• 前言
• 1. 信息收集
  • 1.1 如何处理子域名爆破的泛解析问题
  • 1.2 如何绕过 CDN 查找真实 IP
  • 1.3 phpinfo 页面你会关注哪些信息
  • 1.4 如何判断目标操作系统
  • 1.5 如何判断是否使用 CDN
  • 1.6 有没有了解过 SVN/GIT 源代码泄露
  • 1.7 说说域信息收集思路
  • 1.8 如何快速定位域控
  • 1.9 Wappalyzer 怎么进行指纹识别的
  • 1.10 登录验证码怎么绕过
  • 1.11 工作组环境下怎么判断是否有域环境
  • 1.12 只有一个网卡通过什么方式判断内网中是否有其他网段
  • 1.13 说说 Webpack 信息泄露
  • 1.14 net group "Domain Admins" /domain 这条命令查询域内管理员没查到，那么可能出现了什么问题，怎么解决
  • 1.15 继上题，这条命令的本质究竟是去哪里查
  • 1.16 如何判断目标单位的机器是哪种协议出网
  • 1.17 NSE 脚本原理
  • 1.18 Nmap 的 FIN 扫描和空扫描是什么
  • 1.19 为什么要搜集目标单位的控股信息
  • 1.20 怎么找边缘资产呢
  • 1.21 移动端怎么收集域名呢
  • 1.22 SSL 证书有什么用，对信息收集有什么帮助
  • 1.23 说说源码泄露搜索
  • 1.24 空白页面怎么绕过
  • 1.25 JS 接口有什么作用
  • 1.26 一个正在运行的网站访问敏感路径回显 403 的原因有哪些
  • 1.27 目标存在非常牛的杀软导致无法上线 CS，但是有远控软件怎么做
  • 1.28 怎么收集主机上的所有有关密码的敏感信息
  • 1.29 Web 配置文件信息怎么收集
  • 1.30 抓取到域内 Windows 主机的 Wi-Fi 密码有什么利用思路
  • 1.31 请说明 MSF 的扫描模块与 Nmap 或 FScan 相比，在隐蔽性和灵活性上的优势和劣势
  • 1.32 请你详细说说你如何定制或魔改一个 MSF 扫描模块使其能更好地绕过流量分析和 IDS/IPS 的检测
• 2. XSS
  • 2.1 输出到 href 属性的 XSS 如何防御
  • 2.2 XSS 绕过方式
  • 2.3 XSS 利用方式
  • 2.4 XSS 怎么打内网
  • 2.5 XSS 如何绕过 HttpOnly 获取 Cookie
  • 2.6 有 Shell 的情况下如何使用 XSS 实现对目标站的长久控制
• 3. CSRF
  • 3.1 SameSite 防御 CSRF 的原理
  • 3.2 JSON 格式的 CSRF 如何防御
  • 3.3 Ajax 发送 POST 请求会发几个数据包
• 4. SQL 注入
  • 4.1 过滤逗号的 SQL 注入如何绕过
  • 4.2 SQL 报错注入函数有哪些
  • 4.3 SQL 延时盲注 sleep() 被禁用怎么绕过
  • 4.4 SQL 注入怎么写入 WebShell
  • 4.5 宽字节注入漏洞原理
  • 4.6 二次注入漏洞原理
  • 4.7 堆叠注入漏洞原理
  • 4.8 SQLMap 参数 level 与 risk 区别
  • 4.9 MySQL 提权方式有哪些
  • 4.10 MSSQL 的 xp_cmdshell() 函数被禁用怎么绕过
  • 4.11 MySQL 5.0 以上和 5.0 以下的区别
  • 4.12 SQL 注入 outfile() 被过滤怎么绕过
  • 4.13 SQL 注入中 Post 和 Get 都做了防注入可采用什么方式绕过
  • 4.14 SQL 盲注 if() 函数被过滤怎么绕过
  • 4.15 SQL 注入无回显利用 DNSLog 如何构造
  • 4.16 and or 被过滤怎么绕过
  • 4.17 SQLMap 自带脚本有哪些
  • 4.18 扫出后缀为 .asp 的数据库文件，访问乱码如何利用
  • 4.19 找到一个注入点怎么判断对方什么数据库
  • 4.20 单引号被过滤怎么绕过
  • 4.21 MySQL 一个 @ 和两个 @ 的区别
  • 4.22 为什么 MSSQL 存储过程可以执行命令
  • 4.23 如果想通过 MSSQL 上传文件需要开启哪个存储过程的权限
• 5. 横向移动
  • 5.1 常见横向方法
  • 5.2 CS 上线不出网机器用到的什么类型的 Beacon
