2025年渗透测试面试题总结-拷打题库22（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

2025年渗透测试面试题总结-拷打题库22

一、Cobalt Strike上线方式与绕过监控

1. 上线方式及原理

2. 扩展点

二、WMIC横向渗透回显命令构造

1. 有回显命令构造

2. 扩展点

三、Windows安全日志与域控日志分析

1. 关键安全日志ID

2. 扩展点

四、Golden Ticket与Silver Ticket对比

Silver Ticket前置条件

五、非域主机发现域主机方法

扩展点

六、Mimikatz原理与补丁绕过

1. 原理

2. 补丁与绕过

3. 无重启启用WDigest

七、NTLM Relay攻击场景与限制

1. 攻击场景

2. 限制条件

3. 扩展点

八、Windows身份鉴别与SID History攻击

1. 身份鉴别

2. SID History攻击

3. 扩展点

九、域渗透与初始配置问题

1. 无域账户的域渗透

2. 初始配置问题

十、域管登录记录查询与原理

1. 查询方法

2. 扩展点

十一、RSA与HTTPS流程

1. RSA加解密流程

2. HTTPS实现

3. 扩展点

十二、DNS劫持/链路劫持防护

1. 防护措施

2. 羊毛党防范

十三、0day应急响应与CTF技巧

1. 0day处理流程

2. CTF攻防技巧

十四、Linux安全运维与渗透流程

1. 安全运维操作

2. 渗透测试流程

十五、漏洞防护与攻击深入利用

1. SQL注入防范

2. SSRF深入利用

2025年渗透测试面试题总结-拷打题库22

cobalt strike中上线方式有哪些，各自是什么原理，如果需要绕过监控，如何绕? 
横向渗透中，wmic如何构造有回显的命令执行? 
windows应急响应中，需要查看哪些安全日志ID，分别对应哪些攻防场景，如果该windows主机为域控，又应该查看哪些事件日志? 
golden ticket和sliver ticket的区别是什么? 
sliver ticket利用的前置条件是什么?
在非域主机的情况下，如何快速发现域主机？ 
mimikatz的原理，哪个补丁导致了mimikatz无法利用，如何绕过? 
有没有办法在不重启机器的前提下启用wdigest这个SSPI? 
NTLM relay的攻击场景有哪些，使用NTLM relay会受到哪些限制? 
windows中如何鉴别用户身份? SID是什么? 基于SID的SID History攻击原理是什么? 
假设拿到了某台域机器的权限，但是机器上并没有域账户，应该如何进行域渗透? 
域的初始化配置允许任何域用户登录任意加了域的机器，这是为什么? 
如何查询域管登录过的机器，查询原理又是什么? 
RSA加解密流程
HTTPS是如何实现的
如何防护运营商的DNS劫持/链路劫持
如何防范羊毛党?
一个大范围影响的0day被曝光，作为甲方安全工程师，应该如何处理
简述 CTF 攻防赛的流程和一些技巧
查看当前端口连接的命令有哪些？`netstat` 和 `ss` 命令的区别和优缺点；
Linux 服务器的安全运维操作有哪些？如何保护 SSH？
入侵 Linux 服务器后需要清除哪些日志？
一般常反弹哪一种 shell？
介绍渗透测试的流程；
简要介绍自己常用的扫描器和其实现上的特点；
介绍 SQL 注入漏洞成因，如何防范？注入方式有哪些？除了数据库数据，利用方式还有哪些？
如何防范 XSS 漏洞，在前端如何做，在后端如何做，哪里更好，为什么？
介绍 CSRF 漏洞和常用的防护手段；
介绍 SSRF 漏洞，如何深入利用？如何探测非 HTTP 协议？如何防范？
如何防范羊毛党（有猫池）？

一、Cobalt Strike上线方式与绕过监控

1. 上线方式及原理

1. HTTP/HTTPS Beacon
   • 原理：通过HTTP(S)协议与C2服务器通信，请求指令并返回结果。
   • 绕过监控：使用域名生成算法（DGA）动态生成C2域名，或伪装为合法流量（如模仿API请求）。
2. DNS Beacon
   • 原理：通过DNS查询传输数据（TXT记录存储指令），隐蔽性强。
   • 绕过监控：使用加密的DNS-over-HTTPS（DoH）或混淆查询内容。
3. SMB Beacon
   • 原理：利用命名管道在局域网内横向传播，通过共享文件通信。
   • 绕过监控：禁用445端口检测或伪装为正常SMB文件操作。
4. TCP Beacon
   • 原理：直接TCP连接通信，适合内网穿透。
   • 绕过监控：端口复用（如绑定到80端口伪装Web服务）。

