2025年常见渗透测试面试题-红队面试宝典下（题目+回答）

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

一、Java反序列化过程及利用链示例

二、大型网络渗透经验

三、Cobalt Strike的两种Dump Hash区别

四、黄金票据与白银票据实战应用

五、金融项目渗透思路

六、Oracle低版本Getshell与MSSQL绕过

七、红队面试Top问题详解

1. 自我介绍

2. 内网渗透经验

3. Shiro漏洞原理与利用

4. Fastjson不出网利用

5. WebLogic RCE方式

6. 集权设备攻击（如vCenter）

八、钓鱼与邮件网关绕过

九、隧道与后渗透技巧

十、Java代码审计与漏洞利用

十一、攻防演练案例

7、简述java反序列化的过程，并举例1个利用链
--------

19、大型网络渗透经验是否有？


21、有用过cs吗 cs的两种dump hash之间的区别

22、黄金票据和白银票据的条件实战中有用过吗 用途是什么

22、金融项目怎么打的
主要钓鱼   有0day用0  审供应链  
sprint项目用jar包启动的不出网怎么shell？ IO流


16、oracle低版本getshell的方式？mssql xp_cmdshell没开的解决办法 答出两种  ---- Oracle无表注入


top10 redteam

1、自我介绍

答：渗透测试方面我是自学的 因为一直以来对信息安全有强烈的兴趣 从接触到现在差不多两年了 对系统的漏洞和web漏洞都有了解 能完成漏洞的查找 提交src 说明修复建议等（我觉得尽量说自学吧 因为自学的话在HR心中你能回答出很多问题代表你平时还是很努力学习的）

因为平时实战就是在漏洞盒子挖src来成长的对于挖这么久的src 挖的最多的那肯定就是属于漏洞之王sql注入 还有xss url重放 以及文件上传这些 其他漏洞虽然都有了解 有时候也会挖到 但是在实战中其实并不会太深入去做一些太过分的事情 毕竟的话渗透测试有限度 （委婉的表态我平时挖内网渗透比较少 求你别问 ） 平时会在论坛，博客先知社区 在B站看视频或者与朋友交流等等



2、询问技能点，比如擅长内网，然后问我打过多少次内网 有过十次以上非常规打点吗

3、shiro漏洞原理有看过代码吗 550 721区别 550 aes加密轮数 有key没有链的解决办法        

4、fastjson不出网的打法（三种以上）            

5、weblogic有打过吗有哪些rce方式 ssrf配合redis有遇到过吗

6、confluence有打过吗 后渗透方式（问到了内存马打法和历史漏洞）

7、了解php吗 thinkphp3.2.1有哪些漏洞 thinkphp5版本下那几个rce有什么区别

8、gitlab的后渗透            

9、k8s 或者云上攻防有了解过吗 docker逃逸？

10、集权设备的漏洞 vcenter的后渗透            

11、说出抓用户凭据的几种方式 当有杀软的情况下的操作（要那种网上搜不到的）  

12、怎么定位域控（有多少说多少） 有打过域控吗 什么方式打的 对域内委派有实战过吗 了解父子域吗            

14、打过邮服吗 打过几次 用的什么漏洞            

15、擅长什么语言 会java吗？我答的go 然后就问我为什么frp在低版本win运行不了 解决办法?


17、说出你知道的钓鱼方式 邮件网关怎么过          

18、然后就是闲聊了

某亭redteam 1面

1、对代码审计了解有多少
2、对哪一门语言了解
3、javaweb项目首先看什么
4、java项目中rce可能的关键字
5、java反弹shel为什么要对命令编码
6、java审计的能力实战有用过吗
7、怎么利用反序列化
8、shiro本地版本和远程版本不同会导致什么结果
9、任意文件下载到getshell的思路 问的很细
10、weblogic可以读到哪些有价值的东西
            
12、bcel限制条件实战中有用过吗
13、shiro了解回显怎么打的
14、拿到webshell 搭隧道隧道的思路；极端网络条件下的隧道搭建问题      
15、java项目任意文件下载可以下到哪些有价值的文件
16、拿到webshell后渗透
17、攻击域有哪些思路
18、有没有总结行业通用程序
19、攻防项目中占比
20、讲一次攻防演练过程
21、社工钓鱼会吗
       


某亭redteam 2面

1、有审计过哪些java的0day漏洞                        
3、shiro的权限绕过；shiro配置哪些路径可以权限绕过    
4、fastjson打jdbc那条链可以打哪些版本；
5、多少版本的fastjson可以打dns回显；
6、1.2.68的fastjson可以打哪些poc；
7、fastjson写字节码多少版本以下可以
8、有打过集权设备吗 比如堡垒机 攻击方式            
9、堡垒机后渗透方式            
10、vcenter有打过吗 怎么打            
11、有了解过天擎的后渗透吗            
12、齐治堡垒机的漏洞                       
13、公网快速打点 信息收集方式
14、指纹搜索怎么做的
15、k8s和云上攻防有了解过吗            
16、有webshell后渗透过程            
18、内网扫描工具会用哪些            
19、对行业有了解吗 拓扑 设备啥的

一、Java反序列化过程及利用链示例

反序列化过程：

1. 序列化：将对象转换为字节流（ObjectOutputStream）。
2. 传输/存储：字节流通过网络传输或存储到文件。
3. 反序列化：接收端使用 ObjectInputStream 读取字节流并还原对象。
4. 漏洞触发：若反序列化的类重写了 readObject() 方法且存在危险操作（如调用 Runtime.exec() ），则可能执行恶意代码。

