HW前必看的面试经（3）

25.文件上传漏洞中上传后只响应200怎么判断是否误报？

文件上传漏洞扫描或手动测试时，仅收到HTTP 200状态码并不足以确定是否存在真实的漏洞，因为200状态码仅表示请求被服务器成功接收并处理，但不一定意味着上传的恶意文件已被正确上传或能够被执行。为了判断是否为误报，可以采取以下步骤进行深入分析：

1. 检查响应内容

• 观察响应内容是否包含预期的成功信息，比如文件上传后的URL、文件名或唯一标识符等。
• 检查响应中是否有提示文件类型不支持、大小超出限制或安全检查失败的信息。

2. 访问上传的文件

• 尝试通过返回的URL或预期的文件路径直接访问上传的文件，确认文件是否真的存在于服务器上。
• 特别注意检查上传的文件是否保持了原有的文件扩展名和内容，没有被重命名或内容被修改。

3. 动态分析

• 如果上传的是一个潜在的恶意脚本（如WebShell），尝试触发该脚本的功能，看是否能够执行预期的命令或行为。
• 使用浏览器开发者工具或抓包工具检查与该文件相关的HTTP请求和响应，看是否有执行脚本的证据。

4. 目录遍历

• 尝试使用目录遍历技巧（如果适用）来访问上传目录下的文件，确认文件的实际存储位置和状态。

5. 服务器日志检查

• 查看服务器访问日志和应用日志，确认文件上传的确切行为，包括上传时间、文件名、处理过程等。

6. 安全配置验证

• 验证服务器和应用层的安全配置，比如是否有防火墙规则阻止执行上传的特定类型文件，或者是否有WAF（Web应用防火墙）介入拦截可疑请求。

实际案例分析

假设在一个Web应用安全测试中，自动化扫描工具报告了一个文件上传功能可能存在漏洞，因为它对一个.php文件的上传请求返回了200状态码。进一步手动验证如下：

• 响应检查：首先，检查响应内容，发现确实返回了一个指向上传文件的URL。
• 文件访问：尝试访问返回的URL，但页面显示403 Forbidden，表明服务器禁止直接访问上传的.php文件。
• 动态分析：尝试通过构造特殊请求来触发潜在的恶意脚本，但均无响应，使用开发者工具监控也未发现异常活动。
• 日志检查：查看服务器日志，发现虽然上传请求成功，但应用层的日志记录了文件上传后因扩展名过滤而被重命名为.txt，因此无法执行。
• 安全配置验证：进一步检查服务器配置，确认存在针对上传文件的严格内容检查和执行权限限制，防止了恶意脚本的执行。

虽然初步测试时收到了200状态码，但通过一系列细致的验证步骤，可以确定这是一次误报，实际上传的恶意文件并未构成真正的安全威胁。

26.apache常见漏洞有哪些？

Apache HTTP Server作为广泛使用的Web服务器软件，历史上曾暴露出多种安全漏洞。下面列举了一些常见的Apache漏洞类型，并简要说明每种漏洞的工作原理及可能的影响，同时尝试提供实际案例或概念性示例来增强理解：

换行解析漏洞（CRLF Injection）

• 原理：攻击者通过在HTTP请求头中插入回车换行（CRLF）字符，可以操纵服务器解析请求，可能导致HTTP响应分裂、添加额外的头部或执行任意代码。
• 影响：可能被用于实施HTTP响应拆分攻击，重定向用户至恶意站点，或在某些情况下执行服务器端命令。
• 案例：此类漏洞通常与HTTP头部注入相关，影响服务器响应的完整性。

多后缀解析漏洞

• 原理：Apache服务器默认支持文件可以有多个后缀，且按照顺序解析。攻击者可能上传特制文件，利用服务器对文件类型判断的缺陷，使恶意脚本以非预期的方式被执行。
• 影响：可能导致服务器执行上传的恶意脚本，比如PHP代码，即使文件名看似无害（如shell.php.jpg）。
• 案例：攻击者上传一个名为image.php.jpg的文件，如果Apache配置不当，可能会将其当作PHP文件执行，从而控制服务器。

