蓝队⾯试题
hw⾯试
1 . xss原理?存储型xss如何利⽤?
XSS 类型
Dom(Self-XSS)存储型反射型
存储型XSS怎么利⽤?
XSS攻击的原理是通过修改或者添加页⾯上的JavaScript恶意脚本,在浏览器渲染页⾯的时候执⾏该脚本,从⽽实现窃取COOKIE或者调⽤Ajax实现其他类型的CSRF攻击
CORS(浏览器同源策略)
js =>ajax 去请求其他⽹站的东西
test 根据浏览器的CORS策略他只能在test⾥⾯请求东西
test 调⽤ajax 去访问 xxxx  st  如果⽬标的CORS头默认不放⾏test 这样 test 的ajax请求就不会访问其他⽹站
存储xss如何利⽤
利⽤的⽅式⽐较多因为存储xss  可以控制页⾯js的渲染我们⽤js可以实现很多东西
可以让⼿机振动
返回劫持
拍照截屏
2.渗透测试流程
1.信息搜集
2.分析信息
3.绘制思维导图分析资产
4. 对业务的逻辑点进⾏逻辑漏洞测试
5. 对其⾝份验证功能的Token session进⾏测试
6. 对其数据操作点进⾏注⼊测试
7. 对其页⾯可控点进⾏xss测试
8. 对其远程访问点进⾏SSRF测试
9. 对其接⼝进⾏FUZZ 模糊测试
10. 对其登录点进⾏弱⼝令测试
11. 识别框架弱框架有反序列化漏洞利⽤链可寻反序列化的点
12. 对其⽂件上传功能进⾏任意⽂件上传测试
13. 对其边界资产例如gitlab jenkins 进⾏弱⼝令测试
14. 对其现有CMS 查相关漏洞利⽤⼯具(exploit-db)等
15. 对其端⼝进⾏扫描查其他相关服务测试
16. .git .svn 源代码泄露可以下载其源码⽂件并且可以通过git 查看commit 切换分⽀等等
3.⼊侵排查思路
明确⼀件事情:已经被⼊侵,还是正在被⼊侵。
已经被⼊侵
⼀、⽬的已经达成,⽊马,后门均已销毁
1. 既然知道被⼊侵,定位被⼊侵的时间点。
2. 如果这个服务器是云服务器,对其进⾏快照。(⽬的,封存内存。)
3. 当定位到时间点,查设备流量信息。到⽊马链接信息。
4. 查系统内对应的⽇志,到相关线索
5. 如果⽇志被删除,因为机器快照已经建⽴。使⽤Winhex 对硬盘数据进⾏恢复。
⼆、⽬的没有达成,数据正在回传。⽊马,后门均在服务器上运⾏。
1.Volatility 内存取证建⽴快照提取内存定位到shellcode 到他的IP
2. 如果他们使⽤常见的C2的⼯具,我们可以根据流量分析出⼊侵者的意图。
3. 关闭服务器,或者在防⽕墙上禁掉他们的IP。登录服务器,对shellcode进⾏移除。
4. 重启以后进⼊安全模式,排查注册表计划任务服务放⼤镜后门 shift后门。
正在被⼊侵
可能⼊侵者在尝试进⾏攻击的时候。
弱⼝令爆破。
1.弱⼝令爆破会产⽣⽇志,⽇志⼀定要采⽤远程⽇志系统,例如Linux的rsyslog。开启远程⽇志系统的好处:不怕⽇志被攻击者删除。
2. ⼀定要到⼊侵者的源IP,在防⽕墙下发阻断策略。。
4.weblogic redis未授权利⽤的是哪个端⼝
Weblogic 7001
redis 6379
linux 命令
ps
-e显⽰所有进程,环境变量
-f全格式
-a显⽰终端上地所有进程,包括其他⽤户地进程
-aux显⽰所有状态
top命令可以实时显⽰各个线程情况。要在top输出中开启线程查看,
sqlmap 参数
cookie注⼊:sqlmap.py -u 注⼊点 --cookie “参数” --tables --level 2
POST登录框注⼊:sqlmap.py -r 从⽂件读取数据 -p 指定的参数 --tables
sqlmap.py -u 登录的地址 --forms ⾃动判断注⼊
sqlmap.py -u 登录的地址 --data “指定参数”
–columns #列出字段
–current-user #获取当前⽤户名称
–current-db #获取当前数据库名称
weblogic管理页面–users #列数据库所有⽤户
–os #指定系统(Linux,Windows)
–sql -shell 写shell
–delay 延迟的时间
NMAP 命令
-sP:Ping扫描-只能确定主机是否在线
-
sS / sT / sA / sW / sM:TCP SYN / Connect()/ ACK / Window / Maimon扫描
-sV:探测打开的端⼝以确定服务/版本信息
-A:启⽤OS检测和版本检测
–scan-delay /-max-scan-delay :调整两次探查之间的延迟防⽕墙/ ID闪避和溢出
5.常见的端⼝漏洞
21 ftp FTP服务端有很多  anonymous 匿名未授权访问爆破
22 ssh root密码爆破后门⽤户可以google查⼀些关于ssh后门的⽂章⾥⾯的默认密码可能会登⼊进去
23 telnet  ⼀般会发⽣在路由器或者交换机嵌⼊式设备管理端⼝攻击⽅法弱⼝令
25 smtp  默认⽤户默认密码邮件账号爆破
80 http  web  常见的Owasp top 10 中间件反序列化中间件溢出  fastcgi配置不当造成fastcgi端⼝泄露
110 pop3  默认⽤户默认密码邮件账号爆破
443 https  openssl ⼼脏滴⾎(影响范围较⼩) SSL/TLS低版本存在的漏洞
135 139 445 netbios smb  MS17010
3389 RDP  CVE-2019-0708
6379 redis
3306 mysql
1433 sql sever
7001 weblogic
tomcat 8080
6.信息收集都是收集什么
资产
服务器资产
IP资产
域名资产
7.常见漏洞以及⾃⼰的见解,防护⼿段等
sql注⼊
PHP PDo Thinkphp DB class 操作类来预处理sql语句这样可以避免sql注⼊攻击
使⽤类型判断函数判断输⼊的类型是否为需要的类型
8.发现客户被传了webshell如何处置
1.如何发现的?
