2025年渗透测试面试题总结-2025年HW(护网面试) 82（题目+回答）-CSDN博客

2025年HW(护网面试) 82
1. 了解过shiro，weblogic这些反序列化的原理吗
2. shiro550和721的区别
3. shiro默认的利用链
4. shiro工具没找到利用链就一定不能利用了吗
5. tomcat filter注入原理
6. 内存马原理
7. oracle堆叠注入
8. linux下隐藏进程的方法
9. linux下某个命令文件被替换了怎么检测
10. 门罗币挖矿默认请求地址
11. webshell被加密混淆怎么还原确认
12. windows自启动排查
13. 冰蝎哥斯拉webshell实现原理
14. 支付宝查姓名一天能查多少次
15. 有手机号怎么快速确定信息
16. 蜜罐抓到id信息怎么找其他信息
17. 如果挖矿病毒会检测ssh登陆怎么排查，你一登录上去他就不挖了，断开连接继续挖
一、Java反序列化安全

1. Shiro/WebLogic反序列化原理

核心机制：利用Java对象序列化/反序列化过程中的自动执行特性（readObject()）。
Shiro漏洞触发点：
AES加密密钥硬编码（默认kPH+bIxk5D2deZiIxcaaaA==），攻击者伪造RememberMe Cookie，通过Padding Oracle攻击（Shiro-721）或直接加密恶意对象（Shiro-550）。

WebLogic漏洞链：
基于T3协议传输序列化数据，利用ClassLoader加载恶意类（如InvokerTransformer），典型链：BadAttributeValueExpException → AnnotationInvocationHandler → LazyMap → ChainedTransformer。

2. Shiro-550 vs Shiro-721区别

特性 Shiro-550 Shiro-721
漏洞类型 固定密钥硬编码 Padding Oracle攻击
利用条件 需获取密钥无需密钥，但需合法Cookie
利用难度 低（密钥泄露即RCE）高（需爆破128次HTTP请求）
修复方案 升级+自定义密钥升级至1.4.2+

3. Shiro默认利用链

常用链组合：
javaPriorityQueue.readObject() → TransformingComparator.compare() → InvokerTransformer.transform() → TemplatesImpl.newTransformer() // 加载恶意字节码 
依赖库：Commons-BeanUtils/Collections（非Shiro自带，需目标环境存在）。

4. 工具未找到链是否可利用？

是，需手动构造：

检查目标依赖库（如Fastjson/XStream）寻找二次反序列化入口；
利用内存马注入（如Tomcat Filter）绕过链限制；
结合文件上传+路径穿越写Shell（需权限）。

二、内存马与注入技术

5. Tomcat Filter注入原理

注入流程：
获取StandardContext（通过线程/JSPServlet）；
创建恶意Filter类（实现doFilter()执行命令）；
反射修改FilterDefs/FilterMaps，插入恶意Filter并置顶；

隐蔽性：无文件落地，驻留于Tomcat堆内存。

6. 内存马原理

类型：Filter/Servlet/Listener/Agent型；
持久化：通过Java Instrumentation API（Agent型）或动态注册Servlet（Servlet型）；
检测难点：无磁盘文件，需对比运行时类加载列表（如java -verbose）。

三、数据库与系统安全

7. Oracle堆叠注入
语法限制：Oracle不支持多语句执行（如;分隔），但可通过BEGIN ... END;块模拟：
sql' UNION SELECT 1 FROM DUAL; EXECUTE IMMEDIATE 'CREATE TABLE test(id NUMBER)';--
实战限制：需DBMS_SQL权限，且多数场景被禁用。
8. Linux隐藏进程方法

用户态隐藏：
劫持readdir()（修改/proc目录钩子）；
使用LD_PRELOAD覆盖getdents()系统调用；

内核态隐藏：
加载LKM内核模块，挂钩procfs或sys_call_table。

9. 命令文件替换检测
完整性校验：
bash# 1. 比对哈希值 rpm -Vf /bin/ls # RPM系 debsums -c /bin/ls # Debian系 # 2. 检查时间戳与权限 stat /bin/ls | grep -i "modify" # 3. 监控文件系统变动（Auditd） auditctl -w /usr/bin -p wa -k sysbin_mon 
四、Webshell与加密对抗

11. 加密Webshell还原方法

动态调试：
使用jdb或Xdebug附加到Web进程；
在eval()/assert()处设断点捕获明文；

静态分析：
正则匹配特征解密函数（如base64_decode/gzuncompress）；
代码模拟执行（如PHP的php -r）。

13. 冰蝎/哥斯拉原理

工具 加密机制 通信特征
冰蝎 AES-128-CBC（动态密钥协商）固定16字节请求头 + 随机IV
哥斯拉 自定义XOR/Base64（支持JSP/PHP）可配置User-Agent与空Referer
共同点：流量加密 + 内存加载恶意类，绕过传统WAF。

五、数字货币与溯源

10. 门罗币挖矿默认请求地址

矿池URL：pool.minexmr.com:4444 （官方推荐）
自建节点：127.0.0.1:18081（默认本地端口）
检测建议：监控对外连接stratum+tcp协议流量。

16. 蜜罐捕获ID关联信息

信息拓展路径：
跨平台关联：GitHub/Telegram同用户名搜索；
密码复用：尝试登录历史泄露库（HaveIBeenPwned）；
数字画像：IP反查域名+Whois信息+社交引擎。

六、系统排查与对抗

12. Windows自启动排查

关键位置：
regHKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup 
深度检测：

使用AutoRuns检查驱动/服务；
扫描计划任务（schtasks /query /fo LIST）。

17. 挖矿病毒SSH检测对抗

无感排查方案：

网络层镜像：交换机端口镜像抓包，分析异常外联；
硬件监控：通过IPMI/BMC读取CPU功耗突增；
内存取证：LiME提取内存，搜索挖矿进程特征（如xmrig字符串）；
环境隔离：挂载只冲盘启动系统，检查/proc/$pid/exe软链接。

七、敏感信息查询边界

14. 支付宝查姓名限制

官方接口：企业实名认证接口（需商户资质），单日上限100次；
风控规则：高频请求触发人脸验证/直接封停。

15. 手机号反查信息

合法途径：

运营商内部系统（需公检法授权）；
公开渠道：
社工库聚合查询（风险！）；
注册信息关联：微信/支付宝搜索（部分显示昵称归属地）。

总结与防御建议

漏洞防御：升级组件+禁用T3/RememberMe等风险协议；
入侵检测：部署运行时RASP监控反序列化/内存马行为；
溯源反制：蜜罐需记录攻击者全链路行为，结合威胁情报关联。

特性	Shiro-550	Shiro-721
漏洞类型	固定密钥硬编码	Padding Oracle攻击
利用条件	需获取密钥	无需密钥，但需合法Cookie
利用难度	低（密钥泄露即RCE）	高（需爆破128次HTTP请求）
修复方案	升级+自定义密钥	升级至1.4.2+

工具	加密机制	通信特征
冰蝎	AES-128-CBC（动态密钥协商）	固定16字节请求头 + 随机IV
哥斯拉	自定义XOR/Base64（支持JSP/PHP）	可配置User-Agent与空Referer
共同点：流量加密 + 内存加载恶意类，绕过传统WAF。