SSI（Server Side Includes）远程命令执行漏洞

• 原理：SSI允许服务器端包含文件内容，若配置不当，攻击者可通过构造特定请求，执行任意系统命令。
• 影响：完全控制服务器，包括安装恶意软件、窃取数据等。
• 案例：通过HTTP请求中嵌入恶意SSI指令，如利用<!--#exec cmd="rm -rf /"-->尝试删除服务器文件。

路径穿越漏洞

• 原理：由于对用户输入的路径处理不当，攻击者可以构造特殊路径字符串，访问到服务器文件系统中原本不应公开的文件或目录。
• 影响：泄露敏感信息，如配置文件、源代码等，或者执行服务器上的任意文件。
• 案例：请求中包含../../../etc/passwd这样的路径，试图读取Linux系统中的用户密码文件。

Apache Tomcat请求走私漏洞（CVE-2022-42252）

• 原理：特定条件下，攻击者可以利用HTTP请求 smuggling 技术，在Tomcat应用服务器中注入额外的请求，绕过认证或执行其他恶意操作。
• 影响：可能导致信息泄露、权限提升或服务拒绝攻击。
• 案例：通过精心构造的HTTP请求头，使得Tomcat服务器在处理请求时发生混淆，攻击者可能利用此漏洞绕过访问控制，访问受保护的资源。

27.thinkphp主要特征？

ThinkPHP框架因其广泛应用和不断发展，历史上也曾曝露出一些安全漏洞，以下是ThinkPHP主要漏洞特征及实例说明：

路由漏洞（远程代码执行RCE）

• 特征：早期版本的ThinkPHP在处理URL路由时不恰当地验证控制器和方法名，攻击者可以通过精心构造的URL参数（如s参数）执行任意代码。常见于未开启强制路由模式或路由兼容性问题。
• 实例：ThinkPHP 5.0.22及之前、5.1.29及之前的版本存在一个远程代码执行漏洞，攻击者可通过调用call_user_func_array等函数执行系统命令，如通过http://site/?s=模块/控制器/方法&param=system("whoami")。

SQL注入漏洞

• 特征：由于对用户输入数据过滤不足，尤其是在处理查询参数时，攻击者可以利用特殊字符构造恶意SQL语句，实现信息泄露、数据篡改等。
• 实例：某些版本的ThinkPHP在模型查询或动态条件构造时未对用户输入做严格转义，导致攻击者可通过修改查询条件注入SQL代码。

文件上传漏洞

• 特征：框架对上传文件的类型、大小或内容验证不严，允许上传恶意文件（如.php后缀的脚本），特别是当上传后又能被访问或执行时。
• 实例：若上传功能未正确限制文件类型和处理上传后的存储路径，攻击者可能上传WebShell并执行，控制服务器。

信息泄露漏洞

• 特征：错误信息或调试信息的不当输出，可能暴露数据库配置、路径信息等敏感数据，为攻击者提供更多入侵线索。
• 实例：未关闭开发模式或错误报告，导致在生产环境中错误信息直接展示给用户，泄露了数据库连接字符串等。

命令注入漏洞

• 特征：框架某些功能可能直接执行外部程序或系统命令时，未对用户可控参数进行充分过滤，导致攻击者能够注入恶意命令。
• 实例：调用系统函数如exec、shell_exec等处理用户输入时，未做严格校验，攻击者可通过精心构造的输入执行任意系统命令。

权限提升

• 特征：不当的文件权限设置或代码执行漏洞，可能让攻击者从低权限用户提升至更高权限，进而控制系统。
• 实例：通过上传并执行WebShell，攻击者可能进一步利用系统漏洞或配置失误，提升权限执行更危险的操作。

28.怎么判断命令执行是否误报，是否攻击成功？

判断命令执行漏洞是否为误报以及是否攻击成功，通常需要结合多种技术和方法进行综合评估。以下是一些关键步骤和考虑因素：

1. 复现测试

• 环境隔离：首先，在一个隔离的环境中重现疑似漏洞的情况，避免在生产环境中直接测试以免造成实际损害。
• 最小化测试：使用最简单、最直接的payload尝试触发命令执行，如仅尝试执行一个无害且易于观察的命令，如echo "test"或id。

