2025年渗透测试工程师岗位笔试题及答案解析

2025年渗透测试工程师岗位笔试题及答案解析考试时间：90分钟总分：100分第一部分单项选择题（共15题，每题2分，共30分）每题只有1个正确答案，多选、错选、不选均不得分。1.按照TCP协议规范，当渗透测试人员进行半开扫描（SYN扫描）时，若目标端口开放，目标回包的标志位组合是？A.SYNB.SYN+ACKC.ACKD.RST答案：B解析：半开扫描不完成完整三次握手，仅向目标发送SYN包：若目标端口开放则返回SYN+ACK包，若端口关闭则返回RST包，扫描效率高且不容易被日志记录，是端口扫描的常用手段。2.HTTP/3协议的传输层承载协议是？A.TCPB.UDPC.QUICD.SCTP答案：C解析：HTTP/3基于IETF标准化的QUIC协议实现，底层依托UDP传输，解决了HTTP/2的TCP队头阻塞问题，2024年国内主流互联网厂商已完成HTTP/3全覆盖，渗透测试中需注意多数WAF对QUIC协议的解析规则尚不完善，存在绕过空间。3.下列哪种漏洞属于2024版OWASPTop10新增的“不安全的人工智能和机器学习系统”分类范畴？A.大模型提示注入B.SQL注入C.存储型XSSD.垂直越权答案：A解析：2024版OWASPTop10首次将AI相关安全风险纳入核心分类，提示注入是当前最普遍的AI系统漏洞，攻击者可通过构造特殊诱导语句绕过大模型的安全护栏，获取敏感信息、执行恶意指令，针对企业部署的AI客服、AI代码审计工具等场景需重点测试。4.Windows系统中LSASS进程的核心作用是？A.负责文件系统权限管理B.负责本地安全认证、存储用户口令哈希C.负责网络数据包转发D.负责进程调度答案：B解析：LSASS（本地安全机构子系统服务）存储了Windows本地用户、域用户的NTLM哈希、Kerberos票据等敏感信息，是渗透测试中哈希抓取、Pass-the-Hash攻击的核心目标；Win1122H2及以上版本默认开启LSASS进程保护，需绕过相关防护才能读取内存数据。5.Kerberos协议中，黄金票据是伪造下列哪种票据实现权限持久化？A.TGT（票据授予票据）B.ST（服务票据）C.AS-REQ（认证请求）D.TGS-REQ（票据授予服务请求）答案：A解析：黄金票据通过窃取域控的KRBTGT账户哈希，伪造任意用户的TGT票据，无需和KDC交互即可获取所有服务的访问权限，是域内权限持久化的常用手段；白银票据是伪造单个服务的ST票据，权限范围更小、隐蔽性更高。6.等保2.0规范中，三级信息系统要求渗透测试的最低频率是？A.每半年至少1次B.每年至少1次C.每两年至少1次D.每季度至少1次答案：B解析：等保2.0基本要求明确：二级系统每两年至少开展1次渗透测试，三级系统每年至少开展1次渗透测试，关键信息基础设施需在此基础上提升测试频率，重大活动、系统版本更新后需额外开展测试。7.微软2023年默认拦截Office文档宏之后，钓鱼邮件最常使用哪种附件格式执行恶意代码？A..docmB..xlsxC.ZIP内嵌ISO镜像D..txt答案：C解析：微软2023年起默认阻断互联网来源Office文档的宏执行，攻击者转而使用ZIP压缩包内嵌ISO/IMG镜像的方式，用户挂载镜像后可直接执行内部的EXE、LNK文件，绕过宏拦截和安全软件的初始扫描。8.2023版OWASPAPISecurityTop10中排名第一的漏洞是？A.未授权访问B.BOLA（损坏的对象级授权）C.命令注入D.速率限制缺失答案：B解析：BOLA即常见的水平越权漏洞，攻击者仅需修改请求中的对象ID（如`/api/user/1`改为`/api/user/2`）即可获取其他用户的敏感数据，占API漏洞总量的40%以上，是API安全测试的首要关注点。9.Nessus漏洞扫描策略中，对目标系统运行影响最小的扫描方式是？A.全端口扫描+深度漏洞验证B.Ping扫描+端口Banner识别C.