2025年渗透测试面试题总结-匿名[校招]渗透测试(打击黑灰产)（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

匿名[校招]渗透测试(打击黑灰产)

2. 实习时达成的目标

3. 文件包含漏洞

4. Redis未授权访问利用

5. 钓鱼经验案例

6. 社工溯源与理解

7. 服务器GetShell后的操作

8. DumpHash方法与实战

9. 病毒远控免杀技术

10. 免杀修改重点

11. 杀软敏感函数

12. 免杀实战案例

13. 内网渗透思路

14. 漏洞挖掘案例

15. 反问环节

匿名[校招]渗透测试(打击黑灰产)

1. 自我介绍
2. 讲讲实习的时候打过的目标
3. 讲一下什么是文件包含
4. redis未授权利用讲一下
5. 有钓鱼经验吗，举个例子
6. 有社工溯源经历吗，讲讲你理解的社工
7. 一台服务器getshell后你会干什么
8. dumphash有利用过吗，讲一下，讲几种dumphash的方法
9. 病毒远控的免杀有多少了解
10. 你改免杀的时候一般会改哪些地方
11. 杀软经常查杀的敏感函数有哪些
12. 讲一下你做过的免杀
13. 内网渗透的思路
14. 有挖过一些漏洞吗，讲一下你挖的那几个漏洞
15. 有什么想问我的吗

---

2. 实习时达成的目标

在实习期间的主要成果：

• 漏洞挖掘：独立发现某企业OA系统未授权访问漏洞，通过目录遍历获取敏感文件，推动修复方案落地。
• 红队演练：参与某金融系统红蓝对抗，完成从外网突破到域控拿权的全流程，利用NTLM Relay+资源约束委派实现横向移动。
• 工具开发：编写自动化扫描脚本（Python），整合Fofa API+目录爆破模块，将资产梳理效率提升60%。

---

3. 文件包含漏洞

定义：通过动态包含服务器上的文件（如PHP的include()函数），攻击者利用未严格校验的参数注入恶意文件路径。
类型：

• 本地文件包含（LFI）：包含服务器本地文件（如../../etc/passwd）。
• 远程文件包含（RFI）：包含远程URL文件（需allow_url_include开启）。
  利用场景：读取配置文件、日志投毒、配合文件上传GetShell。
  防御：白名单限制包含路径、禁用动态包含、关闭危险配置（如PHP的RFI支持）。

---

4. Redis未授权访问利用

漏洞背景：Redis默认监听0.0.0.0且无密码认证，导致未授权访问。
利用方式：

1. 写入SSH密钥：通过config set dir修改Redis存储路径，写入公钥实现SSH登录。
2. Web目录写WebShell：针对Web服务器，写入恶意代码至站点目录（需已知路径）。
3. 主从复制RCE：利用Redis主从同步功能加载恶意模块（如module load ./exp.so ）。
   防护：限制绑定IP、启用认证、禁用高危命令（通过rename-command）。

---

5. 钓鱼经验案例

案例：针对某企业的供应链攻击，伪造“合作伙伴合同更新”邮件：

1. 克隆官方页面：使用HTTrack克隆目标官网，嵌入JS键盘记录+木马下载链接。
2. 绕过检测：将恶意EXE伪装为PDF图标，捆绑合法签名（偷取未加固的厂商证书）。
3. C2通信：使用Cloudflare Workers反向代理隐藏真实IP，配合域前置技术绕过封禁。
   结果：成功获取目标员工账号及内网入口，触发率约35%。

---

6. 社工溯源与理解

社工方法论：

• 信息拼图：通过GitHub代码、员工领英信息、域名WHOIS等关联目标身份。
• 心理操纵：伪造紧急事件（如“账号异常登录”）诱导目标操作。
• 钓鱼验证：发送带追踪像素的“密码重置确认”邮件，定位用户地理位置。
  溯源案例：曾通过攻击者遗留的WebShell日志反查其代理IP，关联到某VPS服务商，结合支付记录锁定攻击团伙身份。

