内网渗透攻防技术杨昌松习题答案

第1章内网渗透基础知识一、单选题1.关于内网拓扑结构中的单核心与双核心设计，下列说法正确的是（）。A.单核心拓扑结构能够完全避免单点故障，适合对网络依赖程度高的企业B.双核心拓扑结构虽然稳定性好，但投资和维护成本较高，一般用于电信、金融等行业C.单核心拓扑结构中，核心层交换机不需要负责数据的高速交换D.双核心拓扑结构必须保留汇聚层，不能省略答案：B2.关于内网安全设备及其部署方式，下列说法错误的是（）。

A.入侵检测系统（IDS）通常通过镜像模式部署，用于监视网络异常并发出警报

B.入侵防御系统（IPS）通常串接在主干路上，能够主动阻止攻击行为

C.堡垒机主要用于实现运维人员的操作审计和权限控制，其设计基于“4A”理念

D.统一威胁管理（UTM）可以完全解决内部威胁问题，是网络安全的“万灵药”答案：D3.关于SMB协议及其相关服务，下列说法正确的是（）。A.SMB协议只工作在应用层，不使用NetBIOSAPIB.Samba是一款实现SMB协议的开源软件，其工作流程包括协议协商、建立连接、访问共享资源和断开连接C.SMB协议早期直接运行于TCP/IP协议上，使用TCP445端口D.Samba服务中，nmbd进程负责管理共享目录和打印机的数据传输答案：B4.关于NetBIOS协议及其特性，下列说法错误的是（）。A.NetBIOS是一种API，为局域网程序提供请求低级服务的统一命令集B.NetBIOS名称最多可包含15个字符，支持面向连接的通信（TCP）和无连接的通信（UDP）C.NetBEUI是NetBIOS的增强版本，支持路由功能，适合大型企业网络D.在Windows中，NetBIOSoverTCP/IP可以通过WINS选项卡进行设置答案：C5.关于WinRM服务及内网常用端口，下列说法正确的是（）。A.WinRM基于WS-Management标准，使用HTTPS协议（443端口）进行通信B.启用WinRM的命令是enable-psremoting，该命令会自动启动WinRM服务并设置防火墙例外C.内网常用端口中，端口135用于SMB文件共享，端口445用于RPC远程过程调用D.关闭WinRM时，仅需停止并禁用WinRM服务即可完全关闭所有相关功能答案：B二、简答题1.什么是双核心拓扑结构，它具有哪些特点？答案：双核心拓扑结构是指在整个网络环境中有两台核心层交换机的拓扑结构，如图1-2所示。这种拓扑结构的优点是稳定性好、传输性能强、传输速率高。2.请简述NetBEUI协议的最大优点和最大缺点分别是什么？答案：最大优点：缺乏路由和网络层寻址功能，因此不需要附加的网络地址和网络层头尾，通信速度快且效率高。最大缺点：因为不支持路由，所以永远不会成为企业网络的主要协议。3.请写出WinRM服务基于什么标准，使用什么协议和端口，以及采用什么消息格式进行通信。答案：WinRM基于Web服务管理（WS-Management）标准。使用HTTP协议。使用80/5895端口。采用SOAP（简单对象访问协议）消息格式进行通信。

