2025年渗透测试面试题总结-2025年HW(护网面试) 85（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

 2025年HW(护网面试) 85

1. Shiro/WebLogic反序列化原理

2. Shiro550 vs Shiro721区别

3. Shiro默认利用链

4. "工具未找到链"是否无法利用？

5. Tomcat Filter注入原理

6. 内存马原理

7. Oracle堆叠注入

8. Linux隐藏进程方法

9. Linux命令文件替换检测

10. 门罗币挖矿默认请求地址

11. 加密混淆WebShell还原方法

12. Windows自启动排查

13. 冰蝎/哥斯拉实现原理

14. 支付宝查姓名次数限制

15. 手机号快速确定信息

16. 蜜罐捕获ID信息拓展

17. 挖矿病毒SSH检测的对抗排查

第一步：隐蔽登录

第二步：进程隐藏检测

第三步：网络隔离分析

 2025年HW(护网面试) 85

1. 了解过shiro，weblogic这些反序列化的原理吗
2. shiro550和721的区别
3. shiro默认的利用链
4. shiro工具没找到利用链就一定不能利用了吗
5. tomcat filter注入原理
6. 内存马原理
7. oracle堆叠注入
8. linux下隐藏进程的方法
9. linux下某个命令文件被替换了怎么检测
10. 门罗币挖矿默认请求地址
11. webshell被加密混淆怎么还原确认
12. windows自启动排查
13. 冰蝎哥斯拉webshell实现原理
14. 支付宝查姓名一天能查多少次
15. 有手机号怎么快速确定信息
16. 蜜罐抓到id信息怎么找其他信息
17. 如果挖矿病毒会检测ssh登陆怎么排查，你一登录上去他就不挖了，断开连接继续挖

1. Shiro/WebLogic反序列化原理

本质：利用Java对象序列化/反序列化过程中的自动执行逻辑（如readObject()）触发恶意代码。

• Shiro：依赖RememberMe Cookie的AES加密漏洞，攻击者伪造反序列化数据绕过身份验证。
• WebLogic：通过T3协议传输恶意序列化数据，利用内置类（如InvokerTransformer）构造利用链。

---

2. Shiro550 vs Shiro721区别

特征	Shiro550 (CVE-2016-4437)	Shiro721 (CVE-2019-12422)
漏洞类型	硬编码密钥导致加密绕过	Padding Oracle攻击解密Cookie
利用条件	已知AES密钥	无需密钥，但需合法用户Cookie
攻击难度	低（密钥泄露即利用）	高（需暴力破解128位CBC模式填充）
修复方案	更换默认密钥	升级至≥1.4.2（禁用CBC模式）

---

3. Shiro默认利用链

核心链：commons-collections库的Transformer链（需≤3.2.1版本）
典型路径：

恶意InvokerTransformer → ChainedTransformer → LazyMap → AnnotationInvocationHandler  

替代链（无CC库时）：

• commons-beanutils的PropertyUtils链（CVE-2020-1957）
• rome库的ObjectBean链（需目标环境存在相关依赖）

---

4. "工具未找到链"是否无法利用？

否！ 可尝试：

1. 手工探测：检查目标环境Jar包（如lib/目录），寻找其他Gadget（如fastjson、xalan等）。
2. 内存马注入：若存在文件上传漏洞，直接注入Filter/Servlet内存马（绕过反序列化依赖）。
3. 二次封装：改造现有工具链（如添加新型Gadget到ysoserial）。

---

5. Tomcat Filter注入原理

本质：动态注册恶意Filter拦截所有请求。
步骤：

1. 获取StandardContext对象（通过反射或线程上下文ClassLoader）。
2. 创建恶意Filter类（如执行命令的EvilFilter）。
3. 调用addFilterDef()注册Filter，并通过filterStart()初始化。
   关键API：

javaStandardContext.addFilterDef(filterDef); FilterMap filterMap = new FilterMap(); filterMap.addURLPattern("/*"); StandardContext.addFilterMap(filterMap); 

---

6. 内存马原理

核心：无文件驻留，恶意代码注入运行中进程。
常见类型：

• Servlet API型：注入Filter/Listener/Servlet（如Tomcat Filter内存马）。
• 字节码增强型：利用Java Agent修改已加载类的字节码（如Instrumentation）。
• 线程注入型：将Shell代码绑定到新线程循环执行。
  隐蔽性：无磁盘文件、依托合法进程运行。

