《网络安全面试总结》--内网+web 典型漏洞问题

网络安全面试题目

Web安全

web 典型漏洞问题

1.讲诉一些近期及有代表性的漏洞

• Microsoft Exchange .Net反序列化远程代码执行(CVE-2020-0688)：该漏洞是由于Exchange控制面板（ECP）组件中使用了静态密钥validationKey和decryptionKey。
• Apache Tomcat 文件包含漏洞(CVE-2020-1938)：默认情况下,Tomcat会开启AJP连接器, Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的请求,可以读取或者包含Web根目录下的任意文件,配合文件上传，将导致任意代码执行(RCE)。
• Weblogic IIOP反序列化漏洞（CVE-2020-2551）：weblogic核心组件中IIOP协议，通过该协议对存在漏洞的WebLogic进行远程代码执行的攻击。Apache Solr远程代码执行（CVE-2019-12409）：默认配置文件solr.in.sh,在其配置文件中ENABLE_REMOTE_JMX_OPTS字段默认配置不安全.如果使用默认配置,将启用JMX监视服务并将对公网监听18983的RMI端口,无需任何验证,配合JMXRMI远程代码执行。
• SHIRO-550 反序列化漏洞：shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。AES的密钥是硬编码在代码里，就导致了反序列化的RCE漏洞。
• SHIRO-721反序列化漏洞：不需要key，利用PaddingOracle Attack构造出RememberMe字段后段的值结合合法的RememberMe cookie即可完成攻击。
• 泛微Ecology OA SQL注入漏洞：validate.jsp接口的SQL注入，/cpt/manage/validate.jsp。泛微ecology OA系统接口存在数据库配置信息泄露：/mobile/dbconfigreader.jsp,直接访问该页面将为DES加密以后的乱码,使用DES算法结合硬编码的key进行解密。
• Confluence 本 地 文 件 泄 露 漏 洞 (CVE-2019-3394)catalina.jar中的org.apache.catalina.webresources.StandardRoot.class的getResource方法的validate存在过滤和限制，所以可遍历路径均在/WEB-INF下。
• Apache Dubbo反序列化漏洞（CVE-2019-17564）：当HTTP remoting 开启的时候，存在反序列化漏洞。

2.python有哪些框架，其中出现过哪些漏洞？

• flask的模板注入 模板注入和常见Web注入的成因一样，也是服务端接收了用户的输入，将其作为 Web 应用模板内容的一部分，在进行目标编译渲染的过程中，执行了用户插入的恶意内容，因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 模板字符串中字符串拼接或替换可能会导致敏感信息泄露，获取变量值 如果开发者在flask使用字符串格式化，来将用户输入动态地加入到模板字符串中，而不是通过render_template_string函数，该函数不会对输入进行实体转义将URL传递进入模板内容当中，会导致xss的产生。 还可以利用模板中html标签属性字段绕过xss过滤。
• Django出现过目录遍历漏洞

内网

基础问题

1.拿到webshell不出网情况下怎么办？

reg上传去正向连接。探测出网协议，如dns，icmp。

2.3389端口无法连接的几种情况？
1.3389关闭状态，2.端口修改，3.防火墙连接，4.处于 内网环境，5.超过了服务器最大连接数，6.管理员设置 权限，指定用户登录。

3.对于不能直接上传而且只能通过命令行执行的shell，应该怎么办？

• 使用bitsadmin 进行下载
• 使用powershell 进行下载
• 使用certutil 进行下载
• 使用WGET 进行下载
• 参考文章https://blog.csdn.net/weixin_42918771/article/details/110394116

4.shiro不出网怎么利用？

• 定位Web目录写入文件
• 构造回显
• 内存马
• 时间延迟获取Web路径写入webshell

5.横向渗透命令执行手段 ？

• psexec，wmic，smbexec，winrm，net use 共享+计划任务+type命令。

6.psexec和wmic或者其他的区别？

• psexec会记录大量日志，wmic不会记录下日志。wmic更为隐蔽

7.内网抓取密码的话会怎么抓？

• procdump+mimikatz 转储然后用mimikatz离线读取

8.操作系统什么版本之后抓不到密码？抓不到怎么办？

• windows server 2012之后
• 方法：
  • 翻阅文件查找运维等等是否记录密码。
  • 或者hash传递。
  • 或者获取浏览器的账号密码等等。

