2025年渗透测试面试题总结-2025年HW(护网面试) 33（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

[2025年HW(护网面试) 33](#2025年HW(护网面试) 33)

[1. Go语言免杀Shellcode原理与实现](#1. Go语言免杀Shellcode原理与实现)

[2. Windows Defender绕过与机制](#2. Windows Defender绕过与机制)

[3. 绕过卡巴斯基进程保护](#3. 绕过卡巴斯基进程保护)

[4. Fastjson不出网利用](#4. Fastjson不出网利用)

[5. 工作组环境渗透思路](#5. 工作组环境渗透思路)

[6. 内存马机制](#6. 内存马机制)

[7. 不出网利用与正向Shell](#7. 不出网利用与正向Shell)

[8. 域内委派攻击要点](#8. 域内委派攻击要点)

[9. Shiro漏洞要点](#9. Shiro漏洞要点)

[10. 护网三大高频漏洞](#10. 护网三大高频漏洞)

[11. 天擎终端绕过思路](#11. 天擎终端绕过思路)

[12. 免杀木马核心思路](#12. 免杀木马核心思路)

[13. JSONP与CORS危害](#13. JSONP与CORS危害)

[14. 外网打点典型路径](#14. 外网打点典型路径)

[15. RMI利用原理](#15. RMI利用原理)

[16. 域内普通用户利用](#16. 域内普通用户利用)

[17. 宝塔禁用函数绕过](#17. 宝塔禁用函数绕过)

[18. 证书透明度（CT）危害](#18. 证书透明度（CT）危害)

[19. 内网渗透降权作用](#19. 内网渗透降权作用)

[20. Webshell无法执行命令解决方案](#20. Webshell无法执行命令解决方案)

2025年HW(护网面试) 33

1、go语言免杀shellcode如何免杀？免杀原理是什么？
2、windows defender防御机制原理，如何绕过？
3、卡巴斯基进程保护如何绕过进行进程迁移？
4、fastjson不出网如何利用？
5、工作组环境下如何进行渗透？详细说明渗透思路。
6、内存马的机制？
7、不出网有什么方法，正向shell方法除了reg之类的，还有什么？
8、什么是域内委派？利用要点？
9、shiro漏洞类型，721原理，721利用要注意什么？
10、护网三大洞？
11、天擎终端防护如何绕过，绕过思路？
12、免杀木马的思路？
13、jsonp跨域的危害，cors跨域的危害？
14、说出印象比较深刻的一次外网打点进入内网？
15、rmi的利用原理？
16、域内的一个普通用户（非域用户）如何进行利用？
17、宝塔禁止PHP函数如何绕过？
18、证书透明度的危害？
19、内网渗透降权的作用？
20、webshell有system权限但无法执行命令，怎么办？

1. Go语言免杀Shellcode原理与实现

原理：

• 加密混淆：AES/RC4加密Shellcode，运行时解密（避免静态特征）
• 内存操作 ：直接通过syscall.Mmap分配可执行内存，避免VirtualAlloc等敏感API
• 反沙箱：嵌入环境检测逻辑（如CPU核心数、进程列表检查）
• 代码分割：将Shellcode拆分为多个Go协程分段加载

关键技巧：

go`// 示例：内存加载加密Shellcode key := []byte("key123") ciphertext, _ := base64.StdEncoding.DecodeString("加密的shellcode") block, _ := aes.NewCipher(key) plaintext := make([]byte, len(ciphertext)) block.Decrypt(plaintext, ciphertext) // 动态解密 syscall.Syscall(uintptr(unsafe.Pointer(&plaintext[0])), 0, 0, 0, 0) // 内存执行 `

---

2. Windows Defender绕过与机制

防御机制：

• AMSI：扫描PowerShell等脚本内存
• 云检测：可疑文件上传云端分析
• 行为监控 ：API调用序列检测（如CreateRemoteThread+WriteProcessMemory组合）

绕过方法：

• 直接系统调用 ：通过syscall.Syscall调用NTAPI（如NtCreateThreadEx）
• 内存篡改 ：Patch AMSI.dll 的AmsiScanBuffer函数返回0x80070057
• 合法进程注入 ：注入到explorer.exe 等白名单进程

---

3. 绕过卡巴斯基进程保护

步骤：

1. 驱动漏洞利用 ：利用签名驱动（如klif.sys ）的CVE-2020-8449实现权限提升
2. 关闭保护 ：内存修改卡巴斯基的klif.sys 驱动标志位
3. 进程迁移 ：通过QueueUserAPC注入到稳定进程（如svchost.exe ）

---

4. Fastjson不出网利用

方式：

• 本地类加载 ：利用java.lang.ClassLoader 加载本地恶意类
• JNDI+LDAP本地劫持：启动恶意LDAP服务端响应内网请求
• 文件写入 ：结合com.sun.org.apache.bcel.internal.util.ClassLoader 写入BCEL字节码文件

