2025年渗透测试面试题总结-拷打题库28（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

2025年渗透测试面试题总结-拷打题库28

Go语言免杀Shellcode

Windows Defender防御机制与绕过

卡巴斯基进程保护绕过

Fastjson不出网利用

工作组环境渗透思路

内存马机制

不出网正向Shell方法

域内委派与利用

Shiro漏洞（721）

天擎终端绕过思路

外网打点案例

RMI利用原理

域内普通用户利用

证书透明度危害

内网渗透降权作用

TrustedInstaller权限原理

2008服务提权

Windows UAC原理

绕过杀软添加用户

伪造钓鱼邮箱

默认端口列表

烂土豆提权（Rotten Potato）

PowerShell免杀

内存Hash提取绕过

权限维持方法

红队工作流程

Shellcode嵌入EXE

Spring框架漏洞

查看内存Shell

文件读取漏洞利用

---

2025年渗透测试面试题总结-拷打题库28

go语言免杀shellcode如何免杀？免杀原理是什么？
windows defender防御机制原理，如何绕过？
卡巴斯基进程保护如何绕过进行进程迁移？
fastjson不出网如何利用？
工作组环境下如何进行渗透？详细说明渗透思路。
内存马的机制？
不出网有什么方法，正向shell方法除了reg之类的，还有什么？
什么是域内委派？利用要点？
shiro漏洞类型，721原理，721利用要注意什么？
天擎终端防护如何绕过，绕过思路？
说出印象比较深刻的一次外网打点进入内网？
rmi的利用原理？
域内的一个普通用户（非域用户）如何进行利用？
证书透明度的危害？
内网渗透降权的作用？
TrustedInstall权限的原理是什么？
2008的服务权限如何进行提权？
Windows UAC原理是什么？
Windows添加用户如何绕过火绒以及360？
如何伪造钓鱼邮箱？会面临什么问题？
分别说出redis、weblogic、Mongodb、Elasticsearch、ldap、sambda、Jenkins、rmi默认端口。
烂土豆提权使用过吗？它的原理？
powershell免杀怎么制作？
提取内存hash被查杀，如何绕过？
分别说下linux、windows的权限维持？
如何开展红队工作？
如何把shellcode嵌入到正常exe中？
描述下Spring框架的几个漏洞？
如何查看系统内存shell
获得文件读取漏洞，通常会读哪些文件，Linux和windows都谈谈配置文件

Go语言免杀Shellcode

1. 加密与编码：
   • 使用AES/RC4加密Shellcode，运行时解密加载。
   • Base64编码后拆分存储，减少静态特征。
2. 系统调用（Syscall）：
   • 直接调用syscall.Syscall执行API，避免导入敏感函数（如VirtualAlloc）。
   • 通过Nt/Zw函数绕过用户态Hook（如NtCreateThreadEx）。
3. 内存操作：
   • 利用uintptr和unsafe.Pointer操作内存，规避内存扫描。
   • 注入合法进程（如explorer.exe ）实现进程迁移。

免杀原理：规避静态签名（加密）、绕过行为监控（直接系统调用）、混淆执行链（内存动态加载）。

---

Windows Defender防御机制与绕过

1. 机制原理：
   • 静态扫描：基于特征码和哈希检测。
   • AMSI（反恶意软件扫描接口）：监控PowerShell等脚本行为。
   • 行为监控：检测进程注入、敏感API调用。
2. 绕过方法：
   • 禁用AMSI：修补AMSI上下文（如AmsiScanBuffer Patch）。
   • 无文件攻击：使用注册表、WMI事件订阅存储Payload。
   • 非托管代码：通过C#编译为非托管DLL，规避.NET监控。

---

卡巴斯基进程保护绕过

1. 未保护进程注入：
   • 查找未启用Self-Defense的进程（如旧版svchost.exe ）。
   • 利用CreateRemoteThread注入Shellcode。
2. 驱动漏洞利用：
   • 加载未签名驱动，通过内核操作结束卡巴斯基进程。
3. 进程迁移至信任程序：
   • 注入系统自带白名单进程（如dllhost.exe ）。

---

Fastjson不出网利用

1. 本地反序列化链：
   • 利用TemplatesImpl类直接执行字节码（需开启Feature.SupportNonPublicField）。
2. 结合其他漏洞：
   • 通过SSRF触发内网RCE，或利用文件上传写WebShell。
3. 内存马注入：
   • 构造恶意类加载Filter/Servlet型内存马。

---

工作组环境渗透思路

1. 信息收集：
   • 扫描SMB共享（445端口）、RDP（3389）、MS17-010（445）。
2. 横向移动：
   • 利用PsExec/WMI执行命令，或Pass-the-Hash攻击。
3. 权限提升：
   • 查找未修补内核漏洞（如CVE-2020-0787）、服务权限配置错误。

---

内存马机制

1. 驻留方式：
   • Filter/Servlet注入：Tomcat添加恶意Filter拦截请求。
   • Agent机制：通过java.lang.instrument 动态修改字节码。
2. 无文件化：
   • 通过反序列化漏洞直接加载到JVM内存。
3. 隐蔽性：
   • 无落地文件、定期心跳检测维持连接。

---

不出网正向Shell方法

1. COM对象：
   • 通过MMC20.Application执行命令（无网络流量）。
2. 计划任务：
   • 创建定时任务调用本地脚本反弹Shell。
3. DLL劫持：
   • 替换系统DLL，触发加载执行Payload。

---

域内委派与利用

1. 委派类型：
   • 无约束委派：服务可代表用户访问任意服务。
   • 约束委派：仅允许访问特定服务（如CIFS）。
   • 基于资源的约束委派：由资源所有者控制。
2. 利用要点：
   • 获取委派账户权限，伪造S4U请求获取服务票据（TGS）。

