轉(zhuǎn)載自公眾號：alisrc
本文主要是講解遇到問題的各思路解決方法，不僅可做為面試題查看，在實(shí)操中收到思緒的阻礙也可作為參考.
1、拿到一個(gè)待檢測的站，你覺得應(yīng)該先做什么？1)信息收集1，獲取域名的whois信息,獲取注冊者郵箱姓名電話等。
2，查詢服務(wù)器旁站以及子域名站點(diǎn)，因?yàn)橹髡疽话惚容^難，所以先看看旁站有沒有通用性的cms或者其他漏洞。
3，查看服務(wù)器操作系統(tǒng)版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏洞
4，查看IP，進(jìn)行IP地址端口掃描，對響應(yīng)的端口進(jìn)行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令等。
5，掃描網(wǎng)站目錄結(jié)構(gòu)，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探針
6，google hack 進(jìn)一步探測網(wǎng)站的信息，后臺，敏感文件2）漏洞掃描 開始檢測漏洞，如XSS,XSRF,sql注入，代碼執(zhí)行，命令執(zhí)行，越權(quán)訪問，目錄讀取，任意文件讀取，下載，文件包含， 遠(yuǎn)程命令執(zhí)行，弱口令，上傳，編輯器漏洞，暴力破解等3）漏洞利用 利用以上的方式拿到webshell，或者其他權(quán)限4）權(quán)限提升 提權(quán)服務(wù)器，比如windows下mysql的udf提權(quán)，serv-u提權(quán)，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux臟牛漏洞，linux內(nèi)核版本漏洞提權(quán)，linux下的mysql system提權(quán)以及oracle低權(quán)限提權(quán)5) 日志清理6）
總結(jié)報(bào)告及修復(fù)方案2.判斷出網(wǎng)站的CMS對滲透有什么意義？查找網(wǎng)上已曝光的程序漏洞。如果開源，還能下載相對應(yīng)的源碼進(jìn)行代碼審計(jì)。3.一個(gè)成熟并且相對安全的CMS，滲透時(shí)掃目錄的意義？敏感文件、二級目錄掃描站長的誤操作比如：網(wǎng)站備份的壓縮文件、說明.txt、二級目錄可能存放著其他站點(diǎn)4.常見的網(wǎng)站服務(wù)器容器。IIS、Apache、nginx、Lighttpd、Tomcat5.mysql注入點(diǎn)，用工具對目標(biāo)站直接寫入一句話，需要哪些條件？root權(quán)限以及網(wǎng)站的絕對路徑。6.目前已知哪些版本的容器有解析漏洞，具體舉例。IIS 6.0/xx.asp/xx.jpg "xx.asp"是文件夾名IIS 7.0/7.5默認(rèn)Fast-CGI開啟，直接在url中圖片地址后面輸入/1.php，會把正常圖片當(dāng)成php解析Nginx版本小于等于0.8.37，利用方法和IIS 7.0/7.5一樣，Fast-CGI關(guān)閉情況下也可利用。空字節(jié)代碼 xxx.jpg.phpApache上傳的文件命名為：test.php.x1.x2.x3，Apache是從右往左判斷后綴lighttpdxx.jpg/xx.php，不全7.如何手工快速判斷目標(biāo)站是windows還是linux服務(wù)器？linux大小寫敏感,windows大小寫不敏感。8.為何一個(gè)mysql數(shù)據(jù)庫的站，只有一個(gè)80端口開放？更改了端口，沒有掃描出來。站庫分離。3306端口不對外開放9、3389無法連接的幾種情況沒開放3389 端口端口被修改防護(hù)攔截處于內(nèi)網(wǎng)(需進(jìn)行端口轉(zhuǎn)發(fā))10.如何突破注入時(shí)字符被轉(zhuǎn)義？寬字符注入hex編碼繞過11.在某后臺新聞編輯界面看到編輯器，應(yīng)該先做什么？查看編輯器的名稱版本,然后搜索公開的漏洞。12.拿到一個(gè)webshell發(fā)現(xiàn)網(wǎng)站根目錄下有.htaccess文件，我們能做什么？能做的事情很多，用隱藏網(wǎng)馬來舉例子：插入<FilesMatch “xxx.jpg”> SetHandler application/x-httpd-php .jpg文件會被解析成.php文件。具體其他的事情，不好詳說，建議大家自己去搜索語句來玩玩。13.注入漏洞只能查賬號密碼？只要權(quán)限廣，拖庫脫到老。14.安全狗會追蹤變量，從而發(fā)現(xiàn)出是一句話木馬嗎？是根據(jù)特征碼，所以很好繞過了，只要思路寬，繞狗繞到歡，但這應(yīng)該不會是一成不變的。