信息安全工程師面試題（8） - 副本

信息安全工程師面試題（8）介紹一下自認(rèn)為有趣的挖洞經(jīng)歷挖洞也有分很多種類型，一種是以滲透、一種是以找漏洞為主，如果是前者會(huì)想各種辦法獲取權(quán)限繼而獲取想要的的東西完成滲透目標(biāo)，這類跟HW類似，目標(biāo)各種漏洞不算，要有Shell，服務(wù)器權(quán)限才給分，這才是最接近實(shí)戰(zhàn)滲透，跟某部門有合作的話也是屬于這種打擊網(wǎng)絡(luò)犯罪獲得權(quán)限、傳銷數(shù)據(jù)、組織架構(gòu)，服務(wù)器權(quán)限、等......如果是以挖洞為主，還需要測(cè)試每個(gè)點(diǎn)的細(xì)節(jié)，有完整流程，不能遺漏掉任何一個(gè)點(diǎn)，這是一個(gè)工作責(zé)任。你平時(shí)用的比較多的漏洞是哪些？相關(guān)漏洞的原理？以及對(duì)應(yīng)漏洞的修復(fù)方案？SQL注入、密碼組合,前者防護(hù)分為幾種，CDN->Web->數(shù)據(jù)庫(kù)->主機(jī),設(shè)置最小權(quán)限來應(yīng)對(duì)。密碼組合根據(jù)個(gè)人習(xí)慣這類問題大幅度官是想了解哪塊技術(shù)你用的多，掌握的程度如何。php/java反序列化漏洞的原理?解決方案?php中圍繞著serialize()，unserialize()這兩個(gè)函數(shù)，序列化就是把一個(gè)對(duì)象變成可以傳輸?shù)淖址?如果服務(wù)器能夠接收我們反序列化過的字符串、并且未經(jīng)過濾的把其中的變量直接放進(jìn)這些魔術(shù)方法里面的話，就容易造成很嚴(yán)重的漏洞了。O:7:"chybeta":1:{s:4:"test";s:3:"123";}這里的O代表存儲(chǔ)的是對(duì)象（object）,假如你給serialize()傳入的是一個(gè)數(shù)組，那它會(huì)變成字母a。7表示對(duì)象的名稱有7個(gè)字符。"chybeta"表示對(duì)象的名稱。1表示有一個(gè)值。{s:4:"test";s:3:"123";}中，s表示字符串，4表示該字符串的長(zhǎng)度，"test"為字符串的名稱，之后的類似。當(dāng)傳給unserialize()的參數(shù)可控時(shí)，我們可以通過傳入一個(gè)精心構(gòu)造的序列化字符串，從而控制對(duì)象內(nèi)部的變量甚至是函數(shù)。JAVAJava序列化是指把Java對(duì)象轉(zhuǎn)換為字節(jié)序列的過程便于保存在內(nèi)存、文件、數(shù)據(jù)庫(kù)中，ObjectOutputStream類的writeObject()方法可以實(shí)現(xiàn)序列化。Java反序列化是指把字節(jié)序列恢復(fù)為Java對(duì)象的過程，ObjectInputStream類的readObject()方法用于反序列化。如果一臺(tái)服務(wù)器被入侵后,你會(huì)如何做應(yīng)急響應(yīng)?1.準(zhǔn)備相關(guān)的工具，查后門等工具2.初步判斷事件類型,事件等級(jí)。3.抑制范圍，隔離使愛害面不繼續(xù)擴(kuò)大4.查找原因，封堵攻擊源。5.業(yè)務(wù)恢復(fù)正常水平.6.總結(jié)，報(bào)告，并修復(fù)、監(jiān)控以上是常規(guī)的回答，想知道你是否有這方面應(yīng)急相關(guān)的經(jīng)驗(yàn)，像這類問題甲方面試比較多。你平時(shí)使用哪些工具?以及對(duì)應(yīng)工具的特點(diǎn)?AWVS、Masscan、BurpSuiteAWVS常規(guī)漏洞掃描，masscan快速查找端口，burp重復(fù)提交數(shù)據(jù)包想知道是否有自己開發(fā)工具，如果沒有你對(duì)每個(gè)安全工具有哪些獨(dú)特的見解以及別人不知道的技巧用法。