2. 扩展点

• 流量混淆：使用Cobalt Strike的Artifact Kit生成免杀Payload。
• 合法进程注入：将Beacon注入explorer.exe 或svchost.exe 。
• 时间延迟：设置随机心跳间隔避开流量规律分析。

---

二、WMIC横向渗透回显命令构造

1. 有回显命令构造

cmdwmic /node:192.168.1.2 process call create "cmd.exe /c whoami > C:\temp\result.txt" type \\192.168.1.2\C$\temp\result.txt 

• 原理：通过WMIC远程执行命令，将结果写入共享文件后读取。
• 绕过监控：
  1. 混淆命令：使用Base64编码命令。
  2. 合法进程伪装：调用msbuild.exe 执行恶意脚本。
  3. 日志清理：执行后删除临时文件。

2. 扩展点

• PowerShell配合：通过WMIC调用powershell -enc执行加密脚本。
• WMI事件订阅：持久化后门（如__EventFilter）。
• 权限限制绕过：使用/user参数指定高权限账户。

---

三、Windows安全日志与域控日志分析

1. 关键安全日志ID

日志ID	攻防场景	域控重点关注
4624	成功登录（密码爆破、横向移动）	域管理员登录记录
4625	登录失败（暴力破解）	异常账户多次失败尝试
4672	特权操作（Pass-the-Hash攻击）	敏感组策略修改（如AdminSDHolder）
4688	进程创建（恶意进程执行）	域控服务进程异常启动（如DCSync）
5140	文件共享访问（横向渗透）	域共享目录异常访问（如SYSVOL）

2. 扩展点

• 日志聚合：使用SIEM（如Elastic Stack）集中分析。
• 日志篡改防御：启用Windows Event Forwarding（WEF）实时同步日志。
• 定制筛选规则：针对域控关注4769（Kerberos票据请求）和5136（目录服务变更）。

---

四、Golden Ticket与Silver Ticket对比

维度	Golden Ticket	Silver Ticket
权限来源	使用krbtgt哈希生成TGT	使用服务账户哈希生成ST（服务票据）
依赖条件	需域控权限获取krbtgt哈希	需服务账户哈希（如SQL Server账户）
有效期	默认10年（可自定义）	受服务票据最长生命周期限制（通常短）
检测难度	高（需监控krbtgt使用）	低（需监控服务票据异常请求）

Silver Ticket前置条件

1. 服务账户哈希：通过DCSync或本地提取获取。
2. 目标SPN：需明确服务主体名称（如MSSQLSvc/sql.domain.com ）。
3. 票据构造权限：需本地管理员权限生成票据。

---

五、非域主机发现域主机方法

1. NetBIOS扫描：nmap -sU -p137 192.168.1.0/24，检测开放137端口的机器。
2. LDAP探测：扫描389端口（nmap -p389 192.168.1.0/24）。
3. DNS查询：解析_ldap._tcp.dc._msdcs. 的SRV记录。
4. SMB广播：利用net view /domain命令获取域机器列表。

扩展点

• LLMNR/NBT-NS欺骗：诱导域主机响应广播请求。
• BloodHound：通过非域主机收集域内关系数据。
• WMI查询：wmic /namespace:\\root\directory\ldap path ds_computer get ds_dnshostname。

---

六、Mimikatz原理与补丁绕过

1. 原理

• 提取LSASS进程内存中的明文密码、NTLM哈希及Kerberos票据。
• 关键模块：sekurlsa::logonpasswords（读取LSASS）。

2. 补丁与绕过

• 补丁KB2871997：禁用WDigest缓存明文密码。
• 绕过方法：
  1. 启用WDigest：修改注册表UseLogonCredential=1。
  2. 利用SSP：注入恶意SSP（如mimilib.dll ）记录凭据。
  3. DCSync攻击：直接请求域控同步密码哈希（需域管权限）。

3. 无重启启用WDigest

• 命令：

  powershellSet-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" -Name "UseLogonCredential" -Value 1 taskkill /f /im lsass.exe && start lsass.exe # 重启LSASS进程 

---

七、NTLM Relay攻击场景与限制

1. 攻击场景

1. SMB中继：将凭据中继到另一台未启用SMB签名的机器，执行命令。
2. LDAP中继：创建高权限用户或修改ACL。
3. HTTP中继：通过Web应用（如OWA）获取权限。

2. 限制条件

• SMB签名：目标服务需禁用签名（默认域控启用）。
• 协议兼容性：部分服务（如Exchange EWS）不支持NTLM认证。
• 网络隔离：需中间人位置（如ARP欺骗或WiFi劫持）。

