2025网安CTF方向就业面试题及答案 拿国赛奖的选手都在背

2025网安CTF方向就业面试题及答案拿国赛奖的选手都在背

一、单项选择题（10题，每题2分）1.Web安全中，以下哪种SQL注入类型依赖页面响应时间判断结果？A.报错注入B.布尔盲注C.时间盲注D.联合查询注入2.Pwn领域中，栈溢出攻击核心是覆盖哪个寄存器控制执行流？A.EBP/RBPB.EIP/RIPC.ESP/REPD.ESI/RSI3.以下哪个工具是WindowsPE文件静态反编译主流工具？A.IDAProB.GDBC.Radare2D.HopperDisassembler4.Crypto中，属于SHA-3系列的哈希函数是？A.SHA-1B.SHA-256C.SHA3-256D.MD55.LSB隐写术通常修改图像像素的哪几位？A.最高位B.最低位C.中间位D.任意位6.以下哪种场景属于命令注入（RCE）典型漏洞？A.未过滤输入直接拼接到system函数B.输入框过滤单引号但未过滤双引号C.上传文件未验证文件头D.Cookie未设HttpOnly7.堆溢出漏洞不包括以下哪种？A.堆块重叠B.unlink漏洞C.use-after-freeD.栈帧溢出8.以下哪种保护机制针对栈溢出攻击？A.ASLRB.DEPC.CanaryD.PIE9.RSA算法安全性基于什么数学难题？A.离散对数问题B.大数分解问题C.椭圆曲线离散对数D.背包问题10.Wireshark默认不监听的常用端口是？A.80B.443C.22D.110二、填空题（10题，每题2分）1.防止SQL注入的核心方法是使用__________而非字符串拼接。2.栈帧由栈基址指针（EBP/RBP）和__________共同构成。3.LinuxELF文件执行入口点标记为__________。4.AES算法分组长度固定为__________比特。5.Steghide默认使用的加密方式是__________。6.命令注入常见分隔符包括分号、管道符和__________。7.ROP攻击核心是利用程序现有__________构建攻击链。8.PE文件中存放可执行代码的节是__________。9.MD5哈希值长度为__________字节。10.TCP三次握手第一个包的标志位是__________。三、判断题（10题，每题2分）1.布尔盲注通过页面返回的true/false状态判断结果，无需时间延迟。（）2.DEP机制阻止所有内存区域执行代码，包括.text节。（）3.IDAPro仅支持静态逆向分析，无法动态调试。（）4.RSA公钥e通常选小质数（如65537）以提高效率。（）5.LSB隐写只能隐藏文本信息，不能隐藏二进制文件。（）6.Canary保护会在栈帧插入随机值，溢出时触发异常。（）7.use-after-free属于堆溢出漏洞，可控制程序流。（）8.SHA-1已被破解，不建议用于安全场景。（）9.Wireshark可捕获本地回环接口（lo）的流量。（）10.存储型XSS因脚本存储在服务器，危害比反射型大。（）四、简答题（4题，每题5分）1.简述存储型XSS的攻击原理及防御方法。2.简述栈溢出的基本利用步骤。3.简述对称加密与非对称加密的核心区别及典型应用。4.简述流量分析的基本流程及常见分析点。五、讨论题（4题，每题5分）1.结合SQL注入和文件上传漏洞实现RCE的思路。2.如何绕过ASLR、DEP、Canary保护实现代码执行？3.已知RSA公钥和部分明文，如何恢复完整明文？4.如何从PNG图像和WAV音频中提取隐写信息？答案及解析一、单项选择题答案1.C2.B3.A4.C5.B6.A7.D8.C9.B10.D解析：1.时间盲注通过sleep()等函数的延迟判断注入结果；布尔盲注依赖页面状态，报错注入依赖SQL报错，联合查询需回显。2.EIP/RIP存储下一条指令地址，覆盖后可跳转到攻击代码。3.IDAPro是PE/ELF静态反编译主流工具，GDB是动态调试，Radare2跨平台但反编译能力弱于IDA。4.SHA-3系列以SHA3-xxx命名，SHA-1/256属于SHA-1/2系列，MD5已淘汰。5.LSB（最低有效位）修改对图像视觉影响极小，适合隐写。6.未过滤输入拼接到system/exec等函数会导致命令执行；B是SQLi，C是文件上传，D是Cookie安全问题。7.栈帧溢出属于栈溢出，堆溢出相关是堆块重叠、unlink、use-after-free。8.Canary是栈溢出保护；ASLR是地址随机化，DEP是数据执行保护，PIE是位置无关执行。