如：awvs如何批量掃描？burpsuite如何爆破401?脫庫(kù)等、等等...如果遇到waf的情況下如何進(jìn)行sql注入/上傳Webshell怎么做？請(qǐng)寫出曾經(jīng)繞過WAF的經(jīng)過(SQLi，XSS，上傳漏洞選一)PHP上傳，無法上傳php、解析、后臺(tái)沒有辦法拿到，只有一處點(diǎn)可以上傳。通過Windows特性shell.php::$DATA，是一個(gè)項(xiàng)目管理系統(tǒng)想知道你遇到WAF是放棄，還是繼續(xù)研究繞過的這個(gè)能力。如何判斷sql注入，有哪些方法提交錯(cuò)誤語(yǔ)句是否有異常，除此之外這些顯示的錯(cuò)誤可以通過sleep,修眠語(yǔ)句執(zhí)行5秒等，除此之外通過DNSlog判斷是還有傳回值介紹SQL注入漏洞成因，如何防范？注入方式有哪些？除了數(shù)據(jù)庫(kù)數(shù)據(jù)，利用方式還有哪些？select*fromnewswhereid='$SQL';當(dāng)程序執(zhí)行訪問新聞等一些操作都會(huì)執(zhí)行到sql語(yǔ)句進(jìn)行調(diào)用，如果在此調(diào)用過程中，提交了不合法的數(shù)據(jù)，而數(shù)據(jù)庫(kù)無法識(shí)別則會(huì)報(bào)錯(cuò)。也就是一切輸入都是有害的。?注入類型有6種，可以參考SQLMAP，報(bào)錯(cuò)、盲注、聯(lián)合、時(shí)間、內(nèi)聯(lián)、堆疊注入提交方式：GET、POST、Cookies、文件頭利用方式：具體看什么數(shù)據(jù)庫(kù)類型，像SQLSERVER可以命令執(zhí)行，MYSQL寫shell有些權(quán)限大也可以執(zhí)行命令但是條件是在lINUX環(huán)境下。防范:邊界,CDN->腳本語(yǔ)言過濾->數(shù)據(jù)庫(kù)過濾最小權(quán)限->主機(jī)為什么有的時(shí)候沒有錯(cuò)誤回顯沒有進(jìn)行錯(cuò)誤打印或者錯(cuò)誤屏蔽寬字符注入的原理？如何利用寬字符注入漏洞，payload如何構(gòu)造？在mysql中使用了gbk編碼，占用2個(gè)字節(jié),而mysql的一種特性,GBK是多字節(jié)編碼，它認(rèn)為兩個(gè)字節(jié)就代表一個(gè)漢字，所以%df時(shí)候會(huì)和轉(zhuǎn)義符\%5c進(jìn)行結(jié)合,所以單引號(hào)就逃逸了出來,當(dāng)?shù)谝粋€(gè)字節(jié)的ascii碼大于128，就可以了。CRLF注入的原理CRLF注入在OWASP里面被稱為HTTP拆分攻擊（HTTPSplitting）CRLF是”回車+換行”（\r\n）的簡(jiǎn)稱,在HTTP協(xié)議中，HTTPHeader與HTTPBody是用兩個(gè)CRLF分隔的，瀏覽器就是根據(jù)這兩個(gè)CRLF來取出HTTP內(nèi)容并顯示出來。所以，一旦我們能夠控制HTTP消息頭中的字符，注入一些惡意的換行mysql的網(wǎng)站注入，5.0以上和5.0以下有什么區(qū)別？5.0以下沒有information_schema這個(gè)系統(tǒng)表，無法列表名等，只能暴力跑表名。5.0以下是多用戶單操作，5.0以上是多用戶多操做。php.ini可以設(shè)置哪些安全特性禁用PHP函數(shù)允許include或打開訪問遠(yuǎn)程資源php的%00截?cái)嗟脑硎鞘裁?？因?yàn)樵贑語(yǔ)言中字符串的結(jié)束標(biāo)識(shí)符%00是結(jié)束符號(hào)，而PHP就是C寫的，所以繼承了C的特性，所以判斷為%00是結(jié)束符號(hào)不會(huì)繼續(xù)往后執(zhí)行條件：PHP<5.3.29，且GPC關(guān)閉webshell檢測(cè)，有哪些方法grep、關(guān)鍵詞、關(guān)鍵函數(shù)安全狗、D盾php的LFI，本地包含漏洞原理是什么？