所面試的公司：某安全廠商

所在城市：浙江寧波

面試職位：駐場安全服務(wù)工程師

面試官的問題：

1、信息收集如何處理子域名爆破的泛解析問題？

泛域名解析是：*.域名解析到同一IP。
域名解析是：子域名.域名解析到同一IP。

解決方式：IP黑名單，首先訪問一個隨機的并不存在的域，通過返回的結(jié)果判斷是否存在泛解析，確定存在泛解析后，不斷的生成隨機域名并發(fā)送請求，將每次返回的IP和TTL記錄下來，直到大部分的IP出現(xiàn)次數(shù)都大于兩次，則IP黑名單收集完成。
而后使用域名字典進行爆破，爆破過程中根據(jù)IP黑名單進行過濾，同時比較TTL，在泛解析記錄中TTL是相同的，如果TTL不相同，則不是泛解析記錄。

2、訪問百度，都涉及到哪些協(xié)議？

HTTP：當(dāng)你在瀏覽器中輸入百度的網(wǎng)址時，瀏覽器會發(fā)送HTTP請求到百度的服務(wù)器，請求獲取網(wǎng)頁內(nèi)容。HTTP協(xié)議定義了客戶端和服務(wù)器之間的通信規(guī)則和格式。
DNS：在發(fā)送HTTP請求之前，瀏覽器需要將百度的域名（URL）轉(zhuǎn)換為服務(wù)器的IP地址。這個轉(zhuǎn)換過程通過DNS協(xié)議實現(xiàn)。瀏覽器會向DNS服務(wù)器發(fā)送請求，以查詢與百度域名對應(yīng)的IP地址。
TCP/IP：TCP/IP協(xié)議是互聯(lián)網(wǎng)通信的基礎(chǔ)協(xié)議。在打開百度網(wǎng)站時，HTTP請求會被封裝在TCP/IP協(xié)議中進行傳輸。TCP協(xié)議提供可靠的連接，確保數(shù)據(jù)的完整性和順序。IP協(xié)議則負(fù)責(zé)將數(shù)據(jù)包傳輸?shù)侥繕?biāo)服務(wù)器的IP地址。
SSL/TLS：當(dāng)使用HTTPS訪問百度網(wǎng)站時，通信采用SSL/TLS協(xié)議進行加密，確保數(shù)據(jù)傳輸?shù)陌踩?。SSL/TLS協(xié)議使用公鑰加密和私鑰解密的技術(shù)，防止數(shù)據(jù)在傳輸過程中被竊聽或篡改。

3、sqlmap —os-shell的原理？

使用此條命令必須獲取到目標(biāo)站點的絕對路徑，且當(dāng)前數(shù)據(jù)庫權(quán)限必須是dba，sa。工作原理是使用 into outfile()函數(shù)去寫一個可以進行文件上傳的 php文件，再根據(jù)這個文件寫了一個木馬，通過木馬進行命令執(zhí)行。
其條件必須具備以下幾點：
1，已知目標(biāo)站點的絕對路徑
2，已知目標(biāo)站點的腳本語言
3，當(dāng)前數(shù)據(jù)庫權(quán)限必須是dba，sa權(quán)限

4、過濾逗號的SQL注入如何繞過？

在使用盲注的時候，需要使用到substr(),mid(),limit。這些都需要使用到逗號。對于substr()和mid()這兩個方法可以使用from to的方式來解決:

select substr(database() from 1 for 1);select mid(database() from 1 for 1);

使用join：

union select 1,2 #等價于union select from (select 1)a join (select 2)b

使用like：

select ascii(mid(user(),1,1))=80 #等價于select user() like ‘r%’

其他繞過方式：

select from table1 where id =1 and exists (select from table2 where ord(substring(username from 1 for 1)=97);
127’ UNION SELECT FROM ((SELECT 1)a JOIN (SELECT 2)b JOIN (SELECT 3)c JOIN (SELECT 4)d JOIN (SELECT 5)e)#
select case when substring((select password from mysql.user where user=’root’) from 1 for 1)=’e’ then sleep(5) else 0 end #
substring((select password from mysql.user where user=’root’) from -1）=’e’

