当前位置：首页 > news >正文

2025年渗透测试面试题总结-匿名[社招]安全工程师(中级红队)（题目+回答）

news 来源：原创 2025/6/3 9:16:01

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

匿名[社招]安全工程师(中级红队)

1. Go语言免杀Shellcode实现原理

2. Windows Defender绕过策略

3. 卡巴斯基进程保护绕过

4. Fastjson不出网利用方法

5. 工作组环境渗透思路

6. 内存马机制详解

7. 不出网环境正向Shell方法

8. 域内委派攻击要点

9. Shiro漏洞与721利用

10. 护网三大经典漏洞（2025视角）

11. 天擎终端绕过思路

12. 免杀木马核心思路

13. JSONP与CORS危害对比

14. 外网打点案例：医疗系统渗透

15. RMI利用原理

16. 域内普通用户利用方法

17. 宝塔PHP函数绕过

18. 证书透明度（CT）危害

19. 内网渗透降权作用

20. Webshell无命令执行应对

匿名[社招]安全工程师(中级红队)
1. go语言免杀shellcode如何免杀？免杀原理是什么？
2. windows defender防御机制原理，如何绕过？
3. 卡巴斯基进程保护如何绕过进行进程迁移？ 
4. fastjson不出网如何利用？ 
5. 工作组环境下如何进行渗透？详细说明渗透思路。
6. 内存马的机制？
7. 不出网有什么方法，正向shell方法除了reg之类的，还有什么？
8. 什么是域内委派？利用要点？
9. shiro漏洞类型，721原理，721利用要注意什么？ 
10. 护网三大洞？
11. 天擎终端防护如何绕过，绕过思路？ 
12. 免杀木马的思路？ 
13. jsonp跨域的危害，cors跨域的危害？
14. 说出印象比较深刻的一次外网打点进入内网？ 
15. rmi的利用原理？ 
16. 域内的一个普通用户（非域用户）如何进行利用？ 
17. 宝塔禁止PHP函数如何绕过？ 
18. 证书透明度的危害？ 
19. 内网渗透降权的作用？ . 
20. webshell有system权限但无法执行命令，怎么办？
1. Go语言免杀Shellcode实现原理

① 静态免杀

符号表剥离：编译时使用-ldflags="-s -w"移除调试符号，避免敏感函数特征（如syscall.Syscall）被标记。
分段加密：将Shellcode拆分为多段，使用AES-GCM或ChaCha20实时解密加载，避免内存连续特征。

② 动态行为对抗

API调用混淆：通过syscall.NewLazyDLL动态加载API，结合间接跳转（JMP指令）绕过挂钩检测。
内存权限欺骗：调用VirtualProtect伪装内存页为PAGE_READONLY，规避内存扫描。

③ 沙箱逃逸

硬件指纹检测：检查CPU核心数（runtime.NumCPU() <4则退出）、鼠标移动事件。
延迟执行：嵌入空循环（如time.Sleep(30秒)）绕过沙箱超时机制。

2. Windows Defender绕过策略

① 实时防护（AMSI）绕过

内存补丁：Hook AmsiScanBuffer函数返回AMSI_RESULT_CLEAN。
脚本混淆：PowerShell使用反义词替换（如Invoke-Expression → iex）+ 随机大小写。

② 云查杀对抗

白进程注入：将Shellcode注入explorer.exe 或svchost.exe 等微软签名进程。
流量伪装：C2通信模仿OneDrive API请求（User-Agent包含Microsoft SkyDriveSync）。

③ 内核级防御突破

驱动漏洞利用：利用Defender驱动（WdFilter.sys ）未验证的IRP调用触发权限提升。
HyperVisor隔离绕过：通过Intel VT-x漏洞（如CVE-2024-12345）关闭HVCI保护。

3. 卡巴斯基进程保护绕过

① 驱动层对抗

注册表劫持：修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\klam\Parameters禁用进程保护模块。
内存签名伪造：通过KeStackAttachProcess附加到卡巴斯基进程，修改内存中保护标志位。

② 用户层技巧

父进程欺骗：使用PROC_THREAD_ATTRIBUTE_PARENT_PROCUTE属性将恶意进程父PID设为csrss.exe 。
APC注入：向卡巴斯基白名单进程（如klwtblfs.exe ）插入异步过程调用（APC）执行Shellcode。

4. Fastjson不出网利用方法

① 本地Gadget链构造

利用BasicDataSource触发本地JDBC连接（如连接H2数据库执行任意代码）。
结合TemplatesImpl加载字节码，无需外连JNDI/LDAP。

② 文件操作利用

通过FileWriter或FileOutputStream写入Web目录生成JSP马。
利用XSLTProcessor读取敏感文件（如/etc/passwd）并回显到响应中。

③ 内存驻留攻击

结合Java Agent技术注入内存马（如Tomcat Filter型），绕过文件落地检测。

5. 工作组环境渗透思路

① 信息收集

NetBIOS扫描：使用nbtscan获取主机名和共享信息。
LLMNR/NBNS投毒：Responder工具捕获SMB/NTLMv2哈希。

② 横向移动

密码喷洒：针对本地管理员账号（如Administrator）使用Top100弱口令。
MS-RPC漏洞：利用PetitPotam强制认证中继至其他主机。

③ 权限维持

计划任务：通过schtasks创建伪装为系统更新的定时任务。
WMI事件订阅：注册永久事件监听（如__EventFilter触发执行Payload）。

6. 内存马机制详解

① Java内存马

Filter/Servlet注入：通过反射修改ApplicationFilterChain的filters字段插入恶意Filter。
Agent持久化：利用Instrumentation接口重定义已加载类的字节码。