2. 观察响应

• 直接回显：如果命令的输出直接显示在网页或返回的数据中，这是最直接的证据，表明命令执行成功。
• 时间延迟法：对于无回显的情况，可以利用特定命令（如sleep）制造时间延迟，通过比较执行正常请求与包含延时命令请求的响应时间差异，判断漏洞是否存在。如先测出背景时间开销T0，然后执行sleep 5，如果总耗时明显超过T0+5秒，则很可能存在漏洞。

3. 日志检查

• 服务器日志：检查服务器日志，如Apache或Nginx的访问日志、系统日志等，寻找执行命令的痕迹。
• 应用日志：查看应用自身的日志记录，有时即便命令执行没有直接回显，也可能在日志中留下执行痕迹。

4. 网络监控

• 出站流量：监测是否有预期外的出站网络请求，比如通过curl、wget等命令向攻击者服务器发送数据。
• 端口活动：监控目标主机端口活动，看是否有异常的端口开放或连接尝试，这可能是命令执行导致的后门活动。

5. 环境状态验证

• 文件系统变更：检查文件系统，确认是否有未知文件被创建或现有文件被修改，尤其是可执行脚本的增加。
• 进程和服务：检查是否有异常进程启动，或服务配置被更改，这些都是命令执行可能留下的痕迹。

实际案例佐证

假设在一个在线问卷系统中，用户输入被直接拼接到system()函数中执行系统命令，用于生成动态图表。安全审计时，通过输入echo "test"作为答案提交，发现图表下方直接回显了test，这直接证实了命令执行漏洞的存在。

又如，在一次安全测试中，测试人员发现一个网站的搜索功能可能存在命令注入，但由于返回页面无任何回显，便使用了时间延迟法，构造了包含sleep 5的搜索参数。通过对比携带该参数的请求与正常请求的响应时间，发现确实存在5秒的延迟，从而确认了命令执行漏洞的存在，而不仅仅是误报。

综上，通过多维度的验证和观察，结合具体的测试情境和系统反馈，可以有效判断命令执行漏洞的真实性，并评估攻击是否成功。

28.客户和项目经理同时有要求你听谁的？

1. 明确角色与职责

首先，要清楚地理解各方的角色和职责。项目经理负责项目的日常管理和执行，确保项目按计划、预算和质量标准推进；客户则代表最终的需求方，他们的意见反映了业务需求和期望。在hw时，项目经理通常需要遵循客户的总体目标和需求，但同时要运用专业知识来指导实践。

2. 沟通与协商

当遇到直接冲突时，最佳做法是及时沟通，组织会议或电话会议，让客户和项目经理直接对话。作为执行者，应当清晰、客观地表述双方的不同要求及其可能的影响，促进双方理解对方立场，并寻找共同接受的解决方案。

3. 优先级判定

在某些情况下，可能需要依据项目的整体目标、紧急程度、合规要求或潜在风险来判定哪个要求更加紧迫或重要。例如，如果客户的要求涉及到合规性或直接影响演练的安全性，这些通常应优先考虑。

29.查看CPU利用率的命令，查看端口的命令？

CPU命令

Linux中查看CPU利用率的命令

1. top命令： top 是一个实时的系统监视器，可以显示当前系统的CPU利用率、内存利用率、进程信息等。在终端中输入 top 后，可以看到CPU使用率、内存使用情况以及正在运行的进程列表。按 q 键可以退出。
2. htop命令： 类似于 top，但提供了更为友好的界面，支持颜色和搜索功能。需先安装 htop（在大多数发行版中，使用 sudo apt-get install htop 或 yum install htop）。
3. mpstat命令： mpstat -P ALL 可以显示每个CPU核心的使用情况，以及所有CPU的平均利用率。
4. vmstat命令： vmstat 提供了关于系统虚拟内存、进程、CPU活动等的信息。使用 vmstat 1 每隔1秒显示一次CPU使用情况。
5. pidstat命令： pidstat -u 显示各个进程的CPU和内存使用情况。