15.access 掃出后綴為asp的數(shù)據(jù)庫文件，訪問亂碼，如何實(shí)現(xiàn)到本地利用？迅雷下載，直接改后綴為.mdb。16.提權(quán)時(shí)選擇可讀寫目錄，為何盡量不用帶空格的目錄？因?yàn)閑xp執(zhí)行多半需要空格界定參數(shù)17.某服務(wù)器有站點(diǎn)A,B 為何在A的后臺添加test用戶，訪問B的后臺。發(fā)現(xiàn)也添加上了test用戶？同數(shù)據(jù)庫。18.注入時(shí)可以不使用and 或or 或xor，直接order by 開始注入嗎？and/or/xor，前面的1=1、1=2步驟只是為了判斷是否為注入點(diǎn)，如果已經(jīng)確定是注入點(diǎn)那就可以省那步驟去。19:某個(gè)防注入系統(tǒng)，在注入時(shí)會提示：系統(tǒng)檢測到你有非法注入的行為。已記錄您的ip xx.xx.xx.xx時(shí)間:2016:01-23提交頁面:test.asp?id=15提交內(nèi)容:and 1=120、如何利用這個(gè)防注入系統(tǒng)拿shell？在URL里面直接提交一句話，這樣網(wǎng)站就把你的一句話也記錄進(jìn)數(shù)據(jù)庫文件了 這個(gè)時(shí)候可以嘗試尋找網(wǎng)站的配置文件 直接上菜刀鏈接。具體文章參見：http://ytxiao.lofter.com/post/40583a_ab36540。21.上傳大馬后訪問亂碼時(shí)，有哪些解決辦法？瀏覽器中改編碼。22.審查上傳點(diǎn)的元素有什么意義？有些站點(diǎn)的上傳文件類型的限制是在前端實(shí)現(xiàn)的，這時(shí)只要增加上傳類型就能突破限制了。23.目標(biāo)站禁止注冊用戶，找回密碼處隨便輸入用戶名提示：“此用戶不存在”，你覺得這里怎樣利用？先爆破用戶名，再利用被爆破出來的用戶名爆破密碼。其實(shí)有些站點(diǎn)，在登陸處也會這樣提示所有和數(shù)據(jù)庫有交互的地方都有可能有注入。24.目標(biāo)站發(fā)現(xiàn)某txt的下載地址為http://www.test.com/down/down.php?file=/upwdown/1.txt，你有什么思路？這就是傳說中的下載漏洞！在file=后面嘗試輸入index.php下載他的首頁文件，然后在首頁文件里繼續(xù)查找其他網(wǎng)站的配置文件，可以找出網(wǎng)站的數(shù)據(jù)庫密碼和數(shù)據(jù)庫的地址。25.甲給你一個(gè)目標(biāo)站，并且告訴你根目錄下存在/abc/目錄，并且此目錄下存在編輯器和admin目錄。請問你的想法是？直接在網(wǎng)站二級目錄/abc/下掃描敏感文件及目錄。26.在有shell的情況下，如何使用xss實(shí)現(xiàn)對目標(biāo)站的長久控制？后臺登錄處加一段記錄登錄賬號密碼的js，并且判斷是否登錄成功，如果登錄成功，就把賬號密碼記錄到一個(gè)生僻的路徑的文件中或者直接發(fā)到自己的網(wǎng)站文件中。(此方法適合有價(jià)值并且需要深入控制權(quán)限的網(wǎng)絡(luò))。在登錄后才可以訪問的文件中插入XSS腳本。27.后臺修改管理員密碼處，原密碼顯示為*。你覺得該怎樣實(shí)現(xiàn)讀出這個(gè)用戶的密碼？審查元素 把密碼處的password屬性改成text就明文顯示了28.目標(biāo)站無防護(hù)，上傳圖片可以正常訪問，上傳腳本格式訪問則403.什么原因？原因很多，有可能web服務(wù)器配置把上傳目錄寫死了不執(zhí)行相應(yīng)腳本，嘗試改后綴名繞過29.審查元素得知網(wǎng)站所使用的防護(hù)軟件，你覺得怎樣做到的？在敏感操作被攔截，通過界面信息無法具體判斷是什么防護(hù)的時(shí)候，F12看HTML體部 比如護(hù)衛(wèi)神就可以在名稱那看到內(nèi)容。30.在win2003服務(wù)器中建立一個(gè) .zhongzi文件夾用意何為？隱藏文件夾，為了不讓管理員發(fā)現(xiàn)你傳上去的工具。31、sql注入有以下兩個(gè)測試選項(xiàng)，選一個(gè)并且闡述不選另一個(gè)的理由：A. demo.jsp?id=2+1 B. demo.jsp?id=2-1選B，在 URL 編碼中 + 代表空格，可能會造成混淆32、以下鏈接存在 sql 注入漏洞，對于這個(gè)變形注入，你有什么思路？demo.do?DATA=AjAxNg==DATA有可能經(jīng)過了 base64 編碼再傳入服務(wù)器，所以我們也要對參數(shù)進(jìn)行 base64 編碼才能正確完成測試33、發(fā)現(xiàn) demo.jsp?uid=110 注入點(diǎn)，你有哪幾種思路獲取 webshell，哪種是優(yōu)選？