5、防止XSS攻擊，從前端后端兩個角度？

前端：用戶輸入特殊字符過濾轉(zhuǎn)義為html實體用戶輸出編碼
后端：實體化編碼函數(shù)過濾限制字符長度

6、samesite了解過嗎，怎么去防御CSRF
Chrome 51 開始，瀏覽器的 Cookie 新增加了一個SameSite屬性，用來防止 CSRF 攻擊 和用戶追蹤（第三方惡意獲取cookie），限制第三方 Cookie，從而減少安全風(fēng)險。

SameSite屬性可以設(shè)置三個值：Strict、Lax、None。

Strict：嚴(yán)格，完全禁止第三方獲取cookie，跨站點時，任何情況下都不會發(fā)送cookie；只有當(dāng)前網(wǎng)頁的 URL 與請求目標(biāo)一致，才會帶上 Cookie。這個規(guī)則過于嚴(yán)格，可能造成非常不好的用戶體驗。比如，當(dāng)前網(wǎng)頁有一個 GitHub 鏈接，用戶點擊跳轉(zhuǎn)就不會帶有 GitHub 的 Cookie，跳轉(zhuǎn)過去總是未登陸狀態(tài)。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;

Lax：防范跨站，大多數(shù)情況下禁止獲取cookie，除非導(dǎo)航到目標(biāo)網(wǎng)址的GET請求（鏈接、預(yù)加載、GET表單）；設(shè)置了Strict或Lax以后，基本就杜絕了 CSRF 攻擊。當(dāng)然，前提是用戶瀏覽器支持 SameSite 屬性。
SameSite屬性的默認(rèn)SameSite=Lax 【該操作適用于2019年2月4號谷歌發(fā)布Chrome 80穩(wěn)定版之后的版本】
Set-Cookie: CookieName=CookieValue; SameSite=Lax;

None：沒有限制。

7、Linux常見后門

這個真的挺多的...

一句話添加用戶和密碼
添加普通用戶：
創(chuàng)建一個用戶名guest，密碼123456的普通用戶

useradd -p openssl passwd -1 -salt 'salt' 123456 guestuseradd -p 方法   是用來存放可執(zhí)行的系統(tǒng)命令,”$()”也可以存放命令執(zhí)行語句useradd -p “$(openssl passwd -1 123456)” guest

添加root用戶：
創(chuàng)建一個用戶名guest，密碼123456的root用戶

useradd -p openssl passwd -1 -salt 'salt' 123456 guest -o -u 0 -g root -G root -s /bin/bash -d /home/test

SUID Shell
Suid shell是一種可用于以擁有者權(quán)限運行的shell。
配合普通用戶權(quán)限使用

cp /bin/bash /tmp/shellchmod u+s /tmp/shell

使用guest用戶登錄就可疑獲取root權(quán)限。

備注：bash2針對suid做了一些防護措施，需要使用-p參數(shù)來獲取一個root shell。另外，普通用戶執(zhí)行這個SUID shell時，一定要使用全路徑。

ssh公私鑰免密登錄
在客戶端上生成一對公私鑰，然后把公鑰放到服務(wù)器上（~/.ssh/authorized_keys），保留私鑰。當(dāng)ssh登錄時，ssh程序會發(fā)送私鑰去和服務(wù)器上的公鑰做匹配。如果匹配成功就可以登錄了。
客戶端：

ssh-keygen -t rsa

進入/root/.ssh/文件夾，查看文件夾的內(nèi)容：
其中 id_rsa為私鑰，id_rsa.pub為公鑰，接下來打開id_rsa.pub，將內(nèi)容復(fù)制到服務(wù)器。將id_rsa.pub的內(nèi)容追加到/root/.ssh/authorized_keys內(nèi)，配置完成。