特征PHP:PHP的危险函数,exec eval assert(<php7.4) create_function call_user_func system exec shell_exec 冰蝎的 openssl_decrypt
PHP⽊马关键的函数
2. webshell都⼲了些什么该查些什么⽇志
adminer.php 在/tmp、⽬录下有adminer的临时⽂件。(PHP单⽂件Mysql 管理⼯具 )
nginx ⽇志中间件⽇志根据⽊马的名字查继续再往上⽊马上传点
PHP-fpm的⽇志绕过disable_function 进⾏提权使⽤GC bypass等 PHPFPM⽇志会有痕迹的
mysql的⼆进制⽇志确定攻击者在攻击服务器的时候执⾏过什么语句。
ps:如果中了⼀个免杀的webshell,⽇志被删除,所有的⼯具都查杀不出来,该怎么办
使⽤Winhex 恢复
9.获得了攻击者的ip如何进⾏溯源,获取攻击者的个⼈信息
攻击者的IP是什么,IP的信息
www.ipip
根据IP地址判断地址范围
直接进⾏扫描先常规渗透⼿段。我们可以联系机房对机房进⾏社⼯。可能会得到⼀些有⽤的信息
常规的渗透⼿段,可能⼊侵⽐较菜。
红队⽐较菜,在⾃⼰的服务器上搭建渗透测试靶机。上⾯有⽂件上传功能。直接getshell
可能被蓝队反打
红队利⽤⾃⼰博客等服务器进⾏攻击。这样ip反查域名能得到攻击⼈员的花名(ID)靠⾃⼰关系到他是谁
10.有⽆其他安全产品的使⽤经验
EVE-NG  ⾃⼰百度下载配置安装⽹络拓扑模拟器可以模拟很多安全设备例如F5 ⼭⽯防⽕墙华为的防⽕墙
ensp 华为模拟器只能windows上使⽤
11.如果爆发了0day改如何处理
爆发0day 0day已经爆出来了 exp poc 很成熟了
1. 收集提交得分
2. 避免0day打到⾃⼰,如果有安全设备,⾃⼰写规则⽤于识别0day并且阻断
12 . Linux下权限维持⽅法
1.Crontab 定时任务使⽤corntab 定时触发恶意脚本
2. ssh 后门进程注⼊ hook密码校验函数得到管理员密码
3. 修改管理员⼆进制⽂件创建软连接使管理员在输⼊ ls 或者cd这种命令的时候执⾏我们的恶意脚本
4. 环境变量劫持
5. 内核后门(难度较⾼,需要重新编译内核并重启。优点,隐蔽性极强)
6. pam后门
7. /init.d/ 系统启动时默认运⾏的脚本
13.内⽹代理正向与反向
正向代理:直接可以从本机访问到对端的代理叫正向代理,通常⽤于⽬标主机前⾯没有防⽕墙,或者没有进⾏NAT地址转换的情况下使⽤
反向代理:需要⼀台服务器⽬标主机主动向服务器进⾏代理连接,我们本机再向服务器请求与⽬标主机的代理连接。同城⽤于⽬标主机前有防⽕墙,或者有端⼝限制。
14.SQL注⼊JSON接⼝与⽩名单
json 传参
{["0":"\'11222233333"]}
\"
redis 未授权访问
6379  user_pass
可以向系统内写⽂件构成⼀些安全威胁
1. 写ssh私钥
2. 写crontab  定时执⾏
3. 写init.d    启动执⾏
4. redis  docker 启动的可以写dockerfile
16.如何反查真实ip
fofa 互联⽹搜索引擎
1. 渗透⼿段例如说ssrf 使⽤dnslog 就可以获取真实ip
2. 查历史解析
3. cloudflare github 可以获取真实IP
4.fofa cert ="xxxx"
5.http 如果⼀个⽹站有icon 可以根据icon hash 来查真实IP
6. 前台不⼀样 css也不⼀样可以根据CSS的信息去fofa上body对应的信息
7.多地ping  这个可以查询⼀个url 是否是cdn 或者是否是真实IP  多地ping 只能判断是否绑定多IP  其中多IP并不⼀定是CDN 也有可能是服务器负载均衡
8. nslookup 查ns的记录是否为cdn的记录
9. whois 查询域名的DNS服务器是否是cdn的DNS服务器
10.如果⽹站有邮件功能,有可能邮件发送的地址为⽹站真实IP地址
11 ⼦域名绑定测试⼦域可能回源
17.寻webshell
1.⾃动化查  D盾河马  fotify
2. ⼿动查  windows  sublime  全⽂件夹查 IDE PHPSTORM 全局查
Linux  命令查  grep -rn "eval(" *
webshell特征 PHP的危险函数
还有phar <?php XXXXX
18.sql注⼊特征
1 请求⾥⾯可能会包含sql函数
2 请求⾥⾯可能带/**
3 sql占⽤系统资源情况要⽐往常多
4 sql ⼆进制⽇志⾥⾯可能会有极其异常访问information_schema表名的情况
19.sql注⼊利⽤

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。