目录
- 前言
- 1. 信息收集
- 1.1 如何处理子域名爆破的泛解析问题
- 1.2 如何绕过 CDN 查找真实 IP
- 1.3 phpinfo 页面你会关注哪些信息
- 1.4 如何判断目标操作系统
- 1.5 如何判断是否使用 CDN
- 1.6 有没有了解过 SVN/GIT 源代码泄露
- 1.7 说说域信息收集思路
- 1.8 如何快速定位域控
- 1.9 Wappalyzer 怎么进行指纹识别的
- 1.10 登录验证码怎么绕过
- 1.11 工作组环境下怎么判断是否有域环境
- 1.12 只有一个网卡通过什么方式判断内网中是否有其他网段
- 1.13 说说 Webpack 信息泄露
- 1.14 net group "Domain Admins" /domain 这条命令查询域内管理员没查到,那么可能出现了什么问题,怎么解决
- 1.15 继上题,这条命令的本质究竟是去哪里查
- 1.16 如何判断目标单位的机器是哪种协议出网
- 1.17 NSE 脚本原理
- 1.18 Nmap 的 FIN 扫描和空扫描是什么
- 1.19 为什么要搜集目标单位的控股信息
- 1.20 怎么找边缘资产呢
- 1.21 移动端怎么收集域名呢
- 1.22 SSL 证书有什么用,对信息收集有什么帮助
- 1.23 说说源码泄露搜索
- 1.24 空白页面怎么绕过
- 1.25 JS 接口有什么作用
- 1.26 一个正在运行的网站访问敏感路径回显 403 的原因有哪些
- 1.27 目标存在非常牛的杀软导致无法上线 CS,但是有远控软件怎么做
- 1.28 怎么收集主机上的所有有关密码的敏感信息
- 1.29 Web 配置文件信息怎么收集
- 1.30 抓取到域内 Windows 主机的 Wi-Fi 密码有什么利用思路
- 1.31 如果目标站点开启了 WAF 或对高频扫描进行了封禁,你会怎么获取敏感路径
- 2. SQL 注入
- 2.1 过滤逗号的 SQL 注入如何绕过
- 2.2 SQL 报错注入函数有哪些
- 2.3 SQL 延时盲注 sleep() 被禁用怎么绕过
- 2.4 SQL 注入怎么写入 WebShell
- 2.5 宽字节注入漏洞原理
- 2.6 二次注入漏洞原理
- 2.7 堆叠注入漏洞原理
- 2.8 SQLMap 参数 level 与 risk 区别
- 2.9 MySQL 提权方式有哪些
- 2.10 MSSQL 的 xp_cmdshell() 函数被禁用怎么绕过
- 2.11 MySQL 5.0 以上和 5.0 以下的区别
- 2.12 SQL 注入 outfile() 被过滤怎么绕过
- 2.13 SQL 注入中 Post 和 Get 都做了防注入可采用什么方式绕过
- 2.14 SQL 盲注 if() 函数被过滤怎么绕过
- 2.15 SQL 注入无回显利用 DNSLog 如何构造
- 2.16 and or 被过滤怎么绕过
- 2.17 SQLMap 自带脚本有哪些
- 2.18 扫出后缀为 .asp 的数据库文件,访问乱码如何利用
- 2.19 找到一个注入点怎么判断对方什么数据库
- 2.20 单引号被过滤怎么绕过
- 2.21 MySQL 一个 @ 和两个 @ 的区别
- 2.22 为什么 MSSQL 存储过程可以执行命令
- 2.23 如果想通过 MSSQL 上传文件需要开启哪个存储过程的权限
- 2.24 无回显、MySQL 5.7 以下、wait_timeout 极短的情况下怎么快速验证 RCE
- 3. XSS
- 3.1 输出到 href 属性的 XSS 如何防御
- 3.2 XSS 绕过方式
- 3.3 XSS 利用方式
- 3.4 XSS 怎么打内网
- 3.5 XSS 如何绕过 HttpOnly 获取 Cookie
- 3.6 有 Shell 的情况下如何使用 XSS 实现对目标站的长久控制
- 3.7 反射型、存储型、DOM 型 XSS 的核心区别
- 3.8 为什么说 DOM XSS 对传统 WAF 基本免疫
- 3.9 如果你发现一个输入点最终进入了
<textarea>,你是直接放弃,还是继续深入?为什么? - 3.10 为什么很多 XSS 在 Chrome 可以复现,但在 Firefox 不行?你如何判断这是漏洞问题还是浏览器差异?
