winevt-》Logs文件夹下，对应的日志文件也有很多，并且文件格式都是 evtx 格式的文件，直接用 Eventvwr.msc 这个命令启用事件查看器来查看即可。
8.2. cd log:tail -100f test.log      实时监控100行日志
8.2.1. log位置：/var/log

9. 冰蝎、蚁剑、哥斯拉的特征

9.1. 菜刀的特征（Eval）
9.1.1. PHP:    <?php @eval($_POST['caidao']);?>
9.1.2. ASP:    <%eval request("caidao")%>
9.1.3. ASP.NET:    <%@ Page Language="Jscript"%>
9.1.4. <%eval(Request.Item["caidao"],"unsafe");%>
9.2. 蚁剑的特征
9.2.1. Php中使用assert，eval执行, asp 使用eval ，在jsp使用的是Java类加载（ClassLoader）,同时会带有base64编码解码等字符特征
9.3. 冰蝎的特征
9.3.1. Php中使用assert，eval执行, asp 使用eval ，在jsp使用的是Java类加载（ClassLoader）,同时会带有base64编码解码等字符特征
9.3.2. 2.0版本，采用预共享密钥，密钥格式为md5(“admin”)[0:16], 所以在各种语言的webshell中都会存在16位数的连接密码，默认变量为k
9.3.3. 3.0版本，每一个请求头中存在Pragma: no-cache，Cache-Control: no-cache
9.4. 哥斯拉的特征
9.4.1. 默认脚本编码生成的情况下，jsp会出现xc,pass字符和Java反射（ClassLoader，getClass().getClassLoader()），base64加解码等特征

10. 常见的服务器容器

10.1. IIS、Apache、nginx、Tomcat,weblogic、jboss

11. weblogic的渗透

11.1. 基于T3协议的反序列化
11.2. 基于xml解析时候造成的反序列化
11.2.1. WebLogic Server 10.3.6.0.0版本
11.2.2. WebLogic Server 12.1.3.0.0版本
11.2.3. WebLogic Server 12.2.1.1.0版本
11.2.4. WebLogic Server 12.2.1.2.0版本
11.3. 还有ssrf
11.4. 权限绕过
11.4.1. weblogic是一个基于JavaEE的中间件，所以可以解析jsp代码，那么，当我们知道后台密码之后，即可登陆weblogic后台，上传恶意war包，从而进行提权等操作
11.5. 弱口令
11.5.1. 常用弱口令https://cirt.net/passwords?criteria=weblogic
11.5.2. 后台登陆:http://X.X.136.130:7001/console/login/LoginForm.jsp

12. 文件上传的办法

12.1. 更改后缀名、00截断，换行符，前端js绕过，黑白名单绕过，路径截断、普通截断绕过，文件类型绕过系统解析漏洞绕过，中间件解析漏洞绕过等，大小写绕过，图片马，二次渲染 ；/截断，ntfs隐藏
12.2. /截断就是IIS6.0解析漏洞，上传一个图片马，后缀为.jpg;,php,服务器不会检测;后面内容，以为是图片,这样就绕过了，还有CGI，也是存在漏洞的话，上传图片马，/.php就执行了

13. 文件上传的上传点

13.1. Include函数，现在的话可能不会直接就包含一个木马文件，可能会利用file_put_contents()函数重写一个，有一些跳板

14. 逻辑漏洞有哪些

14.1. 密码找回漏洞中存在密码允许暴力破解、存在通用型找回凭证、可以跳过验证步骤、找回凭证可以拦包获取等方式来通过厂商提供的密码找回功能来得到密码
14.2. 身份认证漏洞中最常见的是会话固定攻击和 Cookie 仿冒，只要得到Session 或 Cookie 即可伪造用户身份
14.3. 验证码漏洞中存在验证码允许暴力破解、验证码可以通过 Javascript 或者改包的方法来进行绕过