---

Shiro漏洞（721）

1. 漏洞原理：
   • RememberMe Cookie使用AES-CBC加密，密钥硬编码导致反序列化。
2. 利用条件：
   • 需获取合法用户的Cookie，且服务端密钥未更换。
3. 注意事项：
   • 避免使用高版本CommonsBeanutils链（需兼容低版本依赖）。

---

天擎终端绕过思路

1. 服务禁用：
   • 停止天擎服务（需管理员权限）。
2. 白名单程序：
   • 注入天擎信任进程（如浏览器、办公软件）。
3. 驱动对抗：
   • 利用内核漏洞卸载天擎驱动。

---

外网打点案例

案例：通过WebLogic未授权上传漏洞（CVE-2020-14882）获取Shell，利用内网Redis未授权访问横向渗透，最终通过MS17-010攻陷域控。

---

RMI利用原理

1. 远程方法调用：通过JRMP协议传输序列化对象。
2. 反序列化攻击：构造恶意对象触发Gadget链（如CommonsCollections）。
3. 结合JNDI注入：通过RMI绑定恶意Reference对象（如LDAP/RMI混合利用）。

---

域内普通用户利用

1. 信息收集：
   • 枚举域用户、共享目录、SPN服务。
2. 横向提权：
   • 利用PowerView查找ACL配置错误，添加DCSync权限。
3. 凭证窃取：
   • 通过Mimikatz抓取本地管理员哈希。

---

证书透明度危害

1. 子域名暴露：通过证书日志（crt.sh ）发现隐藏子域。
2. 钓鱼攻击：伪造合法证书的子域欺骗用户。

---

内网渗透降权作用

1. 隐蔽性提升：以低权限账户操作，减少日志告警。
2. 绕过UAC：普通用户权限下利用COM组件提权。

---

TrustedInstaller权限原理

1. 系统服务权限：用于Windows更新和组件安装。
2. 利用方法：
   • 通过icacls修改文件所有者，替换系统文件（如dll劫持）。

---

2008服务提权

1. 服务路径劫持：
   • 替换可写服务路径的二进制文件（如未引用的路径）。
2. DLL劫持：
   • 将恶意DLL放置到服务加载目录。

---

Windows UAC原理

1. 用户账户控制：隔离管理员权限，需确认提升。
2. 绕过方法：
   • 修改注册表EnableLUA=0，或利用白名单程序（如fodhelper.exe ）。

---

绕过杀软添加用户

1. 隐蔽添加：
   • 使用net user隐藏用户（如$后缀）。
2. PowerShell命令：
   • 通过编码命令绕过敏感词检测。

---

伪造钓鱼邮箱

1. SPF/DKIM绕过：
   • 使用相似域名或租用合法邮件服务。
2. 面临问题：
   • 邮件被标记为垃圾、法律风险、DMARC检测。

---

默认端口列表

服务	端口
Redis	6379
WebLogic	7001
MongoDB	27017
Elasticsearch	9200/9300
LDAP	389/636
Samba	445
Jenkins	8080
RMI	1099

---

烂土豆提权（Rotten Potato）

1. 原理：滥用SeImpersonate权限，通过DCOM/NTLM中继获取SYSTEM令牌。
2. 步骤：
   • 触发本地NTLM认证，中继至本地COM服务。

---

PowerShell免杀

1. 混淆编码：使用Invoke-Obfuscation混淆脚本。
2. 反射加载：通过Reflection.Assembly.Load内存执行。
3. 合法工具伪装：嵌入到PsLoggedon等工具参数中。

---

内存Hash提取绕过

1. 直接读取LSASS内存：使用Procdump导出转储文件离线分析。
2. 定制Mimikatz：修改源码绕过特征检测。

---

权限维持方法

1. Linux：
   • SSH后门（~/.ssh/authorized_keys）、Cron定时任务、内核模块Rootkit。
2. Windows：
   • 注册表启动项、计划任务、WMI事件订阅、隐藏服务。

---

红队工作流程

1. 情报收集：
   • 开源情报（OSINT）、域名/IP资产测绘。
2. 初始入侵：
   • 钓鱼邮件、Web漏洞利用、供应链攻击。
3. 横向移动：
   • 凭证传递、漏洞利用、权限提升。

---

Shellcode嵌入EXE

1. 资源文件注入：将Shellcode作为资源嵌入，运行时动态加载。
2. 代码空洞填充：在PE文件的空闲空间插入Shellcode。
3. 入口点劫持：修改程序入口点指向Shellcode执行流程。

---

Spring框架漏洞

1. CVE-2022-22965：
   • 数据绑定漏洞导致RCE（需JDK9+）。
2. CVE-2017-4971：
   • OAuth2开放重定向漏洞。
3. CVE-2020-5398：
   • Spring Security权限绕过。

---

查看内存Shell

1. 内存扫描工具：
   • 使用Volatility分析内存转储文件。
2. 进程检查：
   • 通过Process Hacker查看可疑线程和内存区域。

---

文件读取漏洞利用

Linux：

• /etc/passwd、/etc/shadow（用户凭证）。
• /proc/self/environ（环境变量泄露密钥）。

Windows：

• C:\Windows\Panther\Unattend.xml （部署凭证）。
• 注册表文件（SAM、SYSTEM）提取NTLM哈希。