渗透测试面试问题合集一、思路流程1、信息收集a、服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
b、网站指纹识别(包括,cms,cdn,证书等),dns记录
c、whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
e、子域名收集,旁站,C段等
f、google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等
g、扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
h、传输协议,通用漏洞,exp,github源码等
2、漏洞挖掘a、浏览网站,看看网站规模,功能,特点等
b、端口,弱口令,目录等扫描,对响应的端口进行漏洞探测,比如 rsync,心zang出血,mysql,ftp,ssh弱口令等。
c、XSS,SQL注入,上传,命令注入,CSRF,cookie安全检测,敏感信息,通信数据传输,暴力破解,任意文件上传,越权访问,未授权访问,目录遍历,文件 包含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等
3、漏洞利用&权限提升a、mysql提权,serv-u提权,oracle提权
b、windo ...
OWASP(Open Web Application Security Project) Top 10 是指现在最常见的Web应用程序安全风险清单,该清单是OWASP组织的一份关于Web应用程序安全方面的指南。
OWASP Top 10 最新版本为 2017 年发布。其中包括的风险如下:
注入攻击 (Injection)
注入攻击是指攻击者通过恶意输入,将攻击代码插入到正常的执行流程中,从而实现对应用程序的控制。最常见的注入攻击是 SQL注入。攻击者通过向输入表格中插入特殊字符,攻击代码被注入到 SQL 语句中,从而实现对数据库的非法访问。
破解身份认证(Broken Authentication)
破解身份认证是指攻击者通过猜测或使用暴力破解等手段,获取合法用户的凭证,从而进入应用程序系统中,访问保护的数据和资源,或伪造用户身份,实现非法操作。
敏感数据泄露(Sensitive Data Exposure)
敏感数据泄露是指通过不恰当的数据处理方式使得应用程序中存储的敏感信息,如密码、信用卡信息等被攻击者获取。例如在用户登录时明文传输密码、在应用程序中存储敏感数 ...
Windows 10 主机上的 VMware Workstation 和设备/凭据防护不兼容“错误VMware Workstation 和 Device/Credential Guard 不兼容。VMware 工作站可以在禁用设备/凭据防护后运行。
排查错误的过程:要解决错误,请按照以下步骤操作:
如果您的主机具有 Windows 10 20H1 内部版本 19041.264 或更高版本,请升级/更新到 Workstation15.5.6 或更高版本。如果你的主机具有 Windows 10 1909 或更早版本,请在主机上禁用 Hyper-V 以解决此问题。
禁用 Hyper-V 的步骤:注意:建议备份数据并设置系统还原点作为安全措施。 禁用 Hyper-V 后,以下功能将不再起作用凭据保护/设备保护
视窗沙盒
虚拟机平台
WSL2
Hyper-V
验证基于虚拟化的安全性 (VBS) 是否已启用/未启用:
在视窗 32 上打开 msinfo10/系统信息
在右侧页面的系统摘要下,向下滚动到基于虚拟化的安全 ...
软件使用技巧及问题
未读WIN10查看端口,并杀死进程
查看所有:netstat -ano查看对应端口:netstat -ano|findstr “9090”
taskkill -PID 进程号 -F
罗技驱动Logitech G HUB一直卡在初始加载界面无法进入的问题1234567891011taskkill /im lghub.exe /ftaskkill /im lghub_agent.exe /ftaskkill /im lghub_updater.exe /fstart "" "C:\Program Files\LGHUB\lghub_agent.exe"start "" "C:\Program Files\LGHUB\lghub_updater.exe"start "" "C:\Program Files\LGHUB\lghub.exe"
保存(ctrl+s)后,将文件后缀改为cmd。
homework
未读@[toc]
前提要求
试题内容:某高校网络工程规划设计某一学校拟对单位网络进行规划设计。请根据下列具体要求给出你的网络规划和设计方案,并在 HCL 模拟器上完成配置。图中 PC1、PC2、PC3、PC4_server、R1、R2、R3、R4 为局域网内的设备,其中 R2、R4 为自治系统边界路由器;R5 模拟 ISP的一路由器;PC5、PC6、R6 模拟广域网上的设备;R5 和 R6 为自治系统边界路由器。基本要求如下:(1)请根据下面拓扑图,完善表 1(网络连接规划表)和表 2(设备明细表)(2)IP 地址规划1)IP 地址掩码长度均使用 28 位,外网要使用公网上可以使用的 IP 地址。请填写表 3。2)内网 IP 地址的第一段和第二段在所有网络中要相同,IP 地址的第三段使用学号的最后 2 位;计科 2020 的同学内网地址请使用 192.168.0.0 - 192.168.255.255的私网地址进行分配;计科(3+2)2020 的同学内网地址请使用 172.16.0.0 - 172.31.255.255 的私网地址进行分配;计科转 2020 的同学,内网地址请使用 10.0 ...
