2025年渗透测试面试题总结-某战队红队实习面经(附回答)(题目+回答)

网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。

目录

某战队红队实习面经

个人经历与技术能力

[2. HVV/攻防演练成绩](#2. HVV/攻防演练成绩)

[3. 上一个工作主要内容](#3. 上一个工作主要内容)

[4. 有意思的逻辑漏洞案例](#4. 有意思的逻辑漏洞案例)

[5. 自研武器/工具](#5. 自研武器/工具)

[6. CVE/CNVD编号](#6. CVE/CNVD编号)

[8. 钓鱼攻击经历](#8. 钓鱼攻击经历)

Web安全深度解析

[1. XSS高级利用](#1. XSS高级利用)

[4. 注入点挖掘技巧](#4. 注入点挖掘技巧)

[7. Fastjson原理](#7. Fastjson原理)

[10. Shiro550 vs Shiro721](#10. Shiro550 vs Shiro721)

[13. Log4j2高版本JDK利用](#13. Log4j2高版本JDK利用)

[16. 代码审计与0day挖掘](#16. 代码审计与0day挖掘)

内网与权限提升

[17. Redis未授权利用](#17. Redis未授权利用)

[19. 冰蝎 vs 菜刀](#19. 冰蝎 vs 菜刀)

[20. XXE攻击手法](#20. XXE攻击手法)

回答策略建议

内网渗透核心问题解析

[1. 判断主机是否在域环境](#1. 判断主机是否在域环境)

[3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比](#3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比)

[4. CS特征隐藏方法](#4. CS特征隐藏方法)

[5. 免杀技术途径](#5. 免杀技术途径)

权限提升技术详解

[6. Windows与Linux提权思路对比](#6. Windows与Linux提权思路对比)

[9. MSSQL提权方法](#9. MSSQL提权方法)

[10. 制作白银票据条件](#10. 制作白银票据条件)

隧道搭建与权限维持

[7. 隧道搭建技术](#7. 隧道搭建技术)

[8. 权限维持思路](#8. 权限维持思路)

回答策略总结

某战队红队实习面经

复制代码
1.简单自我介绍
2. 你在hvv/攻防演练中取得了哪些成绩?
3. 上一个工作的主要内容?
4. 有没有遇到过有意思的逻辑漏洞?
5. 有没有自己开发过武器/工具?
6. 有cve/cnvd吗?
7. 有src排名吗?
8. 有钓鱼经历吗?具体说说
Web方面:
1. xss除了获取cookie还能干什么?
4. 如何寻找注入点?
6. --os-shell的条件?
7. Fastjson的原理?
8. 利用fastjson注入内存马原理?
9. 内存马免杀有做过吗?具体说说
10. Shiro550和shiro721的区别?
11. 你能从代码层理解shiro的原理吗?
12. 你拿到key了但是没有攻击链,此时应该怎么办?
13. Log4j2高版本jdk不支持外部加载jndi,应该怎么利用?
14. 不借助dnslog有办法检测log4j2是否出网吗
15. 你是如何验证struts2是否存在的
16. 有做过代码审计吗?有0day吗?
17. Redis未授权有了解吗?
18. Springboot 有哪些漏洞?
19. 冰蝎和菜刀等webshell工具有什么区别?
20. Xxe原理与攻击手法?

内网方面:

1. 如何判断当前主机是否在域环境内?
3. Cs和msf的优缺点?
4.如何进行cs特征隐藏?
5.免杀有几种途径?
6.谈谈Windows系统与Linux系统提权的思路
Win

1. 系统内核溢出漏洞提权
2. 数据库提权
3. 错误的系统配置提权
4. 组策略首选项提权
5. WEB中间件漏洞提权
6. DLL劫持提权
7. 滥用高危权限令牌提权
8. 第三方软件/服务提权等
Linux
1. Linux内核漏洞提权
2. 低权限用户目录下可被Root权限用户调用的脚本提权(SUID)
3. 环境变量劫持高权限程序提权
4. sudoer配置文件错误提权
7. 你是怎么搭建隧道的
8. 权限维持的思路?
9. 简单说一下mssql提权
10. 制作白银票据需要哪些条件?