有寫入權(quán)限的，構(gòu)造聯(lián)合查詢語句使用using INTO OUTFILE，可以將查詢的輸出重定向到系統(tǒng)的文件中，這樣去寫入 WebShell使用 sqlmap –os-shell 原理和上面一種相同，來直接獲得一個(gè) Shell，這樣效率更高通過構(gòu)造聯(lián)合查詢語句得到網(wǎng)站管理員的賬戶和密碼，然后掃后臺登錄后臺，再在后臺通過改包上傳等方法上傳 Shell34、CSRF 和 XSS 和 XXE 有什么區(qū)別，以及修復(fù)方式？XSS是跨站腳本攻擊，用戶提交的數(shù)據(jù)中可以構(gòu)造代碼來執(zhí)行，從而實(shí)現(xiàn)竊取用戶信息等攻擊。修復(fù)方式：對字符實(shí)體進(jìn)行轉(zhuǎn)義、使用HTTP Only來禁止JavaScript讀取Cookie值、輸入時(shí)校驗(yàn)、瀏覽器與Web應(yīng)用端采用相同的字符編碼。CSRF是跨站請求偽造攻擊，XSS是實(shí)現(xiàn)CSRF的諸多手段中的一種，是由于沒有在關(guān)鍵操作執(zhí)行時(shí)進(jìn)行是否由用戶自愿發(fā)起的確認(rèn)。修復(fù)方式：篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗(yàn)RefererXXE是XML外部實(shí)體注入攻擊，XML中可以通過調(diào)用實(shí)體來請求本地或者遠(yuǎn)程內(nèi)容，和遠(yuǎn)程文件保護(hù)類似，會引發(fā)相關(guān)安全問題，例如敏感文件讀取。修復(fù)方式：XML解析庫在調(diào)用時(shí)嚴(yán)格禁止對外部實(shí)體的解析。35、CSRF、SSRF和重放攻擊有什么區(qū)別？CSRF是跨站請求偽造攻擊，由客戶端發(fā)起SSRF是服務(wù)器端請求偽造，由服務(wù)器發(fā)起重放攻擊是將截獲的數(shù)據(jù)包進(jìn)行重放，達(dá)到身份認(rèn)證等目的36、說出至少三種業(yè)務(wù)邏輯漏洞，以及修復(fù)方式？密碼找回漏洞中存在1）密碼允許暴力破解、2）存在通用型找回憑證、3）可以跳過驗(yàn)證步驟、4）找回憑證可以攔包獲取等方式來通過廠商提供的密碼找回功能來得到密碼。身份認(rèn)證漏洞中最常見的是1）會話固定攻擊2） Cookie 仿冒只要得到 Session 或 Cookie 即可偽造用戶身份。驗(yàn)證碼漏洞中存在1）驗(yàn)證碼允許暴力破解2）驗(yàn)證碼可以通過 Javascript 或者改包的方法來進(jìn)行繞過37、圈出下面會話中可能存在問題的項(xiàng)，并標(biāo)注可能會存在的問題？get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world”HTTP/1.1Host:.com:82User-Agent:Mozilla/5.0 Firefox/40Accept:text/css,/;q=0.1Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3Referer:http://****.com/eciop/orderForCC/cgtListForCC.htm?zone=11370601&v=145902Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;st_uid=N90PLYHLZGJXI-NX01VPUF46W;status=TrueConnection:keep-alive38、給你一個(gè)網(wǎng)站你是如何來滲透測試的?在獲取書面授權(quán)的前提下。39、sqlmap，怎么對一個(gè)注入點(diǎn)注入？1）如果是get型號，直接，sqlmap -u “諸如點(diǎn)網(wǎng)址”.2) 如果是post型諸如點(diǎn)，可以sqlmap -u "注入點(diǎn)網(wǎng)址” --data="post的參數(shù)"3）如果是cookie，X-Forwarded-For等，可以訪問的時(shí)候，用burpsuite抓包，注入處用號替換，放到文件里，然后sqlmap -r "文件地址"40、nmap，掃描的幾種方式41、sql注入的幾種類型？1）報(bào)錯(cuò)注入2）bool型注入3）延時(shí)注入4）寬字節(jié)注入42、報(bào)錯(cuò)注入的函數(shù)有哪些？