寫一段帶有漏洞的代碼。手工的話如何發(fā)掘？如果無報(bào)錯(cuò)回顯，你是怎么遍歷文件的？if($_GET['file']){include$_GET['file'];}包含的文件設(shè)置為變量，并且無過濾導(dǎo)致可以調(diào)用惡意文件還可以對(duì)遠(yuǎn)程文件包含，但需要開啟allow_url_include=ON通過測(cè)試參數(shù)的地方進(jìn)行本地文件/etc/passwd等包含如何存在漏洞而且沒有回顯，有可能沒有顯示在頁(yè)面而是在網(wǎng)頁(yè)源代碼中，除些可以利用DNSlog進(jìn)行獲取包含的信息。從index.php文件一級(jí)級(jí)往讀取也可以利用PHP封裝協(xié)議讀取文件說說常見的中間件解析漏洞利用方式IIS6.0/xx.asp/xx.jpg"xx.asp"是文件夾名IIS7.0/7.5默認(rèn)Fast-CGI開啟，直接在url中圖片地址后面輸入/1.php，會(huì)把正常圖片當(dāng)成php解析Nginx版本小于等于0.8.37，利用方法和IIS7.0/7.5一樣，F(xiàn)ast-CGI關(guān)閉情況下也可利用?？兆止?jié)代碼xxx.jpg%00.phpApache上傳的文件命名為：test.php.x1.x2.x3，Apache是從右往左判斷后綴mysql的用戶名密碼是存放在那張表里面？mysql密碼采用哪種加密方式？mysql->usersSHA1Windows、Linux、數(shù)據(jù)庫(kù)的加固降權(quán)思路，任選其一禁用root禁止遠(yuǎn)程訪問禁止寫入單獨(dú)帳號(hào)禁止執(zhí)行system等函數(shù)你使用什么工具來判斷系統(tǒng)是否存在后門ChkrootkitRkhunter如何繞過CDN獲取目標(biāo)網(wǎng)站真實(shí)IP，談?wù)勀愕乃悸?？類似phpinfo、網(wǎng)站信息C段、子域名歷史解析記錄DDOSzmap全網(wǎng)掃描識(shí)別http頭網(wǎng)站域名管理員郵箱，注冊(cè)過的域名等相關(guān)信息關(guān)聯(lián)如果給你一個(gè)網(wǎng)站,你的滲透測(cè)試思路是什么?在獲取書面授權(quán)的前提下。其實(shí)這是一個(gè)非常大的話題，滲透大部分思路都是如此，而面試官是想聽到你回答不一樣的答案讓人眼前一亮如何才做到讓人眼前一亮都需要看你的經(jīng)驗(yàn)，把你實(shí)踐的過程拿出來說，以及遇到什么問題如何解決，最終取得成果滲透其它大同小異,而做為滲透者知識(shí)的儲(chǔ)備、基礎(chǔ)扎實(shí)、耐心、細(xì)心都是必不可少。談一談Windows系統(tǒng)與Linux系統(tǒng)提權(quán)的思路？WindowsWindows服務(wù)比較多所以方法也如此，最基本的就是Exp提權(quán)，數(shù)據(jù)庫(kù)SQLServer、MYSQLUDF等、第三方軟件提權(quán)。除此之外提權(quán)的成功與否和在于信息收集也非常重要，你對(duì)這臺(tái)服務(wù)器和管理員了解多少。windows權(quán)限提升(二)LinuxLinux也是類似，除了EXP或者高版本的內(nèi)核無法提權(quán)之外，通過第三方軟件和服務(wù)，除了提權(quán)也可以考慮把這臺(tái)機(jī)器當(dāng)跳版,達(dá)到先進(jìn)入內(nèi)網(wǎng)安全防線最弱的地方尋找有用的信息，再迂回戰(zhàn)術(shù)。linux權(quán)限提升Brief枚舉腳本以root權(quán)限運(yùn)行的程序用戶安裝的軟件弱口令或者明文密碼只能內(nèi)部訪問的服務(wù)suid和guid錯(cuò)誤配置濫用sudo權(quán)限以root權(quán)限運(yùn)行的腳本文件錯(cuò)誤的路徑配置計(jì)劃任務(wù)未掛載的文件系統(tǒng)NFS共享通過鍵盤記錄儀竊取密碼其它有用的和提權(quán)相關(guān)的東西內(nèi)核提權(quán)列舉出您所知道的所有開源組件高危漏洞(十個(gè)以上)TomcatNginxApacheHadhoopDockerJenkinsZenossJbossMongoDBRedisGlassFish反彈shell的常用命令？