某大厂渗透岗30题终极拷问

1. 如何绕过Cloudflare等CDN获取真实IP？列举5种实战方法答案：① 历史DNS记录查询（SecurityTrails/ViewDNS）② 邮件服务器头信息溯源③ 云服务元数据泄露（针对AWS/Aliyun特定路径探测）④ SSL证书关联域名反查（Censys证书指纹匹配）⑤ 特殊服务端口扫描（如MySQL默认端口跳过CDN转发）

2. 解释OAuth 2.0的三种典型漏洞场景答案：① 授权码劫持（未校验redirect_uri）② 令牌混淆攻击（id_token与access_token混用）③ 隐式流参数注入（response_type=token篡改）

3. 绘制SQL注入绕过WAF的决策树答案：

基础检测 → 字符集变异（UTF-7/HTML实体）            → 逻辑分割（内联注释/*!*/）            → 函数替代（SUBSTR→MID→RIGHT）            → 空白符变异（%0a/%0d）            → 参数污染（HPP攻击）

4. Kerberoasting攻击原理及防御方案答案：攻击链：请求SPN→捕获TGS→离线爆破服务账号密码防御：启用AES加密、设置服务账号强密码、启用日志监控4769事件

5. 解释CSRF与SSRF的本质区别及组合攻击场景答案：CSRF是跨站请求伪造，利用用户身份执行操作；SSRF是服务端请求伪造，攻击内网服务。组合攻击示例：通过CSRF触发SSRF实现内网横向移动

6. 某HTTPS网站存在CORS配置：Access-Control-Allow-Origin: null，如何利用？答案：① 构造iframe沙箱逃逸（sandbox属性配置不当）② 使用伪协议（data:text/html,恶意代码）③ Origin头伪造（Chrome的null origin特性利用）

7. 遇到Java反序列化漏洞，如何快速构造利用链？答案：① ysoserial检测基础链（CommonsCollections3/5）② JNDI注入探测（ldap://漏洞检测）③ 内存马注入（Tomcat Filter型注入）④ 盲区分技术（DNSLog外带数据）

8. 如何通过PDF文件进行XSS攻击？答案：① 嵌入恶意JavaScript（AcroForm按钮触发）② 滥用PDF注释功能（URI动作执行）③ 利用PDF解析器漏洞（CVE-2023-27350）④ 结合SVG矢量图注入

9. 某API接口使用JWT认证，如何实施攻击？答案：① 算法混淆攻击（修改alg为none）② 密钥爆破（hashcat模式16500）③ 无效签名绕过（删除签名段）④ kid参数路径遍历（指向恶意密钥文件）

10. 云函数（Serverless）环境渗透的三种路径答案：① 环境变量泄露（AWS Lambda控制台截图）② 临时凭证劫持（元数据服务滥用）③ 冷启动时间差攻击（内存残留数据读取）

11. 如何绕过Chrome沙箱实现RCE？列举两个CVE实例答案：① CVE-2021-30632（类型混淆漏洞）② CVE-2022-1364（V8引擎越界写入）

12. 域渗透中Golden Ticket与Silver Ticket的本质区别答案：Golden Ticket：伪造TGT，需域控KRBTGT账户hashSilver Ticket：伪造特定服务的ST，只需服务账户hash防御差异：重置KRBTGT密码可清除Golden Ticket，Silver Ticket需重置服务账户

13. 如何利用DNS重绑定攻击物联网设备？答案：① 设置TTL=0的DNS记录② 诱导设备访问恶意域名③ 通过快速重绑定绕过同源策略④ 调用设备本地API（如路由器管理接口）

14. 解释WebSocket的三种安全测试方法答案：① 消息头注入（Sec-WebSocket-Protocol篡改）② 跨站点劫持（CSWSH攻击）③ 二进制帧解析漏洞（长度字段溢出）

15. 如何检测和利用gRPC接口漏洞？答案：① 协议缓冲暴力解析（buf connect插件）② 元数据注入（headers字段篡改）③ 流式传输DoS攻击（无限数据流创建）④ 反射DDoS攻击（服务暴露外部访问）

16. 如何通过CPU微架构侧信道攻击获取AES密钥？答案：① 使用Meltdown漏洞读取内核内存② 通过Prime+Probe技术监控缓存状态③ 分析Flush+Reload的时间差异④ 使用T-table访问模式重建轮密钥