Windows中查看CPU利用率的命令

1. Task Manager（任务管理器）： 通过快捷键 Ctrl+Shift+Esc 或右击任务栏选择“任务管理器”打开。在“性能”选项卡下，可以查看CPU的实时使用率和其他性能指标。
2. PowerShell命令： 使用 PowerShell 命令也可以查看CPU使用率，例如：

Get-WmiObject Win32_Processor | Select-Object LoadPercentage

这个命令显示CPU的负载百分比。

端口命令

Linux

1. netstat命令： 虽然 netstat 命令在现代Linux发行版中可能已被 ss 命令取代，但它仍然可用。使用 netstat -tulnp 查看监听中的TCP和UDP端口。
2. ss命令： ss -tulnp 显示所有监听的TCP端口和它们对应的进程ID。

Windows

1. netstat命令： 在命令提示符下，使用 netstat -ano 查看所有活动的TCP连接、监听端口和它们对应的进程ID。
2. PowerShell命令：

Powershell1Get-NetTCPConnection -State Listen

这个命令列出所有监听的TCP端口。

30.csrf和ssrf的区别是什么？

CSRF（跨站请求伪造）和SSRF（服务器端请求伪造）是两种不同的网络攻击方式，它们的主要区别在于攻击的目标、发起点以及利用的漏洞类型。下面详细说明这两种攻击方式的区别，并提供实际案例加以佐证。

CSRF（Cross-Site Request Forgery，跨站请求伪造）

概念：CSRF攻击利用受害者在已登录网站的会话凭证（如Cookie），诱使用户在不知情的情况下执行攻击者预设的操作。攻击者通过构建恶意链接或表单，当用户在浏览器中访问或点击时，浏览器会自动附带已登录网站的Cookie，从而以用户的权限执行操作。

特点：

• 攻击发起点：用户端（浏览器）。
• 攻击目标：受害者已经登录的Web应用程序。
• 利用漏洞：网站未验证请求是否由用户主动发起，仅依赖Cookie验证身份。

实际案例：假设一个银行网站允许用户通过一个简单的GET请求来转账，攻击者在论坛中嵌入一个图片链接，实际链接构造为银行的转账操作，当已登录银行账户的用户访问这个论坛时，浏览器会自动发送带有银行Cookie的转账请求，从而在用户不知情的情况下完成转账。

SSRF（Server-Side Request Forgery，服务器端请求伪造）

概念：SSRF攻击是利用服务器端应用对用户提供的输入（通常是URL）缺乏充分验证或过滤，使得攻击者能够诱使服务器向内网或其他外部系统发送请求，从而获取敏感信息或进行攻击。

特点：

• 攻击发起点：服务器端。
• 攻击目标：可以是外部服务器，也可以是内部网络的服务（特别是那些对外不可达的服务）。
• 利用漏洞：服务端程序错误地信任了用户提供的URL，直接使用该URL进行请求，没有对目标地址进行适当的限制或验证。

实际案例：一个云存储服务允许用户上传文件并提供一个功能，让用户可以预览上传的图片。如果该服务直接使用用户提交的URL加载图片，而没有对URL进行严格检查，攻击者就可以提交一个指向内部管理接口或其他内部系统的URL。服务器在处理请求时，会以服务器的身份访问这些内部资源，可能导致信息泄露或执行恶意操作。

总结

CSRF和SSRF虽都属于伪造请求的攻击方式，但CSRF主要利用的是用户浏览器与Web应用间的信任关系，攻击目标是用户在特定网站上的权限；而SSRF则是利用服务器对用户输入的信任，攻击者通过服务器间接访问或攻击其他系统，可能包括内网资源。防范这两类攻击的关键在于实施严格的输入验证、使用Token验证用户请求的起源，并对可信任的外部请求范围进行严格的限制。

31.正向代理和反向代理?

