当前位置：首页 > news >正文

2025年常见渗透测试面试题-红队面试宝典上（题目+回答）

news 来源：原创 2025/4/22 6:34:22

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

一、如何判断是否是域环境？

二、定位域控的 IP

三、定位域管所在机器

四、Kerberos 核心组件与流程

五、哈希传递攻击（PtH）与票据传递（PtT）

1. 哈希传递（PtH）

2. 票据传递（PtT）

六、psexec 与 wmiexec 区别

七、拿域控的常见思路

八、权限维持手段

九、从工作组通往域控的路径

十、登录指定域内机器的策略

如何判断是否是域
net time /domain

定位域控的ip  
net time /domian命令查询域控的时间，获得域控名            
DNS一般就是域控            
389端口
SPN扫描定位

定位域管所在的机子  
两种方式：日志和会话            
日志是指本地机器的管理员日志：可用Wevtutil工具导出并查看            
会话是指域内每台机器的登陆会话：可用netsess.exe或PowerView等工具查询（你名查询，无需权限）            
           
工具：           
Psloggedon.exe，原理调用了NetSessionEnum函数            
nmap nse脚本            
           
ps脚本可以找域管            
           
nmap的smb-enum-sessions.nse脚本，获取远程机器的登陆会话。           

Kerberos  
AS（Authentication Server）= 认证服务器KDC（Key Distribution Center）= 密钥分发中心TGT（Ticket Granting Ticket）= 票据授权票据，票据的票据TGS（Ticket Granting Server）= 票据授权服务器SS（Service Server）= 特定服务提供端

             图片

哈希传递PtH（Pass the Hash）  
作用：横向渗透            


根据端口开放情况选择合适的工具图片

哈希传递攻击原理：

windows账号密码以hash保存在本地，传递的时候也用到了hash。           
           
哈希传递攻击用作横向渗透            
           
哈希传递攻击条件：           
1. 登陆目标主机账户为本地组的administrator，或者域中域管组下的账户            
2. 知道目标主机账户的NTLM或AES-256            
           
利用的工具：impacket            
smbexec、psexec、wmiexec            

票据传递PtT（Pass the Ticket）  
作用：权限维持            
           
           
票据传递伪造的原理            
PtT（黄金票据）：伪造第一个阶段AS返回的TGT，也就是检验身份成功后返回的票据            
PtT（白银票据）：伪造第二个阶段TGS返回的ST（Server Token）            
           
白银票据比黄金票据好处是：不用访问KDC            
           
票据传递核心条件：           
PtT（黄金票据）：域控中krbtgt的NTLM-Hash或者AES-256            
PtT（白银票据）：目标服务账号的NTLM-Hash            

psexec和wmiexec区别  
psexec是通过net share上传exe文件启动并删除，会产生大量日志            
           
wmiexec是135 wmi管理端口rce，然后通过445端口回显，不会有日志            

Dcom  
ps执行命令            

约束委派 非约束委派  
什么是(非)约束委派？           
非约束委派：用户借助中间服务A访问服务B，服务A借助该用户的tgt来访问目标服务B            
约束委派：对以上做出限制，该TGT只能访问服务B

拿域控思路  
撞密码、哈希传递            
CVE-2020-1472 Zerologon            
CVE-2021-34473            
利用Exchange NTLM  relay 提升普通用户权限为DCSync            
Ms14 068            
NoPAC RCE（伪造用户）            
ADCS提权（前提是存在证书，大型企业基本都有）            
ms17010            
adcs relay            

权限维持手段  
WSUS            
Skeleton Key            
金银票据            
DCSync权限            
定时任务            

当前是工作组，如何通往域控？  
1、通过漏洞，比如ZeroLogon，直接拿域控            
2、先利用各种方法拿下一个域主机，再利用该域主机攻击域控(漏洞、口令等)            
3、直接爆破域用户账号密码（实战没用过）            
4、不断横向域主机，获取保存的域管凭证            

拿到域控权限，如何登陆指定机子？  
方法一：           
使用Dcsync导出域内所有Hash，使用域管的Hash去登录任意机子            
方法二：           
使用Dcsync导出域内所有Hash，以及导出域登录日志，查找域主机所对应登录过的用户，然后用用户的Hash去登录 
一、如何判断是否是域环境？

使用 net time /domain 命令
若返回域控时间信息（如域控主机名和时间），则当前环境为域环境；若提示“找不到域控制器”，则为工作组环境。
补充：该命令通过查询域控时间服务验证域成员身份。

DNS 解析验证
域环境中，DNS 服务器通常由域控托管，可通过 nslookup 查询域控域名（如 _ldap._tcp.dc._msdcs.<domain> ）获取域控 IP。

端口与服务检测
域控默认开放 389（LDAP）、88（Kerberos）、53（DNS） 等端口，扫描目标机器是否开放这些服务。

SPN 扫描
使用工具（如 setspn -L <domain> 或 PowerShell）扫描服务主体名称（SPN），域控通常注册大量关键服务（如 ldap/dc01.domain.com ）。

