当前位置：首页 > news >正文

2025年渗透测试面试题总结-匿名[社招]安全工程师(红队方向)2（题目+回答）

news 来源：原创 2025/5/24 5:34:36

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

匿名[社招]安全工程师(红队方向)2

1. 简单自我介绍

2. 做过的项目

3. 大型内网渗透经验

4. BC类渗透经验（合规授权）

5. 案例细节（Fastjson反序列化）

6. 注入绕WAF及数据库利用

7. MySQL哈希破解替代方案

8. XSS绕过HttpOnly策略

9. 代码开发能力

10. 代码审计能力

11. 免杀与流量加密

12. 提权手法

13. 非域内枚举域内主机

14. 域管权限下用户定位

15. 域内普通用户到域控的路径

16. 离线设备重新加域可行性

匿名[社招]安全工程师(红队方向)2
1. 简单自我介绍 
2. 做过哪些项目 
3. 有没有做过大型内网渗透 
4. 有没有接过一些BC类的实际渗透目标 
5. 讲讲其中的案例（会问一些细节） 
6. 注入的话，常见的绕waf，Oracle、SQL Server熟不熟悉，这两种的堆叠，SQL Server的命令执行 
7. Mysql注入拿到amdin的hash，比较复杂，没办法解开，有什么思路 
8. xss打到cookie，但是设置了httponly，有什么思路（答的时候穿插问对httponly的理解）
9. 代码开发能力 
10. 代码审计能力 
11. 免杀，测试过国内哪些杀软，流量加密，内存问题，有些木马能够正常上线，但是一操作就会断开
12. 提权、windows、Linux 
13. 获取一个不在域内的机器权限，如何枚举出域内机子（。。。。） 
14. 有域管权限，怎么寻找域内用户和机器对应关系 
15. 拿到一台域内机器普通用户权限，如何快速拿到域控权限 
16. 一台曾经加入域的个人笔记本，离开当前域环境（联系不上域控），还能重新加入域吗
1. 简单自我介绍

① 职业定位
网络安全攻防双轨工程师，主攻红队方向，覆盖渗透测试、APT对抗、威胁狩猎领域，5年实战经验。
② 核心技能

内网渗透（域渗透、横向移动、权限维持）
漏洞武器化（Java反序列化、内存马开发）
③ 合规认证
OSCP（渗透测试专家认证）
CISP-PTE（国家级渗透测试工程师）
参与过3次国家级HW行动

2. 做过的项目

① 金融攻防

突破供应链：篡改OA系统升级包植入后门
0day利用：Spring Cloud Gateway RCE（CVE-2022-22947）
② 政务HW
钓鱼攻击：伪造政务邮箱获取VPN凭据
域控接管：利用PrintNightmare提权域控服务器
③ 区块链审计
重入攻击：ERC20合约函数逻辑缺陷拦截
链上追踪：Tornado Cash混币交易溯源分析

3. 大型内网渗透经验

① 入口突破

VPN双因子绕过：截获SMS验证码+密码喷涂
OAuth 2.0配置错误：滥用令牌访问内网API
② 横向扩展
协议滥用：利用WS-Man协议执行远程命令
凭证中继：Responder工具进行NTLM Relay攻击
③ 持久化
计划任务：伪装Windows Update服务模块
隐秘通信：ICMP隧道+RC4加密传输数据

4. BC类渗透经验（合规授权）

① 对抗策略

流量混淆：SQL注入语句编码为Base64+HTML实体
动态IP池：每5分钟切换代理IP规避封禁
② 支付漏洞
金额篡改：拦截API请求修改充值金额参数
订单回滚：利用竞争条件重复提现
③ 反溯源
虚拟机嵌套：在QEMU+KVM环境中操作
硬件指纹伪造：修改网卡MAC+磁盘序列号

5. 案例细节（Fastjson反序列化）

① 漏洞触发

Payload构造：结合JNDI注入LDAP恶意引用
绕过防御：使用特殊字符（如\x0a）分段传输
② 权限提升
利用Java进程加载动态库实现SUID提权
通过crontab写入反弹Shell定时任务
③ 痕迹清除
删除.bash_history并禁用syslog服务
使用timestomp工具修改文件时间戳

6. 注入绕WAF及数据库利用

① Oracle绕WAF

注释符变形：-- → /*注释*/
函数替代：UTL_INADDR代替UTL_HTTP
② SQL Server利用
堆叠注入：'; EXEC sp_configure 'show advanced options',1; RECONFIGURE--
CLR组件：编译恶意DLL实现命令执行
③ 防御突破
利用DNSLOG带外获取敏感数据
基于时间盲注的神经网络预测绕过