第2章隧道技术一、单选题1.下列哪一项不属于隧道技术按照工作层次分类的类型？（）A.网络层隧道B.传输层隧道C.会话层隧道D.应用层隧道答案：C2.关于SSH端口转发的描述，下列说法正确的是（）A.SSH本地端口转发通过-R参数指定B.SSH远程端口转发可以将远程主机端口数据转发到本地主机C.SSH动态端口转发只能转发单个端口的数据D.SSH端口转发不提供加密功能答案：B3.以下关于正向代理和反向代理的描述，错误的是（）A.正向代理隐藏客户端身份B.反向代理隐藏服务器端身份C.正向代理主要服务于内网用户访问外网D.反向代理主要服务于内网用户访问外网答案：D4.在ICMP隧道中，数据传输通常封装在哪种ICMP报文中？（）A.ICMP时间戳请求B.ICMP回显请求和回显应答C.ICMP地址掩码请求D.ICMP路由器通告答案：B关于dnscat2的描述，下列说法正确的是（）A.dnscat2只支持直连模式B.dnscat2的客户端只能用Linux系统运行C.dnscat2支持加密通信和多个会话D.dnscat2不使用DNS协议答案：C二、简答题1.简述隧道技术的作用及其绕过网络安全设备的基本原理。答案：隧道技术通过将防火墙两端的数据包封装成防火墙所允许的数据包类型或端口，从而成功穿过防火墙。被封装的数据包到达目的地后首先被还原，然后发送到相应的服务器，实现与对方的隐蔽通信。它能够绕过端口屏蔽、协议过滤等安全检查，在网络通信受限的环境下实现隐蔽数据传输。2.说明SSH本地端口转发与远程端口转发的区别，并分别写出对应的命令行参数。答案：本地端口转发（-L）：将本地主机上的一个端口的数据转发到远程主机上的另一个端口。客户端通过SSH连接将本地端口的流量经远程主机转发到目标服务。示例参数：-L本地端口:目标IP:目标端口远程端口转发（-R）：将远程主机上的一个端口的数据转发到本地主机上的另一个端口。适用于将远程主机上的服务映射到本地。示例参数：-R远程端口:本地IP:本地端口3.简述SOCKS5代理的工作流程，包括验证、请求和数据转发三个阶段。答案：验证阶段：客户端与SOCKS5代理服务器协商验证方式（无须验证、用户名/密码验证或GSS-API验证），代理服务器返回验证结果。请求阶段：客户端向代理服务器发送代理请求，包含目标服务器的IP地址和端口信息，代理服务器尝试与目标服务器建立连接。数据转发阶段：连接建立成功后，代理服务器成为客户端与目标服务器之间的中介，负责在两者之间转发数据。

第3章Windows认证协议一、单选题1.在NTLM工作组认证机制中，服务器端生成的8字节随机数称为（）A.SessionKeyB.TGTC.ChallengeD.PAC答案：C2.关于NTLMv1与NTLMv2的区别，下列说法正确的是（）A.NTLMv1使用HMAC-MD5加密，NTLMv2使用DES加密B.NTLMv1的Challenge为16字节，NTLMv2的Challenge为8字节C.NTLMv1使用DES加密，NTLMv2使用HMAC-MD5加密D.两者加密原料不同，NTLMv1使用LMHash，NTLMv2使用NTLM-hash答案：C3.在Kerberos认证中，TGT（票据授权票据）是由哪个账户的NTLM-hash加密的？（）A.Client的NTLM-hashB.Server的NTLM-hashC.krbtgt的NTLM-hashD.KDC的NTLM-hash答案：C4.关于PAC（特权属性证书）的描述，下列说法错误的是（）A.PAC中包含用户的SID和用户所在的组等信息B.PAC在Kerberos最初设计中就已经存在C.PAC的引入使得Kerberos能够同时验证身份和权限D.PAC中包含PAC_SERVER_CHECKSUM和PAC_PRIVSVR_CHECKSUM两种数字签名答案：B5.在NTLM-hash的计算过程中，最后一步使用的是哪种哈希算法？（）A.DESB.MD4C.MD5D.SHA-256答案：B二、简答题1.简述NTLM在工作组环境中的认证流程（四个步骤）。答案：（1）客户端发送TYPE1协商消息，协商需要认证的主体、用户、机器及安全服务等信息。（2）服务器端返回TYPE2挑战消息，包含一个8字节的随机数Challenge。（3）客户端用缓存的NTLM-hash对Challenge加密，得到NetNTLM-hash，封装在TYPE3认证消息中发送给服务器。（4）服务器端用自身密码的NTLM-hash对Challenge加密，与客户端发送的NetNTLM-hash比较，匹配则认证成功，否则失败。2.简述Kerberos认证的三个阶段及其主要作用。答案：第一阶段（ASExchange）：客户端向KDC的AS发送AS_REQ请求，AS验证客户端身份后返回TGT和Session-keyAS。第二阶段（TGSExchange）：客户端向KDC的TGS发送TGS_REQ（含TGT），TGS验证后返回针对特定服务的ST和Session-keyTGS。第三阶段（C/SExchange）：客户端向目标Server发送AP_REQ（含ST），Server验证ST并检查PAC权限，通过后与客户端建立通信。3.简述PAC在Kerberos认证中的作用及其包含的关键校验机制。答案：PAC（特权属性证书）使Kerberos协议不仅能验证身份，还能验证权限。PAC包含用户的SID、组成员信息及其他权限属性，存储在Kerberos票据中，由KDC通过其主密钥加密和签名保护。PAC中包含两种数字签名：PAC_SERVER_CHECKSUM：由Server的NTLM-hash加密，用于校验Server的合法性。PAC_PRIVSVR_CHECKSUM：由krbtgt账户的NTLM-hash加密，用于确保PAC的完整性。