二、定位域控的 IP

通过时间服务查询
net time /domain 返回的域控主机名，结合 nslookup 解析其 IP。

DNS 记录解析
查询 DNS 中的 SRV 记录（如 _ldap._tcp.dc._msdcs.<domain> ），直接定位域控 IP。

SPN 扫描工具
使用 ldapsearch 或 PowerShell 脚本枚举域内注册的 SPN，筛选出域控相关服务（如 ldap/dc01）。

端口扫描
对开放 389（LDAP） 或 88（Kerberos） 端口的机器进行进一步验证。

三、定位域管所在机器

日志分析
本地管理员日志：使用 Wevtutil 导出事件日志（如 Security 日志），筛选事件 ID 4624（登录成功） 和 4672（特权登录），提取域管账号登录记录。
域控日志：若有权限，直接查询域控的登录日志（事件 ID 4768-4772 与 Kerberos 相关）。

会话枚举
Netsess.exe/PowerView ：查询域内所有机器的登录会话（Get-NetSession），筛选 Domain Admins 组用户的会话。
PsLoggedOn：调用 NetSessionEnum 函数枚举远程机器的活动会话，需本地管理员权限。
Nmap 脚本：smb-enum-sessions.nse 通过 SMB 协议获取目标机器的会话信息。

四、Kerberos 核心组件与流程

组件/术语功能描述
AS（认证服务器）验证用户身份，发放 TGT（Ticket Granting Ticket）
TGS（票据授权服务）根据 TGT 发放服务票据（ST）
TGT（票据授权票据）用户身份凭证，用于向 TGS 申请服务票据（有效期通常为 8 小时）
KDC（密钥分发中心）包含 AS 和 TGS 的统称，负责票据生成与管理
SS（服务端）最终服务提供者（如文件服务器），验证 ST 合法性

五、哈希传递攻击（PtH）与票据传递（PtT）

1. 哈希传递（PtH）

原理：利用账号的 NTLM/AES-256 哈希绕过密码验证，直接发起认证请求。
条件：
目标账户需为 本地管理员 或 域管组成员。
需获取目标账户的哈希（如通过 Mimikatz 提取或 LSASS 内存转储）。

工具：
Impacket 套件（如 psexec.py 、wmiexec.py ）。
CrackMapExec（支持批量横向移动）。

2. 票据传递（PtT）

黄金票据（伪造 TGT）：
条件：需域控 krbtgt 账号的哈希。
优势：可生成任意用户的 TGT，访问域内所有服务。

白银票据（伪造 ST）：
条件：需目标服务账号的哈希（如 HTTP/web01）。
优势：无需与 KDC 交互，直接访问特定服务（如文件共享）。

六、psexec 与 wmiexec 区别

工具协议/端口执行原理日志记录
psexec SMB（445）上传并执行远程文件，依赖 ADMIN$ 共享生成大量日志（如 7045 事件）
wmiexec WMI（135/5985）通过 WMI 远程执行命令无文件落地，日志较少

七、拿域控的常见思路

漏洞利用
CVE-2020-1472（Zerologon）：利用 Netlogon 协议漏洞重置域控密码。
CVE-2021-34473（Exchange 提权）：通过 NTLM Relay 将普通用户提升为 DCSync 权限。
MS14-068：伪造 PAC（特权属性证书）获取域管权限。

横向渗透
通过 PtH/PtT 横向移动至域控，或利用域主机上的域管凭证（如 sekurlsa::logonpasswords 提取）。

ADCS 提权
若存在 AD 证书服务（AD CS），可通过证书申请或模板滥用（如 ESC1）获取域控权限。

八、权限维持手段

金/银票据：伪造长期有效的 TGT 或 ST。
DCSync 权限：添加后门账号至域管组，持续同步域哈希。
计划任务：在域控上创建定时任务执行恶意载荷。
Skeleton Key：在域控内存中植入万能密码（需重启失效）。

九、从工作组通往域控的路径

直接攻击域控：
利用 ZeroLogon 等漏洞直接重置域控密码。
通过公网暴露的脆弱服务（如 RDP、SMB）爆破或漏洞利用。

域内主机跳板：
先攻陷一台域成员机器（如通过钓鱼获取本地管理员权限），再通过 PtH/PtT 横向至域控。

十、登录指定域内机器的策略

DCSync 导出哈希：
使用 secretsdump.py 导出所有域用户哈希，用域管哈希通过 psexec 登录目标机器。

日志分析定向攻击：
导出域登录日志，定位目标机器上活跃的普通用户，用其哈希发起 PtH 攻击。

以上方法需结合具体场景和权限选择，实战中需注意日志清理与隐蔽性。

组件/术语	功能描述
AS（认证服务器）	验证用户身份，发放 TGT（Ticket Granting Ticket）
TGS（票据授权服务）	根据 TGT 发放服务票据（ST）
TGT（票据授权票据）	用户身份凭证，用于向 TGS 申请服务票据（有效期通常为 8 小时）
KDC（密钥分发中心）	包含 AS 和 TGS 的统称，负责票据生成与管理
SS（服务端）	最终服务提供者（如文件服务器），验证 ST 合法性

工具	协议/端口	执行原理	日志记录
`psexec`	SMB（445）	上传并执行远程文件，依赖 ADMIN$ 共享	生成大量日志（如 7045 事件）
`wmiexec`	WMI（135/5985）	通过 WMI 远程执行命令	无文件落地，日志较少