应届生的面试题(六)
引言
如果一个人真的牛B,根本不需要被这些面试题所限制住。
比如说,你的简历可以只有一行字。
我发明了python + 邮箱地址
或者我挖了微软的N个0day
ok,你直接来上班吧,什么面试题都不需要问。
正文
- sqlserver调用系统命令
Xp_cmdshll 如果阻止调用,使用sp_configure存储过程恢复
Sp_OAcreate 无回显 - Mysql拿shell方式
知道web绝路路径的情况下
secure_file_priv不为null可以通过into outfile 或dump outfile写webshell
通过设置mysql日志获取shell - mysql报错注入函数
Updatexml
Exp
Floor
Extractvalue - mysql过滤了,号
Substr函数和if函数不能使用
limit 1 offset 0
mid(version() from 1 for 1)
使用case when then代替if - mysql过滤了sleep函数
使用benchmark代替 - asp调用系统命令
使用wscript.shell vb脚本去调用系统命令 - cmd被降权或不能使用
自己上传一个cmd.exe文件,还可以是cmd.com cmd.txt cmd.rar - aspx木马的权限为什么比asp大
Aspx依赖于.net框架,asp只是脚本语言,他的权限一般是guest,而aspx依赖于aspnet
的权限,一般为user权限比asp大 - windows账户密码的hash存储在什么位置
System32/config/sam - windows写计划任务的方式
At 命令(windows server 2008之前)
Schtasks 命令(windows server 2008之后) - Linux写计划任务的方式
At命令
Crontab命令
全局配置文件/etc/crontab
用户定义的设置/var/spool/cron/用户名
系统默认设置/etc/cron.*/ - windows权限维持
注册表写启动项,计划任务,影子账户,cs马注入到其他进程,将sethc.exe(按shift 5
下)替换成cmd.exe,windows服务型后门,wmi后门 - windows信息收集
Rdp登录信息,游览器游览记录,本地cookie,系统程序、进程服务、用户信息、操作记录、
系统日志、浏览器日志、DNS 服务器记录 - linux权限维持
写入ssh公钥,计划任务反弹shell - linux信息收集
Uname查看系统版本,history查看历史命令,/etc/passwd和/etc/shadow查看账户信息,
查看/var/下各种日志,如登录日志,其他软件日志,last 常看历史登录信息,w 查看登录
用户,netstat查看开放端口,iptables查看防火墙规则 - 拿到webshell目标主机不出网怎么办
通过reg http代理进行内网渗透 - mimikatz是如何读取用户hash和明文密码的
管理员用密码登录机器,并运行了lsass.exe进程,把密码保存在内存文件lsass进程中,
通过mimikatz读取lasass.exe进程 - 不用mimikatz的情况下有什么办法获取到账户的hash(绕过杀软)
使用微软的procdump获取lsass.exe的dmp文件,下载下来后本地使用mimikatz读取,通
过powershell版的pwddump获取账户hash - mimikatz如何抓取win10和2012明文密码
修改注册表值,强制锁屏后,管理员重新登录后可获取到明文密码 - kerberos认证流程,白银票据和黄金票据的区别
- 通过cdn找到其真实ip
通过全球ping
通过dns历史解析记录
通过子域名
通过第三方平台查询
通过证书查询
首先看是否用了cdn:使用多地ping工具,可以发现cdn提供商。
现在获得了很多CDN的IP,将这些IP加入排除列表
第二步用fofa:
如果用了cdn,那么继续查找
输入titile=“xxxx”
这个关键字通过网站源码中的title标签得知。
现在得到了一个IP
第三步:IP反查域名
使用fofa搜索IP
选中,证书持有者排名这个一栏下面的和目标单位符合的证书持有者。
点击后,你将会看到这个IP所有的网站,如果结果都是目标单位的,那么就是真实IP
参考资料:
绕过CDN查找真实IP方法总结
- 拿到webshell无法执行命令怎么办
Asp可以上传一个cmd.exe后者支持aspx可以上传aspx权限比asp大
Php查看disable_function查看是否全部禁用命令函数
绕过disable_function,使用windows com组件绕过,使用ImageMagick
