1.超文本传输协议;GET、POST、PUT、DELET T1
GET、POST区别 请求在哪里,body T1.5

2.DNS协议有哪些子域名
当我们遇到第一时间有点蒙圈的问题的时候,可以稍微让面试官给个方向

3.XXE xml外部实体引用
名称:外部实体注入
危害/能干什么:远程连接服务、获取内部信息,file协议读取文件、http协议端口探测、拓展命令执行
分类:有没有回显
漏洞怎么利用/漏洞挖掘点:引用xml,解析excel(漏洞点),怎么构造poc(做延迟、做ddos)

怎么修复:禁止外部实体引用,关键字过滤,升级xml版本
漏洞原理:

怎么绕waf:提出问题
怎么防护:解决问题

xm的格式不够灵活
  • 危害:远程代码执行、任意文件读取、内网存活主机探测
  • 没有回显利用
    • 攻击服务器放置一段构造的DTD文件
    • 监听某一个端口
    • 将payload发送给靶机,查看httplog会有相关回显

4.DNS隧道

  • 原理:当靶机不出网时,可以利用DNS隧道,构造一个恶意域名服务器,当不出网主机请求本地域名服务器没有结果时,会以迭代查询或者递归查询的方式查询到我们控制的域名服务器,于是就和不出网主机连接上了
  • 搭建工具:iodine,dnscat
  • 如何修复:
    • 部署DNS防火墙;
    • 部署技术来对所有网络流量进行深度扫描,以发现DNS隧道攻击

5.域前置

  • 隐藏连接真实端点的技术,核心还是CDN,需要额外更改配置,使得用户就像是跟另一个完全不同的站点通信,做一个伪装
  • 原理:在不同的通信层使用不同的域名
    • 明文的DNS请求和TLS服务器名称指示(SNI)中使用无害的域名来初始化连接、公布给审查者
    • 实际要连接的“敏感”域名仅在建立加密的HTTPS连接后发出,使其不以明文暴露给网络审查者
      用在C2服务器上的,主要是当大单位态势感知会去监控一些恶意的域名或者流量,这个时候可能需要做伪装,(你请求的地址,跟你host头指定的地址不是一个地方的)
      代替域前置的一般是云函数api(你申请的).tencent.com

6.重点在流程,跟设备的联动以及一些基本的工具使用memshell

7.cookie跟session区别

  • cookie是客户端保存用户信息的一种机制,比如保存用户的个性化设置、用户登录状态等等;session是服务端和客户端的一次会话,一种在服务端保存数据的机制,用来跟踪用户状态
  • cookie只能保存ASCII,session可以存任意数据类型
  • cookie可以设置为长时间保持,session一般有效时间较短

8.成就最大的成绩或防守行为
渗透完整的流程,目标的价值

目标打的流程完整,目标价值大,中间小技巧

我不是大佬,我怎么编?目标大单位下的小单位(央企三级单位),流程要清晰(信息收集--漏洞发现--遇到的问题及解决)
小技巧两种说法(绕waf跟组合拳)

9.webshell特征跟webshell管理器的流量特征:
菜刀、哥斯拉、蚁剑,冰蝎

webshell的变迁史

用户体验,四代产品的变化

webshell特征
php分大马跟小马----冰蝎马,把密钥写进了webshell里

10.sql注入。 下次说

11.说说关于护网的经历 下次大家准备下说

12.什么是cdn
用来各地缓存加快响应速度的,也可防止找到真实服务器
cdn只跑静态业务(拉前端资源,视频、图片)

13.SSRF漏洞
简述:服务端请求伪造(payload可能就是某个接口能够直接加url的方式做代请求)
业务一开始的设计请求www.baidu,com 但是不做任何限制,你可以访问内网192.168.1.1
做一些代请求服务(内网端口开放),内网的反弹shell
分类:有无回显
漏洞点在哪:输入框(能输入的地方)、一些url相关的接口,转发功能的接口
怎么修复:过滤一些函数,file等,伪协议函数

绕过waf方式:编码、
防护策略:通过正则限制服务端请求的ip(不让你访问192.168.1.1)
判断?url=www.baidu.com. 匹配是否有baidu.com有就是正常,没有就是不正常
如果我限制了只能www.baidu.com,管道符号那些不能用
如果我限制了ipv4的地址,有没有办法绕过
我限制了你的域名是黑名单,怎么办
gopher协议能用来干什么(打内网redis),jdk什么版本以后不支持gopher
触发函数(Java)

14.了解域渗透吗?如何获取域控信息? (正常回答,获取域控信息回答的用工具,命令没记)

15.了解密码喷射吗 用单个或者少量密码去针对大量用户的爆破行为(你们班系统的默认密码是Aa123456,你就拿着一个密码去试你们班五十个学生的账号)

16.如果给你很多的账号密码,去做爆破,但是限制账号的次数,该如何做?
他到底怎么限制?无非就是你本地环境有什么信息(什么信息会上传到服务端)
1.IP 代理池
2.UA头。 随机ua
3.referer头。 127.0.0.1
4.尝试登陆的用户名。 密码喷洒
5.设备信息。 改固件
6.隔一段时间出验证码(人机识别)。 代理到验证码识别第三方
7.http头里加一段随机的,后端给的参数。 通过脚本先获取随机数再请求
8.最大登陆三次锁定一小时。 密码喷洒

开放性:这些接口是不能直接禁的
业务问题是最难解决的,也是最难发现的

沙箱

可以看作一种容器,其原理是通过重定向技术,把程序生成和修改的文件定向到自身文件夹中,在沙盒中执行的程序不实际修改或防止被修改系统的数据内容,如注册表、硬盘数据

安全事件分类

  1. Web入侵:挂马、篡改、Webshell
  2. 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
  3. 病毒木马:远控、后门、勒索软件
  4. 信息泄漏:脱裤、数据库登录(弱口令)
  5. 网络流量:频繁发包、批量请求、DDOS攻击

xxe如何防御

  • 输入验证:在解析xml之前,应该对输入数据进行充分验证,可以使用黑白名单
  • 使用安全的xml解析器:比如php SimpleXML默认禁用外部实体
  • 禁止使用DTD

反序列化攻击如何判断

  • 除了从各个框架的流量特征,还有啥

DNS隧道和ICMP隧道

  • DNS
    • 常用工具:iodine dnscat
    • 识别
      • 进程方面:ps afjx,碰运气可能会有工具的名称
      • 流量方面:流量的深度解析,抓一段时间的包,放到wireshark中分析,在txt cname的记录中是否有一些特殊的请求
  • icmp
    • 常用工具:ptunnel icmpshell
    • 识别
      • 进程层面:ps afjx,碰运气可能会有工具的名称
      • 流量层面:tcpdump 抓取流量,放入wireshark分析,是否有一些包大小不正常的流量或者流量中存在其他协议的字符