  • 5.3 PTT 有哪些攻击方法
  • 5.4 DCSync 的利用条件
  • 5.5 横向渗透命令执行手段
  • 5.6 PTH、PTT、PTK 三者区别
  • 5.7 一台机器不能出网，如何把一个 exe 文件放到对应的目标机器上去
  • 5.8 说说域内委派
  • 5.9 怎么定位域管曾经登录哪些机器
  • 5.10 现在在域外有一台工作组机器的权限但没有域用户且无法直接通过漏洞进入域内，请问这种情况怎么进入域中找到域控
  • 5.11 利用 NTLM Relay 配合 ADCS 这个漏洞的情况需要什么条件
  • 5.12 继上题，Responder 应该开在哪台机器上，为什么
  • 5.13 继上题，为什么 ADCS 这个漏洞能获取域管理员权限，原理是什么
  • 5.14 如果拿到了一套 vCenter 的权限，如何去进一步深入利用
  • 5.15 拿到 vCenter 管理员权限，但部分虚拟机处于锁屏状态怎么办
  • 5.16 Kerberos 的原理
  • 5.17 Flannel、Calico 和 Cilium 有什么区别
• 6. 中间件
  • 6.1 Fastjson 漏洞原理
  • 6.2 Log4j 漏洞原理
  • 6.3 Shiro 反序列化的形成原因及利用链
  • 6.4 Shiro 550 721 区别
  • 6.5 FastJSON 不出网利用方式
  • 6.6 Windows 和 Linux 利用 REDIS 的区别
  • 6.7 Nginx CRLF 注入原理
  • 6.8 如何判断靶标是否使用 FastJSON
  • 6.9 如何判断靶标是否使用 Log4j
  • 6.10 如何判断靶标是否使用 Shiro
  • 6.11 Nacos 如何通过配置文件拿 Shell
  • 6.12 Nacos 不出网利用方式
  • 6.13 .do 文件是哪种框架
  • 6.14 Shiro 有 Key 无链怎么利用
  • 6.15 Redis 主从复制原理
  • 6.16 phpMyAdmin 写 Shell 的方法
  • 6.17 了解过中间件哪些解析漏洞
  • 6.18 Shiro 不出网怎么利用
  • 6.19 JNDI 的解析流程和原理
  • 6.20 runc 容器逃逸原理
  • 6.21 JBoss 反序列化漏洞原理
  • 6.22 XStreadm 反序列化漏洞原理
  • 6.23 讲讲 Confluence RCE
  • 6.24 讲下 Spring 相关的 RCE 原理
  • 6.25 Log4j 如何绕过 trustURLCodebase
  • 6.26 Fastjson 文件读写 gadget 是哪条，原理是什么
  • 6.27 Spring4shell 原理&检测&利用
  • 6.28 Kubernetes 攻击思路
• 7. 蓝队防守
  • 7.1 内存马查杀思路
  • 7.2 Linux 日志存放位置
  • 7.3 常见 Windows 事件 ID
  • 7.4 为什么 aspx 木马的权限会比 asp 木马的权限更高
  • 7.5 如何判断 Log4j 攻击成功
  • 7.6 给你一个告警的内网 IP，怎么快速定位到他在哪栋楼哪层
  • 7.7 SQL 注入防御方法
  • 7.8 设备上数万条告警怎么快速找到攻击成功的告警
  • 7.9 WebShell 查杀后仍有流量怎么办
  • 7.10 拿到攻击者 IP 怎么溯源
  • 7.11 内网报警处理方式
  • 7.12 怎样从日志找 WebShell 位置
  • 7.13 常见日志分析工具
  • 7.14 网页挂马排查思路
  • 7.15 XSS 防御方法
  • 7.16 CSRF 防御方法
  • 7.17 SSRF 防御方法
  • 7.18 XXE 防御方法
  • 7.19 文件上传防御方法
  • 7.20 CS 流量特征
  • 7.21 WebShell 工具流量特征
  • 7.22 日志被删除如何排查
  • 7.23 常见加固手段
  • 7.24 挖矿病毒特征
  • 7.25 挖矿病毒应急思路
  • 7.26 如何判断钓鱼邮件
  • 7.27 暴露面梳理怎么做
  • 7.28 netstat 和 ss 命令的区别
  • 7.29 Windows 日志存储位置
  • 7.30 云产品的应急思路
  • 7.31 DNS 重绑定漏洞原理
