1.讲诉一些近期及有代表性的漏洞
Microsoft Exchange .Net反序列化远程代码执行(CVE-2020-0688):该漏洞是由于Exchange控制面板(ECP)组件中使用了静态密钥validationKey和decryptionKey。 Apache Tomcat 文件包含漏洞(CVE-2020-1938):默认情况下,Tomcat会开启AJP连接器, Tomcat在AJP协议的实现上存在漏洞,导致攻击者可以通过发送恶意的请求,可以读取或者包含Web根目录下的任意文件,配合文件上传,将导致任意代码执行(RCE)。 Weblogic IIOP反序列化漏洞(CVE-2020-2551):weblogic核心组件中IIOP协议,通过该协议对存在漏洞的WebLogic进行远程代码执行的攻击。Apache Solr远程代码执行(CVE-2019-12409):默认配置文件solr.in.sh,在其配置文件中ENABLE_REMOTE_JMX_OPTS字段默认配置不安全.如果使用默认配置,将启用JMX监视服务并将对公网监听18983的RMI端口,无需任何验证,配合JMXRMI远程代码执行。 SHIRO-550 反序列化漏洞:shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。AES的密钥是硬编码在代码里,就导致了反序列化的RCE漏洞。 SHIRO-721反序列化漏洞:不需要key,利用PaddingOracle Attack构造出RememberMe字段后段的值结合合法的RememberMe cookie即可完成攻击。 泛微Ecology OA SQL注入漏洞:validate.jsp接口的SQL注入,/cpt/manage/validate.jsp。泛微ecology OA系统接口存在数据库配置信息泄露:/mobile/dbconfigreader.jsp,直接访问该页面将为DES加密以后的乱码,使用DES算法结合硬编码的key进行解密。 Confluence 本 地 文 件 泄 露 漏 洞 (CVE-2019-3394)catalina.jar中的org.apache.catalina.webresources.StandardRoot.class的getResource方法的validate存在过滤和限制,所以可遍历路径均在/WEB-INF下。 Apache Dubbo反序列化漏洞(CVE-2019-17564):当HTTP remoting 开启的时候,存在反序列化漏洞。 2.python有哪些框架,其中出现过哪些漏洞?
flask的模板注入 模板注入和常见Web注入的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。 模板字符串中字符串拼接或替换可能会导致敏感信息泄露,获取变量值 如果开发者在flask使用字符串格式化,来将用户输入动态地加入到模板字符串中,而不是通过render_template_string函数,该函数不会对输入进行实体转义将URL传递进入模板内容当中,会导致xss的产生。 还可以利用模板中html标签属性字段绕过xss过滤。 Django出现过目录遍历漏洞 1.拿到webshell不出网情况下怎么办?
reg上传去正向连接。探测出网协议,如dns,icmp。
2.3389端口无法连接的几种情况?
3.对于不能直接上传而且只能通过命令行执行的shell,应该怎么办?
使用bitsadmin 进行下载 使用powershell 进行下载 使用certutil 进行下载 使用WGET 进行下载 参考文章https://blog.csdn.net/weixin_42918771/article/details/110394116 4.shiro不出网怎么利用?
定位Web目录写入文件 构造回显 内存马 时间延迟获取Web路径写入webshell 5.横向渗透命令执行手段 ?
psexec,wmic,smbexec,winrm,net use 共享+计划任务+type命令。 6.psexec和wmic或者其他的区别?
psexec会记录大量日志,wmic不会记录下日志。wmic更为隐蔽 7.内网抓取密码的话会怎么抓?
procdump+mimikatz 转储然后用mimikatz离线读取 8.操作系统什么版本之后抓不到密码?抓不到怎么办?
windows server 2012之后 方法:
翻阅文件查找运维等等是否记录密码。 或者hash传递。 或者获取浏览器的账号密码等等。 9.桌面有管理员会话,想要做会话劫持怎么做?
提权到system权限,然后去通过工具,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。 10.内网渗透思路?
代理穿透 权限维持 内网信息收集 口令爆破 凭据窃取 社工横行和纵向渗透 拿下域控 11.当前机器上有一个密码本,但加密了,应该怎么办?
12.Windows权限维持?Linux权限维持?
参考文章
windows: https://xz.aliyun.com/t/8095 linux: https://xz.aliyun.com/t/7338 13.代理转发常用的工具有哪些?
14.目标机器ping不通外网,没有办法走网络层协议,如何搭建隧道?
搭建基于webshell的内网隧道:Neo-reGeorg、pystinger 15.正向Shell和反向Shell的区别是什么?
正向shell:攻击者连接被攻击机器,可用于攻击者处于内网,被攻击者处于公网的情况。 反向shell:被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者处于内网的情况。 16.向代理和反向代理的区别?
正向代理:当客户端无法访问外部资源的时候(例如goolge,youtube),可以通过一个正向代理去间接的访问。
打个比方:A向C借钱,由于一些情况不能直接向C借钱,于是A想了一个办法,他让B去向C借钱,这样B就代替A向C借钱,A就得到了C的钱,C并不知道A的存在,B就充当了A的代理人的角色。 反向代理:客户端时无感知代理的存在,以代理服务器来接收internet上的连接,然后将请求转发给内部网络上的服务器,并从服务器上得到的结果返回给internet上请求连接的客户端。
再次打个比方:A向B借钱,B没有拿自己的钱,而是悄悄地向C借钱,拿到钱之后再交给A,A以为是B的钱,他并不知道C的存在。 在内网渗透中,正反向代理可以这样回答
正向代理 :已控服务器监听端口,通过这个端口形成一个正向的隧道,由代理机器代替主机去访问内网目标。但是内网入口一般处于DMZ区域有防火墙拦截,无法直接进入内网环境。
反向代理 :由内网主机主动交出权限到代理机器,然后本地去连接形成反向代理。例如:VPS监听本地端口,已控内网服务器来连接此端口,形成一个隧道。如果内网设备连接外网,就无法回弹只能再想其他办法。
17.windows和Linux查看开放端口和运行服务的命令?
windows:查看端口使用情况【netstat -ano】,查看运行的服务【 net start】 Linux:查看本机开放端口【netstat -tuln】,查看当前所有运行的服务【service --status-all | grep running】 18.windows中下载文件的命令有哪些?
certutil,bitsadmin,powershell,copy 参考文章:winodws下载执行命令大全:https://xz.aliyun.com/t/1654 19.windows提权的方法及思路?
系统内核溢出提权; 数据库提权; 错误的系统配置提权; DLL劫持提权; 特权第三方软件or服务提权; 令牌窃取提权; web中间件漏洞提权; AT,SC,PS提权等等; 20.Linux提权的思路及方法有哪些?
系统内核溢出提权; SUID和GUID提权; 不安全的环境变量提权; 定时任务提权; 数据库提权等 21.反弹 shell 的常用命令?一般常反弹哪一种 shell?为什么?
nc -lvvp 7777 -e /bin/bash bash是交互式,否则像useradd无法执行交互 22.CMD命令行如何查询远程终端开放端口
tasklist /svc netstat -ano 23.Dcom怎么操作?
通过powershell执行一些命令,命令语句比较复杂,不记得了 24.桌面有管理员会话,想要做会话劫持怎么做?
提权到system权限,然后去通过工具,就能够劫持任何处于已登录用户的会话,而无需获得该用户的登录凭证。 25.pth,ptt,ptk区别?
参考文章:https://blog.csdn.net/Waffle666/article/details/120268915