身份认证后系统扫描D.主动漏洞利用扫描答案：B解析：Ping扫描仅发送ICMP探测包验证主机存活，端口Banner识别仅读取端口返回的服务标识信息，不发送任何攻击Payload，属于非侵入式扫描，对目标系统运行无影响，适合合规性初查、业务高峰期的扫描场景。10.TLS1.3版本相比TLS1.2，移除了下列哪种不安全的密钥交换方式？A.AES-GCMB.ChaCha20-Poly1305C.静态RSA密钥交换D.ECDHE密钥交换答案：C解析：静态RSA密钥交换不支持前向保密，一旦服务器私钥泄露，所有历史加密流量均可被解密，TLS1.3已完全移除该类密码套件，默认仅支持ECDHE等具备前向保密能力的密钥交换方式。11.安卓14系统中，下列哪种权限应用无法动态申请，必须由用户手动到系统设置中开启？A.存储权限B.通知权限C.无障碍权限D.摄像头权限答案：C解析：安卓14对无障碍权限做了严格限制，应用无法弹出申请弹窗引导用户授权，必须由用户主动进入系统设置开启，是移动应用渗透测试中权限获取的核心卡点。12.供应链安全领域的SBOM指的是？A.软件物料清单B.安全基线操作手册C.漏洞管理平台D.代码审计工具答案：A解析：SBOM（SoftwareBillofMaterials）是软件所有组件、依赖关系的清单，2024年国内要求关键信息基础设施运营者必须提供核心系统的SBOM，用于XZUtils、Log4j等供应链漏洞爆发时快速排查受影响范围。13.零信任架构的核心原则是？A.默认信任内网所有用户B.永不信任，始终验证C.VPN接入用户默认信任D.仅管理员需要身份验证答案：B解析：零信任打破了传统“内网即可信”的安全假设，对所有访问请求进行持续身份验证、权限校验，渗透测试中需面对微分段隔离、持续身份校验等防护措施，传统内网横向移动手段的适用范围大幅收窄。14.下列哪种WAF绕过方式属于HTTP参数污染？A.将`id=1and1=1`改为`id=1//and//1=1`B.将`id=1`改为`id=1&id=2`C.将GET请求改为POST请求D.将User-Agent修改为搜索引擎爬虫标识答案：B解析：HTTP参数污染是向同一个参数传入多个值，不同后端语言的解析逻辑不同（如PHP取最后一个值、ASP取第一个值），若WAF仅检查第一个参数值即可绕过注入检测；A属于注释绕过、C属于请求方法绕过、D属于爬虫伪装绕过。15.排查Web攻击时，可直接定位攻击源IP和攻击Payload的日志是？A.系统安全日志B.Nginx/Apache访问日志C.应用错误日志D.数据库审计日志答案：B解析：Web服务访问日志会记录每一条请求的源IP、请求参数、请求路径、响应状态码，是排查Web攻击的第一手资料，系统安全日志主要记录登录、权限变更事件，数据库审计日志主要记录数据库操作事件。第二部分多项选择题（共10题，每题3分，共30分）每题有2-4个正确答案，多选、少选、错选、不选均不得分。1.下列属于2024版OWASPWebTop10分类的有？A.失效的访问控制B.注入C.不安全的AI模型使用D.软件和数据完整性故障答案：ABCD解析：2024版OWASPWebTop10包含失效的访问控制、注入、加密失效、不安全的设计、安全配置错误、不安全的AI模型使用、软件和数据完整性故障、安全日志和监控失效、身份认证失效、服务端请求伪造10个核心分类。2.内网渗透中，下列属于域内信息收集常用命令的有？A.`netgroup"domainadmins"/domain`B.`nslookup_ldap._tcp.dc._`C.`ipconfig/all`D.`whoami/priv`答案：ABC解析：A命令用于查询域管理员组成员、B命令用于解析域控服务器地址、C命令用于查询当前主机域名后缀、DNS服务器地址，均属于域内信息收集命令；D命令用于查询当前用户的系统权限，不属于域内信息收集范畴。3.下列属于高危漏洞的有？