9.桌面有管理员会话，想要做会话劫持怎么做？

• 提权到system权限，然后去通过工具，就能够劫持任何处于已登录用户的会话，而无需获得该用户的登录凭证。

10.内网渗透思路？

• 代理穿透
• 权限维持
• 内网信息收集
• 口令爆破
• 凭据窃取
• 社工横行和纵向渗透
• 拿下域控

11.当前机器上有一个密码本，但加密了，应该怎么办？

• 使用hashcat或者其他密码爆破工具进行爆破。

12.Windows权限维持？Linux权限维持？

• 参考文章
  • windows: https://xz.aliyun.com/t/8095
  • linux: https://xz.aliyun.com/t/7338

13.代理转发常用的工具有哪些？

• frp
• Neo-reGeorg
• ssf
• ew
• Venom

14.目标机器ping不通外网，没有办法走网络层协议，如何搭建隧道?

• 搭建基于webshell的内网隧道：Neo-reGeorg、pystinger

15.正向Shell和反向Shell的区别是什么？

• 正向shell：攻击者连接被攻击机器，可用于攻击者处于内网，被攻击者处于公网的情况。
• 反向shell：被攻击者主动连接攻击者，可用于攻击者处于外网，被攻击者处于内网的情况。

16.向代理和反向代理的区别？

• 正向代理：当客户端无法访问外部资源的时候(例如goolge，youtube)，可以通过一个正向代理去间接的访问。
  • 打个比方：A向C借钱，由于一些情况不能直接向C借钱，于是A想了一个办法，他让B去向C借钱，这样B就代替A向C借钱，A就得到了C的钱，C并不知道A的存在，B就充当了A的代理人的角色。
• 反向代理：客户端时无感知代理的存在，以代理服务器来接收internet上的连接，然后将请求转发给内部网络上的服务器，并从服务器上得到的结果返回给internet上请求连接的客户端。
  • 再次打个比方：A向B借钱，B没有拿自己的钱，而是悄悄地向C借钱，拿到钱之后再交给A,A以为是B的钱，他并不知道C的存在。

在内网渗透中，正反向代理可以这样回答

正向代理：已控服务器监听端口，通过这个端口形成一个正向的隧道，由代理机器代替主机去访问内网目标。但是内网入口一般处于DMZ区域有防火墙拦截，无法直接进入内网环境。

反向代理：由内网主机主动交出权限到代理机器，然后本地去连接形成反向代理。例如：VPS监听本地端口，已控内网服务器来连接此端口，形成一个隧道。如果内网设备连接外网，就无法回弹只能再想其他办法。

17.windows和Linux查看开放端口和运行服务的命令？

• windows：查看端口使用情况【netstat -ano】，查看运行的服务【 net start】
• Linux：查看本机开放端口【netstat -tuln】，查看当前所有运行的服务【service --status-all | grep running】

18.windows中下载文件的命令有哪些？

• certutil，bitsadmin，powershell，copy
• 参考文章：winodws下载执行命令大全：https://xz.aliyun.com/t/1654

19.windows提权的方法及思路？

• 系统内核溢出提权；
• 数据库提权；
• 错误的系统配置提权；
• DLL劫持提权；
• 特权第三方软件or服务提权；
• 令牌窃取提权；
• web中间件漏洞提权；
• AT，SC，PS提权等等；

20.Linux提权的思路及方法有哪些？

• 系统内核溢出提权；
• SUID和GUID提权；
• 不安全的环境变量提权；
• 定时任务提权；
• 数据库提权等

21.反弹 shell 的常用命令？一般常反弹哪一种 shell？为什么？

• nc -lvvp 7777 -e /bin/bash
• bash是交互式,否则像useradd无法执行交互

22.CMD命令行如何查询远程终端开放端口

• tasklist /svc
• netstat -ano

23.Dcom怎么操作？

• 通过powershell执行一些命令，命令语句比较复杂，不记得了

24.桌面有管理员会话，想要做会话劫持怎么做？

• 提权到system权限，然后去通过工具，就能够劫持任何处于已登录用户的会话，而无需获得该用户的登录凭证。

25.pth，ptt，ptk区别？

• 参考文章：https://blog.csdn.net/Waffle666/article/details/120268915

内网免杀相关问题