第4章内网信息收集课后习题一、单选题1.在Windows操作系统中，使用以下哪个命令可以查看本机已安装的补丁列表（）A.ipconfigB.systeminfoC.netstatD.arp答案：B2.关于域内信息收集权限的说法，下列哪项是正确的（）A.本地普通用户可以正常执行所有域内查询命令B.只有域用户或SYSTEM权限用户才能执行域内查询命令C.本地管理员无法执行任何域内查询D.域内查询不需要任何权限认证答案：B3.以下哪个工具可以用于查找活动目录用户登录的位置，并支持显示当前登录的所有用户（）A.PsLoggedon.exeB.PVEFindADUser.exeC.netview.exeD.Nmap的smb-enum-sessions.nse答案：B4.在查看当前权限时，如果执行whoami命令显示为test\Administrator，表示当前用户是（）A.本地普通用户B.本地管理员用户C.域用户D.SYSTEM用户答案：C5.下列哪个命令可以查看本机与所连接客户端之间的会话（）A.netsessionB.netshareC.netuserD.netlocalgroup答案：A二、简答题1.简述本机信息收集主要包括哪些内容？（至少列出6项）答案：本机信息包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。2.列举至少4种判断当前内网中是否存在域的方法。答案：（1）使用ipconfig命令查看本机IP地址信息，通过nslookup解析域名对比IP地址。（2）查看系统详细信息（systeminfo），观察“域”字段是否为WORKGROUP。（3）查看当前登录域及登录用户信息（netconfigworkstation），观察“工作站域DNS名称”。（4）执行nettime/domain命令判断主域，根据返回结果判断是否存在域及当前用户是否为域用户。3.在域内信息收集中，常见的域管理员定位工具有哪些？请列出至少5种。答案：常见的域管理员定位工具有：（1）PsLoggedon.exe（2）PVEFindADUser.exe（3）netview.exe（4）Nmap中的NSE脚本（如smb-enum-sessions.nse）（5）PowerView（如Invoke-StealthUserHunter、Invoke-UserHunter）（6）Empire中的user_hunter模块