A.远程代码执行（RCE）B.未授权访问管理员后台C.反射型XSSD.SQL注入答案：ABD解析：反射型XSS属于中危漏洞，需要诱导用户点击恶意链接才能触发，利用门槛较高；RCE、未授权访问管理员后台、SQL注入均属于高危漏洞，无需用户交互即可直接获取权限、拖取核心数据。4.渗透测试报告中必须包含的内容有？A.漏洞风险等级B.漏洞复现步骤C.可落地的修复建议D.客户的业务源码答案：ABC解析：渗透测试报告需明确测试范围、漏洞风险等级、复现步骤、修复建议、漏洞影响范围，禁止包含客户的业务源码、未脱敏的敏感数据等涉密内容。5.下列关于AI辅助渗透测试的说法正确的有？A.可以用大模型自动生成已知漏洞的POCB.大模型生成的POC可能存在误报，必须人工验证C.大模型可以完全替代人工渗透测试D.可以用大模型分析漏洞扫描结果，自动生成结构化修复建议答案：ABD解析：AI仅能作为渗透测试的辅助工具，无法替代人工完成复杂业务逻辑漏洞测试、零信任环境下的内网渗透等高度依赖经验的工作，所有AI生成的POC、漏洞结论必须经过人工验证才能确认。6.红队作战中，下列属于前置被动侦察手段的有？A.子域名枚举B.GitHub/Gitee信息泄露排查C.企业工商信息、招聘信息查询D.钓鱼邮件投放答案：ABC解析：被动侦察是指不直接接触目标系统的信息收集行为，子域名枚举、开源信息泄露排查、公开信息查询均属于被动侦察；钓鱼邮件属于打点阶段的主动攻击手段。7.等保2.0渗透测试的测试范围包含？A.对外暴露的Web业务系统B.内部办公系统C.交换机、防火墙等网络设备D.WAF、EDR等安全设备答案：ABCD解析：等保渗透测试需覆盖所有纳入等保测评范围的资产，包括业务系统、网络设备、安全设备、终端、云服务组件等。8.下列属于Webshell典型特征的有？A.接收客户端传入的参数执行系统命令B.代码中包含eval、system、exec等危险函数C.文件修改时间与同目录其他正常文件差异较大D.文件名包含admin、config等关键词答案：ABC解析：admin、config是正常系统文件的常用命名，攻击者通常会将Webshell命名为随机字符串或者伪装成静态文件名，不属于Webshell的特征。9.下列关于Linux系统渗透的说法正确的有？A.`/etc/shadow`文件存储用户口令哈希，仅root用户可读B.`sudo-l`命令可以查看当前用户可执行的sudo权限命令C.cron任务若配置了可写的执行脚本，可能存在权限提升漏洞D.SSH公钥默认存储在`/root/.ssh/id_rsa`文件中答案：ABC解析：SSH私钥默认存储在`id_rsa`文件中，公钥存储在`id_rsa.pub`文件中，D选项错误。10.下列属于供应链攻击场景的有？A.npm公共仓库的第三方包被投毒，企业项目引用后被植入后门B.开源组件XZUtils被植入后门，使用该组件的Linux发行版存在风险C.攻击者通过钓鱼邮件拿到员工权限，横向渗透到核心系统D.攻击者入侵ERP软件供应商，通过更新通道给所有客户推送恶意补丁答案：ABD解析：供应链攻击是指通过上游软件、组件、服务提供商的漏洞攻击下游客户，C选项属于钓鱼+内网渗透的常规攻击场景，不属于供应链攻击。第三部分实操简答题（共3题，每题8分，共24分）1.某企业对外暴露JavaWeb系统，服务端口为8080，请列出从信息收集到获取服务器root权限的完整测试流程，至少包含6个核心步骤。答案：①信息收集：通过子域名枚举工具（如OneForAll）枚举关联域名，用dirsearch/ffuf扫描后台路径、备份文件、未授权接口，用nmap扫描8080之外的开放端口（如SSH、MySQL、Redis），通过指纹识别工具（如Wappalyzer、EHole）识别Web容器、框架版本（如Tomcat、SpringBoot、Shiro），排查Git泄露、Swagger未授权、配置文件泄露等信息泄露风险。