2025年渗透测试面试题总结-匿名[校招]渗透测试(打击黑灰产)（题目+回答）-CSDN博客

匿名[校招]渗透测试(打击黑灰产)
1. 自我介绍
2. 讲讲实习的时候打过的目标
3. 讲一下什么是文件包含
4. redis未授权利用讲一下
5. 有钓鱼经验吗，举个例子
6. 有社工溯源经历吗，讲讲你理解的社工
7. 一台服务器getshell后你会干什么
8. dumphash有利用过吗，讲一下，讲几种dumphash的方法
9. 病毒远控的免杀有多少了解
10. 你改免杀的时候一般会改哪些地方
11. 杀软经常查杀的敏感函数有哪些
12. 讲一下你做过的免杀
13. 内网渗透的思路
14. 有挖过一些漏洞吗，讲一下你挖的那几个漏洞
15. 有什么想问我的吗
2. 实习时达成的目标

在实习期间的主要成果：

漏洞挖掘：独立发现某企业OA系统未授权访问漏洞，通过目录遍历获取敏感文件，推动修复方案落地。
红队演练：参与某金融系统红蓝对抗，完成从外网突破到域控拿权的全流程，利用NTLM Relay+资源约束委派实现横向移动。
工具开发：编写自动化扫描脚本（Python），整合Fofa API+目录爆破模块，将资产梳理效率提升60%。

3. 文件包含漏洞

定义：通过动态包含服务器上的文件（如PHP的include()函数），攻击者利用未严格校验的参数注入恶意文件路径。
类型：

本地文件包含（LFI）：包含服务器本地文件（如../../etc/passwd）。
远程文件包含（RFI）：包含远程URL文件（需allow_url_include开启）。
利用场景：读取配置文件、日志投毒、配合文件上传GetShell。
防御：白名单限制包含路径、禁用动态包含、关闭危险配置（如PHP的RFI支持）。

4. Redis未授权访问利用

漏洞背景：Redis默认监听0.0.0.0且无密码认证，导致未授权访问。
利用方式：

写入SSH密钥：通过config set dir修改Redis存储路径，写入公钥实现SSH登录。
Web目录写WebShell：针对Web服务器，写入恶意代码至站点目录（需已知路径）。
主从复制RCE：利用Redis主从同步功能加载恶意模块（如module load ./exp.so ）。
防护：限制绑定IP、启用认证、禁用高危命令（通过rename-command）。

5. 钓鱼经验案例

案例：针对某企业的供应链攻击，伪造“合作伙伴合同更新”邮件：

克隆官方页面：使用HTTrack克隆目标官网，嵌入JS键盘记录+木马下载链接。
绕过检测：将恶意EXE伪装为PDF图标，捆绑合法签名（偷取未加固的厂商证书）。
C2通信：使用Cloudflare Workers反向代理隐藏真实IP，配合域前置技术绕过封禁。
结果：成功获取目标员工账号及内网入口，触发率约35%。

6. 社工溯源与理解

社工方法论：

信息拼图：通过GitHub代码、员工领英信息、域名WHOIS等关联目标身份。
心理操纵：伪造紧急事件（如“账号异常登录”）诱导目标操作。
钓鱼验证：发送带追踪像素的“密码重置确认”邮件，定位用户地理位置。
溯源案例：曾通过攻击者遗留的WebShell日志反查其代理IP，关联到某VPS服务商，结合支付记录锁定攻击团伙身份。

7. 服务器GetShell后的操作

权限维持：
添加隐藏账户、SSH密钥、计划任务或启动项。
部署轻量级后门（如Py反向Shell+进程注入）。

信息收集：
提取密码（浏览器、系统凭据）、网络配置（网卡、路由表）。
抓取数据库连接字符串、敏感文件（/etc/passwd, web.config ）。

内网探测：
使用Nmap/NetScan横向扫描，利用ARP、ICMP探测存活主机。
提取本地日志（如Windows事件日志）分析管理员活动规律。

8. DumpHash方法与实战

常用技术：

Mimikatz：提取LSASS进程明文密码及NTLM Hash（需绕过LSASS保护）。
SAM数据库提取：通过reg命令导出SAM和SYSTEM文件，使用impacket脚本离线解密。
DCSync攻击：利用域控同步协议（GetNCChanges）直接拉取域内所有用户Hash。
卷影复制：调用VSS服务创建磁盘快照，拷贝NTDS.dit 文件进行解析。

9. 病毒远控免杀技术

核心思路：

代码层：Shellcode加密（AES+RC4）、API动态调用（GetProcAddress）、混淆控制流。
行为层：延迟执行、反沙箱（检测CPU核心数、鼠标移动）、分离加载（通过合法进程注入）。
通信层：使用HTTPS+证书绑定、模拟浏览器User-Agent、域前置伪装。
工具链：Donut（Shellcode生成）、Veil-Evasion（Payload生成）、Cobalt Strike Aggressor脚本优化。

10. 免杀修改重点

特征码修改：使用加壳工具（UPX魔改版）或手动调整二进制结构。
API调用隐匿：替换敏感函数（如VirtualAlloc→NtAllocateVirtualMemory）。
流量伪装：将C2通信封装为正常协议（如DNS TXT查询、ICMP隧道）。
分阶段加载：初次载荷仅下载解密密钥，二次请求加密的最终Payload。

11. 杀软敏感函数

常见检测点：

内存操作：VirtualAlloc、WriteProcessMemory。
进程注入：CreateRemoteThread、QueueUserAPC。
网络行为：socket、WinHttpConnect。
反调试：IsDebuggerPresent、CheckRemoteDebuggerPresent。

12. 免杀实战案例

案例1：针对某EDR的CS木马绕过：

使用Go语言重写Stageless Payload，利用Go的天然混淆特性（如大体积+复杂依赖）。
调用Syscall直接与内核交互，避免userland hook检测。
案例2：PowerShell内存加载：
将Shellcode转为十进制数组，通过[System.Runtime.InteropServices.Marshal]::Copy写入内存执行。
配合AMSI绕过（修改amsiContext结构体）和CLM约束模式解除。

13. 内网渗透思路

拓扑测绘：通过路由表、ARP缓存、DNS记录绘制内网结构。
权限提升：利用本地提权漏洞（如Windows内核漏洞CVE-2021-34527）。
横向移动：
密码喷射攻击（针对RDP、SMB）、Pass-the-Hash。
利用服务漏洞（如Exchange ProxyShell、永恒之蓝）。

域渗透：黄金票据、Kerberoasting攻击、GPO策略篡改。
持久化：DCShadow攻击、WMI事件订阅、ACL后门。

14. 漏洞挖掘案例

某CRM系统SQL注入：通过参数order by未过滤导致布尔盲注，获取管理员表数据。
API未授权访问：某云服务接口缺乏Token验证，可枚举用户ID获取隐私信息。
XXE漏洞：企业文件解析服务允许外部实体引用，导致SSRF+文件读取。
提交与修复：通过CVE/CNVD平台上报，部分厂商快速响应，部分漏洞公开致谢。

15. 反问环节

（示例）

团队技术栈：目前红队的基础设施如何对抗流量审计（如HW行动中的云WAF）？
发展方向：团队是否计划构建自动化攻击模拟平台（如Atomic Red Team集成）？
挑战与目标：在最近的攻防演练中，遇到的棘手防护手段有哪些？