某大厂红队攻防演练20道高级面试题

1. 如何快速定位企业暴露在公网的敏感服务？

• • 使用Shodan语法：org:"公司名" port:22,3389,5985
• • 结合Censys的SSL证书指纹检索
• • 通过ASN编号反查IP段（whois -h whois.radb.net ASXXX）
• • GitHub监控关键字：access_key、vpn_config
• • 子域名爆破工具：subfinder+httpx组合探测等

2. 针对云原生环境的资产发现有何特殊方法？

• • 利用Kubernetes API未授权访问（/api/v1/pods）
• • 扫描云厂商元数据服务
• • 识别对象存储特征URL（如OSS的aliyuncs.com）
• • 通过CloudTrail日志分析IAM权限
• • 容器镜像仓库扫描（Harbor/ACR漏洞利用）

3. 如何绕过云WAF实现RCE？

• • 分块传输编码（Transfer-Encoding: chunked）
• • HTTP参数污染（HPP）混淆
• • Unicode标准化绕过（如%u002f→/）
• • 利用云函数无服务器架构绕过IP限制
• • 内存马注入配合蚁剑插件动态解密

4. 针对Exchange服务器的最新攻击链包括哪些步骤？

1. 1. 通过ProxyShell漏洞获取初始立足点
2. 2. 导出脱机地址簿（OAB）获取用户哈希
3. 3. 利用PetitPotam强制NTLM中继
4. 4. 滥用Exchange WriteACL提权至Enterprise Admins
5. 5. 部署WebShell与隐藏隧道

5. Kerberos协议攻击中黄金票据与白银票据的区别？

6. 如何突破网络分段环境下的隔离区？

• • 利用DNS隧道传输C2指令（dnscat2）
• • 通过ICMP隐蔽信道穿透防火墙
• • 劫持合法云服务API（如AWS SQS队列）
• • 滥用NTLM over RPC跨网段认证
• • 部署SMB Beacon进行出站通信

7. Windows系统有哪些隐蔽的持久化方式？

• • 服务傀儡化：修改现有服务ImagePath
• • WMI事件订阅：__EventFilter绑定恶意PS脚本
• • 计划任务伪装：利用/TN "MicrosoftWindowsAppID"
• • 注册表映像劫持：Hijacking Debugger键值
• • CLR劫持：修改HKCUEnvironmentCOR_ENABLE_PROFILING

8. 如何绕过EDR的用户态Hook检测？

• • 直接系统调用（Syscall）绕过Ntdll挂钩
• • 内存Unhook技术（使用SysWhispers2）
• • 进程镂空（Process Hollowing）注入合法进程
• • 反射加载无文件PE
• • 利用硬件断点实现API调用混淆

9. 如何利用ADCS漏洞实现域控接管？

1. 1. 通过ESC1漏洞模板申请域控证书
2. 2. 使用Certipy请求User证书：

   certipy req -u user@domain -p pass -ca CA-NAME -target DC-IP -template ESC1-Template  

3. 3. 将证书转为NT哈希：certipy auth -pfx user.pfx
4. 4. 使用DCSync导出krbtgt哈希

10. 在零日漏洞武器化过程中需要注意哪些反溯源措施？

• • 使用Golang编写跨平台载荷（剥离调试信息）
• • 字符串动态解密（AES+Base64）
• • 代码签名证书伪造（时间戳服务器绕过吊销）
• • C2通信模仿合法云服务流量
• • 载荷分阶段加载（Loader→Downloader→Shellcode）

11. 无文件攻击中如何利用Windows COM组件？

• • 原理：通过注册表修改或脚本调用系统内置COM对象执行恶意代码
• • 典型利用：

  $com = [activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application"))$com.Document.ActiveView.ExecuteShellCommand("cmd.exe", $null, "/c calc.exe", "7")  

• • 隐蔽性：无需磁盘写入，内存直接加载
• • 防御检测：监控HKCUSoftwareClassesCLSID异常项，启用AMSI扫描脚本行为

12. 容器逃逸的常见手法与检测方法

攻击手法：

1. 1. 特权容器逃逸：docker run --privileged
2. 2. 挂载宿主机目录：-v /:/host
3. 3. 利用内核漏洞（如DirtyCow）
4. 4. 滥用docker.sock：curl -XPOST --unix-socket /var/run/docker.sock http://localhost/containers/create...