---

7. Oracle堆叠注入

原理：利用分号;分隔执行多条SQL语句（需驱动支持）。
示例：

sql' UNION SELECT 1 FROM DUAL; EXEC IMMEDIATE 'GRANT DBA TO attacker'-- 

限制：

• Oracle默认不支持堆叠注入（需特定驱动如JDBC Thin）。
• 推荐替代方案：DBMS_SQL包执行动态SQL。

---

8. Linux隐藏进程方法

高级技巧：

1. 挂载覆盖/proc目录：mount --bind /empty_dir /proc/[pid]
2. 内核模块Rootkit：劫持getdents系统调用（如Diamorphine）。
3. 用户态Hook：LD_PRELOAD劫持readdir函数过滤进程名。
4. 篡改进程名：修改/proc/[pid]/comm或argv[0]为常见服务名（如[kworker]）。

检测方案：

bash# 对比ps与/proc目录 diff <(ps -ef | awk '{print $2}') <(ls /proc | grep '^[0-9]') 

---

9. Linux命令文件替换检测

排查步骤：

1. 校验哈希值：

   bashrpm -Vf /bin/ls # RPM系 debsums -c coreutils # Debian系 

2. 检查时间戳：stat /bin/ls 对比正常命令修改时间。
3. 查看加载库：ldd /bin/ls 检查是否存在异常动态链接库。
4. 行为监控：strace -f /bin/ls 分析系统调用。

---

10. 门罗币挖矿默认请求地址

矿池地址示例：

gulf.moneroocean.stream:10128   
pool.supportxmr.com:3333   
xmr-eu1.nanopool.org:14444   

特征：

• 协议多为stratum+tcp
• 钱包地址前缀为4（如4ABCD...）

---

11. 加密混淆WebShell还原方法

步骤：

1. 静态分析：
   • 解密函数定位（搜索eval(gzinflate(base64_decode等特征）。
   • 手工替换eval为print逐步输出源码。
2. 动态调试：
   • 使用Xdebug单步跟踪执行流程。
   • 日志记录：在WebShell中插入file_put_contents输出中间代码。
3. 工具辅助：
   • PHP：php -d zend_extension=opcache.so -d opcache.jit=off -d opcache.enable_cli=1 -d opcache.enable=0 -r "echo file_get_contents('shell.php');"
   • 通用：CyberChef在线解码（Base64/Rot13等）。

---

12. Windows自启动排查

关键位置：

1. 注册表：
   • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKLM\SYSTEM\CurrentControlSet\Services
2. 文件路径：
   • 启动目录：%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
   • 计划任务：schtasks /query /fo TABLE /v
3. WMI事件：

   powershellGet-WmiObject -Namespace root\Subscription -Class __EventFilter 

---

13. 冰蝎/哥斯拉实现原理

工具	核心机制	加密方式
冰蝎	动态密钥协商（首次请求生成AES密钥）	AES + 随机IV + 自定义Padding
哥斯拉	预共享密钥（客户端配置密钥）	多种可选（AES/RC4/XOR）
共同特点：

• 流量加密（绕过WAF）
• 支持多协议（HTTP/Socks）
• 模块化加载（内存执行恶意逻辑）

---

14. 支付宝查姓名次数限制

⚠️ 法律提示：非授权查询涉嫌侵犯隐私。

• 官方渠道：通过支付宝"转账"功能验证姓名（每日≤50次，需小额转账）。
• 企业接口：实名认证API需企业资质，单账号日限≤500次。

---

15. 手机号快速确定信息

合法途径：

1. 运营商验证：企业合作接口验证姓名/归属地（需合规授权）。
2. 社工库风险：公开平台（如支付宝/微信）尝试转账显示部分姓名（谨慎使用）。
3. 开放数据：
   • 归属地：whois查询（https://www.whois.com/whois/ ）
   • 风险标记：腾讯手机管家号码标识API。

---

16. 蜜罐捕获ID信息拓展

溯源步骤：

1. 跨平台关联：
   • 用户名/邮箱搜索GitHub、社交平台（Hunter.io ）。
2. 密码复用：
   • 尝试历史泄露库（HaveIBeenPwned）。
3. 数字指纹：
   • 浏览器UserAgent → 操作系统版本
   • IP地址 → 地理位置/ISP

---

17. 挖矿病毒SSH检测的对抗排查

针对性方案：

第一步：隐蔽登录

bashssh -T user@host /bin/bash -c "sleep 120; id" # 无终端登录+延迟执行 

第二步：进程隐藏检测

bash# 检查异常内核模块 lsmod | grep -E 'diamorphine|adore' # 查看未删除的Lib文件 lsof | grep 'DEL.*lib' 

第三步：网络隔离分析

1. 物理断网后通过串口登录服务器。
2. 内存取证：

   bashLiME工具dump内存 → Volatility分析挖矿进程 

3. 定时任务排查：

   bash# 检查微秒级任务 grep 'us' /etc/crontab /var/spool/cron/*