- 3.11 黑名单拦截了所有常见标签和事件,但页面仍然需要支持富文本渲染,你会从哪些方向尝试突破?
- 3.12 CSP 的绕过方式有哪些
- 4. CSRF
- 5. SSRF
- 6. XXE
- 7. 文件上传漏洞
- 8. RCE
- 9. 文件包含漏洞
- 10. 任意文件读取漏洞
- 11. 中间件
- 11.1 Fastjson 漏洞原理
- 11.2 Log4j 漏洞原理
- 11.3 Shiro 反序列化的形成原因及利用链
- 11.4 Shiro 550 721 区别
- 11.5 FastJSON 不出网利用方式
- 11.6 Windows 和 Linux 利用 REDIS 的区别
- 11.7 Nginx CRLF 注入原理
- 11.8 如何判断靶标是否使用 FastJSON
- 11.9 如何判断靶标是否使用 Log4j
- 11.10 如何判断靶标是否使用 Shiro
- 11.11 Nacos 如何通过配置文件拿 Shell
- 11.12 Nacos 不出网利用方式
- 11.13 .do 文件是哪种框架
- 11.14 Shiro 有 Key 无链怎么利用
- 11.15 Redis 主从复制原理
- 11.16 phpMyAdmin 写 Shell 的方法
- 11.17 了解过中间件哪些解析漏洞
- 11.18 Shiro 不出网怎么利用
- 11.19 JNDI 的解析流程和原理
- 11.20 runc 容器逃逸原理
- 11.21 JBoss 反序列化漏洞原理
- 11.22 XStreadm 反序列化漏洞原理
- 11.23 讲讲 Confluence RCE
- 11.24 讲下 Spring 相关的 RCE 原理
- 11.25 Log4j 如何绕过 trustURLCodebase
- 11.26 Fastjson 文件读写 gadget 是哪条,原理是什么
- 11.27 Spring4shell 原理&检测&利用
- 11.28 Kubernetes 攻击思路
- 12. 反序列化漏洞
- 13. 权限提升
- 13.1 LM Hash 加密算法过程
- 13.2 与 SMB 协议相关的漏洞有哪些
- 13.3 脏牛漏洞提权原理
- 13.4 黄金票据和白银票据区别
- 13.5 读取不到 hash 怎么绕过
- 13.6 现在有一台 Windows Server 2008 如何提权
- 13.7 提权时选择可读写目录,为何尽量不用带空格的目录
- 13.8 对于不能直接上传而只能通过命令行执行的 Shell 怎么办
- 13.9 psexec 和 wmic 区别
- 13.10 内网抓取密码的话怎么抓
- 13.11 内网有杀软又怎么抓
- 13.12 操作系统什么版本之后抓不到密码
- 13.13 抓不到密码怎么绕过
- 13.14 桌面有管理员会话,怎么做会话劫持
- 13.15 当前机器上有一个密码本但被加密了,应该怎么办
- 13.16 Dcom 怎么操作
- 13.17 获取域控的方法有哪些
- 13.18 DLL 劫持原理
- 13.19 DPAPI 机制能干嘛
- 13.20 MS14-068 原理
- 13.21 内网文件 exe 落地怎么去做,用什么命令去执行来落地
- 13.22 DB 文件如何解密,原理是什么
- 13.23 PTH 中 LM hash 和 NTLM hash 的区别
- 13.24 Print Nightmare 漏洞分析
- 13.25 CS 域前置的原理
- 13.26 CS 流量是怎么通信的
- 13.27 土豆家族提权原理
- 13.28 UAC 怎么绕过
- 13.29 如何在没有 /tmp 写入权限的情况下,寻找替代的、可执行文件的临时存放位置
- 13.30 exploit 无法直接在目标机上编译,你有哪些跨平台编译或利用预编译二进制文件的策略
- 13.31 如何利用 Python 的环境特性在不修改原脚本的前提下,劫持程序执行流程并获取 Root Shell
- 13.32 某个定时任务执行的脚本内容是
\#!/bin/bash;echo "Cleanup started" | mail -s "Status" $USER,如何利用这个未指定绝对路径的 mail 命令提权 - 13.33 除了修改