---

7. 服务器GetShell后的操作

1. 权限维持：
   • 添加隐藏账户、SSH密钥、计划任务或启动项。
   • 部署轻量级后门（如Py反向Shell+进程注入）。
2. 信息收集：
   • 提取密码（浏览器、系统凭据）、网络配置（网卡、路由表）。
   • 抓取数据库连接字符串、敏感文件（/etc/passwd, web.config ）。
3. 内网探测：
   • 使用Nmap/NetScan横向扫描，利用ARP、ICMP探测存活主机。
   • 提取本地日志（如Windows事件日志）分析管理员活动规律。

---

8. DumpHash方法与实战

常用技术：

1. Mimikatz：提取LSASS进程明文密码及NTLM Hash（需绕过LSASS保护）。
2. SAM数据库提取：通过reg命令导出SAM和SYSTEM文件，使用impacket脚本离线解密。
3. DCSync攻击：利用域控同步协议（GetNCChanges）直接拉取域内所有用户Hash。
4. 卷影复制：调用VSS服务创建磁盘快照，拷贝NTDS.dit 文件进行解析。

---

9. 病毒远控免杀技术

核心思路：

• 代码层：Shellcode加密（AES+RC4）、API动态调用（GetProcAddress）、混淆控制流。
• 行为层：延迟执行、反沙箱（检测CPU核心数、鼠标移动）、分离加载（通过合法进程注入）。
• 通信层：使用HTTPS+证书绑定、模拟浏览器User-Agent、域前置伪装。
  工具链：Donut（Shellcode生成）、Veil-Evasion（Payload生成）、Cobalt Strike Aggressor脚本优化。

---

10. 免杀修改重点

1. 特征码修改：使用加壳工具（UPX魔改版）或手动调整二进制结构。
2. API调用隐匿：替换敏感函数（如VirtualAlloc→NtAllocateVirtualMemory）。
3. 流量伪装：将C2通信封装为正常协议（如DNS TXT查询、ICMP隧道）。
4. 分阶段加载：初次载荷仅下载解密密钥，二次请求加密的最终Payload。

---

11. 杀软敏感函数

常见检测点：

• 内存操作：VirtualAlloc、WriteProcessMemory。
• 进程注入：CreateRemoteThread、QueueUserAPC。
• 网络行为：socket、WinHttpConnect。
• 反调试：IsDebuggerPresent、CheckRemoteDebuggerPresent。

---

12. 免杀实战案例

案例1：针对某EDR的CS木马绕过：

• 使用Go语言重写Stageless Payload，利用Go的天然混淆特性（如大体积+复杂依赖）。
• 调用Syscall直接与内核交互，避免userland hook检测。
  案例2：PowerShell内存加载：
• 将Shellcode转为十进制数组，通过[System.Runtime.InteropServices.Marshal]::Copy写入内存执行。
• 配合AMSI绕过（修改amsiContext结构体）和CLM约束模式解除。

---

13. 内网渗透思路

1. 拓扑测绘：通过路由表、ARP缓存、DNS记录绘制内网结构。
2. 权限提升：利用本地提权漏洞（如Windows内核漏洞CVE-2021-34527）。
3. 横向移动：
   • 密码喷射攻击（针对RDP、SMB）、Pass-the-Hash。
   • 利用服务漏洞（如Exchange ProxyShell、永恒之蓝）。
4. 域渗透：黄金票据、Kerberoasting攻击、GPO策略篡改。
5. 持久化：DCShadow攻击、WMI事件订阅、ACL后门。

---

14. 漏洞挖掘案例

1. 某CRM系统SQL注入：通过参数order by未过滤导致布尔盲注，获取管理员表数据。
2. API未授权访问：某云服务接口缺乏Token验证，可枚举用户ID获取隐私信息。
3. XXE漏洞：企业文件解析服务允许外部实体引用，导致SSRF+文件读取。
   提交与修复：通过CVE/CNVD平台上报，部分厂商快速响应，部分漏洞公开致谢。

---

15. 反问环节

（示例）

1. 团队技术栈：目前红队的基础设施如何对抗流量审计（如HW行动中的云WAF）？
2. 发展方向：团队是否计划构建自动化攻击模拟平台（如Atomic Red Team集成）？
3. 挑战与目标：在最近的攻防演练中，遇到的棘手防护手段有哪些？