面试题
1 自我解释
学校,专业,经历,爱好,最好按照简历来说
2 常见数据库端口
关系型数据库
Oracle --- 1521
MySQL --- 3306
SQL Server --- 1433
Sybase --- 5000
DB2 --- 5000
PostgreSQL --- 5432
NOSQL数据库
MongoDB --- 27017
Redis --- 6379
Memcached --- 11211
原文链接:https://blog.csdn.net/wangnan537/java/article/details/51819520
3
SQL注射能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一样,SQL语法允许数据库命令和用户数据混杂在一起的。如果开发人员不细心的话,用户数据就有可能被解释成命令, 这样的话,远程用户就不仅能向Web应用输入数据,而且还可以在数据库上执行任意命令了。
0x01 大小写绕过
0x02 宽字节注入
0x03 正则替换绕过
0x04 二次urldecode注入
0x05 十六进制绕过
0x06 空格绕过
0x07 注释符绕过
0x08 逗号绕过
0x09 比较符号绕过
参考:https://uuzdaisuki.com/2018/04/01/sql%E6%B3%A8%E5%85%A5%E4%B8%AD%E7%9A%84%E4%B8%80%E4%BA%9B%E7%BB%95%E8%BF%87%E6%96%B9%E6%B3%95/
一、严格的数据类型
在Java,C#等高级语言中,几乎不存在数字类型注入,而对于PHP,ASP等弱类型语言,就存在了危险。
防御数字型注入相对简单,如果不需要输入字符型数据,则可以用is_numeric()、ctype_digit()等函数判断数据类型。
二、特殊字符转义
字符型注入一般需要单引号闭合,首先想到的应对方法,就是字符转义。
在PHP中可用addslashes()函数进行转义字符,可以将单双引号、反斜线及NULL加上反斜线转义。还可以通过过滤关键字,如:select,union select , order by ,information, table,等等。
在特殊字符转义时,还有另一种更加难以防范的sql注入:二次注入攻击。
我们写入数据 admin',会变成 admin\',但是在插入的数据库时是不带有反斜杠的, 也就是说数据库中的数据还是 admin',这样的话,如果这个网站有另一个地方查询这个字段的内容,就造成了二次注入攻击。
三、使用预编译语句
预编译技术可以有效的防御sql注入,我开发是个弱鸡,就不细细讲解了。
采用预编译技术要注意,不要使用动态拼接sql语句。
简单来说,动态拼接语句就是字符串连接变量的意思,如:
变量="select.......where id = "+变量;
总之,在存在sql语句的代码中,一定要谨慎,最好不要用动态拼接SQL语句。
参考:https://www.cnblogs.com/whitehawk/p/9880184.html
在php手册中'PDO--预处理语句与存储过程'下的说明:
很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。预处理语句可以带来两大好处:
查询仅需解析(或预处理)一次,但可以用相同或不同的参数执行多次。当查询准备好后,数据库将分析、编译和优化执行该查询的计划。对于复杂的查询,此过程要花费较长的时间,如果需要以不同参数多次重复相同的查询,那么该过程将大大降低应用程序的速度。通过使用预处理语句,可以避免重复分析/编译/优化周 期。简言之,预处理语句占用更少的资源,因而运行得更快。
提供给预处理语句的参数不需要用引号括起来,驱动程序会自动处理。如果应用程序只使用预处理语句,可以确保不会发生SQL 注入。(然而,如果查询的其他部分是由未转义的输入来构建的,则仍存在 SQL 注入的风险)。
预处理语句如此有用,以至于它们唯一的特性是在驱动程序不支持的时PDO 将模拟处理。这样可以确保不管数据库是否具有这样的功能,都可以确保应用程序可以用相同的数据访问模式。
PHP使用了PDO还可能存在sql注入的情况
第一种情况
Pdo 直接使用 query 或者 exec 来执行 sql 语句时,不经过预编译,直接执行,所以没有起到防注入的作用。
第二种情况
在 sql 语句预编译之前,修改了 sql 语句。
PDO 预编译,预先编译一下,php 会把 sql 语句先放到数据库去执行一下。
所以说,就算污染了 sql 语句,导致在预编译之后,无法传入变量,执行语句也没关系.因为在预编译之时,sql 语句已经被执行了。
第三种情况
PHP Pdo 本地模拟 sql 预编译,可能存在宽字节注入。
参考:https://cloud.tencent.com/developer/article/1180847
4 .Mysql写Webshell有几种方式,利用条件
select ... into outfile
需要满足的条件
对web目录有写权限
GPC关闭(GPC:是否对单引号转义)
有绝对路径(读文件可以不用,写文件需要)
没有配置secure-file-priv
general_log
需要满足的条件
对web目录有写权限
GPC关闭(GPC:是否对单引号转义)
有绝对路径(读文件可以不用,写文件需要)
需要能执行多行SQL语句
参考:https://www.cnblogs.com/jerrylocker/p/10890128.html
5 Mysql4和5的区别
mysql5可以用存储过程。
6 SQL注入的分类,盲注,盲注函数,报错注入原理,函数,如果过滤了单引号,怎么绕过
分类:
1、常见的sql注入按照参数类型可分为两种:数字型和字符型。
2、也可以根据数据库返回的结果,分为回显注入、报错注入、盲注。
3、按照注入位置及方式不同分为:post注入,get注入,cookie注入,盲注,延时注入,搜索注入,base64注入,无论此种分类如何多,都可以归纳为以上两种形式。
1.floor()
2.extractvalue()
3.updatexml()
4.geometrycollection()
5.multipoint()
6.polygon()
7.multipolygon()
8.linestring()
9.multilinestring()
10.exp()
会使用到引号的地方一般是在最后的where子句中。如下面的一条sql语句,这条语句就是一个简单的用来查选得到users表中所有字段的一条语句:
selectcolumn_namefrominformation_schema.tableswheretable_name="users"
这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。
users的十六进制的字符串是7573657273。那么最后的sql语句就变为了:
selectcolumn_namefrominformation_schema.tableswheretable_name=0x7573657273
参考:
https://www.anquanke.com/post/id/170626
https://uuzdaisuki.com/2018/04/21/sql%E6%B3%A8%E5%85%A5%E7%9B%B2%E6%B3%A8%E6%97%B6%E5%B8%B8%E7%94%A8%E5%87%BD%E6%95%B0/
https://www.cnblogs.com/wangtanzhi/p/12577891.html
https://blog.csdn.net/whatday/article/details/63683187
https://www.jianshu.com/p/48a935b123ce
7.phpmyadmin日志shell
8.OS——shell 原理
原理简述
就是简单的上传一个 cmd shell
使用--os-shell需要的条件
FILE 权限
可写的结对路径
PHP GPC off
参考:https://blog.sari3l.com/posts/8dea0d95/
9. order by 注入
排序。 默认为asc 升序 如在结尾加 desc 则为降序
10.limit注入
limit
LIMIT[位置偏移量,]行数
其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。
11.IIS短文件名漏洞原理和利用
IIS短文件名是一个Windows系统为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。当这种特性被IIS中间件继承后,我们就可以使用短文件名进行目录猜解。
当我们访问一个长名称目录的时候:http://192.168.1.1/administrator
这个administrator目录可以根据Windows 8.3格式简写为admini~1
根据这个上述格式,我们访问/admini~1也可以相当于访问administrator
1. 深入爆破猜测文件全名
2. 结合支持短文件特性软件(Apache、Wordpress)
3. 绕过Basic and Windows认证
https://payloads.online/archivers/2018-04-27/2
https://www.freebuf.com/articles/web/172561.html
12.解析漏洞原理和利用方式
https://blog.csdn.net/qq_34444097/article/details/82810283
13.熟悉的中间件,以及中间件漏洞的利用方式。weblogic,tomcat,thinkphp,struts2,nginx, apache
https://www.freebuf.com/articles/web/192063.html
14.java反序列化漏洞,php反序列化漏洞
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。
1.GET型CSRF利用
2.POST型CSRF利用
一些绕过方法
Token泄露
1.GET型Token泄露
例如页面包含
<img src="http://www.evil.com/"/>
2.POST型Token泄露
利用XSS漏洞获取其Cookie,查看存储在其中的Token
Referer绕过
(1)、利用token
(2)、验证码实现
参考:https://xz.aliyun.com/t/5871#toc-9
17.XSS漏洞原理,分类,利用,绕过,防护,如何绕过http_only
XSS是跨站脚本攻击,属于被动式的攻击。XSS指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。
XSS分类:
反射型: 非持久性XSS攻击,当用户访问已被插入攻击代码的链接时,攻击代码执行,完成该次攻击。
存储型:持久型XSS攻击,攻击者把攻击代码永久存储在目标服务器上中,例如数据库,消息论坛,留言板,访问者日志等。当用户进入页面,代码就会被执行。
DOM 型:DOM型与前两者的差别是,只在客户端进行解析,不需要服务器的解析响应
XSS危害:
盗用cookie,获取敏感信息。(最常见)
在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回一个cookie值存储到客户端(浏览器)。这个cookie值相当于一个令牌,拿着这张令牌就等同于证明了你是某个用户。
如果你的cookie值被窃取,那么攻击者很可能能够直接利用你的这张令牌不用密码就登录你的账户。
劫持流量实现恶意跳转——利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。
改变大小写
关闭标签
使用hex编码绕过
绕过magic_quotes_gpc
利用<>标记注射Html/Javascript
拆分跨站法
原文链接:https://blog.csdn.net/qq_41880069/article/details/80460111
https://blog.csdn.net/free_xiaochen/article/details/82289316
利用HTML5的CORS特性绕过httpOnly的限制实现XSS会话劫持
Apache httponly Cookie泄露
19.文件上传漏洞的原理,绕过,配合解析漏洞
网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护。
1.客户端JavaScript检查
B.文件扩展名检查
C.目录路径的检查
D.检测文件内容是否包含恶意代码
F.解析漏洞
F-2 Apache解析漏洞
在Apache 1.x和Apache 2.x中存在解析漏洞,但他们与IIS解析漏洞不同。
