安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[二百四十一、XSS 设置 HTTP-only 如何绕过](#二百四十一、XSS 设置 HTTP-only 如何绕过)
[二百四十六、apache iis 解析漏洞是什么](#二百四十六、apache iis 解析漏洞是什么)
二百五十三、机器不出网如何上线到CS(不出网的机器是拿到webshell的机器)
[二百五十八、WHOIS 收集的信息包括哪些](#二百五十八、WHOIS 收集的信息包括哪些)
[二百六十、平常开发经常用python 和php做什么](#二百六十、平常开发经常用python 和php做什么)
[二百六十二、mysql getshell的前提是什么](#二百六十二、mysql getshell的前提是什么)
[二百六十三、其中需要mysql.ini 配置参数应该是怎样](#二百六十三、其中需要mysql.ini 配置参数应该是怎样)
[二百六十四、redis ssrf 如何攻击内网,可以用到哪些协议](#二百六十四、redis ssrf 如何攻击内网,可以用到哪些协议)
二百四十一、xss 设置http-only如何绕过 二百四十二、xss攻击手段有哪些 二百四十三、遇到全是杀软的工作组怎么办 二百四十四、使用什么工具内网横向 二百四十五、fscan扫机器崩了怎么办 二百四十六、apache iis 解析漏洞是什么 二百四十七、php文件上传绕过方式(黑、白名单、解析漏洞) 二百四十八、工作组横向需要用户什么权限 二百四十九、如何查找域控(尽可能多的方式) 二百五十、如何从cdn 真实ip 二百五十一、如何判断邮箱类型 二百五十二、如何确定你拿到的就是真实ip 二百五十三、机器不出网如何上线到cs(不出网的机器是拿到wenshell的机器) 二百五十四、走代理用哪些工具,遇到杀软怎么办 二百五十五、如何免杀 二百五十六、sql注入bypass有哪些(尽可能多说) 二百五十七、平常红队hw信息收集方式有哪些 二百五十八、whois 收集的信息包括哪些 二百五十九、给一个登录框能想到哪些利用方式 二百六十、平常开发经常用python 和php做什么 二百六十一、代码审计的思路是什么 二百六十二、mysql getshell的前提是什么 二百六十三、其中需要mysql.ini 配置参数应该是怎样 二百六十四、redis ssf 如何攻击内网,可以用到哪些协议 二百六十五、说一下udf提权 二百六十六、平常经常在哪些地方学习二百四十一、XSS 设置 HTTP-only 如何绕过
HTTP-only Cookie 是一种安全机制,能防止客户端脚本(如JavaScript)读取Cookie,但它并非绝对安全。绕过方式主要包括间接利用和其他漏洞联动:
- DOM-based XSS 或存储型XSS:即使Cookie不可读,攻击者可通过XSS执行恶意操作(如重定向到钓鱼页面或触发CSRF),无需直接访问Cookie。例如,当用户触发XSS时,脚本能强制用户提交表单到攻击者服务器,泄露会话信息。
- CSRF(跨站请求伪造)攻击:结合XSS漏洞发起CSRF攻击,HTTP-only Cookie无法阻止CSRF令牌的发送(浏览器自动附加),攻击者可模拟用户操作。
- 浏览器漏洞或插件利用:针对旧版本的浏览器或Flash插件,利用0day漏洞直接读取受保护Cookie(需特定环境,成功率较低)。
- 会话固定攻击 :如果应用允许设置会话ID,攻击者通过XSS强制用户使用预设会话,从而劫持会话。
补充:HTTP-only 主要防脚本窃取,但仍需配合其他措施(如CSP)才能全面防御XSS。
二百四十二、XSS攻击手段有哪些
XSS(跨站脚本)攻击手段多样,核心是将恶意脚本注入网页供用户执行。常见类型包括存储型、反射型和DOM-based,具体手段控制在10点以内:
- 存储型XSS:恶意脚本存储于服务器(如论坛评论),用户访问时自动执行(例如窃取Cookie或重定向)。
- 反射型XSS:脚本通过URL参数注入,仅当用户点击特定链接时触发(常用于钓鱼邮件)。
- DOM-based XSS:纯客户端漏洞,脚本修改DOM结构(如location.hash 注入)。
- 会话劫持:通过XSS窃取会话Cookie,冒充用户身份。
- 键盘记录:注入脚本捕获用户输入信息。
- 钓鱼攻击:伪装登录框或警告信息,诱导用户输入凭证。
- CSRF触发:结合XSS发起跨站请求,执行未授权操作。
- 浏览器漏洞利用 :如BeEF框架,控制用户浏览器进行内网扫描。
补充:防御需输入过滤、输出编码和CSP策略。