个人经历与技术能力

2. HVV/攻防演练成绩
  • 红队角色:主导3次大型攻防演练,突破目标内网边界,获取域控权限(需量化:如攻击路径、漏洞类型)。
  • 漏洞利用:通过0day/Nday组合攻击(如Log4j2+Shiro)拿下关键系统,获评"最佳攻击手"。
  • 防守经验:协助客户修复高危漏洞(如Fastjson反序列化),实现0失分。
3. 上一个工作主要内容
  • 渗透测试:主导金融/政务行业Web应用测试,发现SQL注入、逻辑漏洞等20+高危漏洞。
  • 代码审计:审计Java/SpringBoot项目,挖掘CVE-2023-XXXX(举例)。
  • 工具开发:编写自动化扫描工具(如基于Python的Fastjson检测脚本)。
4. 有意思的逻辑漏洞案例
  • 订单金额篡改 :通过前端参数篡改(如price=-1)实现0元购。
  • 验证码绕过 :重置密码时拦截响应包,修改status:success绕过校验。
  • 并发竞争:利用多线程并发请求薅羊毛(如积分兑换礼品)。
5. 自研武器/工具
  • 内存马生成器:基于Java Agent技术实现动态注入Tomcat Filter。
  • 隐蔽隧道工具:改造Neo-reGeorg支持AES加密流量混淆。
  • 漏洞PoC框架:集成常见漏洞验证(如Shiro550一键检测)。
6. CVE/CNVD编号
  • CVE-2023-XXXX:某OA系统文件上传漏洞(需具体说明影响版本)。
  • CNVD-2023-XXXXX:某CMS的SQL注入漏洞(附修复建议)。
8. 钓鱼攻击经历
  • 伪造邮件:冒充IT部门诱导员工点击"密码更新"链接(窃取AD凭据)。
  • 水坑攻击:劫持目标常用网站JS脚本注入恶意代码。
  • 社工库辅助:结合泄露数据定制化钓鱼内容(如真实项目名称)。

Web安全深度解析

1. XSS高级利用
  • 键盘记录 :通过JavaScript监听onkeypress事件窃取输入信息。
  • 内网探测 :利用<img src="http://内网IP">检测存活主机。
  • 结合CSRF:伪造管理员操作(如添加后台用户)。
4. 注入点挖掘技巧
  • 非常规参数 :JSON/XML请求体、HTTP头部(如X-Forwarded-For)。
  • 盲注特征 :时间盲注(sleep(2))、布尔盲注(and 1=2页面差异)。
  • 工具辅助:Burp Suite的Intruder模块模糊测试参数。
7. Fastjson原理
  • 反序列化机制 :通过@type指定恶意类触发JNDI注入(如com.sun.rowset.JdbcRowSetImpl )。
  • 利用链构造 :结合TemplatesImpl类执行字节码(需Feature.SupportNonPublicField)。
  • 高版本绕过 :利用非公开类(如org.apache.ibatis.datasource )。
10. Shiro550 vs Shiro721
对比项 Shiro550 Shiro721
漏洞类型 硬编码密钥反序列化 Padding Oracle攻击
利用条件 直接构造Cookie 需爆破加密密钥
修复方案 更换密钥+禁用RememberMe 升级Shiro至1.4.2+
13. Log4j2高版本JDK利用
  • 本地ClassPath加载 :上传恶意类至Web目录,通过${sys:user.dir} 触发。
  • 中间件内存马:结合Tomcat的Filter/Servlet动态注册。
  • JNDI本地引用 :如ldap://localhost:1389/Exploit(需目标开启本地服务)。
16. 代码审计与0day挖掘
  • 审计方法论
    1. 危险函数追踪(如Runtime.exec() )。
    2. 框架特性分析(如Spring的SpEL表达式)。
  • 0day案例 :某ERP系统SQL注入(通过orderBy参数拼接)。

内网与权限提升

17. Redis未授权利用
  • 写SSH公钥config set dir /root/.ssh/ + set authorized_keys "xxx"
  • 写Webshell :通过set xxx "\n\n<?php eval($_POST[cmd]);?>\n\n"
  • 主从复制RCE :利用MODULE LOAD加载恶意.so文件。
19. 冰蝎 vs 菜刀
对比项 冰蝎 菜刀
加密方式 AES动态密钥 明文传输
流量特征 混淆HTTP头部 固定eval关键字
扩展性 支持插件化开发 仅基础功能
20. XXE攻击手法
  • 文件读取<!ENTITY xxe SYSTEM "file:///etc/passwd">
  • SSRF探测<!ENTITY xxe SYSTEM "http://内网IP:8080">
  • Blind XXE:通过DNS外带数据(需VPS接收日志)。

回答策略建议

  1. 量化成果:如"发现50+高危漏洞""影响10W+用户"。
  2. 技术细节:避免泛泛而谈,举例漏洞原理(如Shiro的AES密钥问题)。
  3. 防守视角:强调漏洞修复经验(如Fastjson黑名单配置)。

内网渗透核心问题解析

1. 判断主机是否在域环境
  • 命令检测
    • systeminfo | findstr "Domain":显示域名称(非WORKGROUP)。
    • net config workstation:查看"工作站域"字段。
    • nltest /domain_trusts(需管理员权限)。
  • 网络流量分析
    • DNS查询_ldap._tcp.dc._msdcs.<domain>
    • 检测53端口(DNS)、389端口(LDAP)通信。
  • 用户组验证
    • whoami /all:查看是否有域用户组(如Domain Admins)。
3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比
维度 Cobalt Strike Metasploit
隐蔽性 流量加密、支持Sleep Mask 默认流量特征明显(如Stage UUID)
功能扩展 可视化团队协作、钓鱼攻击模块 模块丰富(600+ exploit)、支持自定义开发
适用场景 长期渗透、APT攻击模拟 快速漏洞利用、红队演练
成本 商业软件($3,500/年) 开源免费
4. CS特征隐藏方法
  • 流量混淆
    • 修改C2配置文件(如https-certificate字段伪装为合法证书)。
    • 使用Domain Fronting(如CDN厂商域名)。
  • 进程注入
    • 通过process_inject模块注入到合法进程(如explorer.exe )。
  • 反沙箱检测
    • 添加环境检查代码(如检测CPU核心数、内存大小)。
5. 免杀技术途径
  • 代码层免杀
    • 动态加载Shellcode(如通过Python的ctypes模块)。
    • 分离执行(如远程加载加密Payload)。
  • 行为层绕过
    • 禁用敏感API调用(如VirtualAlloc替换为NtMapViewOfSection)。
    • 模拟合法软件行为(如伪装为浏览器更新进程)。
  • 工具链整合
    • 使用Donut+SRDI技术生成无文件攻击载荷。