軟連接
在sshd服務(wù)配置運行PAM認(rèn)證的前提下，PAM配置文件中控制標(biāo)志為sufficient時只要pam_rootok模塊檢測uid為0即root權(quán)限即可成功認(rèn)證登陸。通過軟連接的方式，實質(zhì)上PAM認(rèn)證是通過軟連接的文件名 /tmp/su 在/etc/pam.d/目錄下尋找對應(yīng)的PAM配置文件(如: /etc/pam.d/su)，任意密碼登陸的核心是auth sufficient pam_rootok.so，所以只要PAM配置文件中包含此配置即可SSH任意密碼登陸，除了su中之外還有chsh、chfn同樣可以。
在目標(biāo)服務(wù)器上執(zhí)行一句話后門：

ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oPort=8888

執(zhí)行完之后，任何一臺機器ssh root@IP -p 8888，輸入任意密碼，成功登錄。

SSH wrapper
首先啟動的是/usr/sbin/sshd,腳本執(zhí)行到getpeername這里的時候，正則匹配會失敗，于是執(zhí)行下一句，啟動/usr/bin/sshd，這是原始sshd。原始的sshd監(jiān)聽端口建立了tcp連接后，會fork一個子進程處理具體工作。這個子進程，沒有什么檢驗，而是直接執(zhí)行系統(tǒng)默認(rèn)的位置的/usr/sbin/sshd，這樣子控制權(quán)又回到腳本了。此時子進程標(biāo)準(zhǔn)輸入輸出已被重定向到套接字，getpeername能真的獲取到客戶端的TCP源端口，如果是19526就執(zhí)行sh給個shell
簡單點就是從sshd fork出一個子進程，輸入輸出重定向到套接字，并對連過來的客戶端端口進行了判斷。

strace后門
通過命令替換動態(tài)跟蹤系統(tǒng)調(diào)用和數(shù)據(jù)，可以用來記錄用戶ssh、su、sudo的操作。

crontab反彈shell
crontab命令用于設(shè)置周期性被執(zhí)行的指令。新建shell腳本，利用腳本進行反彈。

openssh后門
利用openssh后門，設(shè)置SSH后門密碼及root密碼記錄位置，隱蔽性較強，不易被發(fā)現(xiàn)。

rookit后門
Mafix是一款常用的輕量應(yīng)用級別Rootkits，是通過偽造ssh協(xié)議漏洞實現(xiàn)遠(yuǎn)程登陸的特點是配置簡單并可以自定義驗證密碼和端口號。
利用方法：安裝完成后，使用ssh 用戶@IP -P 配置的端口，即可遠(yuǎn)程登錄。

8、shiro相關(guān)漏洞

shiro550
Apache Shiro框架提供了記住密碼的功能(RememberMe)，用戶登錄成功后會生成經(jīng)過加密并編碼的Cookie，在服務(wù)端對rememberMe的Cookie值先base64解碼然后AES解密再反序列化（AES是硬編碼的），就導(dǎo)致了反序列化RCE漏洞。

shiro721
Apache Shiro RememberMe Cookie默認(rèn)通過AES-128-CBC模式加密，這種加密方式容易受到Padding Oracle Attack（Oracle填充攻擊），利用有效的RememberMe Cookie作為Padding Oracle Attack的前綴，然后精心構(gòu)造 RememberMe Cookie 值來實現(xiàn)反序列化漏洞攻擊。

先使用合法賬號進行登錄勾選remember Me然后使用bp抓包，
然后獲取到cookie，將remember me字段復(fù)制下利用工具生成惡意的rememberme。

550和721區(qū)別
550不需要登錄，721需要登錄獲取正確的cookie，550是因為aes密鑰是硬編碼，所以直接可以構(gòu)造payload，而721是利用Oracle填充攻擊，將正確的cookie作為攻擊前綴從而生成攻擊payload。
利用漏洞時550只需要一個url就可以利用工具實現(xiàn)檢測和攻擊，721需輸入url，提供一個有效的rememberMe Cookie。

面試結(jié)果：一面通過，等待二面中。

面試難度：適中。

給大家的建議：一定要多多拓展知識的寬度。

?申明：本賬號所分享內(nèi)容僅用于網(wǎng)絡(luò)安全技術(shù)討論，切勿用于違法途徑，所有滲透都需獲取授權(quán)，違者后果自行承擔(dān)，與本號及作者無關(guān)，請謹(jǐn)記守法。