2025年渗透测试面试题总结- 某深某服-漏洞研究员实习扩展(题目+回答)
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
深某服-漏洞研究员实习
一、在XX实习时做了什么(需结合具体企业背景补充)
二、渗透测试思路的六阶段模型
三、护网中承担角色及技术实现
1. 攻击队(红队)核心职责
2. 监控组(蓝队)关键技术
3. 溯源组核心技术栈
四、红队攻击的五个高阶思路
1. 云原生环境渗透
2. 硬件固件级攻击
3. 身份认证体系突破
五、系统横向移动的七种技术路径
1. 凭证中继攻击
2. 委派滥用
3. 容器逃逸
4. 软件供应链污染
六、Log4j 2漏洞(CVE-2021-44228)绕过与混淆
七、内存马对抗技术演进
八、冰蝎4.0与哥斯拉3.1特性对比
九、Shiro反序列化漏洞防御加固
十、Bypass手法全场景解析
某深某服-漏洞研究员实习扩展
在XX实习时做了什么 渗透测试的思路简单描述 护网中承担什么角色 红队一些攻击思路 拿下系统如何横向 前段时间的那个log4j有研究吗,可以简单说一下吗 (接上)有哪些混淆绕过的方法 内存码有没有了解 冰蝎、哥斯拉这些工具有没有了解过 做攻击队的时候有没有研究过什么攻击,比如研究一些工具还是魔改什么的 那么多漏洞和攻击,比较擅长哪一个 说下shiro反序列化的形成原因、利用链 对一些bypass的方法有没有了解过,什么姿势可以简单介绍一下。一、在XX实习时做了什么(需结合具体企业背景补充)
- 漏洞挖掘与验证
- 参与Web应用黑盒测试,针对业务逻辑漏洞(如订单篡改、越权访问)设计测试用例,发现3个高危漏洞并推动修复。
- 使用Burp Suite插件(Autorize)自动化检测垂直越权,结合手动修改Cookie参数完成水平越权验证。
- 对API接口进行模糊测试,通过Swagger文档分析参数结构,利用Intruder模块批量检测SQL注入与IDOR漏洞。
- 内网渗透模拟
- 在隔离环境中搭建域控环境,利用MS17-010漏洞突破边界服务器,通过Mimikatz提取域管凭证实现横向移动。
- 研究NTLM Relay攻击场景,在内部网络中捕获SMB流量并中继至Exchange服务器获取邮箱权限。
- 编写PowerShell脚本自动化收集主机信息(如补丁状态、开放端口),辅助制定攻击路径。
- 安全工具开发
- 开发Python脚本解析Nmap扫描结果,自动生成CVE漏洞匹配报告,集成NVD数据库API实现风险评级。
- 改进SQLMap的Tamper脚本,绕过特定WAF规则(如替换UNION SELECT为/!UNION//!SELECT/)。
- 设计基于机器学习的异常流量检测模型,分析HTTP请求参数分布特征,识别潜在攻击行为。
- 红蓝对抗演练
- 在护网预演中担任攻击队成员,通过钓鱼邮件投放恶意宏文档,建立Cobalt Strike C2通道。
- 利用Kerberoasting攻击获取服务账户哈希,使用Hashcat集群破解弱密码,进一步渗透核心数据库。
- 撰写攻击复盘报告,提出15项防御加固建议(如禁用NTLMv1、限制PowerShell执行策略)。
- 安全合规支持
- 参与等保2.0测评,梳理资产清单并执行差距分析,修复身份鉴别与审计日志类缺陷。
- 制定《漏洞响应SOP手册》,明确漏洞提交、定级、修复验证的闭环流程,缩短MTTR至48小时内。
- 培训开发团队安全编码规范,演示XXE、SSRF漏洞成因,推动SAST工具集成至CI/CD流程。
二、渗透测试思路的六阶段模型
- 情报侦察(Reconnaissance)
- 被动信息收集:通过WHOIS查询域名注册信息,使用Harvester聚合邮箱/子域名,分析GitHub代码泄露。
- 主动探测技术:Masscan快速扫描全网段开放端口,Wappalyzer识别CMS版本,Shodan搜索暴露的IoT设备。
- 社会工程学:伪造LinkedIn资料接触目标员工,收集组织架构信息用于钓鱼攻击定向伪装。
- 漏洞分析(Vulnerability Analysis)
- 自动化扫描:Nessus与OpenVAS结合,针对识别出的服务(如Apache Tomcat 8.5.19)匹配CVE-2020-1938漏洞。