---

5. 工作组环境渗透思路

阶段：

1. 信息收集 ：
   • NetBIOS扫描获取主机名列表
   • SMB枚举（enum4linux）收集共享目录和用户
2. 横向移动 ：
   • Pass-The-Hash攻击（使用crackmapexec smb 192.168.1.0/24 -u user -H NTLM_HASH）
   • MS-RPC漏洞利用（如EternalBlue）
3. 权限维持 ：
   • 计划任务部署WMI事件订阅

---

6. 内存马机制

核心原理：

• 无文件驻留 ：通过Java反射修改Filter/Interceptor内存指针（如Tomcat的ApplicationFilterChain）
• 动态注册 ：利用javassist动态创建恶意Servlet
• 隐蔽通信 ：伪装为正常HTTP参数（如Cookie: session=恶意代码）

---

7. 不出网利用与正向Shell

解决方案：

• DNS隧道：通过TXT记录传输数据（工具：dnscat2）
• ICMP隧道：封装数据到ICMP包（工具：ptunnel）
• HTTP正向代理：部署反向代理（如reGeorg+本地端口转发）

---

8. 域内委派攻击要点

类型与利用：

类型	利用方式	关键命令
非约束委派	窃取管理员访问服务的TGT	sekurlsa::tickets /export
约束委派	S4U2Proxy伪造服务票据	getST.py -spn cifs/dc$
基于资源	修改目标服务的msDS-AllowedToAct	PowerShell Set-ADComputer

---

9. Shiro漏洞要点

• 721漏洞原理 ：
  AES-CBC加密Cookie时未验证填充字节，通过Padding Oracle攻击反推密钥
• 利用注意 ：
  • 需收集至少128个有效Cookie
  • 使用ysoserial生成反序列化Payload时避开黑名单类（如BeanShell1）

---

10. 护网三大高频漏洞

1. Log4j2 RCE（CVE-2021-44228）：JNDI注入触发LDAP恶意加载
2. Exchange SSRF（ProxyShell）：CVE-2021-34473组合利用获取Shell
3. VPN漏洞（如Fortinet CVE-2018-13379）：路径遍历获取凭证文件

---

11. 天擎终端绕过思路

• 驱动卸载 ：利用360Safe.exe 的/uninstall参数静默卸载
• 白进程注入 ：劫持天擎信任的签名进程（如Notepad++.exe）
• 注册表过滤 ：禁用文件监控注册表键值 HKLM\SOFTWARE\360\ActiveDefense\FileMonitor

---

12. 免杀木马核心思路

层次：

• 静态层：加壳（VMProtect）、字符串加密（XOR+Base64）
• 行为层 ：
  • 延迟执行（循环计数触发）
  • 环境感知（检测虚拟机CPU指令）
• 传输层：HTTPS证书绑定 + 数据分片传输

---

13. JSONP与CORS危害

JSONP风险：

• 窃取用户敏感数据（如CSRF Token）

  html`<script src="https://bank.com/userinfo?callback=stealData"></script> <script>function stealData(data){ sendToAttacker(data); }</script>`

CORS风险：

• 配置错误（如Access-Control-Allow-Origin: *）导致任意网站读取数据

---

14. 外网打点典型路径

案例：

1. Web漏洞：Confluence OGNL注入（CVE-2022-26134）获取Shell
2. 提权：利用Polkit-1（CVE-2021-4034）获取root权限
3. 横向移动：Redis未授权访问写入SSH密钥

---

15. RMI利用原理

攻击链：

1. 恶意RMI服务器注册对象（实现Remote接口）
2. 受害者通过lookup()获取远程对象
3. 利用反序列化链（如commons-collections）触发RCE

---

16. 域内普通用户利用

关键动作：

• BloodHound分析：识别用户所在组的资源访问权限
• Kerberoasting ：请求服务票据后离线爆破（hashcat -m 13100）
• ACL滥用 ：检查用户是否对高价值对象有WriteDacl权限

---

17. 宝塔禁用函数绕过

方法：

• LD_PRELOAD劫持 ：编译恶意.so文件覆盖disabled_functions限制
• ImageMagick漏洞：利用CVE-2022-44268（PNG解析）执行命令
• FFI扩展：PHP 7.4+通过FFI调用系统函数

---

18. 证书透明度（CT）危害

风险场景：

• 子域名接管：通过CT日志发现未使用的子域名证书
• 钓鱼攻击 ：监控企业新证书申请，伪造相似域名（如paypa1.com ）

---

19. 内网渗透降权作用

目的：

• 规避检测：降低进程权限避免触发EDR告警（如从SYSTEM降至USER）
• 权限维持：以低权限运行后门减少被清理风险
• 横向移动：普通用户身份更不易引发异常行为告警

---

20. Webshell无法执行命令解决方案

排查与绕过：

1. 函数禁用 ：
   • 尝试proc_open()或popen()替代system()
   • 使用PHP反引号执行 `id`
2. 权限限制 ：
   • 检查SELinux/apparmor策略
   • 通过ini_set('disable_functions', '')动态修改配置（需权限）
3. 组件利用 ：
   • 利用Imagick、FFmpeg等组件的命令执行漏洞