第5章权限提升一、单选题1.关于权限提升的分类，下列说法正确的是（）A.横向提权是从普通用户权限提升到管理员权限B.纵向提权是在同一权限级别内获得额外权限C.从普通用户权限提升到SYSTEM权限属于纵向提权D.横向提权只能在不同操作系统之间进行答案：C2.在Windows权限提升中，以下哪个特殊成员拥有真正的“完全访问权限”（）A.AdministratorsB.SYSTEMC.TrustedInstallerD.Everyone答案：B3.关于LinuxSUID权限的描述，下列说法正确的是（）A.设置了SUID的文件在执行时，进程将获得文件所属组的权限B.SUID在文件权限中标识为tC.设置了SUID的文件在执行时，进程将获得文件所有者的权限D.SUID权限只对目录有效答案：C4.在组策略首选项提权中，Groups.xml文件中保存的密码使用哪种加密算法（）A.DESB.MD5C.AES-256D.RSA答案：C5.以下哪个工具主要用于辅助检测Linux内核漏洞（）A.PowerUpB.Windows-Exploit-SuggesterC.LES（LinuxExploitSuggester）D.Metasploit答案：C二、简答题1.什么是双核心拓扑结构，它具有哪些特点？答案：权限提升主要用于获得更广泛的权限，以便执行特定的任务或操作。滥用权限提升的常见方式包括：（1）访问敏感数据（2）执行未授权的操作（3）持久化（4）绕过安全机制2.请简述NetBEUI协议的最大优点和最大缺点分别是什么？答案：（1）收集信息：获取目标主机普通用户的Shell后，使用systeminfo命令查看已安装的补丁，使用whoami命令查看当前权限。（2）根据收集到的信息确定可利用的漏洞（如使用Windows-Exploit-Suggester工具）。（3）使用EXP提权。3.请写出WinRM服务基于什么标准，使用什么协议和端口，以及采用什么消息格式进行通信。答案：（1）内核漏洞（2）服务或进程配置错误（3）错误配置的文件权限（4）软件漏洞

第6章横向移动一、单选题1.关于密码喷洒攻击（PasswordSpraying）的描述，下列说法正确的是（）A.密码喷洒攻击是针对单个用户尝试多个密码B.密码喷洒攻击使用多个通用密码尝试登录多个不同账户C.密码喷洒攻击只能用于本地账户，不能用于域账户D.密码喷洒攻击不会导致账户被锁定风险答案：B2.在使用PsExec进行横向移动时，下列哪项不是其利用条件（）A.目标主机开启了admin$共享B.目标主机未开启防火墙或放行445端口C.目标主机必须开启3389远程桌面端口D.工作组环境下必须使用Administrator账户连接答案：C3.关于SMBExec与PsExec的区别，下列说法正确的是（）A.SMBExec会将二进制文件写入磁盘，PsExec不会B.PsExec会将二进制文件写入磁盘，SMBExec不会C.两者都不会将二进制文件写入磁盘D.两者都会将二进制文件写入磁盘答案：B4.关于黄金票据（GoldenTicket）的制作条件，下列哪项不是必需的（）A.域名B.域的SIDC.目标服务的密码哈希值D.krbtgt账户的密码哈希值答案：C5.关于白银票据（SilverTicket）与黄金票据的区别，下列说法错误的是（）A.白银票据只能访问特定的服务B.白银票据使用服务账户的密码哈希值，而非krbtgt账户的密码哈希值C.白银票据可以访问域内所有服务D.白银票据具有更严格的访问限制答案：C二、简答题1.简述PsExec的工作原理。答案：（1）利用IPC$连接，释放二进制文件PsExecsvc.exe到目标主机。（2）通过服务管理SCManager远程创建一个PsExec服务，并启动该服务。（3）客户端连接服务器端并执行命令，服务器端通过PsExec服务启动相应的程序执行命令并回显数据。（4）运行结束后，删除PsExec服务。2.简述哈希传递（PassTheHash，PTH）攻击的原理及其安全影响。答案：哈希传递攻击是指攻击者可以通过捕获密码的哈希值（对应着密码的值），简单地将其传递来进行身份验证，以此来横向访问其他网络或系统。攻击者无须通过解密哈希值来获取明文密码。因为对于每个会话，哈希值都是固定的，除非密码被修改，所以PTH可以利用身份验证协议来进行攻击。从WindowsVista和WindowsServer2008开始，微软默认禁用LMHash。在WindowsServer2012R2及以后版本中，默认不会在内存中保存明文密码。3.简述利用WMIC进行横向移动时，可以通过哪些方式获取目标主机信息？（至少列出5种）答案：（1）获取系统角色、用户名和制造商（2）获取SID（3）创建进程（4）修改进程优先级（5）终止进程（6）获取有可执行文件的路径地址列表（7）获取目录属性（8）获取文件属性（9）定位系统文件（10）获取已安装的应用程序列表（11）获取正在运行的服务列表（12）获取系统驱动详情（13）获取目标主机详情（14）获取主板信息和BIOS序列号（15）获取内存缓存数据（16）获取内存芯片信息（17）判断目标主机是否为虚拟机（18）获取反病毒产品详情（19）清理系统日志