正向代理（Forward Proxy）和反向代理（Reverse Proxy）都是网络代理的一种形式，但它们在架构、用途和应用场景上有明显的区别。

正向代理（Forward Proxy）

概念：正向代理位于客户端和目标服务器之间，主要用于代表客户端（即请求的发起方）访问互联网。客户端在发送请求前，先将请求发送到正向代理服务器，由代理服务器去访问目标服务器并获取响应，再将响应转发给客户端。在这个过程中，目标服务器看到的是代理服务器的IP地址，而非客户端的真实IP。

特点及用途：

• 隐私保护：隐藏客户端的真实IP地址，提高安全性。
• 访问控制：组织或学校可以设置正向代理来过滤或限制用户访问特定网站。
• 缓存服务：代理服务器可以缓存频繁访问的内容，减少网络带宽消耗，加快访问速度。
• 突破地域限制：用于访问因版权等原因被地理封锁的内容。

实际案例：公司为了控制员工上网行为，设置了一台正向代理服务器。所有员工的上网请求必须经过这台代理，公司通过代理实现上网内容的过滤和审计，同时也能利用代理的缓存功能提高访问常用网站的速度。

反向代理（Reverse Proxy）

概念：反向代理位于服务器端，它接收来自互联网的请求，并根据请求的特定规则（如域名、路径等），将请求转发给后端的一组服务器中的一个或多个。从客户端的角度看，它直接与代理服务器交互，不知道也不直接访问实际处理请求的服务器。

特点及用途：

• 负载均衡：将请求分发给后端多台服务器，提高系统的处理能力和可用性。
• 安全防护：作为一道屏障保护后端服务器，可以隐藏真实服务器的IP，防止直接攻击。
• 内容缓存：缓存静态资源或动态结果，减少后端服务器的压力。
• SSL卸载：在代理层处理SSL加密解密，减轻后端服务器负担。
• URL重写和路由：根据请求内容，将请求路由到正确的服务或应用。

实际案例：一个高流量的网站可能使用Nginx作为反向代理服务器。所有用户请求首先到达Nginx，Nginx根据请求的URL将流量分配给不同的后端服务器集群（比如，将图片请求分发给专门处理图片的服务器，将API请求分发给API服务器）。同时，Nginx还负责SSL证书的管理和加密解密工作，这样后端服务器就不必各自处理这些任务，简化了架构并提高了安全性。

总结

正向代理侧重于代表客户端访问外部资源，强调客户端的隐私和访问控制；而反向代理则侧重于保护和优化服务器端的架构，提供负载均衡、安全防护等功能。两者都在现代网络架构中扮演着重要角色，但应用场景和目的各有侧重。

32.常见的端口以及协议?

计算机网络中的端口和协议是网络通信的基础组成部分。端口用来标识一台计算机上进行的不同服务，而协议定义了数据在网络中传输的格式和规则。以下是一些常见的端口及其对应的协议，以及它们在实际应用中的例子：

1. HTTP/HTTPS（超文本传输协议/安全超文本传输协议）

• 端口：HTTP默认使用80端口，HTTPS默认使用443端口。
• 协议描述：HTTP是一种应用层协议，用于传输超文本信息，是万维网（WWW）数据通信的基础。HTTPS则是在HTTP基础上加入了SSL/TLS协议，提供了加密和数据完整性校验，确保数据传输的安全性。
• 实际案例：访问任何一个网站，如浏览www.example.com时，如果不特别指定，浏览器默认使用HTTP（80端口）或HTTPS（443端口）与网站服务器进行通信。

2. FTP（文件传输协议）

• 端口：FTP使用21端口进行控制连接，数据传输则通常使用20端口（主动模式）或随机高端口（被动模式）。
• 协议描述：FTP用于在网络上进行文件传输，支持上传、下载、目录列表等多种操作。
• 实际案例：使用FTP客户端软件（如FileZilla）连接到FTP服务器，上传或下载文件时，就是通过21端口建立控制连接，随后根据模式的不同，使用其他端口传输数据。