检测方法：

• • 检查容器Capabilities：capsh --print
• • 使用CDK工具检测：./cdk eva --full
• • 审计Kubernetes RBAC权限

13. 如何通过DPAPI提取用户凭据？

1. 1. 获取MasterKey：需用户登录状态或域备份密钥

   dpapi::masterkey /in:"C:UsersuserAppDataRoamingMicrosoftProtectS-1-5-21-...key" /rpc

2. 2. 解密凭据文件：

   dpapi::cred /in:"C:UsersuserAppDataLocalMicrosoftCredentialsABCDEF01" /masterkey:xxxx

3. 3. 防御：启用Credential Guard，限制DPAPI备份权限

14. 针对OT网络的渗透测试注意事项

• • 协议分析：熟悉Modbus/TCP、DNP3、Profinet等工控协议
• • 设备指纹：使用nmap工控脚本：nmap --script modbus-discover
• • 安全限制：
  • • 禁止主动扫描PLC设备
  • • 使用物理隔离跳板机接入
  • • 测试前签署风险告知书
• • 工具链：ISF（工控漏洞框架）、PLCInject

15. 红蓝对抗中钓鱼攻击的升级策略

• • 载荷投递：
  • • 伪造企业微信通知：嵌入自解压lnk文件
  • • 二维码钓鱼：伪装成VPN登录页面
• • 绕过检测：
  • • 使用Go语言编译免杀载荷
  • • 动态域名生成（DGA）技术
  • • 邮件正文图片化躲避关键词过滤
• • 防御：开展钓鱼演练，部署邮件正文OCR分析系统

16. 如何绕过双因素认证（2FA）？

攻击路径：

1. 1. 中间人攻击：劫持SMS验证码（需SIM卡克隆）
2. 2. 会话劫持：窃取已认证的JWT令牌
3. 3. OAuth滥用：伪造response_type=token请求
4. 4. 时间窗口攻击：暴力破解TOTP的6位验证码（成功率约0.2%）

防御建议：

• • 启用FIDO2硬件密钥
• • 实施IP信誉库验证
• • 限制同一用户认证尝试频率

17. 域持久化中DCShadow攻击原理

• • 前置条件：获取域管理员权限
• • 攻击步骤：
  1. 1. 注册虚假域控：lsadump::dcshadow /object:CN=user,DC=domain /attribute:primaryGroupID /value:512
  2. 2. 推送恶意策略：强制同步到合法域控
• • 隐蔽性：不产生常规日志事件ID 4662
• • 检测：监控GetNCChanges异常请求，分析DRS复制流量

18. 虚拟化环境下的攻击检测规避

反检测技术：

• • 识别虚拟机特征：

  Get-WmiObject-Query"SELECT * FROM Win32_ComputerSystem" | Select Model  

• • 修改硬件指纹：使用驱动级rootkit篡改SMBIOS信息
• • 内存注入：将shellcode注入vmtoolsd.exe进程
• • 防御：部署基于硬件虚拟化的防护（HVCI）

19. 如何构建隐蔽的C2基础设施？

• • 域名伪装：
  • • 注册与目标关联的相似域名（如g00gle-analytics.com）
  • • 使用云服务商子域名（xxx.oss-accelerate.aliyuncs.com）
• • 通信协议：
  • • HTTP/2 over TLS 1.3（模仿浏览器指纹）
  • • WebSocket长连接（绕过企业代理策略）
• • 流量加密：使用AEAD算法（如AES-GCM）
• • 防御：实施JA3指纹识别，分析TLS证书生命周期

20. 自动化渗透框架（如Cobalt Strike）的定制开发

• • 插件开发：

  // Aggressor脚本示例command xxx {    local('$output');    $output = bshell($1, "whoami");    println("Result: $output");  }

• • 流量混淆：修改Malleable C2配置文件：

  http-get {    set uri "/api/collect";    header "X-Client-Version""1.3.2";    metadata {        base64url;        prepend "v=1&tid=UA-";        parameter "cid";    }}

• • 防御：分析Beacon内存特征，监控异常进程注入行为

红队技术需在合法授权范围内不断演进，防守方应建立基于MITRE ATT&CK的威胁狩猎体系。高级红队技术日新月异，防守方需构建"攻击者思维"进行深度防御。