权限提升技术详解

6. Windows与Linux提权思路对比

Windows提权

  1. 内核漏洞
    • 工具:JuicyPotato(滥用COM接口)、PrintSpoofer(命名管道模拟)。
    • 条件:需匹配系统版本(如Windows Server 2016未打补丁)。
  2. 数据库提权
    • MSSQL的xp_cmdshell启用:EXEC sp_configure 'show advanced options', 1; RECONFIGURE;
  3. 组策略首选项 (GPP)
    • 解密\\<domain>\SYSVOL\Policies\{ID}\Machine\Preferences\Groups\Groups.xml 中的cpassword

Linux提权

  1. SUID滥用
    • 查找:find / -perm -4000 2>/dev/null,利用/usr/bin/passwd等。
  2. 环境变量劫持
    • 劫持PATH中的程序:export PATH=/tmp:$PATH + 伪造ls脚本。
  3. Cron Jobs
    • 注入恶意命令到/etc/crontab或用户级任务。
9. MSSQL提权方法
  • xp_cmdshell

    复制代码
    sql`EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; EXEC xp_cmdshell 'whoami'; `
  • OLE自动化

    复制代码
    sql`DECLARE @shell INT; EXEC sp_oacreate 'wscript.shell', @shell OUTPUT; EXEC sp_oamethod @shell, 'run', NULL, 'cmd /c calc.exe'; `
  • 差异备份写Webshell

    复制代码
    sql`BACKUP DATABASE test TO DISK='C:\inetpub\wwwroot\shell.aspx' WITH DIFFERENTIAL, FORMAT; `
10. 制作白银票据条件
  • 必要条件

    1. 域控的NTLM Hash(可通过DCSync攻击获取)。
    2. 目标服务SPN(如MSSQLSvc/sqlserver.domain.com )。
    3. 有效的用户SID(如S-1-5-21-123456789-1234567890-123456789)。
  • 攻击命令示例

    复制代码

    bash

    复制

    mimikatz.exe "kerberos::golden /user:fakeuser /domain:domain.com /sid:S-1-5-21-xxx /target:sqlserver.domain.com /service:MSSQLSvc /rc4:<NTLM_HASH> /ptt"


隧道搭建与权限维持

7. 隧道搭建技术
  • HTTP隧道
    • 工具:reGeorg(基于PHP/JSP的Webshell隧道)。
    • 场景:绕过防火墙限制(仅开放80/443端口)。
  • ICMP隧道
    • 工具:icmpsh(需禁用系统ICMP响应)。
  • DNS隧道
    • 工具:DNSCat2(适用于严格网络环境)。
8. 权限维持思路
  • 持久化后门
    • Windows:注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run添加启动项。
    • Linux:/etc/rc.localcrontab -e添加定时任务。
  • 隐蔽账户
    • Windows:创建隐藏用户(如net user evil$ Passw0rd /add /domain)。
    • Linux:useradd -o -u 0 -g 0 -M -d /root -s /bin/bash backdoor

回答策略总结

  1. 技术深度:结合漏洞原理(如白银票据的SPN要求)与实战命令(如Mimikatz)。
  2. 对比分析:横向对比同类技术(如CS vs MSF)。
  3. 防御视角:补充缓解措施(如禁用GPP密码存储)。
相关推荐
他们都不看好你,偏偏你最不争气13 分钟前
OC语言学习——面向对象(下)
开发语言·学习·objective-c·面向对象
虾球xz30 分钟前
游戏引擎学习第262天:绘制多帧性能分析图
c++·学习·游戏引擎
Chat_zhanggong34533 分钟前
AI训练服务器概述
运维·服务器·人工智能
TUTO_TUTO35 分钟前
【AWS+Wordpress-准备阶段】AWS注册+创建EC2实例
学习·云计算·aws
伊织code36 分钟前
AWS MCP Servers
服务器·python·ai·云计算·aws·mcp
一个W牛38 分钟前
精选面试题
javascript·面试
cnbestec43 分钟前
从人体姿态到机械臂轨迹:基于深度学习的Kinova远程操控系统架构解析
服务器·人工智能·机器人
kkai人工智能1 小时前
DeepSeek的100个应用场景
人工智能·gpt·学习·chatgpt
J先生x1 小时前
【IP101】图像分割技术全解析:从传统算法到深度学习的进阶之路
图像处理·人工智能·深度学习·学习·算法·计算机视觉
QX_hao1 小时前
【firewall-cmd】--的作用以及使用方法
服务器·网络·windows