15. 反序列化漏洞的原理

15.1. 序列化一个包含恶意代码的实例对象（通常是Runtime.exec来执行后台命令），此时会得到对象的字节数据。然后字节数据通过接口发送到服务端（被攻击的服务器）。服务器在反序列化出对象的过程中（readObject方法里面）就会触发触发恶意代码执行

16. 白银票据、黄金票价

16.1. 票据是域内攻击的常用方式
16.2. 黄金票据是伪造TGT和logon session key跳过AS验证，白银票据就是伪造的ST：
16.2.1. 在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中，krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash，就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改
16.2.2. 在Kerberos认证的第三部，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用

17. 进程注入

17.1. Dll注入、pe注入、process hollowing、线程劫持注入、setWindowshookEX注入、apc注入、atombombing内存注入、shims注入、

18. 系统免杀马

19. owasp 漏洞都有哪些

19.1. SQL 注入
19.2. 失效的身份认证和会话管理
19.3. 跨站脚本攻击 XSS
19.4. 直接引用不安全的对象
19.5. 安全配置错误
19.6. 敏感信息泄露
19.7. 缺少功能级的访问控制
19.8. 跨站请求伪造 CSRF
19.9. 使用含有已知漏洞的组件
19.10. 未验证的重定向和转发

20. 常用的端口号

20.1. 445：文件共享（永恒之蓝）
20.2. 3306：MySQL
20.3. 22：ssh
20.4. 21：ftp
20.5. 3389：远程
20.6. 6379：redis

21. 讲一个你渗透的项目，详细描述经过

22. sqlmap，怎么对一个注入点注入

22.1. get 型号，直接，sqlmap -u
22.2.  post 型诸如点，可以 sqlmap -u "注入点网址”–data=“post的参数”
22.3. cookie，X-Forwarded-For 等，可以访问的时候，用 burpsuite抓包，注入处用*号替换，放到文件里，然后sqlmap -r “文件地址”

23. 拿到webshell不出网情况下怎么办

23.1. reg上传去正向连接。探测出网协议，如dns，icmp

24. 漏洞不出网情况下怎么办

24.1. Socks隧道搭建
24.2. Cs
24.3. Ms17010横向利用

25. IDS IPS设备

25.1. IDS是入侵检测系统（奇安信网神、天眼系统）
25.2. IPS是入侵防御系统（新华三、华为、天清系统）

26. 横向渗透命令执行

26.1. psexec，wmic，smbexec，winrm，net use共享+计划任务+type命令

27. psexec和wmic或者其他的区别

27.1. psexec会记录大量日志，wmic不会记录下日志。wmic更为隐蔽

28. 反序列化

28.1. 反序列化原理就是应用对用户输入的不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行
28.2. shiro是rememberme的密钥泄露

29. JAVA反序列化

29.1. 变量覆盖、反序列化、命令执行、越权支付

30. 最新的解析漏洞

31. 目前已知哪些版本的容器有解析漏洞

31.1. IIS 6.0：/xx.asp/xx.jpg "xx.asp"是文件夹名
31.2.  IIS 7.0/7.5：Fast-CGI 开启，直接在url 中图片地址后面输入/1.php，会把正常图片当成 php 解析
31.3. Nginx：版本小于等于 0.8.37，利用方法和 IIS 7.0/7.5 一样，Fast-CGI 关闭情况下也可利用
31.4. Apache：上传的文件命名为：test.php.x1.x2.x3，Apache 是从右往左判断后缀
31.5. Lighttpd：

32. Shiro漏洞的类型

32.1. Shiro550
32.1.1. Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。
32.1.2. Payload产生的过程：
命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值
32.2. Shiro721
32.2.1. Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题，用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段，并重新请求网站，进行反序列化攻击，最终导致任意代码执行
32.3. Shiro漏洞利用自动化工具

33. iiop漏洞

33.1. java RMI通信，也就是远程方法调用，默认是使用jrmp协议，也可以选择IIOP

34. 网页显示500是什么原因

admin普通

收藏 海报 链接