二百四十三、遇到全是杀软的工作组怎么办
当工作组所有机器都安装杀毒软件时,需采用隐蔽策略规避检测:
- 免杀技术与混淆:使用工具(如Veil或Shellter)加密payload,或手动混淆代码(如添加垃圾指令)绕过签名检测。
- 合法工具滥用:利用系统自带工具(如PowerShell或CertUtil)执行恶意操作(例如CertUtil下载文件),减少可疑行为。
- 行为隐藏:限制payload活动范围(如仅在内存运行),禁用敏感API调用(如VirtualAlloc),使用反射加载DLL。
- 分阶段攻击 :先投放轻量级侦察脚本(如PowerShell命令),确认安全后再加载完整payload。
补充:结合社会工程(如钓鱼邮件)能提高成功率,杀软环境需持续监控日志避免触发警报。
二百四十四、使用什么工具内网横向
内网横向移动工具应高效且隐蔽,控制在5点以内:
- Impacket工具集:如psexec.py 执行命令或ntlmrelayx.py 进行中继攻击,支持多种协议(SMB、HTTP)。
- CrackMapExec:自动化横向渗透,集成密码爆破、会话窃取和漏洞利用(如永恒之蓝)。
- Mimikatz:提取内存凭证(如LSASS进程),用于权限提升和Pass-the-Hash攻击。
- PowerShell Empire :无文件攻击,通过脚本控制Windows主机,支持模块化操作。
补充:工具选择需考虑网络环境(如工作组或域),避免过多扫描引起警报。
二百四十五、fscan扫机器崩了怎么办
Fscan扫描崩溃通常因资源耗尽或目标响应异常,解决方案包括:
- 参数优化:限制并发线程(如-thread 50)和超时时间(如-timeout 3),避免内存溢出。
- 分批扫描:分割目标列表(如按IP段分批运行),减轻单次负载。
- 错误排查 :检查日志定位崩溃点(如特定端口或协议),排除问题目标后重试。
补充:崩溃可能由目标防火墙(如DDOS防护)引起,可换用替代工具(如Nmap)或添加延时参数。
二百四十六、apache iis 解析漏洞是什么
解析漏洞允许Web服务器错误处理文件扩展名,导致恶意文件执行:
- Apache解析漏洞:多因文件名后缀歧义(如test.php.jpg 被解析为PHP),源于模块(如mod_mime)配置错误。
- IIS解析漏洞 :包括短文件名漏洞(~1字符截断)和畸形路径(如/test.asp;.jpg 解析为ASP),IIS 6.0/7.0常见。
补充:漏洞利用可导致任意代码执行,防御需严格配置MIME类型和文件权限。
二百四十七、php文件上传绕过方式(黑、白名单、解析漏洞)
PHP文件上传绕过方法因名单类型而异:
- 黑名单绕过:改变扩展名(如.phar代替.php)、大小写变异(如.pHp)、或添加空字节(shell.php%00.jpg )。
- 白名单绕过:篡改MIME类型(Content-Type: image/jpeg)、文件内容注入(GIF头部添加恶意PHP代码),或双扩展名(shell.php.jpg )。
- 解析漏洞利用 :结合服务器漏洞(如Apache/IIS解析问题),上传伪装文件(如.htaccess配置强制解析)。
补充:客户端绕过(如Burp拦截修改)也常用,全程需自动化工具(如Upload Bypass脚本)提升效率。
二百四十八、工作组横向需要用户什么权限
工作组环境下横向移动需本地权限而非域级权限:
- 管理员权限:执行远程命令(如psexec)或访问共享文件(需本地admin组)。
- 用户凭证:凭用户名/密码或哈希(Pass-the-Hash)访问SMB共享或RDP服务。
- 网络访问控制 :防火墙允许SMB/RPC端口(如445/135),且目标启用文件共享。
补充:工作组无集中认证,权限依赖本地账户;若权限不足,需先提权(如漏洞利用)。
二百四十九、如何查找域控(尽可能多的方式)
域控(Domain Controller)是AD核心,查找方法多样,控制在10点以内:
- DNS查询:解析域名的SRV记录(如_ldap._tcp.dc._msdcs.domain.com )。
- LDAP搜索:使用ldp.exe 或脚本(如PowerShell的Get-ADDomainController)查询LDAP端口(389)。
- NetBIOS扫描:通过nbtstat或nmap扫描NetBIOS名称(如DOMAIN<1C>标识域控)。
- 端口探测:扫描域控常见端口(如88/Kerberos、389/LDAP)。
- 组策略对象(GPO):域成员通过gpresult命令获取域控信息。