- 手动验证:对扫描结果进行误报排除,例如通过curl验证路径遍历漏洞可行性。
- 业务逻辑审计:检查多步骤流程(如支付、审批)中的状态篡改可能,利用Burp Repeater重放请求测试。
- 攻击利用(Exploitation)
- 武器化漏洞:将PoC代码改造为稳定利用工具,如修改反序列化Gadget链适配目标ClassPath。
- 权限维持:部署WebShell后植入SSH公钥,设置计划任务定期连接C2服务器。
- 绕过防御机制:使用内存加载恶意DLL规避EDR检测,通过父进程欺骗(如伪装为svchost)隐藏进程树。
- 横向移动(Lateral Movement)
- 凭证窃取:利用Procdump导出LSASS进程内存,解析其中缓存的NTLM哈希与Tickets。
- 传递攻击:通过SMBexec执行远程命令,或利用WMI跨主机部署Payload。
- 网络分段突破:分析防火墙规则,寻找允许ICMP/HTTP出站的跳板机作为内网渗透枢纽。
- 数据渗透(Exfiltration)
- 数据分类识别:搜索文件服务器中的敏感文档(如合同、设计图),使用正则表达式匹配信用卡号格式。
- 隐蔽传输:将数据加密后分片嵌入DNS查询请求,或通过HTTPS隧道上传至云存储。
- 痕迹清理:删除事件日志、覆盖Shell访问时间戳,使用SDelete安全擦除临时文件。
- 报告与修复验证
- 风险量化:基于CVSS 3.1评分系统评估漏洞严重性,结合业务影响调整最终风险等级。
- PoC证据:录制漏洞利用视频,提供HTTP请求/响应片段作为修复参考。
- 复测流程:验证补丁有效性(如Header注入修复后测试CRLF绕过),确认误修复与副作用。
三、护网中承担角色及技术实现
1. 攻击队(红队)核心职责
漏洞武器化
将公开PoC改造为实战工具:例如针对Apache Dubbo反序列化漏洞(CVE-2023-23638),重写Gadget链适配目标ClassLoader,绕过RASP防护。
开发0day利用框架:构建模块化漏洞触发模块,支持动态加载Shellcode,适配不同系统架构(如ARM服务器)。钓鱼攻击链设计
伪造Office 365登录页:克隆目标企业品牌元素,部署在Cloudflare Pages实现HTTPS可信证书,通过邮件社工诱导员工输入MFA令牌。
水坑攻击:劫持供应商官网JS脚本,注入浏览器漏洞利用代码(如Chrome V8引擎CVE-2024-0519)。横向移动基础设施
搭建多层C2架构:使用域名前置技术(如Azure CDN)隐藏真实IP,通过Tor节点实现匿名通信。
部署隐蔽隧道:利用DNS-over-HTTPS协议封装C2流量,规避网络层IDS检测。2. 监控组(蓝队)关键技术
SIEM规则优化
检测可疑登录行为:聚合分析多源日志(AD、VPN、OA),设置阈值告警(如单账号30分钟内跨5国登录)。
机器学习模型应用:训练LSTM网络识别Webshell上传流量特征(如Content-Length异常、Base64编码参数)。威胁狩猎实战
内存取证:使用Volatility分析可疑进程的DLL注入痕迹(如未签名的线程注入svchost.exe )。
日志关联分析:通过Sysmon Event ID 10(进程访问)与7(镜像加载)交叉定位无文件攻击。3. 溯源组核心技术栈
网络流量分析
解密TLS流量:部署中间人代理捕获SSLKEYLOG文件,还原HTTPS通信中的攻击载荷。
协议行为建模:分析Cobalt Strike Beacon心跳包的Jitter与睡眠时间,生成攻击者指纹。恶意样本逆向
动态沙箱分析:使用CAPE Sandbox运行样本,捕获内存Dump中的PowerShell混淆代码。
代码同源比对:通过YARA规则匹配已知APT组织代码特征(如Lazarus组的RC4加密密钥生成算法)。
四、红队攻击的五个高阶思路
1. 云原生环境渗透
Kubernetes API滥用
利用kubelet未授权访问(10250端口)在Pod中执行命令,挂载主机路径实现逃逸。
通过ServiceAccount令牌横向访问ETCD数据库,获取集群敏感配置。Serverless函数攻击
注入AWS Lambda环境变量窃取临时凭证,利用AssumeRole权限提升至跨账户控制。
通过函数层持久化:将恶意代码嵌入Layer版本,实现重启后驻留。2. 硬件固件级攻击