9.RSA基于大数分解难题（分解n=pq困难）；离散对数是DSA/ECC，背包问题已破解。10.110是POP3端口，Wireshark默认不监听；80（HTTP）、443（HTTPS）、22（SSH）是常用监听端口。二、填空题答案1.预编译语句（参数化查询）2.栈指针（ESP/REP）3._start4.1285.AES-2566.&&（或||）7.代码片段（gadgets）8..text9.1610.SYN解析：1.预编译语句将SQL结构与输入分离，避免注入。2.栈帧由EBP（基址）和ESP（栈顶）界定，存储局部变量、参数。3.LinuxELF入口点是_start，之后跳转到main。4.AES分组长度固定128比特，密钥可选128/192/256比特。5.Steghide默认用AES-256加密隐藏数据，需密码提取。6.命令注入分隔符包括;（顺序）、|（管道）、&&（与）、||（或）。7.ROP利用现有代码片段构建攻击链，绕过DEP。8.PE文件.text节存放可执行代码，.data存初始化数据。9.MD5是128比特哈希，即16字节（32位十六进制）。10.TCP三次握手第一个包标志位SYN=1，ACK=0。三、判断题答案1.√2.×3.×4.√5.×6.√7.√8.√9.√10.√解析：1.布尔盲注通过页面正常/错误状态判断，无需时间延迟。2.DEP阻止非执行区域（栈/堆）执行代码，允许.text节执行。3.IDAPro可通过windbg/gdbserver插件动态调试。4.RSA公钥e选小质数（如65537）可提高加密效率。5.LSB隐写可隐藏任意二进制数据（文本、图像、音频）。6.Canary是栈帧随机值，溢出时覆盖触发异常。7.use-after-free是释放堆块后仍使用，可控制堆块内容。8.SHA-1已被碰撞攻击破解，NIST已淘汰。9.Wireshark可选择lo接口捕获本地流量。10.存储型XSS脚本存储在服务器，每次访问触发，危害更大。四、简答题答案1.攻击原理：攻击者将恶意JS脚本（如窃取cookie）提交到服务器存储（评论、留言），其他用户访问时脚本在浏览器执行。防御方法：①输入过滤转义（<→<）；②CSP限制脚本来源；③输入sanitize净化；④使用预编译模板。2.利用步骤：①信息泄露：获取栈地址、返回地址（关闭ASLR时可直接获取）；②构造payload：包含跳转地址（攻击代码）和shellcode（execve("/bin/sh")）；③溢出触发：发送payload覆盖返回地址；④执行shellcode：程序返回时跳转到shellcode获取shell。若开启保护需额外绕过（如泄露Canary、ROP链）。3.区别：①密钥：对称（相同密钥），非对称（公钥加密、私钥解密）；②效率：对称快（大量数据），非对称慢（少量数据）；③密钥管理：对称需安全分发，非对称无需（公钥公开）。应用：对称加密文件（AES），非对称密钥交换（TLS）、数字签名（SSL证书）。4.流程：①捕获流量（Wireshark/tcpdump）；②过滤流量（协议、端口、IP）；③分析关键协议（HTTP请求/响应、TCP握手、DNS查询）；④提取隐藏信息（Base64、DNS隧道、TCPpayload）。分析点：协议字段（User-Agent、Cookie）、异常流量（未知端口连接）、加密流量（SSLKEYLOG提取明文）。五、讨论题答案1.步骤：①SQL注入获取服务器路径（UNION查询读取web目录）；②构造恶意PHP文件（<?phpsystem($_GET['cmd']);?>），伪装为图片（GIF89a）；③通过文件上传漏洞上传（假设未验证文件头）；④访问上传文件（如?cmd=ls）执行系统命令，实现RCE。需确保服务器允许执行PHP且路径可获取。2.绕过方法：①泄露Canary：利用格式化字符串漏洞（printf("%s",buf)）泄露栈中Canary；②绕过ASLR：泄露libc基地址（函数指针）或利用固定.text地址（未开启PIE）；③绕过DEP：构建ROP链（调用execve），利用现有可执行代码；④触发溢出：将Canary和ROP链构造到payload，覆盖返回地址为ROP链起始地址，执行ROP链。3.恢复方法：①设明文m=a2^k+b（b为已知部分明文），密文c=pow(m,e,n)；②使用Coppersmith算法（格基约减）枚举a，恢复完整m；③若已知后缀，设m=b+a2^k，同理枚举a；④无需分解n，仅需已知部分明文即可恢复。4.