② .NET内存马

HttpModule注入：修改web.config 动态加载恶意DLL模块。
Assembly.Load：通过反射加载Base64编码的恶意程序集。

③ 检测对抗

无文件特征：不生成物理文件，驻留于JVM或CLR内存中。
线程隐藏：通过NtQuerySystemInformation隐藏恶意线程。

7. 不出网环境正向Shell方法

① 命名管道（Named Pipe）

服务端创建管道（\\.\pipe\mypipe），客户端通过SMB协议连接传输数据。

② COM对象劫持

注册恶意COM组件（CLSID劫持），等待合法进程调用触发。

③ WMI事件订阅

创建__EventFilter和__CommandLineEventConsumer绑定系统事件（如用户登录）执行命令。

8. 域内委派攻击要点

① 约束委派（Constrained Delegation）

利用msDS-AllowedToDelegateTo属性，通过S4U2Self+S4U2Proxy获取服务票据。

② 非约束委派（Unconstrained Delegation）

诱骗域管访问恶意服务（如伪造SPN），捕获TGT票据实现权限提升。

③ 基于资源的委派（RBCD）

修改目标机器的msDS-AllowedToActOnBehalfOfOtherIdentity属性，添加可控账户的SID。

9. Shiro漏洞与721利用

① 漏洞类型

反序列化（CVE-2016-4437）、RememberMe硬编码密钥（CVE-2019-12422）、权限绕过（CVE-2020-1957）。

② CVE-2020-17521原理

利用AES-CBC加密缺陷，通过Padding Oracle攻击解密RememberMe Cookie获取密钥。

③ 利用注意事项

时间窗口限制：需在服务重启前完成攻击（密钥未变更）。
密钥验证：通过已知明文（如deleteMe字段）爆破验证密钥正确性。

10. 护网三大经典漏洞（2025视角）

① 供应链攻击

如Node.js 依赖包恶意代码注入（类似event-stream事件）。

② 云原生漏洞

Kubernetes RBAC配置错误导致容器逃逸。

③ 0day组合利用

如Exchange SSRF + NTLM Relay接管域控。

11. 天擎终端绕过思路

① 驱动对抗

卸载天擎驱动：通过sc stop TianQingService停止服务（需管理员权限）。

② 行为混淆

进程空心化（Process Hollowing）：将恶意代码注入合法进程（如notepad.exe ）内存空间。

③ 流量伪装

将C2通信封装为HTTPS双向认证流量，证书绑定天擎管理端IP。

12. 免杀木马核心思路

① 静态免杀

加壳混淆（VMProtect + Themida组合）、资源节加密、去除PE头特征。

② 动态行为

延迟触发（鼠标移动后激活）、模拟合法软件行为（如Chrome更新机制）。

③ 硬件级对抗

使用Intel SGX加密敏感操作、通过GPU计算绕过内存扫描。

13. JSONP与CORS危害对比

① JSONP风险

敏感数据泄露：通过回调函数获取用户隐私（如CSRF Token）。
反射型XSS：未过滤回调参数导致脚本执行（如<script>标签注入）。

② CORS风险

配置错误：Access-Control-Allow-Origin: *允许任意域读取数据。
预检请求绕过：利用Origin头欺骗获取敏感API响应。

14. 外网打点案例：医疗系统渗透

① 入口突破

通过子域名爆破发现未授权GitLab，下载源码泄露数据库凭据。

② 横向移动

利用数据库中的VPN账号进入内网，通过PetitPotam攻击获取域管权限。

③ 数据窃取

使用ICMP隧道外传患者数据，伪装成Ping监控流量绕过DLP检测。

15. RMI利用原理

① 反序列化攻击

发送恶意序列化对象到RMI注册表，触发JNDI注入或原生反序列化链。

② JRMP协议利用

通过ysoserial生成JRMP监听Payload，诱导服务端连接恶意JRMP服务端。

③ 结合其他漏洞

如与Fastjson链组合，构造RMI请求触发二次反序列化。

16. 域内普通用户利用方法

① 密码重用

检查本地管理员密码是否与域账号相同（通过sekurlsa::logonPasswords）。

② Kerberoasting

请求高权限SPN服务票据（如SQL Server），离线爆破服务账户密码。

③ 本地提权

利用Windows内核漏洞（如CVE-2024-1234）获取SYSTEM权限后抓取域凭据。

17. 宝塔PHP函数绕过

① 黑名单绕过

使用proc_open替代system，或通过反引号执行命令（如`id`）。

② 扩展加载

利用FFI扩展调用C函数执行命令（需PHP 7.4+）。

③ 环境变量注入

通过putenv设置LD_PRELOAD劫持库函数加载。

18. 证书透明度（CT）危害

① 子域名枚举

通过CT日志（如crt.sh ）发现隐藏子域名（如admin.example.com ）。

② 钓鱼攻击

申请相似域名证书（如examp1e.com ）构造高可信钓鱼站点。

19. 内网渗透降权作用

① 规避检测

以低权限用户运行减少日志告警（如Windows事件ID 4688）。

② 持久化隐藏

使用普通用户权限创建计划任务，避免触发UAC监控。

20. Webshell无命令执行应对

① 组件利用

通过COM组件（如WScript.Shell）或.NET类（如System.Diagnostics.Process）执行命令。

② 环境变量泄露

读取/proc/self/environ获取数据库密码等敏感信息。

③ 文件操作突破

写入SSH公钥到~/.ssh/authorized_keys实现免密登录。