你平时进行渗透测试的流程是什么样的

如何绕过CDN查找真实IP

常见思路：
1.历史解析记录：用工具（SecurityTrails、FOFA、ZoomEye、Shodan）查DNS历史记录，可能泄露过源站IP。
2.子域名/旁站：有的子域没走CDN，可以直接解析到源站IP。
3.邮件头/开放服务：源站邮件服务、FTP、SSH等暴露真实IP。
4.SSL证书信息：证书签发时的域名/IP 可能包含真实地址。
5.C段扫描：拿到可能IP段后，扫描端口和服务特征匹配网站。
6.绕过CDN请求：特定路径（如管理后台、API）没走CDN，直接请求到源站。
👉 重点：信息收集 + 配置疏漏 才能拿到真实IP。

过滤逗号的SQL注入如何绕过

常见绕过思路：
1.用空格/括号替代逗号
SELECT * FROM users WHERE id=1 UNION SELECT 1(2) -- 
有些数据库里 1(2) 被解析为 1,2。

2.用 JOIN 替代多列
SELECT * FROM users u JOIN (SELECT 1 AS a,2 AS b) t ON 1=1 -- 

3.利用 UNION SELECT NULL,NULL 改写成子查询
UNION SELECT (SELECT 1), (SELECT 2)

4.利用 CHAR()/CONCAT_WS()（自带分隔）
SELECT CONCAT_WS(':',user(),database())

5.利用 FROM DUAL 或多次 SELECT
SELECT (SELECT user()),(SELECT database()) FROM dual

👉 核心：想办法避免直接写 ,，用函数、子查询、join 来拼多列。

过滤limit后的逗号如何绕过

SSRF可以怎么利用

1. 信息探测
内网存活主机、端口扫描：http://127.0.0.1:22、http://10.0.0.1:3306
探测防火墙规则、资产分布。

2. 内网服务利用
访问 Redis、Memcached、Elasticsearch、Zookeeper 等未授权服务。
爆破或直接写入数据，比如 Redis 写入 SSH 公钥。

3. 云环境利用
AWS：http://169.254.169.254/latest/meta-data/ 拿到 IAM Key。
阿里云、GCP、Azure 都有类似元数据接口。

4. 绕过限制
通过 gopher、file、dict 等协议 → 直接发原始请求。
gopher 协议常用于 SSRF 打 Redis、FastCGI、HTTP POST。
示例：打 Redis（写 webshell）：
gopher://127.0.0.1:6379/_*3%0d%0a$3%0d%0aSET%0d%0a$5%0d%0atest%0d%0a$4%0d%0apwn%0d%0a

5. 打到目标 Web 服务
内网 Web 管理界面（如 Jenkins、Tomcat、Nacos）。
可能存在弱口令/未授权，直接拿到 RCE。

👉 总结：
1.探测内网
2.打中间件/数据库
3.拿云服务凭证
4.协议利用（gopher） → RCE

利用ThinkPHP的RCE时，如果发现有disablefunction怎么利用
绕过disablefunction的方法
平时怎么测试SQL注入漏洞的，除了sqlmap还用过哪些工具
JWT有哪些漏洞和利用方法
你知道有哪些常见的未授权漏洞
Spring Actuator未授权访问漏洞有哪些利用方式
你平时使用Burp多还是Yakit多，选择原因是什么
Windows环境下怎么利用Redis未授权漏洞
文件上传漏洞怎么绕过WAF
有没有做过APP渗透，其防御中常见有哪些环境检测点，怎么绕过
微信小程序怎么做反编译和动态调试
测试越权的场景和思路有哪些
MySQL下如何执行系统命令
Oracle下如何执行系统命令
对于仅仅只有一个登录页面的网站，你的渗透思路是什么
你遇到过哪些有关云的测试案例
遇到XSS，你有哪些利用方法
怎么绕过同源策略

0x2 攻防演练

你平时参加攻防演练，给你一个目标，你的流程是什么样子的

步骤	目标	常用手段	产出/结果
1️⃣ 信息收集	盘点资产、入口点	子域名枚举、端口扫描、指纹识别、FOFA/ZoomEye	目标系统清单
2️⃣ 外网打点	拿到初始权限	Web 漏洞（SQLi、RCE、SSRF）、弱口令、CVE 漏洞	初始立足点
3️⃣ 建立立足点	保持稳定访问	Webshell、反弹 Shell、C2 通道	稳定控制入口
4️⃣ 内网渗透	横向扩展影响	IPC$、Pass-the-Hash、票据攻击、爆破	内网可视图谱
5️⃣ 权限提升	拿更高权限	系统提权、域控提权、配置漏洞	域管/系统权限
6️⃣ 目标达成	完成演练目标	数据窃取、业务篡改、关键系统控制	演练效果展示
7️⃣ 痕迹清理 & 总结	隐匿溯源、形成报告	清理日志、账号、后门；总结攻击链	演练报告 & 修复建议