@[Toc]
某一学校拟对单位网络进行规划设计。请根据下列具体要求给出你的网络规划和设计方案,并在HCL模拟器上完成配置。图中PC_1、PC_2、r1、r2、r3、SW1为局域网内的设备,其中r2、r3为自治系统边界路由器;r4模拟ISP的一路由器, PC_3、PC_4、r5模拟广域网上的设备。
实验要求
(1) 请根据下面拓扑图,完善表1(网络连接规划表)、表2(设备明细表)和表3 (IP规划表)(2)IP地址规划1)IP 地址掩码长度均使用24位; 外网要使用公网上可以使用的IP地址。请填写表3。2)IP地址的第三段为学号的最后2位,内网使用ospf协议,ospf的进程号使用学号的最后3位, BGP进程号按照图1要求配置。(3) 根据表3中的规划,作好各设备的IP地址配置,在r1、r2和r3上配置ospf协议,在r2、r3、r4和r5上配置BGP协议,并用display ip routing-table显示r2上的路由表,给出执行结果截图,使用display bgp routing-table ipv4显示r5的bgp路由表,给出执行结果截图。(4)路由引入在内网r2和r3两台 ...
命令文档
未读@TOC
WIN+R修改用中文用户名为英文
netplwiz
图标在任务栏变白板解决方法
“win”+“R键”弹出运行窗口,输入%APPDATA%\Microsoft\Internet Explorer\QuickLaunch\User Pinned\TaskBar在弹出的TaskBar文件夹中,找到图标显示异常的快捷方式,右键找到其文件位置的主程序图标,并将该程序的快捷方式复制到TaskBar文件夹
steam Invalid SSL Certificate网络问题
打开“运行”对话框,键入hosts文件路径:C:\Windows\System32\drivers\etc修改hosts,删掉如下内容:
12345678910111213141516Steam+ + Start127.0.0.1 steam-chat.com127.0.0.1 steamcdn-a.akamaihd.net127.0.0.1 cdn.akamai.steamstatic.com127.0.0.1 community.akamai.steamstatic.com127.0.0.1 avatars.a ...
软件使用技巧及问题
未读「Watt Toolkit」是一个包含多种 Steam 工具功能的工具箱Watt Toolkit下载
通知:Steam++ 现更名为 Watt Toolkit 并在 Microsoft Store 中已可用
本地加速
使 Steam 社区、 Github 、谷歌验证码等国内难以访问的网页正常访问。功能类似 steamcommunit302 ,使用 YARP.ReverseProxy 开源项目进行本地反代来支持更快的访问游戏网站。
脚本配置
通过加速服务拦截网络请求将一些 JS 脚本注入在网页中,提供类似网页插件的功能。
账号切换
快速切换已在当前 PC 上登录过的 Steam、Epic、Uplay 等等多平台账号,与管理 Steam 家庭共享库排序及禁用等功能。
本地令牌
让您的手机令牌统一保存在电脑中、支持通用HOTP、TOTP、Steam、Google 等令牌导入。支持 Steam 登录账号自定绑定生成令牌、支持 Steam 批量确认交易功能。
库存管理
直接管理你的 Steam 游戏库存,可以编辑游戏名称和自定义封面。监控 Steam 游戏下载进度实现 St ...
homework
未读Author:lp Date:2020-12-9
目录
网络服务
软件包管理
服务与进程管理
DHCP作业
DNS作业
HTTPD
SAMBA配置
1234567891011121314151617181920212223下面步骤是创建新的虚拟机,如果不想创建也可在老的虚拟机里完成作业创建一个新的虚拟机>选择自定义,下一步>下一步>选择稍后安装操作系统,下一步>选择Linux,版本选择CentOS 7 64位,下一步>虚拟机名字和位置自定义,下一步>1<处理器内核总数<4 /*根据自己电脑配置自定义*/ 下一步> 内存选择 ,使用推荐内存,也可根据电脑配置自定义,下一步>选择使用桥接网络,下一步>使用推荐,下一步>使用推荐,下一步>创建新虚拟机磁盘,下一步>磁盘大小 40G,下一步>下一步>自定义硬件,移除打印机,点击CD/DVD,使用ISO镜像文件,选择镜像文件地址,点击关闭,完成点击开启虚拟机,进入Linux安装左边选择中文,右边简体中文,继续,这里我们最小化安装点击安装 ...