  • 7.32 Token 和 Referer 的安全等级谁高
  • 7.33 任意文件下载漏洞防御方法
  • 7.34 怎么修改 TTL 值
  • 7.35 Linux 怎么查看程序调用了哪些文件
  • 7.36 CMD 命令行如何查询远程终端开放端口
  • 7.37 查看服务器是否存在可疑账号、新增账号
  • 7.38 查看服务器是否存在隐藏账号、克隆账号
  • 7.39 SQL 注入用转义字符防御时，如果遇到数据库的列名或是表名本身就带着特殊字符怎么办
  • 7.40 有哪些 SQL 语句无法使用预编译的方式
  • 7.41 SYN 开放链接原理
  • 7.42 了解 Linux /proc 目录吗
  • 7.43 如何监控 Linux 文件操作
  • 7.44 Windows Defender 安全机制
  • 7.45 什么是 TCP 粘包/拆包
  • 7.46 session 的工作原理
  • 7.47 HTTP 长连接和短连接的区别
  • 7.48 Xrange() 和 range() 返回的是什么
  • 7.49 怎么防重放攻击
  • 7.50 讲讲 SYN FLOOD 原理，防御，检测手段
  • 7.51 讲讲 UDP 反射放大的原理，防御，检测手段
• 8. 内网穿透
  • 8.1 正向代理和反向代理区别
  • 8.2 如何进行内网穿透
  • 8.3 如何隐藏 CS 流量
  • 8.4 ICMP 隧道的流量特征
  • 8.5 代理转发常用的工具有哪些
  • 8.6 目标机器 Ping 不通外网，没有办法走网络层协议如何搭建隧道
  • 8.7 内网的多级代理用什么东西代理
  • 8.8 如果 TCP 和 UDP 不出网怎么绕过
  • 8.9 多级代理如何做一个 CDN 进行中转
  • 8.10 内网有 ACL 策略，如果是白名单如何绕过
• 9. 权限维持
  • 9.1 怎么建立隐藏用户
  • 9.2 360 开启了晶核模式，怎么去尝试权限维持
  • 9.3 计划任务被拦截了怎么办
  • 9.4 说说 PAM 软连接提权 / 后门原理
  • 9.5 如何不记录执行命令
• 10. SSRF
  • 10.1 SSRF 漏洞存在位置
  • 10.2 SSRF 漏洞绕过方法
  • 10.3 SSRF 漏洞利用方式
  • 10.4 SSRF 如何攻击内网服务
  • 10.5 如何判断 SSRF 的流量是否攻击成功
  • 10.6 SSRF 怎么用 Redis 写 Shell
• 11. XXE
  • 11.1 XXE 漏洞利用方式
  • 11.2 XXE 盲注思路
  • 11.3 PCDATA 和 CDATA 的区别
• 12. 文件上传漏洞
  • 12.1 文件上传漏洞绕过方法
• 13. RCE
  • 13.1 代码执行、命令执行的函数有哪些
  • 13.2 正向 Shell 和反向 Shell 区别
  • 13.3 如何从非交互的 Shell 提升为交互 Shell
  • 13.4 PHP disable_functions() 绕过方法
  • 13.5 PHP 的 %00 截断的原理
  • 13.6 站库分离怎么拿 Shell
• 14. 反序列化漏洞
  • 14.1 CC1、CC6 区别
  • 14.2 讲一下 CC1-7 的原理
  • 14.3 BECL 利用链使用条件及原理
  • 14.4 BCEL 可以用其他类加载器吗
  • 14.5 了解 JEP290 的原理吗
  • 14.6 讲下 RMI 原理以及相关的漏洞
  • 14.7 JdbcRowSetImpl 如何触发的 JNDI 注入
  • 14.8 CC 链四个 Transformer 区别
  • 14.9 反序列化除了readObject 还有什么触发点
  • 14.10 讲讲 IIOP 和 T3 反序列化原理
  • 14.11 Java invoke 反射具体利用
• 15. 权限提升
  • 15.1 LM Hash 加密算法过程
  • 15.2 与 SMB 协议相关的漏洞有哪些
  • 15.3 脏牛漏洞提权原理
  • 15.4 黄金票据和白银票据区别
  • 15.5 读取不到 hash 怎么绕过
  • 15.6 现在有一台 Windows Server 2008 如何提权
  • 15.7 提权时选择可读写目录，为何尽量不用带空格的目录
  • 15.8 对于不能直接上传而只能通过命令行执行的 Shell 怎么办
