网安面经收集

Appearance

密码

  1. 对非对称加密的了解
  • RSA
  • ECC
  • Elgamal
  • 背包算法
  1. 对称加密的了解
  • DES
  • AES
  • 3DES
  • RC4
  1. DES的加密过程

    DES(数据加密标准)的加密过程包括以下几个步骤:
  • 明文分组:将明文按64位分组。
  • 初始置换(IP):对每个分组进行一个固定的初始置换。
  • 16轮Feistel结构:每轮操作包括以下步骤:
    • 分组:将置换后的分组分为左右各32位。
    • 轮函数(F函数):对右边的32位进行扩展置换(E),与子密钥进行异或操作,经过S盒替换,最后通过置换P得到输出。
    • 交换:将轮函数的输出与左边32位异或,并交换左右两部分。
  • 逆初始置换(IP-1):经过16轮操作后,进行逆初始置换得到密文。

红队思路

渗透测试

  1. 渗透测试的流程?
  • 单一网站:先判断有无CDN,有先找真实IP,无的话扫旁站,C段,此外识别CMS,查看使用的中间件、插件、系统等,再进行端口探测、目录扫描,检查网站的JS文件,查找敏感信息,扩大资产面(如查找APP、公众号等),然后对收集的信息进行常规漏洞探测。
  • 网段或区域:使用Goby工具对资产进行批量扫描,批量打点,然后对可能存在漏洞的薄弱点进行漏洞探测。
  1. 渗透实际场景:假设发现一个输入手机号的位 置,点击发送验证码可能会发现什么漏洞
  2. 短信轰炸(短信资源消耗)
  3. 短信验证码转发/劫持
  4. 任意验证码(比如123456,000000)
  5. 验证码不失效或可无限次尝试爆破(四位数验证码多线程一般15分钟爆破完,6位数要一个半小时)