（2分）②通用Web漏洞测试：测试SQL注入、XSS、文件上传、文件包含、命令注入、垂直/水平越权等常规Web漏洞，优先验证高危漏洞。（1.5分）③框架/组件漏洞测试：根据指纹识别结果测试对应CVE漏洞，如Shiro-550/721反序列化、SpringBootActuator未授权、Tomcat弱口令/PUT上传漏洞等。（1.5分）④权限获取：通过高危漏洞获取Web容器权限（如Tomcat用户权限），收集系统配置、数据库连接文件、用户哈希等敏感信息。（1分）⑤权限提升：通过内核漏洞（如DirtyPipe、DirtyCow）、sudo配置不当、cron任务漏洞、SUID权限配置错误等方式提权到root用户。（1分）⑥痕迹清理：清除Web访问日志、系统命令历史、登录日志，避免被防护设备检测到攻击行为。（1分）解析：测试流程需遵循从被动到主动、从非侵入到侵入的原则，覆盖信息收集、漏洞探测、权限获取、提权全流程，缺少核心步骤酌情扣分。2.内网渗透中，你已获取一台加入域的Windows员工机普通用户权限，请列出3种常见的域内横向移动方式，并说明核心原理。答案：①Pass-the-Hash（哈希传递）：获取用户的NTLM哈希后，无需破解明文口令，即可使用哈希直接登录目标主机的SMB、WMI等服务，适合内网多用户复用口令的场景。（3分）②SMBRelay攻击：中继用户的SMB认证请求到目标主机，无需获取用户哈希，只要用户主机访问攻击者构造的SMB资源，即可将认证请求中继到目标主机执行命令或获取权限，适合内网未开启SMB签名的环境。（3分）③WMI/WinRM远程执行：若当前用户拥有目标主机的远程管理权限，可使用系统自带的WMI、WinRM命令直接在目标主机执行命令，无需上传额外工具，隐蔽性极强。（2分）解析：也可回答PsExec、DCOM远程调用、RDP劫持等合理的横向移动方式，原理表述清晰即可得分。3.某企业API接口存在BOLA漏洞，接口地址为`/api/order/getOrder?orderId=123`，修改orderId即可查询其他用户的订单信息，请给出至少3种可落地的修复方案。答案：①增加对象级权限校验：后端接收到orderId参数后，先校验当前登录用户ID与订单所属用户ID是否一致，不一致则返回403拒绝访问，是修复BOLA漏洞的核心方案。（3分）②使用不可预测的对象ID：放弃自增数字作为orderId，改用UUID、雪花算法生成的随机字符串作为订单ID，避免攻击者遍历ID批量爬取数据。（2.5分）③增加接口速率限制：对每个用户的接口请求频率做限制，如每分钟最多请求10次，阻断批量遍历攻击。（1.5分）④敏感数据脱敏：返回的订单信息中手机号、地址、支付信息等敏感内容做脱敏处理（如手机号中间四位打星），即使发生越权访问也不会泄露完整敏感数据。（1分）解析：答对3种及以上有效修复方案即可得满分，空泛的“加强权限校验”等表述不得分。第四部分案例分析题（共1题，16分）案例背景某电商企业2025年开展等保三级测评，委托你开展渗透测试，测试过程中发现以下问题：1.对外商家后台存在未授权访问漏洞，直接输入`/admin`路径即可进入管理员后台，无需登录，后台可查看所有商家订单、用户手机号、收货地址，支持批量导出数据。2.系统文件上传功能无后缀校验，上传JSPWebshell后可直接在`/upload`目录访问，已获取Tomcat普通用户权限。3.该服务器3306端口对外开放，MySQLroot用户密码为`123456`，可直接远程连接，数据库中存储所有用户的明文支付密码。4.服务器为CentOS7系统，内核版本为`3.10.0-1160.el7`，存在DirtyPipe脏管道漏洞，可提权到root。问题1.请对以上4个漏洞分别评估风险等级，并说明理由。（8分）2.请针对每个漏洞给出对应的可落地修复建议。（8分）答案：问题1（8分，每个漏洞2分）①商家后台未授权访问：高危，