17. 解释浏览器中COOP/COEP安全策略的绕过方法答案：① 跨域窗口复用（name属性重载）② opener继承攻击（保留窗口引用）③ 弹出窗口导航劫持（location覆盖）④ Service Worker代理请求

18. 如何破解企业VPN的MFA认证？列举三种方式答案：① 会话固定攻击（诱导用户使用预设SessionID）② OTP预测（种子泄露或时间同步攻击）③ 中间人攻击（恶意Wifi+SSL剥离）④ 生物特征绕过（3D打印指纹模具）

19. 云原生环境下的新型横向移动方式答案：① Kubernetes API Server未授权访问② Docker Socket挂载逃逸③ 服务网格mTLS证书窃取④ CI/CD流水线环境变量注入

20. 如何通过PCIe DMA攻击获取系统权限？答案：① 制作恶意Thunderbolt设备② 利用IOMMU配置缺陷③ 通过DMA读取物理内存④ 定位并修改内核cred结构体

21. 解释量子计算机对RSA算法的影响及应对方案答案：攻击影响：Shor算法可在多项式时间内分解大整数防御方案：迁移到抗量子算法（NTRU/Lattice-based）过渡方案：启用混合密钥交换（ECDH+Kyber）

22. 如何绕过iOS应用完整性校验？答案：① 动态库注入（Frida反调试绕过）② Mach-O文件头篡改（LC_ENCRYPTION_INFO修改）③ 越狱环境绕过（Checkra1n漏洞利用）④ 服务端校验欺骗（Charles映射本地响应）

23. 解释Web3.0智能合约的三种新型攻击模式答案：① 闪电贷价格操纵（Oracle数据污染）② 重入攻击优化（跨合约回调攻击）③ 签名延展性攻击（EIP-155前交易篡改）④ 存储槽碰撞（Solidity内存布局滥用）

24. 如何检测APT组织的C2流量？列举三个特征指标答案：① DNS隧道特征（高熵子域名/TXT记录负载）② TLS指纹异常（JA3/JA3S不匹配）③ 心跳包规律（固定间隔±10%随机抖动）④ HTTP元信息伪装（模仿云服务UA头）

25. 红队如何绕过EDR的进程注入检测？答案：① 进程镂空（Process Hollowing）② 异步过程调用（APC注入）③ 内存模块欺骗（反射型DLL加载）④ 硬件断点劫持（使用Vectored Exception Handler）

26. 解释供应链攻击的三种新型载体答案：① NPM恶意包依赖混淆（typosquatting）② IDE插件自动更新投毒③ 容器镜像中间人攻击（registry劫持）④ 编译器后门（源代码级植入）

27. 如何构建企业级钓鱼演练体系？答案：① 三维度分类：邮件/IM/电话② 五级难度设置：从模板克隆到定制化社工③ 实时数据看板：开启率/报告率/中招率④ 自动化追踪：隐形像素标记+行为日志

28. 解释零信任架构下的新型渗透路径答案：① 服务账号滥用（过宽的JWT声明）② 策略引擎逻辑漏洞（条件竞争）③ 持续认证绕过（生物特征疲劳攻击）④ SDP控制平面DoS导致降级攻击

29. 设计自动化渗透测试框架需考虑的5个核心模块答案：① 智能攻击面测绘（ASM）② 上下文感知漏洞验证③ 动态有效载荷生成系统④ 横向移动路径优化算法⑤ 反溯源伪装体系（流量特征混淆）

30. 编写安全编码规范需规避的10个危险函数答案：C/C++：strcpy/sprintf/getsPHP：eval/mysql_query/extractJava：Runtime.exec/JNDI.lookupPython：pickle.loads/os.systemJavaScript：eval/Function构造函数

渗透测试工程师的六维能力模型

1. 1. 技术纵深：掌握至少3种编程语言的漏洞模式
2. 2. 体系认知：理解ATT&CK框架的14个战术层
3. 3. 武器迭代：每月更新自定义工具库（推荐Atomic Red Team模板）
4. 4. 法律边界：熟读《网络安全法》第27/44条
5. 5. 攻击创新：每季度研究2个新型攻击向量
6. 6. 防御思维：具备安全架构设计反制能力