外网打点

  1. CS防溯源
  • 修改CS默认证书
  • 域名上线走CDN
  1. 描述外网打点的流程?
  • 靶标确认、信息收集、漏洞探测、漏洞利用、权限获取。最终目标是获取靶标的系统权限或关键数据。信息收集是最重要的环节,掌握的靶标情报越多,后续攻击方式越多。例如:钓鱼邮件、Web漏洞、边界网络设备漏洞、弱口令等。
  1. 举几个FOFA在外网打点过程中的使用小技巧?
  • 后台挖掘:title="后台" && body="password" && host="x.cn"
  • 子域名:title != '404' && title != '302' && host='x.cn'
  • C段:ip='x.x.x.x/24' && host='x.cn'
  • 框架特征:body='icon-spring-boot-admin.svg'
  • 漏洞:body='index/of'(列目录漏洞)
  1. 如何识别CDN?
  • 通过ping命令,查看回显情况
  • 使用nslookup查询,看返回的域名解析情况
  • 使用超级ping工具,如“all-tool.cn/tools/ping”查看IP结果
  1. 邮件钓鱼的准备工作有哪些?
  • 钓鱼邮件是一种伪造邮件,利用伪装的电子邮件欺骗收件人点击恶意URL或下载带恶意程序的可执行文件。
  • 准备工作:
    1. 确定邮件钓鱼的形式(链接、文件)
    2. 收集目标相关的邮箱
    3. 编写钓鱼邮件文案
    4. 使用匿名邮箱
    5. 进行木马免杀测试、搭建钓鱼站点
    6. 反溯源措施
  1. 判断出靶标的CMS,对外网打点有什么意义?
  • 判断当前使用的CMS是否存在Nday漏洞,尝试利用公开的POC、EXP进行测试。
  • 根据CMS特征关联同CMS框架站点,进行敏感备份文件扫描,尝试从CMS源码进行代码审计,挖掘潜在漏洞。
  1. 如何建立隐藏用户?
  • 建立隐藏用户:net user test$ 123456 /add
  • 将用户添加到管理员组:net localgroup administrators test$ /add
  1. 无法连接服务器3389端口的几种情况?
  • 3389端口处于关闭状态
  • 远程桌面默认端口号被修改
  • 防火墙拦截
  • 处于内网环境
  • 超过了服务器最大的连接数
  • 管理员设置了权限,指定用户才能通过3389端口进行远程桌面访问
  1. 为什么Mysql数据库的站点,无法连接?
  • 站库分离
  • 3306端口未对外开放
  • Mysql默认端口被修改
  1. 文件上传功能的监测点有哪些?
  • 客户端JavaScript检测(文件后缀名检测)
  • 服务端检测(MIME类型检测、文件后缀名、文件格式头)
    • 服务端MIME类型检测是通过检查HTTP包的Content-Type字段中的值来判断上传文件是否合法。
  1. 常见的未授权访问漏洞有哪些?
  • MongoDB未授权访问漏洞
  • Redis未授权访问漏洞
  • Memcached未授权访问漏洞
  • JBOSS未授权访问漏洞
  • VNC未授权访问漏洞
  • Docker未授权访问漏洞
  • Zookeeper未授权访问漏洞
  • Rsync未授权访问漏洞
  1. 正向shell和反向shell的区别是什么?
  • 正向shell:攻击者连接被攻击机器,可用于攻击者处于内网,被攻击者处于公网。
  • 反向shell:被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者在内网。
  1. 正向代理和反向代理的区别?
  • 正向代理:处于客户端和原始服务器之间的服务器,代理客户端向外部资源(如Google、Baidu)发送请求并获取内容,客户端需要进行设置。
  • 反向代理:代理服务器端,接收客户端请求并转发到内部服务器,客户端无需设置,只需将反向代理服务器视为目标服务器即可。
  1. 常见的端口号?攻击点?
  • FTP(20、21):匿名上传下载、嗅探、爆破
  • SSH(22):爆破
  • Telnet(23):嗅探、爆破
  • SQL Server(1433):注入、弱口令、爆破
  • Oracle数据库(1521):注入、弱口令、爆破
  • WebLogic(7001):Java反序列化、弱口令
  • Redis数据库(6379):未经授权、弱口令爆破
  • JBOSS、Tomcat(8080):反序列化、控制台弱口令
  • Zabbix(8069):远程执行、SQL注入
  1. 一般情况下,那些漏洞会被高频用于打点?
  • Apache Shiro相关漏洞
  • Log4j漏洞
  • 上传漏洞
  • 边界网络设备资产+弱口令
  • Fastjson漏洞
    • 优先利用Java反序列化漏洞(如Shiro、Fastjson、WebLogic、用友OA等),因为JavaWeb程序运行通常具有高权限,部分可能会降权。
  1. 熟悉WebShell免杀吗,讲下原理
  • 通过重构API、加壳、特征码定位、白名单PHP-CGI、Powershell的Base64加密、改函数名、改编码方式、多次混淆编码、GitHub混淆器项目等方法实现WebShell免杀。
  1. 结合CS,MSF的其他免杀
  • 利用CS和MSF结合,使用不同的免杀方法,如自定义编写Payload、加壳工具、加密编码、混淆技术等,提升免杀效果。