/etc/passwd外还可以利用 Dirty Cow 漏洞劫持哪些关键文件或内存区域来实现提权 - 13.34 如果发现某个二进制文件设置了 SUID,你该如何快速判断它是否可以被用来提权
- 13.35 除了 Python,请再给出一种在环境中没有安装 Python 时升级 TTY 的方法
- 13.36 请简述 udev 提权漏洞的基本原理
- 14. 横向移动
- 14.1 常见横向方法
- 14.2 CS 上线不出网机器用到的什么类型的 Beacon
- 14.3 PTT 有哪些攻击方法
- 14.4 DCSync 的利用条件
- 14.5 横向渗透命令执行手段
- 14.6 PTH、PTT、PTK 三者区别
- 14.7 一台机器不能出网,如何把一个 exe 文件放到对应的目标机器上去
- 14.8 说说域内委派
- 14.9 怎么定位域管曾经登录哪些机器
- 14.10 现在在域外有一台工作组机器的权限但没有域用户且无法直接通过漏洞进入域内,请问这种情况怎么进入域中找到域控
- 14.11 利用 NTLM Relay 配合 ADCS 这个漏洞的情况需要什么条件
- 14.12 继上题,Responder 应该开在哪台机器上,为什么
- 14.13 继上题,为什么 ADCS 这个漏洞能获取域管理员权限,原理是什么
- 14.14 如果拿到了一套 vCenter 的权限,如何去进一步深入利用
- 14.15 拿到 vCenter 管理员权限,但部分虚拟机处于锁屏状态怎么办
- 14.16 Kerberos 的原理
- 14.17 Flannel、Calico 和 Cilium 有什么区别
- 15. 权限维持
- 16. 内网穿透
- 17. 蓝队防守
- 17.1 内存马查杀思路
- 17.2 Linux 日志存放位置
- 17.3 常见 Windows 事件 ID
- 17.4 为什么 aspx 木马的权限会比 asp 木马的权限更高
- 17.5 如何判断 Log4j 攻击成功
- 17.6 给你一个告警的内网 IP,怎么快速定位到他在哪栋楼哪层
- 17.7 SQL 注入防御方法
- 17.8 设备上数万条告警怎么快速找到攻击成功的告警
- 17.9 WebShell 查杀后仍有流量怎么办
- 17.10 拿到攻击者 IP 怎么溯源
- 17.11 内网报警处理方式
- 17.12 怎样从日志找 WebShell 位置
- 17.13 常见日志分析工具
- 17.14 网页挂马排查思路
- 17.15 XSS 防御方法
- 17.16 CSRF 防御方法
- 17.17 SSRF 防御方法
- 17.18 XXE 防御方法
- 17.19 文件上传防御方法
- 17.20 CS 流量特征
- 17.21 WebShell 工具流量特征
- 17.22 日志被删除如何排查
- 17.23 常见加固手段
- 17.24 挖矿病毒特征
- 17.25 挖矿病毒应急思路
- 17.26 如何判断钓鱼邮件
- 17.27 暴露面梳理怎么做
- 17.28 netstat 和 ss 命令的区别
- 17.29 Windows 日志存储位置
- 17.30 云产品的应急思路
- 17.31 DNS 重绑定漏洞原理
- 17.32 Token 和 Referer 的安全等级谁高
- 17.33 任意文件下载漏洞防御方法
- 17.34 怎么修改 TTL 值
- 17.35 Linux 怎么查看程序调用了哪些文件
- 17.36 CMD 命令行如何查询远程终端开放端口
- 17.37 查看服务器是否存在可疑账号、新增账号
- 17.38 查看服务器是否存在隐藏账号、克隆账号
- 17.39 SQL 注入用转义字符防御时,如果遇到数据库的列名或是表名本身就带着特殊字符怎么办
- 17.40 有哪些 SQL 语句无法使用预编译的方式
- 17.41 SYN 开放链接原理
- 17.42 了解 Linux /proc 目录吗
- 17.43 如何监控 Linux 文件操作
- 17.44 Windows Defender 安全机制
- 17.45 什么是 TCP 粘包/拆包
- 17.46 session 的工作原理
- 17.47 HTTP 长连接和短连接的区别