第7章Metasploit技术一、单选题1.在Metasploit中，以下哪个命令用于查看所选模块的详细信息（包括描述、作者、支持的目标系统等）（）A.showoptionsB.infoC.searchD.set答案：B2.在Metasploit后渗透攻击中，进程迁移（migrate）的主要目的不包括以下哪一项（）A.保持稳定性B.提升权限C.加密通信流量D.保持隐蔽性答案：C3.关于MS16-032漏洞，下列说法正确的是（）A.该漏洞影响的是Linux操作系统B.该漏洞主要关注Windows的SecondaryLogonServiceC.微软未发布该漏洞的安全补丁D.该漏洞不需要本地访问权限即可利用答案：B在Metasploit中，使用以下哪个命令可以列出当前系统中所有可用的令牌（）A.list_tokens-uB.impersonate_tokenC.rev2selfD.creds_all答案：A5.在Metasploit内网渗透实例中，攻击者最终通过以下哪种方式获取了域控制器的权限（）A.IPC$共享入侵B.MS17-010漏洞利用C.SMB爆破D.计划任务利用答案：B二、简答题1.简述Metasploit进行渗透攻击的主要步骤（至少列出6步）。答案：（1）使用Nmap工具进行端口扫描，收集信息（2）使用search命令查找相关模块（3）使用use命令调用模块（4）使用info命令查看模块信息（5）选择Payload执行攻击测试（6）设置攻击参数（7）实现渗透攻击（8）在已执行的攻击基础上，进行后渗透攻击2.简述在后渗透攻击阶段，攻击者植入操作系统后门（如使用persistence模块）通常具有哪些特性和功能？答案：（1）持久化：使后门在系统重启或更新后仍然有效（2）隐蔽性：防止后门被安全工具或管理员发现（3）远程控制：允许攻击者远程执行命令、下载文件或进一步探索网络（4）数据窃取：利用后门窃取敏感数据、部署其他类型的恶意软件或对网络中的其他系统进行攻击3.针对MS16-032漏洞，提出了哪些常见的安全对策？（至少列出6条）答案：（1）打补丁——应用微软发布的安全补丁（2）限制本地访问（3）应用最小权限原则（4）使用高级端点保护和防病毒解决方案（5）实施持续的系统和网络监控（6）培训用户识别和避免潜在的钓鱼攻击（7）设置应用白名单（8）启用多因素身份验证（9）使用网络分段和隔离（10）定期备份关键数据和系统配置

第8章PowerShell攻击一、单选题1.关于PowerShell中的执行策略，下列说法正确的是（）A.默认执行策略为Unrestricted，允许所有脚本执行B.Restricted表示允许脚本执行但需要数字签名C.RemoteSigned表示可以执行本地脚本，或执行从网络下载的带有数字证书签名的脚本D.AllSigned表示不允许任何脚本执行答案：C2.在PowerSploit中，以下哪个脚本用于抓取键盘记录（）A.Invoke-MimikatzB.Get-KeystrokesC.Invoke-DllInjectionD.PowerUp答案：B3.关于Empire工具的描述，下列说法错误的是（）A.Empire是一个开源的渗透测试工具B.Empire仅支持Windows操作系统作为目标C.Empire支持HTTP、HTTPS、TCP、DNS等多种通信协议D.Empire具有模块化设计，可以组合使用不同模块答案：B4.在Empire中，以下哪个命令用于列出当前已连接的主机（）A.listB.agentsC.interactD.uselistener答案：B5