2025年渗透测试面试题总结-各厂商二面试题02（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

各厂商二面试题02

模块六：基础技术扩展

1. HTTP请求方式

2. 域名解析工具与技术

3. Web十大漏洞详解（以注入与XSS为例）

模块七：企业级问题深度解析

1. HW（攻防演练）经历描述

2. 内网流量出网方案

模块八：系统与漏洞利用

1. Windows提权路径

2. PHP反序列化漏洞实战

模块九：溯源与应急响应

1. 攻击溯源技术（代理场景）

2. 应急响应标准化流程

十、国誉网安

1. 谈谈工作和HW经历

2. Windows Server 2008提权方法

3. Windows系统常见漏洞编号

十一、某厂商-红队

1. 谈谈工作HW经历

2. 代码分析

十二、天融信

1. 谈谈HW经历

2. 两次渗透案例分析

3. 内网流量出网技术

各厂商二面试题02
六、qax
1、请求方式几种（目前常用八种请求方式，分别是GET、POST、HEAD、PUT、DELETE、OPTIONS、TRACE、CONNECT，get和post最常用）2、域名解析记录对应工具（nslookup、万能ping）3、web十大漏洞（1）注入，（2）失效的身份认证和会话管理(使用别人会话id,包含身份信息信用卡),（3）XSS跨站（存储、反射、dom），(4) 不安全的对象直接引用(如?id=89改成?id=90,可以看到id=90的信息)，（5）伪造跨站请求（CSRF可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点）(6) 安全误配置，(7)限制URL访问失败（缺少功能级访问控制）,(8)未验证的重定向和转发，(9)应用已知脆弱性的组件，(10)敏感信息暴4、溯源和反制（溯源关键点别人挂了代理怎么办）5、windows提权6、Linux提权，排查思路（看账号、进程、流量、日志、木马）7、各种函数（主要指php漏洞函数serialize 和 unserialize，MD5 compare，is_numeric，extract()变量覆盖，命令执行函数system、exec，文件包含require()、require_once()、 include()、include_once()）,提权，加固，后门8、分析日志工具（ELK，日志IP,时间，恶意流量，攻击方式，攻击哪里）七、北京天融通信
1、HW经历（取得的成果）、主要负责什么2、溯源和应急（参考GitHub上应急响应思维导图, ）通常看日志记录情况，日志详细的情况，ip、时间、事件(恶意流量或者恶意访问日志)、作用，被攻击的地方即使修复，清理后门3、擅长web还是内网，然后谈谈八、安恒
1、基础漏洞2、溯源和应急响应九、长亭
问的偏细节1、php序列化2、溯源十、国誉网安
3.201、谈谈工作和HW经历2、谈一下现在有一台windows server2008 如何提权3、windows系统常见漏洞编号十一、某厂商-红队
3.211.谈谈工作HW经历2、代码分析，根据面试方发来的代码进行分析（1）weblogic反序列化代码（2）一个PHP的exp，分析哪个版本，并分析exp上各参数的作用（thinkphp5的一个版本）十二、天融信
3.221、谈谈HW经历2、谈谈挖洞和渗透印象较深的两次，过程、方法，获取了什么权限3、谈谈内网流量如何出来
模块六：基础技术扩展

1. HTTP请求方式

GET vs POST：
GET参数在URL明文传输，易被日志记录；POST通过Body传递，安全性略高（但需配合HTTPS）。
GET幂等性（重复请求无副作用），POST非幂等（如重复提交订单）。

PUT与PATCH区别：
PUT替换整个资源，PATCH仅修改部分字段（如用户信息更新）。

HEAD与OPTIONS应用：
HEAD用于资源存在性检查（如预下载文件大小）；OPTIONS用于CORS预检请求（跨域策略验证）。

2. 域名解析工具与技术

nslookup/dig对比：
nslookup交互模式适合调试，dig输出更详细（如TTL、权威服务器）。

在线工具链：
SecurityTrails（历史DNS记录查询）、Censys（关联证书与子域名）。

实战技巧：
通过AXFR请求探测域传送漏洞（如dig @dns-server example.com AXFR）。

3. Web十大漏洞详解（以注入与XSS为例）

SQL注入防御：
参数化查询（Prepared Statements）、ORM框架（如Hibernate）、WAF规则（过滤UNION SELECT）。

XSS分类与绕过：
DOM型XSS通过document.location 或eval触发；利用<svg/onload>标签绕过基础过滤。

CSRF实战案例：
利用<img src="http://bank.com/transfer?amount=1000&to=attacker"> 触发转账（需受害者会话未过期）。

模块七：企业级问题深度解析

1. HW（攻防演练）经历描述

突破点选择：
通过Shodan搜索暴露的WebLogic服务，利用CVE-2023-21931反序列化漏洞获取Shell。

内网渗透路径：
横向移动：Pass-the-Hash攻击域内主机，抓取LSASS内存凭证。

成果与反思：
提交漏洞报告+修复方案，推动企业部署EDR（端点检测响应系统）。

2. 内网流量出网方案

协议隧道技术：
DNS隧道：使用dnscat2将数据封装为TXT记录查询，绕过防火墙限制。
HTTP隧道：通过reGeorg将流量伪装为正常Web请求（如Proxy: xxx头）。