BMC芯片漏洞利用
利用Supermicro IPMI的CVE-2023-40284漏洞,通过伪造固件更新包植入Baseboard后门。
捕获BMC与带外管理口的加密通信,破解默认SSL证书实现中间人攻击。USB设备注入
制作BadUSB:通过Teensy模拟HID设备,自动输入PowerShell下载执行命令。
利用USB PD协议漏洞(如CVE-2024-3147)触发目标设备缓冲区溢出。3. 身份认证体系突破
OAuth令牌劫持
构造恶意OAuth客户端诱导用户授权,获取Mail.Read等高风险权限,通过Microsoft Graph API窃取邮件。
利用IDP配置错误实现SAML断言伪造,绕过MFA验证直接登录目标系统。生物特征绕过
3D打印指纹膜破解指纹识别系统,使用GAN生成高精度面部视频绕过活体检测。
注入Windows Hello进程篡改生物特征验证结果。
五、系统横向移动的七种技术路径
1. 凭证中继攻击
- NTLM Relay自动化
使用Impacket的ntlmrelayx.py 模块,将捕获的Net-NTLMv2哈希中继至LDAPS服务,创建高权限账户。
针对Exchange EWS接口的中继攻击,通过推送规则窃取邮件内容。2. 委派滥用
- 非约束委派利用
通过SpoolService漏洞(CVE-2023-23397)获取域控的TGS票据,利用SeEnableDelegationPrivilege提权。
导出内存中的Kerberos票据,使用Rubeus的s4u扩展模拟任意用户访问服务。3. 容器逃逸
- 特权容器突破
在拥有CAP_SYS_ADMIN权限的Docker容器中,使用nsenter接管宿主机进程命名空间。
利用CVE-2024-21633(runc漏洞)通过工作目录逃逸至宿主机文件系统。4. 软件供应链污染
- 私有包仓库投毒
篡改内部NPM包的install脚本,在构建阶段注入恶意代码窃取CI/CD凭证。
利用PyPI的Typosquatting漏洞上传仿冒库,诱导开发者下载执行后门。
(因平台篇幅限制,此处展示部分内容,完整版涵盖以下深度技术解析:)
六、Log4j 2漏洞(CVE-2021-44228)绕过与混淆
- 上下文变量嵌套:
${${::-j}${::-n}${::-d}${::-i}:...}- Unicode转义混淆:
\u0024{\u006a\u006e\u0064\u0069:...}- 环境变量间接引用:
${env:JNDI_PREFIX:-j}ndi:ldap://...七、内存马对抗技术演进
- Java Agent注入:通过JVM TI机制动态修改字节码,插入Filter型马
- 无符号驱动加载:利用BYOVD(Bring Your Own Vulnerable Driver)在内核层隐藏进程
- eBPF钩子隐藏:劫持系统调用表(sys_call_table)过滤readdir操作
八、冰蝎4.0与哥斯拉3.1特性对比
特性 冰蝎 哥斯拉 协议支持 HTTP/WebSocket双通道 HTTP/DNS/ICMP多协议 加密算法 AES-256+GCM+动态密钥 RSA-2048预共享密钥+异或混淆 流量伪装 图片文件分片传输 伪造成Cloudflare API请求 插件生态 官方插件市场(需授权) 开源社区插件(Lua脚本扩展) 九、Shiro反序列化漏洞防御加固
- 密钥随机化:重写AbstractRememberMeManager的encrypt/decrypt方法
- 类加载隔离:自定义ClassResolver限制反序列化类白名单
- JEP290过滤:配置jdk.serializationFilter 检查ObjectInputStream
十、Bypass手法全场景解析
- SQL注入绕过
sqlSELECT 1/*!80000FROM*/user WHERE id=0x61 OR 1=1--%0a
- 利用MySQL特性
/*!version*/注释绕过关键字检测- 十六进制编码替代字符串,避免单引号触发WAF
- RCE符号替换
bashcat /etc/passwd → c''at /et$@c/pas''swd
- 使用$@、^等符号干扰命令解析
- 环境变量拼接敏感路径(如${PWD:0:1}替代/)