- SMB枚举:工具如enum4linux提取域控制器列表。
- 日志分析 :检查事件日志(Event ID 4768)中的认证记录。
补充:内网中,UDP 389端口探测最快速;红队常组合多种方式确保准确性。
二百五十、如何从CDN获取真实IP
CDN隐藏真实IP,绕过方法包括:
- 历史DNS记录:查询历史解析(如SecurityTrails或Wayback Machine),获取未启用CDN时的IP。
- 子域名扫描:使用工具(如Sublist3r)查找未配置CDN的子域名(如test.domain.com ),其IP可能指向主服务器。
- 邮件服务器探测:企业邮箱(如mail.domain.com )常与主站同IP,通过MX记录获取。
- 直接IP访问 :尝试用Host头部访问(如curl -H "Host: domain.com" http://IP),或扫描证书关联IP。
补充:真实IP确认需多源交叉验证,避免CDN缓存干扰。
二百五十一、如何判断邮箱类型
邮箱类型基于域名和协议判断:
- 后缀分析:常见后缀标识类型(如@qq.com 为QQ邮箱,@gmail.com 为Gmail)。
- SMTP探测:Telnet连接SMTP端口(25),分析响应头(如QQ邮箱有"tencent"标识)。
- 工具辅助 :使用MailTester或Hunter.io 验证提供商和有效性。
补充:企业自建邮箱需额外MX记录查询(如nslookup -type=MX domain.com )。
二百五十二、如何确定你拿到的就是真实IP
确认真实IP需排除代理/CDN干扰:
- 多源比对:结合历史DNS、WHOIS和扫描工具(如Shodan)检查IP一致性。
- 直接访问测试:Ping目标域名,若IP与扫描结果一致且无CDN头(如Cloudflare),则为真实IP。
- 归属分析 :使用IP2Location或MaxMind查询归属地,验证是否为数据中心IP(非CDN节点)。
补充:真实IP通常无CDN特征(如高延迟或多个地理位置响应)。
二百五十三、机器不出网如何上线到CS(不出网的机器是拿到webshell的机器)
当机器无外网连接但已获webshell时,上线CS(Cobalt Strike)需间接通道:
- 代理隧道:部署reGeorg或EarthWorm工具,将流量转发至可出网机器(如反向Socks代理)。
- DNS/ICMP隧道:使用工具(如dnscat2)通过DNS查询传输数据,或ICMP封装绕过防火墙。
- 中间服务器 :在可出网内网机器搭建跳板(如SSH端口转发),webshell连接跳板上线CS。
补充:重点在建立双向通信;若全内网隔离,需物理接触或社会工程。
二百五十四、走代理用哪些工具,遇到杀软怎么办
代理工具用于隐匿流量,配合免杀应对杀软:
- 代理工具:Proxychains(Linux)、Netsh(Windows)或SocksCap(全局代理),支持HTTP/Socks协议。
- 杀软规避 :① 免杀payload(见问题255);② 流量加密(如SSL/TLS隧道);③ 行为伪装(如模拟正常软件通信)。
补充:工具选择需匹配场景(如Proxychains适合Linux横向),杀软环境优先使用白名单程序。
二百五十五、如何免杀
免杀(绕过杀毒软件)技术核心是混淆和隐藏:
- 代码混淆:加壳(UPX)、加密(AES)或添加垃圾代码,破坏静态签名。
- 动态行为规避:延迟执行、限制权限或挂钩API(如绕过内存扫描)。
- 工具辅助 :Veil-Framework或Metasploit编码器生成免杀payload;或利用合法签名(如盗用微软证书)。
补充:免杀非一劳永逸,需持续更新对抗启发式检测。
二百五十六、SQL注入bypass有哪些(尽可能多说)
SQL注入bypass方法多样,覆盖过滤和WAF绕过:
- 注释符变异:使用-- -、#或/**/代替空格。
- 编码绕过:URL编码(%20)、十六进制(0x)或Unicode(%u)。
- 等价函数替换:如sleep()换benchmark(),或concat()换||。
- 大小写/空白符:SELecT代替SELECT,或添加Tab/%0a。
- 时间盲注技巧:结合if()和sleep()逐位提取数据。
- 多语句执行 :利用;分隔执行额外命令(需支持堆叠查询)。
补充:高级bypass包括WAF指纹识别(如Cloudflare规则绕过)和布尔盲注优化。
二百五十七、平常红队HW信息收集方式有哪些
红队演习(HW)信息收集聚焦目标暴露面,控制在10点以内:
- OSINT(公开情报):搜索引擎(Google Dork)、WHOIS查询、社交媒体挖掘。
- 扫描工具:Nmap端口扫描、Aquatone子域名枚举、Shodan IoT设备发现。
- 漏洞探测:Nessus或OpenVAS自动化扫描高危服务(如Web或数据库)。
- 社会工程 :钓鱼邮件收集凭证,或伪装服务探测。
补充:HW中强调合法性和最小干扰,常结合自动化框架(如Recon-ng)。
二百五十八、WHOIS 收集的信息包括哪些
WHOIS查询提供域名注册信息,内容包括:
- 注册人信息:姓名、组织、邮箱和电话。
- 域名详情:注册/到期日期、注册商(如GoDaddy)。
- DNS配置 :名称服务器(NS记录)和关联IP。
补充:数据可用于社工或资产映射,但隐私保护(如GDPR)可能限制内容。
二百五十九、给一个登录框能想到哪些利用方式
登录框是常见攻击入口,利用方式包括:
- SQL注入:输入' or 1=1--绕过认证。
- 暴力破解:工具(如Hydra)尝试弱密码或字典攻击。
- CSRF/XSS:注入脚本窃取会话或伪造登录请求。
- 凭证泄露 :利用忘记密码功能枚举用户(如响应差异)。
补充:防御需输入校验、验证码和速率限制。
二百六十、平常开发经常用python 和php做什么
Python和PHP在安全开发中分工明确:
- Python:自动化脚本(如爬虫)、工具开发(如扫描器)或数据分析(日志处理)。
- PHP :Web应用后端(如CMS插件)、漏洞PoC(概念验证)或快速原型搭建。
补充:Python库(如Requests)适合网络交互,PHP则强于Web集成。
二百六十一、代码审计的思路是什么
代码审计识别漏洞,思路需系统化:
- 输入追踪:从用户入口(如GET/POST)追踪数据流,检查过滤点(如sanitize函数)。
- 漏洞模式识别:聚焦高危函数(如eval()或system()),结合历史漏洞库(如CVE)。
- 黑白盒结合 :静态分析(工具如Fortify)+动态测试(Fuzzing)。
补充:审计框架(如OWASP ASVS)确保全面性;实战中优先审计认证/文件操作模块。
二百六十二、mysql getshell的前提是什么
MySQL getshell需满足条件:
- 写入权限 :用户需有FILE权限(GRANT FILE ON . TO user)。
- secure_file_priv配置:该参数允许写入路径(非NULL值)。
- Web目录可写 :目标路径需Web服务器可访问(如/var/www)。
补充:未满足条件时,提权或利用UDF替代。
二百六十三、其中需要mysql.ini 配置参数应该是怎样
mysql.ini (或my.cnf )配置关键点为secure_file_priv:
- 理想配置:secure_file_priv = ""(空值允许任意路径写入)或指定路径(如secure_file_priv = /tmp)。
- 风险提示 :禁用值(NULL)阻止写入;修改后需重启MySQL生效。
补充:配置文件路径因系统而异(Linux默认/etc/my.cnf ,Windows为my.ini )。
二百六十四、redis ssrf 如何攻击内网,可以用到哪些协议
Redis SSRF(Server-Side Request Forgery)利用其未授权访问漏洞攻击内网:
- 攻击链 :通过Web漏洞注入Redis命令(如EVAL),使其访问内网服务(如HTTP://192.168.1.1)。
- 协议支持 :HTTP/HTTPS(获取敏感页面)、gopher(发送任意TCP请求)、dict(枚举服务)。
补充:防御需认证和网络隔离;工具如Gopherus自动化攻击。
二百六十五、说一下udf提权
UDF(User-Defined Function)提权通过MySQL自定义函数执行系统命令:
- 过程:编译恶意.so/.dll库,写入插件目录(通过SELECT INTO),调用函数(如sys_exec())运行cmd。
- 前提 :FILE权限和secure_file_priv允许。
补充:Windows需绝对路径;失败时转用MOF或日志提权。
二百六十六、平常经常在哪些地方学习
安全学习资源多元,覆盖理论与实践:
- 社区论坛:Freebuf、看雪学院(国内);Reddit/r/netsec(国际)。
- 博客/平台:官方博客(如Rapid7)、Medium技术文章或HackerOne漏洞报告。
- 培训资源 :在线课程(Offensive Security)、CTF平台(如HackTheBox)。
补充:持续学习需结合实战(如VulnHub靶场)和论文研究。