  • 15.9 psexec 和 wmic 区别
  • 15.10 内网抓取密码的话怎么抓
  • 15.11 内网有杀软又怎么抓
  • 15.12 操作系统什么版本之后抓不到密码
  • 15.13 抓不到密码怎么绕过
  • 15.14 桌面有管理员会话，怎么做会话劫持
  • 15.15 当前机器上有一个密码本但被加密了，应该怎么办
  • 15.16 Dcom 怎么操作
  • 15.17 获取域控的方法有哪些
  • 15.18 DLL 劫持原理
  • 15.19 DPAPI 机制能干嘛
  • 15.20 MS14-068 原理
  • 15.21 内网文件 exe 落地怎么去做，用什么命令去执行来落地
  • 15.22 DB 文件如何解密，原理是什么
  • 15.23 PTH 中 LM hash 和 NTLM hash 的区别
  • 15.24 Print Nightmare 漏洞分析
  • 15.25 CS 域前置的原理
  • 15.26 CS 流量是怎么通信的
  • 15.27 土豆家族提权原理
  • 15.28 UAC 怎么绕过
  • 15.29 如何在没有 /tmp 写入权限的情况下，寻找替代的、可执行文件的临时存放位置
  • 15.30 exploit 无法直接在目标机上编译，你有哪些跨平台编译或利用预编译二进制文件的策略
  • 15.31 如何利用 Python 的环境特性在不修改原脚本的前提下，劫持程序执行流程并获取 Root Shell
  • 15.32 某个定时任务执行的脚本内容是 \#!/bin/bash;echo "Cleanup started" | mail -s "Status" $USER，如何利用这个未指定绝对路径的 mail 命令提权
  • 15.33 除了修改 /etc/passwd 外还可以利用 Dirty Cow 漏洞劫持哪些关键文件或内存区域来实现提权
• 16. 文件包含漏洞
  • 16.1 常用的协议有哪些
  • 16.2 怎么 GetShell
• 17. MongoDB 注入
  • 17.1 MongoDB 注入方式
• 18. CORS
  • 18.1 CORS 利用方式
• 19. 远控免杀
  • 19.1 ShellCode 免杀方法
  • 19.2 如何去过国内的杀软
  • 19.3 分离免杀和单体免杀有啥区别，为什么要分离
  • 19.4 做过其他免杀吗，比如结合 CS 和 MSF 的
• 20. PHP 代码审计
  • 20.1 === 和 == 的区别
  • 20.2 常见入口函数怎么找
  • 20.3 PHP 代码审计流程
  • 20.4 ThinkPHP 框架审计起来有什么不同
  • 20.5 PHP 原生的敏感函数有哪些
  • 20.6 反序列化时有哪些魔术方法是可以作为一个入手点去找的
  • 20.7 常见的路由方法
  • 20.8 介绍下 PHP 的变量覆盖
  • 20.9 远程文件包含和本地文件包含这两种涉及的 PHP 设置有什么
  • 20.10 本地文件包含能不能通过 PHP 配置限制文件包含的路径
  • 20.11 PHP 在做 SQL 注入防御时有哪些方法
  • 20.12 如果审计到了一个文件下载漏洞如何深入的去利用
  • 20.13 讲讲 Fortity 等代码审计工具原理
• 21. JAVA 代码审计
  • 21.1 JAVA 在做 SQL 注入防御时有哪些方法
• 22. 操作系统
  • 22.1 进程和线程内存空间的关系
  • 22.2 介绍下父子进程
  • 22.3 孤儿进程和僵尸进程区别
  • 22.4 Kill 一个进程的时候都发生了那些事情，从父子进程角度讲
  • 22.5 Linux 开机自启动方式
  • 22.6 Linux 有哪些系统调用
  • 22.7 说说 Linux 下的 Syscall
• 23. 逆向破解
  • 23.1 恶意样本给出函数家族的 md5，如何进行分类
  • 23.2 Linux 程序分为哪几个段
  • 23.3 .data 段存放哪些数据
  • 23.4 .bss 段存放哪些数据
  • 23.5 函数调用时的流程，参数如何传入以及寄存器、栈的变化
  • 23.6 解释程序的编译和链接，编译的过程中会有哪些操作
  • 23.7 说说 If/Else 语法树
  • 23.8 如何比较两个 C 函数的相似度
  • 23.9 什么情况下源代码与 IDA 反编译程序的代码差别很大