一般常反彈哪一種shell？為什么？nc-lvvp7777-e/bin/bashbash是交互式,否則像useradd無法執(zhí)行交互CMD命令行如何查詢遠(yuǎn)程終端開放端口tasklist/svcnetstat-ano服務(wù)器為IIS+PHP+MySQL，發(fā)現(xiàn)root權(quán)限注入漏洞，講講你的滲透思路可以讀取IIS信息，知道路徑,如果像WAMMP類似構(gòu)建，通過@@datadir知道數(shù)據(jù)庫(kù)路徑也可以猜測(cè)網(wǎng)站路徑?；蛘咧苯訉慡hell請(qǐng)寫出Mysql5數(shù)據(jù)庫(kù)中查詢庫(kù)’helloworld’中’users’表所有列名的語(yǔ)句selectCOLUMN_NAMEfrominformation_schema.COLUMNSwheretable_name='your_table_name'andtable_schema='your_db_name';下面這段代碼存在漏洞嗎？如果存在請(qǐng)說出存在什么漏洞并利用/1.php<?php$s_func=$_GET['s_func'];$info=$_GET['info'];$s_func($info);?>代碼執(zhí)行,通過assert調(diào)用udf提權(quán)MySQL可以自定義函數(shù),通過自定義函數(shù)做到類似xp_cmdshell效果SQL頭注入點(diǎn)UserAgentRefererCookieX-FOR-IPphp中命令執(zhí)行涉及到的函數(shù)eval()assert()system()exec()shell_exec()SSRF漏洞的成因防御繞過模擬服務(wù)器對(duì)其它資源進(jìn)行請(qǐng)求IP探測(cè)，如果想漏洞利用必需要構(gòu)造好Payload禁止跳轉(zhuǎn)，限制協(xié)議，內(nèi)外網(wǎng)限制，URL限制針對(duì)IP格式mysql寫shell有幾種方法outfile、dumpfile、開啟log寫webshellMetasploit打開反向監(jiān)聽的命令useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_tcp應(yīng)急響應(yīng)的步驟1.準(zhǔn)備已經(jīng)編譯好的工具以及取證分析等工具干凈可靠放U盤2.初步判斷事件的類型，是被入侵、ddos還是其它的原因3.首先抑制范圍、影響范圍，隔離使受害面不繼續(xù)擴(kuò)大。4.尋找原因，封堵攻擊源。5.把業(yè)務(wù)恢復(fù)至正常水平6.監(jiān)控有無異常，報(bào)告、管理環(huán)節(jié)的自省和改進(jìn)措施。有哪些反向代理的工具?reGeirg、EW、lcx、Ngrok、frp有什么比較曲折的滲透經(jīng)歷這個(gè)問題想知道你工作滲透到什么樣的程度，只是簡(jiǎn)單的漏掃搬磚，還是有毅力堅(jiān)持完成整個(gè)滲透，如：對(duì)目標(biāo)不放棄，堅(jiān)持一個(gè)月最終通過各種手段，曲折的過程拿下目標(biāo)。怎么查找域控?方法有很多?1.通過DNS查詢?dig-tSRV_gc._?dig-tSRV_ldap._?dig-tSRV_kerberos._?dig-tSRV_kpasswd._?2.端口掃描?域服務(wù)器都會(huì)開啟389端口，所以可以通過掃描端口進(jìn)行識(shí)別。?3.其實(shí)很多域環(huán)境里，DNS服務(wù)器就是域控制根本不需要怎么找。?4.各種命令?dsquery