3. SMTP（简单邮件传输协议）

• 端口：默认使用25端口，但现在更多使用587端口进行STARTTLS加密的邮件发送。
• 协议描述：SMTP用于在邮件服务器之间发送邮件。
• 实际案例：当你使用电子邮件客户端（如Outlook）发送邮件时，客户端会通过SMTP协议连接到邮件服务器的25或587端口，来发送邮件。

4. POP3/IMAP（邮局协议版本3/互联网消息访问协议）

• 端口：POP3默认使用110端口，IMAP默认使用143端口，它们的SSL加密版本分别使用995端口和993端口。
• 协议描述：POP3用于从邮件服务器下载邮件到本地客户端，IMAP则提供邮件检索、管理和存储的功能，允许用户在邮件服务器上操作邮件。
• 实际案例：使用邮件客户端配置收件服务器时，会根据服务器支持的协议选择相应的端口，如配置IMAP协议来实时同步邮箱中的邮件。

5. SSH（Secure Shell）

• 端口：默认使用22端口。
• 协议描述：SSH是一种安全协议，用于远程登录、文件传输以及执行网络服务安全地进行加密通信。
• 实际案例：系统管理员使用SSH客户端（如PuTTY）通过22端口连接到远程服务器，进行远程管理和文件传输，保障了通信的安全性。

这些只是众多网络协议和端口中的一部分，实际应用中还有许多其他的协议和端口，如DNS（53端口）、SQL Server（1433端口）、MySQL（3306端口）等，每种都有其特定的用途和应用场景。

33.sql注入sleep函数禁用?

SQL注入中的SLEEP函数禁用主要是针对一种防御措施，用于防止攻击者利用SLEEP函数进行时间盲注攻击。SLEEP函数在MySQL中用于暂停指定的秒数，攻击者常利用它来判断SQL语句是否执行成功，通过注入含有SLEEP的恶意代码，根据响应时间的长短来推断数据库中的信息，从而进行数据窃取或执行进一步的攻击。

为什么需要禁用SLEEP函数？

• 防止时间盲注：攻击者通过注入包含SLEEP的SQL语句，比如SELECT * FROM users WHERE username = 'admin' AND SLEEP(5)，如果查询成功执行，网页响应会延迟5秒，这样攻击者就能得知查询条件成立，逐步猜解出数据库中的信息。
• 防止拒绝服务攻击：大量使用SLEEP的注入可以导致数据库服务器忙于处理无意义的等待操作，消耗系统资源，进而可能引起服务的拒绝。

如何禁用SLEEP函数？

尽管MySQL本身并不直接提供禁用特定函数的功能，但有几种策略可以用来限制或阻止SLEEP函数的使用：

1. 应用层过滤：在应用程序中对用户输入进行严格的过滤和验证，移除或转义可能包含SQL函数的关键字，比如SLEEP、BENCHMARK等。
2. 参数化查询或预编译语句：使用参数化查询或预编译语句可以有效防止SQL注入，因为它们不会直接将用户输入拼接到SQL语句中，而是作为参数传递。
3. 数据库账户权限控制：创建一个受限的数据库账户供应用程序使用，该账户仅拥有执行必要操作的最小权限，不包含SLEEP等可能被滥用的权限。
4. 网络防火墙或WAF规则：可以在应用层或网络层设置规则，阻止包含特定关键词（如SLEEP）的请求。
5. 自定义MySQL函数或插件：虽然较为复杂，但理论上可以通过编写自定义MySQL函数或插件来覆盖或限制SLEEP函数的行为，但这需要深入的MySQL知识和服务器级别的权限。

34.sqlmap getshell的前提?

sqlmap是一个知名的开源自动化SQL注入工具，它能够帮助安全研究人员和渗透测试人员检测和利用SQL注入漏洞。使用sqlmap获取操作系统shell（简称getshell）是一种高级利用手段，旨在通过SQL注入漏洞获得目标系统的命令执行能力。以下是使用sqlmap进行getshell的一些前提条件，以及一个简化的实际案例说明：