隐蔽信道设计：
ICMP隧道（如ping -l携带Payload），利用云函数（AWS Lambda）中转数据。

防御检测策略：
流量基线分析（如单IP高频率DNS请求告警），协议白名单（仅允许业务必要端口）。

模块八：系统与漏洞利用

1. Windows提权路径

内核漏洞利用：
CVE-2021-1675（PrintNightmare）远程代码执行，加载恶意DLL获取SYSTEM权限。

服务配置滥用：
利用sc config修改服务二进制路径为恶意程序，重启服务触发提权。

令牌操纵：
通过Incognito模仿SYSTEM令牌，访问受限资源（如SAM数据库）。

2. PHP反序列化漏洞实战

漏洞触发链：
反序列化__destruct()方法调用→文件写入→WebShell部署（如ThinkPHP 5.x链）。

POP链构造：
利用可控类属性传递恶意数据，串联多个魔术方法（如__wakeup→__toString）。

加固方案：
禁用unserialize()函数，使用json_decode替代；设置allowed_classes白名单。

模块九：溯源与应急响应

1. 攻击溯源技术（代理场景）

多源日志关联：
结合Web日志（Apache/Nginx）、防火墙日志（如Fortinet）匹配X-Forwarded-For头。

威胁情报平台：
VirusTotal查询恶意文件哈希，AlienVault OTX追踪C2服务器IP历史活动。

反制手段（合规前提下）：
部署蜜罐（如HFish）诱导攻击者下载含追踪ID的文件。

2. 应急响应标准化流程

黄金1小时行动：
立即隔离受感染主机，捕获内存镜像（使用FTK Imager或Winpmem）。

Rootkit检测工具链：
Volatility分析内存进程，rkhunter扫描Linux隐藏后门。

修复与复盘：
修补漏洞后，进行渗透测试验证；组织内部培训提升安全意识。

十、国誉网安

1. 谈谈工作和HW经历

攻防演练角色定位：
红队核心成员：负责外网突破（Web漏洞利用、0day挖掘）、内网横向移动（Pass-the-Hash、票据传递）。
典型成果：在2024年HW行动中，通过CVE-2023-21931（WebLogic反序列化）获取目标域控权限，提交5个高危漏洞报告。
技术亮点：利用AD CS（Active Directory证书服务）漏洞（ESC1）伪造证书，实现全域权限接管。

2. Windows Server 2008提权方法

三条核心路径：
内核漏洞利用：
漏洞示例：CVE-2021-1675（PrintNightmare），通过PrintSpoofer工具伪造打印服务加载恶意DLL，获取SYSTEM权限。

服务配置滥用：
AlwaysInstallElevated：若注册表键HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated值为1，可通过MSI包安装恶意服务提权。

令牌窃取与模仿：
使用Incognito或RottenPotato将当前用户令牌提升至SYSTEM令牌，访问受限资源（如SAM数据库）。

3. Windows系统常见漏洞编号

关键CVE列表：
远程代码执行：
CVE-2021-34527（Print Spooler）、CVE-2020-1472（Zerologon）。

权限提升：
CVE-2021-36934（HiveNightmare）、CVE-2019-1458（任务计划服务漏洞）。

持久化与横向移动：
CVE-2017-0144（永恒之蓝）、CVE-2020-0668（Service Tracing EoP）。

十一、某厂商-红队

1. 谈谈工作HW经历

红队视角深度：
外网突破案例：通过Shodan扫描暴露的Confluence服务，利用CVE-2023-22515（模板注入）上传WebShell，建立Cobalt Strike隧道。
内网渗透路径：横向移动中使用NTLM Relay攻击获取Exchange服务器权限，窃取邮件数据并定位高管账号。
隐蔽持久化：部署无文件后门（如PowerShell内存马），利用计划任务定期唤醒。

2. 代码分析

（1）WebLogic反序列化代码分析
漏洞链：利用T3协议反序列化触发InvokerTransformer链，通过JRMPClient向远程服务器请求恶意对象。
关键类：weblogic.jdbc.common.internal.RmiDataSourceFactory 用于构造恶意序列化数据。
防御绕过：绕过黑名单过滤（如ObjectInputStream替换为CustomObjectInputStream）。

（2）ThinkPHP 5 EXP分析
版本定位：基于路由参数_method=__construct判断为ThinkPHP 5.0.23以下版本（存在RCE漏洞）。
参数作用：
filter=system：指定过滤器函数为系统命令执行。
data[cmd]=whoami：传递待执行的命令参数。

触发路径：通过Request.php 中的input方法触发动态函数调用，执行任意命令。

十二、天融信

1. 谈谈HW经历

攻防对抗亮点：
钓鱼突破：伪造企业OA登录页面，诱导目标员工输入凭证，获取VPN权限。
内网漫游：利用BloodHound识别高价值目标（如域管组），通过DCSync攻击导出全域哈希。
反溯源手段：使用云主机作为C2跳板，清除日志痕迹并部署加密隧道（如WireGuard）。

2. 两次渗透案例分析

案例一：Web应用漏洞链利用
漏洞发现：目标系统使用Fastjson 1.2.47（存在反序列化漏洞），构造JNDI注入加载远程恶意类。
权限获取：通过反弹Shell获取应用服务器权限，利用Mimikatz提取内存凭证。
横向扩展：通过PsExec横向移动至数据库服务器，窃取敏感业务数据。

案例二：供应链攻击
目标定位：攻击第三方供应商的Jenkins服务器（未授权访问），部署恶意插件。
权限维持：插件定时向C2服务器发送加密请求，获取后续攻击指令。
影响范围：通过供应链感染10+企业客户，最终获取目标企业源码仓库权限。

3. 内网流量出网技术

三大隐蔽通道方案：
协议隧道：
DNS隧道（iodine）：将数据封装为DNS查询请求，绕过防火墙限制。
HTTP隧道（reGeorg）：通过Web服务器的代理功能转发流量。

加密混淆：
ICMP隧道（icmpsh）：利用ICMP报文载荷传输加密数据。
SSL/TLS加密：使用C2工具（如Cobalt Strike）内置的HTTPS Beacon。

第三方服务滥用：
云存储API：通过AWS S3或阿里云OSS中转数据。
社交媒体：利用Telegram Bot API作为C2通信渠道。