10個(gè)1）and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】----------------2）通過floor報(bào)錯(cuò) 向下取整3）+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)4）.geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));5）.multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));6）.polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));7）.multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));8）.linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));9）.multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));10）.exp()select from test where id=1 and exp(~(select * from(select user())a));43、延時(shí)注入如何來判斷？if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)44、盲注和延時(shí)注入的共同點(diǎn)？都是一個(gè)字符一個(gè)字符的判斷45、如何拿一個(gè)網(wǎng)站的webshell？上傳，后臺編輯模板，sql注入寫文件，命令執(zhí)行，代碼執(zhí)行，一些已經(jīng)爆出的cms漏洞，比如dedecms后臺可以直接建立腳本文件，wordpress上傳插件包含腳本文件zip壓縮包等46、sql注入寫文件都有哪些函數(shù)？select ‘一句話’ into outfile '路徑’select ‘一句話’ into dumpfile '路徑’select ‘<?php eval($_POST[1]) ?>’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;47、如何防止CSRF?1,驗(yàn)證referer2，驗(yàn)證token詳細(xì)：http://cnodejs.org/topic/5533dd6e9138f09b629674fd48、owasp 漏洞都有哪些？1、SQL注入防護(hù)方法：2、失效的身份認(rèn)證和會話管理3、跨站腳本攻擊XSS4、直接引用不安全的對象5、安全配置錯(cuò)誤6、敏感信息泄露7、缺少功能級的訪問控制8、跨站請求偽造CSRF9、使用含有已知漏洞的組件10、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)49、SQL注入防護(hù)方法？1、使用安全的API2、對輸入的特殊字符進(jìn)行Escape轉(zhuǎn)義處理3、使用白名單來規(guī)范化輸入驗(yàn)證方法4、對客戶端輸入進(jìn)行控制，不允許輸入SQL注入相關(guān)的特殊字符5、服務(wù)器端在提交數(shù)據(jù)庫進(jìn)行SQL查詢之前，對特殊字符進(jìn)行過濾、轉(zhuǎn)義、替換、刪除。50、代碼執(zhí)行，文件讀取，命令執(zhí)行的函數(shù)都有哪些？1）代碼執(zhí)行：eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function2）文件讀取：file_get_contents(),highlight_file(),fopen(),readfile(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等3)命令執(zhí)行：system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()51、img標(biāo)簽除了onerror屬性外，還有其他獲取管理員路徑的辦法嗎？src指定一個(gè)遠(yuǎn)程的腳本文件，獲取referer52、img標(biāo)簽除了onerror屬性外，并且src屬性的后綴名，必須以.jpg結(jié)尾，怎么獲取管理員路徑。1）遠(yuǎn)程服務(wù)器修改apache配置文件，配置.jpg文件以php方式來解析AddType application/x-httpd-php .jpg 會以php方式來解析

總結(jié)

以上是生活随笔為你收集整理的渗透测试岗位面试题（重点：渗透测试思路）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。