前提条件

1. 存在可利用的SQL注入漏洞：首先，目标Web应用程序必须存在可以被sqlmap识别和利用的SQL注入漏洞。这通常涉及错误的输入验证、不安全的数据查询构造等。
2. 数据库用户权限：数据库用户（通过注入漏洞接触到的）需要有足够的权限来读写文件系统，至少需要能够写入Web可访问目录的权限。在MySQL中，这通常意味着用户需要FILE权限。
3. Web服务器配置：Web服务器需要配置允许执行通过SQL注入上传的文件类型，比如PHP文件。这意味着目标Web应用运行在支持脚本执行的环境中，且没有严格限制上传和执行文件的权限。
4. PHP环境配置：如果目标是PHP环境，通常要求：
   • PHP魔术引号(magic_quotes_gpc)关闭，以避免自动转义。
   • PHP配置中的secure_file_priv为空或不限制文件操作的目录。
   • PHP没有启用严格的安全模式。
5. 知道绝对路径：在某些情况下，为了成功上传并执行文件，可能需要知道Web根目录的绝对路径。

实际案例简化说明

假设有一个Web应用程序，其中用户输入未经验证直接被用于SQL查询中，如评论功能中包含用户输入的ID参数，且这个参数可以被注入恶意SQL代码。攻击者发现该漏洞后，使用sqlmap进行以下步骤尝试getshell：

1. 探测和确认注入点：使用sqlmap -u "http://target.com/comment.php?id=1"初步探测是否存在注入漏洞。
2. 枚举数据库信息：通过sqlmap进一步获取数据库类型、用户权限等信息，确认是否有足够的权限进行文件操作。
3. 上传恶意文件：如果条件允许，使用sqlmap --os-shell命令尝试直接获取操作系统shell。这背后，sqlmap可能会尝试写入一个Web shell（如PHP脚本）到Web服务器的可访问目录，并执行它来获取交互式shell。
4. 交互和进一步渗透：一旦获取shell，攻击者便能执行任意系统命令，进行文件浏览、权限提升、横向移动等操作。

35.mmsql的xp_cmdshell函数禁用，如何提权?

当Microsoft SQL Server的xp_cmdshell扩展存储过程被禁用时，攻击者仍可能尝试其他方法来提权或执行系统命令。以下是一些可能的绕过方法和提权技术：

1. 重新启用xp_cmdshell

如果xp_cmdshell只是被禁用而不是删除，攻击者可能会尝试重新启用它，通常需要具有足够的权限（如sysadmin角色）。可以通过执行以下SQL命令尝试重新启用：

Sql1EXEC sp_configure 'show advanced options', 1;
2RECONFIGURE;
3EXEC sp_configure 'xp_cmdshell', 1;
4RECONFIGURE;

2. 使用sp_OA*系列函数

如果xp_cmdshell不可用，攻击者可能会尝试利用sp_OA*系列的COM对象创建函数，如sp_OACreate，来实例化系统对象，进而执行命令。这些函数允许在SQL Server中创建和调用外部COM对象，从而绕过直接的命令执行限制。例如，创建一个WScript.Shell对象来执行命令：

Sql1DECLARE @obj INT;
2EXEC sp_OACreate 'WScript.Shell', @obj OUT;
3EXEC sp_OAMethod @obj, 'Run', NULL, 'notepad.exe';
4EXEC sp_OADestroy @obj;

3. UDF（用户定义函数）注入

在MySQL中，攻击者可能会尝试利用UDF（用户自定义函数）提权，但在SQL Server中，尽管没有直接对应的UDF注入机制，攻击者有时会尝试上传自定义的DLL文件，利用扩展存储过程来调用这些DLL中的函数，从而执行系统命令。这通常需要对服务器文件系统的写权限。

4. 利用其他存储过程

攻击者可能会搜索其他未被禁用的存储过程或组件，如xp_regread、xp_regwrite来修改注册表，或利用xp_dirtree、xp_fileexist等来获取系统信息，进一步寻找提权途径。

5. 通过SQL Server Agent Jobs

如果攻击者能够创建或修改SQL Server Agent Jobs，他们可以设置Job来执行任意命令。这需要对SQL Server Agent的适当权限。

我正在参与2024腾讯技术创作特训营最新征文，快来和我瓜分大奖！