7. MySQL哈希破解替代方案

① 协议复用

通过phpMyAdmin的cookie反序列化漏洞获取明文
利用MySQL Client任意文件读取漏洞获取配置文件
② 逻辑绕过
触发密码重置功能的时间竞争漏洞
构造恶意认证包触发缓冲区溢出获取内存数据
③ 物理接触
通过SSRF读取服务器物理内存（需/proc/mem访问权限）
利用InnoDB引擎未加密的临时文件恢复数据

8. XSS绕过HttpOnly策略

① 前端劫持

覆盖XMLHttpRequest原型窃取API请求数据
劫持WebSocket连接获取实时通信内容
② 浏览器沙箱逃逸
结合DOM Clobbering攻击执行任意代码
利用SharedWorker跨页面共享数据
③ 浏览器漏洞
CVE-2024-2961：Chrome V8引擎类型混淆漏洞
内存破坏：通过ArrayBuffer越界写入Shellcode

9. 代码开发能力

① 工具开发

自主研发C2框架：支持模块化加载+协议伪装
漏洞扫描器：基于语义分析识别0day漏洞
② PoC开发
编写Log4j2 JNDI绕过检测工具（支持多版本指纹）
开发Spring Cloud Gateway内存马注入工具
③ 协议逆向
某工业PLC私有协议逆向实现重放攻击
某手游通信协议解密实现游戏外挂

10. 代码审计能力

① Java审计

反序列化链：找出被遗忘的readObject()方法
JNDI注入：全局搜索InitialContext上下文调用
② PHP审计
动态函数执行：$func($_GET['cmd'])类代码
Phar反序列化：识别文件操作函数中的phar://协议
③ Python审计
SSTI漏洞：检测未过滤的{{ config.items() }}
Pickle反序列化：识别load/loads函数调用

11. 免杀与流量加密

① 内存马技术

Tomcat Filter型内存马：通过JMX注入
ASP.NET动态编译：反射加载C#恶意代码
② 流量伪装
HTTPS证书绑定：合法域名申请Let's Encrypt证书
协议模仿：将C2流量伪装成Zoom会议数据
③ 行为对抗
API调用链混淆：将CreateRemoteThread拆分为多阶段
虚拟机检测：通过CPUID指令识别沙箱环境

12. 提权手法

① Windows提权

Token窃取：利用SeDebugPrivilege注入SYSTEM进程
服务账户滥用：配置错误的Windows服务权限
② Linux提权
Capability利用：发现具有CAP_SYS_MODULE权限的进程
内核漏洞：检测未修复的Dirty Pagetable（CVE-2024-0001）
③ 数据库提权
MySQL UDF提权：编译恶意so文件执行命令
SQL Server XP_CMDSHELL恢复：修改注册表启用组件

13. 非域内枚举域内主机

① 被动嗅探

监听LLMNR/NBNS响应获取主机名
捕获Kerberos票据解析域控信息
② 主动探测
SMB签名检测：未启用签名的机器可能为域成员
SPN扫描：通过ServicePrincipalName发现服务账户
③ 元数据利用
查询DHCP服务器日志获取主机列表
利用Windows时间服务（W32TM）获取域控IP

14. 域管权限下用户定位

① 自动化工具

BloodHound分析用户登录路径与权限关系
PowerView查询用户最近登录记录
② 日志分析
提取Kerberos TGT请求日志关联用户IP
分析Exchange邮箱登录记录定位常用设备
③ 数据关联
将VPN日志与AD账户登录时间交叉比对
通过SCCM（系统中心配置管理器）获取资产信息

15. 域内普通用户到域控的路径

① 凭证升级

抓取LSASS进程内存获取域管理员令牌
利用WSUS中间人攻击劫持系统更新植入后门
② 信任滥用
利用域间信任关系跨域攻击
滥用Resource-Based Constrained Delegation
③ 网络攻击
中间人攻击伪造LDAP响应劫持管理员会话
IPv6 DNS投毒重定向域控流量

16. 离线设备重新加域可行性

① 技术限制

加域需与域控同步SID及安全策略，离线状态无法完成
域账户缓存凭据最多保存30天（默认策略）
② 变通方案
提取本地缓存的Kerberos票据进行Pass-the-Ticket攻击
修改本机SAM数据库伪造域账户登录状态
③ 风险预警
强制离线加域会触发安全告警（如AD健康检测异常）
微软已在新版Windows中强化域关系验证机制