漏洞绕过,利用环境变量环境变量LD_PRELOAD绕过
Java使用Runtime和ProcessBuilder来执行命令 - 如何获取rdp登录记录
通过读注册表获取
reg query “HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default” - 工作组环境下,不在域控内如何找域控
389端口ldap轻量目录访问协议,扫描工作组内网其他机子机器名。
Nbtscan可以列出dc利用的是netbios扫描。
Smb banner
Dns服务和域控服务是同一台主机 - windows账户的hash如果没获取到明文密码又解密不出来还有什么思路
pth 横向(hash传递攻击) - bp宝塔命令执行被限制了有什么绕过思路
- smb relay和htlm relay是啥
- mysql有什么漏洞
Mysql 身份认证绕过漏洞。当连接MariaDB/MySQL 时,输入的密码会与期望的正确密码比
较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL 认为两个
密码是相同的。也就是说只要知道用户名,不断尝试就能够直接登入SQL 数据库。 - redis 在windows 上的利用方式
将powershell 的cs 马写入计划任务目录,需要通过bat 文件调用 - google 游览器存储的账户密码存在哪里
默认安装目录下User data/default/login data 文件夹中 - rdp 存储的账户密码在哪
dir /a %userprofile%\AppData\Local\Microsoft\Credentials*
C:\Users\Administrator\AppData\Local\Microsoft\Credentials\ - 域内主机如何查找域控和域管
nltest /dsgetdc 域名,找域控
或者使用dc 列表 nltest /dclistdomain-a ,其中pdc 是主域控
Net group “Domain Controllers” /domain 查询出域控主机名ping 其得到ip
net user domain-admin /domain 查看ad 管理组成员 - fastjson 不出网如何利用
不出网jndi注入的方式无法执行,使用BasicDataSource类通过classload来利用,用到了BCEL
字节码 - mysql5.7 安全特性
- mysql5.7user 表的变化
User 表中没有了password 字段,多了3 个字段
password_last_changed,password_lifetime,account_locked - xss跨域方法
所有具有src属性的标签都可以跨域<img> <iframe>
jsonp跨域
Html5中利用跨域资源共享(CORS)
Html5 中利用window.postMesage - hql注入和hql特性
Hibernate 框架中的注入,大多数情况不支持union 查询,不支持对数据库的元数据进行查询,所以
只有在知道表名列名的情况下可以利用,提交一个不存在的列名也必须在代码中输出一些信息才能看
到列的信息 - orderby后的注入
利用order by = 来构造盲注和报错注入 - limit后注入
- 0.0<mysql<5.6.6版本
- 7版本测试无法成功
procedure analyse(1,extractvalue(rand(),concat(0x3a,version()))) - php 文件包含相关
利用到4 个包含函数
include() 报错还会执行下面语句
include_once()
require() 报错会终止程序执行
require_once()
远程文件包含需要开启php.ini
allow_url_fopen = On
allow_url_include = On
包含session 的条件
session 文件路径已知,且其中内容部分可控 - php 伪协议利用条件
allow_url_include = On - mysql mof 提权原理
mof 是windows 系统的一个文件( 在
c:/windows/system32/wbem/mof/nullevt.mof)叫做”托管对象格式”其作用是每
隔五秒就会去监控进程创建和死亡。其就是用又了mysql 的root 权限了以后,
然后使用root 权限去执行我们上传的mof。隔了一定时间以后这个mof 就会被
执行,这个mof 当中有一段是vbs 脚本,这个vbs 大多数的是cmd 的添加管理员
用户的命令。 - app 测试时如何绕过ssl pinning
Xposed+JustTrustMe 来突破