信息搜集

给一个域名,怎么信息收集
微步、社工,这里我套用了钓鱼邮件谋篇文章里的溯源反制

  • 通过各种威胁情报平台判断IP,和一些其他的信息。
  • 通过sgk来进一步获取红队数据。
  • 有时候红队发来的链接中的ip可能会开启其他服务,比如说灯塔。这个时候大概率可能就是红队。
  • 有域名的话直接域名反查,查域名的注册信息。如果能查找手机号邮箱,直接sgk一下子就出来 了。
  • 查SSL证书
  • IP定位 对附件病毒文件,逆向分析红队物理路径信息。可能会暴漏用户ID
  • 反社工,诱导对方提供攻击样本和链接
  1. 信息收集的流程?信息怎么做字典?
  • 信息收集流程:目标确定 -> 公开信息收集 -> 子域名收集 -> 端口扫描 -> 服务探测 -> 漏洞扫描 -> 资产梳理。
  • 字典制作:通过对目标的域名、子域名、邮箱、用户名、默认密码等信息进行收集整理,形成字典文件,用于后续的攻击测试。
  1. 免杀的方法
  • 重构API
  • 加壳
  • 特征码定位
  • 白名单PHP-CGI
  • Powershell的Base64加密
  • 改函数名
  • 改编码方式
  • 多次混淆编码
  • GitHub混淆器项目联用
  1. 提权的方法
  • EXP提权
  • 第三方提权
  • 令牌提权
  1. 反序列化漏洞为什么在渗透中非常好用?
  • 反序列化漏洞可以直接通过恶意输入执行代码,获取系统权限。例如ThinkPHP、WebLogic等反序列化漏洞可以直接Getshell,非常实用。
  1. 判断一个网站是否存在CDN,能否找到他的真实IP?
  • 判断CDN:通过ping命令查看回显、使用nslookup查询、超级ping工具查看IP结果。
  • 找到真实IP:使用子域名、内部邮件、黑暗引擎搜索、国外ping、证书及DNS查询、APP抓包、配置不当泄露、全网扫描、DOS攻击等方法。
  1. 如何绕过卡巴斯基?
  • 使用免杀技术,如加壳、重编码、混淆等方法,绕过卡巴斯基的检测。
  • 利用特定的漏洞或攻击手法,避开杀毒软件的检测范围。
  1. WebShell下几乎不能使用Powershell,说出原理和如何进行绕过?
  • 原理:WebShell环境下,Powershell执行可能被限制或监控。
  • 绕过方法:通过Base64编码执行Powershell命令、使用其他脚本语言(如Python)、将Powershell脚本嵌入其他执行文件中。
  1. xp_cmdshell报错怎么办?遇到深信服的EDR怎么办?
  • xp_cmdshell报错:检查权限设置、启用xp_cmdshell、使用SQL Server代理执行命令。
  • 深信服EDR:绕过EDR监控,如使用免杀技术、异步执行命令、分块传输数据等方法。
  1. 渗透测试流程有什么?
  • 确定目标 -> 信息收集 -> 端口扫描 -> 服务探测 -> 漏洞扫描 -> 漏洞利用 -> 权限提升 -> 维持访问 -> 数据导出 -> 清理痕迹。
  1. CDN和DNS区别?CDN绕过思路?
  • CDN(内容分发网络):让用户就近访问网络资源,提高响应速度,降低网络拥堵。
  • DNS(域名服务器):将域名翻译成IP地址。
  • CDN绕过思路:子域名、内部邮件、黑暗引擎搜索、国外ping、证书及DNS查询、APP抓包、配置不当泄露、全网扫描、DOS攻击等。
  1. WAF绕过的手法你知道哪些?多种漏洞
  • 从架构层面:找到服务器真实IP,同网段绕过,HTTP和HTTPS同时开放服务绕过,边缘资产漏洞利用绕过。
  • 从协议层面:分块延时传输、利用Pipeline绕过、利用协议未覆盖绕过、POST及GET提交绕过。
  • 从规则层面:编码绕过、等价符号替换绕过、普通注释和内嵌注释、缓冲区溢出、MySQL黑魔法、白名单及静态资源绕过、文件格式绕过、参数污染。
  1. 命令无回显如何解决?
  • 使用延时判断
  • HTTP请求监听
  • DNSlog利用
  • 将结果写入当前目录文件并下载查看等方法。
  1. 内网检测出MS17-010但打不进去怎么办?
  • 检查目标系统是否已打补丁
  • 尝试不同的EXP
  • 使用其他漏洞结合攻击
  • 使用社工手段提升权限