Apache在解析文件时有一个规则:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名位置,如果都不认识,则会暴露其源码,比如文件名为php.rar.xx.aa时Apache首先会解析aa扩展名,如果不认识则接着解析xx扩展名,这样一直遍历到认识的扩展名为止,然后再将其进行解析。
F-3 PHP CGI解析漏洞
在PHP的配置文件中有一个关键的选项:cgi.fi: x_pathinfo,这个选项在某些版本是默认开启的,在开启时访问url,比如:http://www.xxx.com/x.txt/x.php,其中x.php是不存在的文件,所以php将会向前递归解析,于是就造成了解析漏洞。由于这种漏洞常见于IIS7.0、IIS7.5、Nginx等Web服务器,所以经常会被误认为是这些Web服务器的解析漏洞。
F-4 Nginx<8.03空字节代码执行漏洞
影响版本 :0.5,0.6,0.7<=0.7.65 0.8<=0.8.37
Nginx在图片中嵌入PHP代码,然后通过访问xxx.jpg%00.php可以执行其中的代码
20.文件包含漏洞的原理,函数,伪协议
文件包含漏洞原理
程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。在实际WEB应用中,当页眉需要更新时,只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。
开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,在文件包含函数加载的参数没有经过过滤或者严格的定义,可以被用户控制,包含其他恶意文件,导致了执行了非预期的代码。
PHP常见文件包含函数
include()、include_once()、require()、require_once()
include()和require()区别
require 生成一个致命错误(E_COMPILE_ERROR),在错误发生后脚本会停止执行。
include 生成一个警告(E_WARNING),在错误发生后脚本会继续执行
PHP伪协议
php://input(写木马)
php://filter(读文件)
zip://,bzip2://,zlib:// (上传)
data://伪协议
phar://伪协议
21.XXE漏洞,是否复现过,防护(2种)
当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
方案一、使用开发语言提供的禁用外部实体的方法
方案二、过滤用户提交的XML数据
22.SSRF漏洞,是否复现过,,绕过,防护
由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务
0x04 绕过技巧
@
添加端口号
短网址绕过
指向任意IP的域名xip.io
10.0.0.1.xip.io resolves to 10.0.0.1
www.10.0.0.1.xip.io resolves to 10.0.0.1
mysite.10.0.0.1.xip.io resolves to 10.0.0.1
foo.bar.10.0.0.1.xip.io resolves to 10.0.0.1
IP限制绕过
十进制转换 八进制转换 十六进制转换 不同进制组合转换
协议限制绕过
栗子
当url协议限定只为http(s)时,可以利用follow redirect 特性
构造302跳转服务,
结合dict:// file:// gopher://
0x06 SSRF漏洞防御
1、禁用不需要的协议(如:file:///、gopher://,dict://等)。仅仅允许http和https请求
2、统一错误信息,防止根据错误信息判断端口状态
3、禁止302跳转,或每次跳转,都检查新的Host是否是内网IP,直到抵达最后的网址
4、设置URL白名单或者限制内网IP
https://xz.aliyun.com/t/7405#toc-5
23.redis未授权访问,三种方法,防护
什么是Redis未授权访问漏洞?
Redis在默认情况下,会绑定在0.0.0.0:6379。如果没有采取相关的安全策略,比如添加防火墙规则、避免其他非信任来源IP访问等,这样会使Redis服务完全暴露在公网上。如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在访问目标服务器时,可以在未授权的情况下访问Redis以及读取Redis的数据。攻击者在未授权访问Redis的情况下,利用Redis自身的提供的config命令,可以进行文件的读写等操作。攻击者可以成功地将自己的ssh公钥写入到目标服务器的 /root/.ssh文件夹下的authotrized_keys文件中,进而可以使用对应地私钥直接使用ssh服务登录目标服务器。
在crontab里写定时任务,反弹shell
写入ssh公钥,获取操作系统权限
在web目录下写入webshell
Redis未授权访问漏洞的防护
禁止远程使用一些高危命令
低权限运行Redis服务
为Redis添加密码验证
禁止外网访问 Redis
保证authorized_keys文件的安全
https://www.freebuf.com/column/158065.html
https://www.cnblogs.com/ECJTUACM-873284962/p/9561993.html
24.逻辑漏洞,你挖过的,密码重置漏洞
https://www.freebuf.com/vuls/112339.html
25.SSRF无回显如何利用
无回显情况下通过VPS NC监听所有URL Schema存在情况
dnslog
https://xz.aliyun.com/t/6373
26.代码审计,防护常用的函数
https://www.jianshu.com/p/453d641a4ad4
27.APP渗透
http://blog.itpub.net/31542418/viewspace-2658203/
28.如何进行信息收集,收集网站指纹有什么用
https://blog.csdn.net/qq_36119192/article/details/84027438
找已经公开的漏洞,代码审计
29.提权,Win和Linux,mysql
https://blog.csdn.net/qq_38684504/article/details/91359951
浙公网安备 33010602011771号