  • 23.10 面对静态编译的大型木马如何通过 IDA 定位其网络传输部分的逻辑
  • 23.11 如何动态地去找导入表
  • 23.12 如何不在编码时直接导入相关 API 的前提下进行攻击
  • 23.13 Windows 下有哪些常用的反调试技术
  • 23.14 单步执行的原理是什么
  • 23.15 在内存中已 Load 的程序如何快速找到其具有执行权限的段
  • 23.16 恶意软件有哪些方案检测自己处于沙箱中
  • 23.17 做一个反汇编器，指令集 opcode 的意义去哪查
  • 23.18 怎么识别指令跳转条件和内存访问
  • 23.19 做一个沙箱，有什么需要重定向的
  • 23.20 ESP 定律原理知道吗
  • 23.21 C++ 程序怎么去逆向找虚表
  • 23.22 进程隐藏技术是什么，如何检测
  • 23.23 如果多进程下，A 进程的 Source 触发到了 B 进程的 sink 点，如何溯源
  • 23.24 JNDI 如何做 Hook
• 24. 痕迹清除
  • 24.1 清理日志要清理哪些
  • 24.2 如何删除 Linux 机器的入侵痕迹
• 25. 钓鱼社工
  • 25.1 钓鱼方法除了 exe 这种双击的还有什么
  • 25.2 钓鱼上线的主机如何进行利用
  • 25.3 伪造电子邮件的原理
• 26. 二进制
  • 26.1 工控场景的入侵检测与普通场景入侵检测的区别
  • 26.2 讲讲 Linux 平台的漏洞缓解机制
  • 26.3 NX 是怎么绕过的
  • 26.4 讲讲 Linux 平台的 ELF 文件结构
  • 26.5 讲讲 Windows 平台的 PE 文件结构
  • 26.6 讲讲 ASLR 怎么绕过
  • 26.7 函数的调用约定有哪些，区别是什么
  • 26.8 fuzzing 主要是用来干嘛
  • 26.9 对 Windows 平台的漏洞和保护机制了解多少
  • 26.10 对比一下 QEMU 模式的 Fuzzing 和源码模式的 Fuzzing
  • 26.11 说说 QEMU 模式的动态插桩怎么实现的，有什么优缺点
  • 26.12 fuzz 普通程序和数据库有哪些不同点
  • 26.13 说说 AFL++ 和 AFL 有哪些不同
  • 26.14 怎么给 AFL 做适配去 fuzz 数据库
  • 26.15 介绍一下 fuzz 的流程，从选取目标开始
  • 26.16 讲一下 AFL 的插桩原理
  • 26.17 怎么选择 fuzz 测试点
  • 26.18 哪些漏洞可以用 fuzz 检测到
  • 26.19 符号执行是如何做约束求解的
• 27. AI 安全
  • 27.1 介绍下 SVM
  • 27.2 介绍下 KNN
  • 27.3 卷积神经网络介绍
  • 27.4 莱文斯坦距离
  • 27.5 倒排索引
  • 27.6 搜索引擎的算法有哪些
  • 27.7 了解 TF-IDF 文档匹配算法吗
  • 27.8 SGD 和 Adam 的区别
  • 27.9 如何缩减模型的检测时延
  • 27.10 如何降低模型的误报率
  • 27.11 如何找攻击样本
• 28. 密码学安全
  • 28.1 RSA 算法原理
  • 28.2 AES 算法原理
  • 28.3 说一下非对称加密算法的加密过程
  • 28.4 有哪些了解过的非对称加密算法
  • 28.5 栅栏密码的原理是什么
  • 28.6 Padding Oracle Attack 讲讲
• 29. 区块链安全
  • 29.1 说说交易所
  • 29.2 讲一讲区块链逆向函数涉及到的接收参数的指令集
  • 29.3 说说重入漏洞
  • 29.4 在 DeFi 项目中建立了各种各样的经济模型，怎样才能找出可能存在的漏洞
  • 29.5 libsnark 核心是什么
  • 29.6 truffle、solidity 了解吗
  • 29.7 智能合约的鉴权、公私密钥
  • 29.8 数字钱包的身份认证
• 30. 云安全
  • 30.1 控制了一台云主机但没有连接内网也没有云内网，该如何利用
• 31. APP 安全
  • 31.1 安卓系统如何进行 RCE，有什么思路
  • 31.2 给一个移动端的 APP，已知服务端是 cloud 环境有什么思路利用

版权所有

许可证：署名 4.0 国际 (CC-BY-4.0)