3. 扩展点

• Drop the MIC：绕过NTLMv2的MIC校验（CVE-2019-1040）。
• 资源约束委派滥用：结合中继与委派权限提升。

---

八、Windows身份鉴别与SID History攻击

1. 身份鉴别

• 机制：通过SID（安全标识符）唯一标识用户/组，权限校验基于ACL中的SID。
• SID结构：S-1-5-21--（RID 500为管理员）。

2. SID History攻击

• 原理：将高权限SID（如域管）添加到用户的SID History属性，继承权限。
• 利用条件：需SeEnableDelegationPrivilege权限（通常为域管）。

3. 扩展点

• 检测方法：监控4765/4766事件（SID History变更）。
• 防御：启用SID Filtering阻断跨域SID传递。

---

九、域渗透与初始配置问题

1. 无域账户的域渗透

1. 本地提权：通过漏洞（如PrintNightmare）获取SYSTEM权限。
2. Kerberoasting：请求服务票据后离线破解（需SPN账户）。
3. LLMNR/NBT-NS投毒：诱导域用户输入凭据。

2. 初始配置问题

• 原因：默认组策略允许Authenticated Users登录所有机器。
• 修复：限制Allow log on locally权限为特定用户组。

---

十、域管登录记录查询与原理

1. 查询方法

• 日志分析：筛选安全日志4624事件，过滤Logon Type=3（网络登录）。
• 工具命令：

  powershellGet-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Where-Object {$_.Properties[5].Value -eq 'DOMAIN\Administrator'}

• LastLogon时间戳：通过Get-ADUser查询用户最后登录时间。

2. 扩展点

• WMI查询：Get-WmiObject -Class Win32_LoggedOnUser。
• 第三方工具：使用BloodHound可视化域管活动路径。

---

十一、RSA与HTTPS流程

1. RSA加解密流程

1. 密钥生成：选择大素数p、q，计算模数n=p*q，选择公钥指数e（通常为65537），私钥指数d满足e*d ≡ 1 mod φ(n)。
2. 加密：密文c = m^e mod n（m为明文）。
3. 解密：明文m = c^d mod n。

2. HTTPS实现

1. 握手阶段：
   • 客户端发送ClientHello（支持协议、加密套件）。
   • 服务器返回ServerHello（选定套件）、证书（含公钥）、ServerKeyExchange（DHE参数）。
   • 客户端验证证书，生成预主密钥（Pre-Master Secret）并用服务器公钥加密发送。
   • 双方通过预主密钥生成会话密钥（Master Secret）。
2. 数据传输：使用对称加密（如AES）通信。

3. 扩展点

• 前向安全：使用DHE/ECDHE密钥交换协议。
• 证书透明：通过CT日志监控非法证书签发。

---

十二、DNS劫持/链路劫持防护

1. 防护措施

1. DoH/DoT：使用DNS-over-HTTPS或DNS-over-TLS加密查询。
2. DNSSEC：启用域名系统安全扩展验证记录完整性。
3. 监控告警：部署DNS流量分析工具（如Zeek）检测异常解析。

2. 羊毛党防范

• 设备指纹：采集IP、UA、设备ID等信息识别批量注册。
• 行为分析：限制同一IP/设备高频操作，引入验证码/人机挑战。
• 动态规则：基于机器学习实时调整风控策略。

---

十三、0day应急响应与CTF技巧

1. 0day处理流程

1. 隔离影响：禁用受影响服务或网络分区。
2. 补丁验证：联系厂商获取临时修复方案。
3. 流量分析：捕获攻击样本，更新WAF/IDS规则。

2. CTF攻防技巧

• 攻击阶段：利用已知漏洞（如缓冲区溢出）快速得分。
• 防御阶段：加固服务配置，监控日志封禁攻击IP。
• 协作策略：分工负责漏洞挖掘、利用代码编写和实时监控。

---

十四、Linux安全运维与渗透流程

1. 安全运维操作

• SSH加固：禁用root登录、使用密钥认证、限制IP访问。
• 防火墙配置：仅开放必要端口，启用fail2ban防暴力破解。
• 日志审计：定期分析/var/log/auth.log 、/var/log/secure。

2. 渗透测试流程

1. 信息收集：使用Nmap扫描端口，Harvester收集子域名。
2. 漏洞利用：针对Web应用（SQL注入、文件上传）。
3. 权限提升：利用SUID/Cron配置错误提权。
4. 横向移动：通过SSH密钥或凭证复用渗透内网。

---

十五、漏洞防护与攻击深入利用

1. SQL注入防范

• 输入过滤：使用预编译语句（Prepared Statements）或ORM框架。
• WAF规则：拦截UNION SELECT、sleep()等敏感关键词。
• 日志监控：记录异常SQL语句并告警。

2. SSRF深入利用

• 非HTTP协议：探测gopher://攻击Redis或FastCGI。
• 云元数据：访问169.254.169.254获取云主机凭证。
• 防御：禁用URL Schema，启用白名单域名解析。