利用链示例：
CommonsCollections 链（CC1）：

• 触发点：InvokerTransformer.transform() → Runtime.exec()
• 关键类：AnnotationInvocationHandler（动态代理触发）、TransformedMap（触发链调用）

---

二、大型网络渗透经验

关键要点：

1. 横向移动：通过 Pass-the-Hash、Kerberoasting 跨域渗透。
2. 权限维持：黄金票据、DCSync 权限后门。
3. 对抗防御：绕过EDR（如Unhook API）、内存加载恶意代码（Cobalt Strike Beacon）。
4. 案例：某次攻防中通过 Exchange SSRF 中继到域控提权，获取全域权限。

---

三、Cobalt Strike的两种Dump Hash区别

1. logonpasswords（mimikatz sekurlsa::logonpasswords）：
   • 原理：提取LSASS内存中的明文密码和哈希。
   • 场景：需管理员权限，对抗杀软需结合进程注入或DLL卸载。
2. hashdump（hashdump 命令）：
   • 原理：读取SAM文件获取本地用户哈希（NTLM）。
   • 场景：需本地管理员权限，但无法获取域用户凭证。

---

四、黄金票据与白银票据实战应用

票据类型	条件	用途	实战案例
黄金票据	krbtgt的NTLM-Hash	长期权限维持，访问所有服务	内网失陷后快速重建域管权限
白银票据	服务账号的NTLM-Hash	访问特定服务（如MSSQL）	绕过Kerberos审计，隐蔽访问

---

五、金融项目渗透思路

攻击路径：

1. 钓鱼：伪造银行邮件（0day漏洞如CVE-2023-23397触发NTLM Relay）。
2. 供应链：利用金融系统依赖的第三方服务漏洞（如Log4j）。
3. 不出网Shell：
   • 内存马：注入Filter型内存马（如Tomcat）。
   • IO流写入：通过文件上传写入Webshell到静态资源目录。

---

六、Oracle低版本Getshell与MSSQL绕过

Oracle无表注入Getshell：

1. 利用 UTL_HTTP 发起带外请求（OOB）获取数据。
2. 通过 DBMS_JAVA 执行Java代码写入Webshell。

MSSQL无xp_cmdshell的替代方案：

1. CLR集成：编译恶意DLL并加载执行系统命令。
2. OLE自动化：sp_oacreate 执行 wscript.shell 命令。

---

七、红队面试Top问题详解

1. 自我介绍

“自学渗透测试两年，专注Web漏洞挖掘（SQL注入/XSS/文件上传），提交过多个高危SRC漏洞并协助修复。熟悉内网基础但侧重合规测试，通过技术论坛（先知社区）和实战提升技能。”

2. 内网渗透经验

• 次数：参与过5次内网渗透，2次涉及非常规打点（如VPN 0day）。
• 技术：利用Exchange SSRF提权、Kerberoasting攻击域服务账号。

3. Shiro漏洞原理与利用

• 550 vs 721：
  • 550：硬编码AES Key，利用Padding Oracle攻击。
  • 721：Cookie使用GCM加密，需暴力破解Key耗时较长。
• 无链的Key利用：结合CC链或其他二次反序列化触发点。

4. Fastjson不出网利用

1. JNDI高版本绕过：利用 org.apache.xbean 等非黑名单类。
2. 本地ClassPath利用：加载已存在的恶意类（如BCEL）。
3. 内存马注入：通过JSON字段触发ClassLoader加载恶意字节码。

5. WebLogic RCE方式

• T3协议反序列化（CVE-2018-2628）。
• SSRF+Redis未授权：利用 spring-cloud-gateway 注入Shell。

6. 集权设备攻击（如vCenter）

• CVE-2021-21985：上传恶意插件获取Root权限。
• 后渗透：通过 govc 命令操作虚拟机，部署隐蔽后门。

---

八、钓鱼与邮件网关绕过

钓鱼方式：

1. 邮件伪造：SPF/DKIM记录绕过，使用相似域名（如examp1e.com ）。
2. 附件利用：带密码的恶意文档（绕过静态检测）。

邮件网关绕过技巧：

• 分块编码：将恶意代码分段传输（如HTTP chunked）。
• 合法服务中转：利用Google Docs或Dropbox托管Payload。

---

九、隧道与后渗透技巧

极端网络隧道：

1. DNS隧道：使用 dnscat2 穿透严格防火墙。
2. ICMP隧道：通过Ping请求传输数据（如 ptunnel）。

杀软绕过抓凭据：

1. DLL反射注入：调用 mimikatz 无文件落地。
2. 注册表提取：通过 reg save HKLM\SAM sam.save 导出哈希离线破解。

---

十、Java代码审计与漏洞利用

RCE关键字：

• Runtime.exec() 、ProcessBuilder.start()
• JNDI.lookup() （Log4j相关）、XStream.fromXML()

反序列化利用：

• 寻找 readObject() 重写且调用危险方法的类，构造Gadget链。

---

十一、攻防演练案例

某次攻防流程：

1. 入口：钓鱼邮件获取员工VPN账号。
2. 横向：通过SMB爆破进入财务服务器，提取域用户哈希。
3. 提权：DCSync获取域管权限，黄金票据维持访问。
4. 目标达成：获取核心数据库权限，提交报告协助加固。