- 17.48 Xrange() 和 range() 返回的是什么
- 17.49 怎么防重放攻击
- 17.50 讲讲 SYN FLOOD 原理,防御,检测手段
- 17.51 讲讲 UDP 反射放大的原理,防御,检测手段
- 18. 远控免杀
- 19. 痕迹清除
- 20. 钓鱼社工
- 21. PHP 代码审计
- 21.1 === 和 == 的区别
- 21.2 常见入口函数怎么找
- 21.3 PHP 代码审计流程
- 21.4 ThinkPHP 框架审计起来有什么不同
- 21.5 PHP 原生的敏感函数有哪些
- 21.6 反序列化时有哪些魔术方法是可以作为一个入手点去找的
- 21.7 常见的路由方法
- 21.8 介绍下 PHP 的变量覆盖
- 21.9 远程文件包含和本地文件包含这两种涉及的 PHP 设置有什么
- 21.10 本地文件包含能不能通过 PHP 配置限制文件包含的路径
- 21.11 PHP 在做 SQL 注入防御时有哪些方法
- 21.12 如果审计到了一个文件下载漏洞如何深入的去利用
- 21.13 讲讲 Fortity 等代码审计工具原理
- 22. JAVA 代码审计
- 23. 操作系统
- 24. 二进制
- 24.1 工控场景的入侵检测与普通场景入侵检测的区别
- 24.2 讲讲 Linux 平台的漏洞缓解机制
- 24.3 NX 是怎么绕过的
- 24.4 讲讲 Linux 平台的 ELF 文件结构
- 24.5 讲讲 Windows 平台的 PE 文件结构
- 24.6 讲讲 ASLR 怎么绕过
- 24.7 函数的调用约定有哪些,区别是什么
- 24.8 fuzzing 主要是用来干嘛
- 24.9 对 Windows 平台的漏洞和保护机制了解多少
- 24.10 对比一下 QEMU 模式的 Fuzzing 和源码模式的 Fuzzing
- 24.11 说说 QEMU 模式的动态插桩怎么实现的,有什么优缺点
- 24.12 fuzz 普通程序和数据库有哪些不同点
- 24.13 说说 AFL++ 和 AFL 有哪些不同
- 24.14 怎么给 AFL 做适配去 fuzz 数据库
- 24.15 介绍一下 fuzz 的流程,从选取目标开始
- 24.16 讲一下 AFL 的插桩原理
- 24.17 怎么选择 fuzz 测试点
- 24.18 哪些漏洞可以用 fuzz 检测到
- 24.19 符号执行是如何做约束求解的
- 25. 逆向破解
- 25.1 恶意样本给出函数家族的 md5,如何进行分类
- 25.2 Linux 程序分为哪几个段
- 25.3 .data 段存放哪些数据
- 25.4 .bss 段存放哪些数据
- 25.5 函数调用时的流程,参数如何传入以及寄存器、栈的变化
- 25.6 解释程序的编译和链接,编译的过程中会有哪些操作
- 25.7 说说 If/Else 语法树
- 25.8 如何比较两个 C 函数的相似度
- 25.9 什么情况下源代码与 IDA 反编译程序的代码差别很大
- 25.10 面对静态编译的大型木马如何通过 IDA 定位其网络传输部分的逻辑
- 25.11 如何动态地去找导入表
- 25.12 如何不在编码时直接导入相关 API 的前提下进行攻击
- 25.13 Windows 下有哪些常用的反调试技术
- 25.14 单步执行的原理是什么
- 25.15 在内存中已 Load 的程序如何快速找到其具有执行权限的段
- 25.16 恶意软件有哪些方案检测自己处于沙箱中
- 25.17 做一个反汇编器,指令集 opcode 的意义去哪查
- 25.18 怎么识别指令跳转条件和内存访问
- 25.19 做一个沙箱,有什么需要重定向的
- 25.20 ESP 定律原理知道吗
- 25.21 C++ 程序怎么去逆向找虚表
- 25.22 进程隐藏技术是什么,如何检测
- 25.23 如果多进程下,A 进程的 Source 触发到了 B 进程的 sink 点,如何溯源
- 25.24 JNDI 如何做 Hook
- 26. AI 安全
- 27. 密码学安全
- 28. 区块链安全
- 29. 云安全
- 30. APP 安全
- 31. CORS
- 32. MongoDB 注入