👉 一句话口诀：
收集 → 打点 → 立足 → 横向 → 提权 → 达成 → 清理

做资产收集时，如何确保收集到的域名足够全面

Linux除了内核提权，还有什么常用的提权方式

提权方式	检查命令	利用方式 / 说明
SUID 程序	`find / -perm -4000 2>/dev/null`	可被普通用户执行的 SUID 程序，利用 GTFOBins 执行 shell
Sudo 权限错误	`sudo -l`	免密 sudo 可执行命令（tar/vim/perl），直接提权
Cron 任务	`cat /etc/crontab` / `ls -la /etc/cron.*`	可写脚本或调用的程序 → 注入恶意命令，由 root 执行
服务配置错误	查看 MySQL/Postgres/Redis 配置	低权限用户可写文件或执行命令 → root 执行、写 SSH key
PATH 劫持	`echo $PATH` / 检查 root 执行的脚本	替换可执行命令，利用 root 脚本执行恶意二进制
可写配置/启动脚本	`ls -la /etc/init.d/` / `ls -la /etc/systemd/system/`	可写配置或启动脚本 → 注入命令，重启生效提权
凭证泄露	`cat /var/www/html/config.php` / `strings /proc/*/cmdline`	查找明文密码、历史命令、token → 切换用户或提权
Linux Capabilities	`getcap -r / 2>/dev/null`	特殊权限二进制（cap_setuid+ep）可直接提权

💡 总结口诀：
SUID / Sudo / Cron / 服务 / PATH / 配置 / 凭证 / Capabilities → 检查 → 利用 → root

平时用过哪些C2，除了Cobalt Strike还有其他的吗
如何隐藏自己的Cobalt Strike，避免被公网扫描发现
MSSQL执行命令的几种方式

正反向代理的区别

位置不同：正向代理位于客户端与目标服务器之间；而反向代理位于目标服务器与客户端之间。 
目的不同：正向代理主要用于保护用户的隐私和安全；而反向代理主要用于负载均衡、缓存和安全保护等。 
透明度不同：正向代理需要对客户端进行配置；而反向代理对客户端是透明的，不需要进行任何配置。 
流量控制：正向代理可以控制流量的大小和速度；而反向代理主要关注服务器的负载均衡和流量分发。 
安全性： 正向代理隐藏了用户的真实IP，增加了匿名性；而反向代理可以保护后端服务器的安全，对请求进行过滤和检查。 
负载均衡：正向代理可以通过配置来实现简单的负载均衡；而反向代理则是实现负载均衡的常见方式。

你常用哪些方式和工具做流量代理，为什么喜欢用这种方式和工具
Windows下你常用哪些权限维持方法
怎么做Bypass UAC的
Windows自启动的原理
你平常钓鱼通常使用什么思路来找到对方的人员，以及用什么话术让对方打开木马
邮件钓鱼时怎么绕过对方的邮件网关，如何配置了拦截加密压缩包呢
讲讲你知道的攻防演练中的opsec
你知道的抓取凭证的方法，除了内存中还有哪里可以获取
平时用什么工具获取浏览器或常见运维工具的密码
有没有做过针对MacOS的钓鱼，思路是什么
如何隐藏用来维权的计划任务
Webshell下执行命令，提示 error 5，这种会是什么原因，怎么解决
怎么获取已保存的RDP凭据，大致原理是什么
除了HTTP(S)和TCP，你还知道哪些C2通信的常见协议，它们特点是什么
有没有打过vCenter，如果上面的机器都锁屏了且没有密码，怎么利用
钓鱼时有没有预防对方出网受限的措施，如何判断对方是哪种协议可出网
如果发现已经控制的主机上有zabbix agent，怎么打zabbix server

0x3 内网渗透

域内收集信息的常用命令
Kerberos认证大致流程和角色
NTLM Relay原理
黄金票据原理，在 Kerberos认证的哪个阶段？如何制作？用哪个用户的 hash 来制作？
进入内网后，你的整体流程和思路是什么样的
有哪些方法可以直接攻击域控
域内用户和工作组用户的差别
什么情况下叫在域内
内网 PotitPetam 利用和原理
几种委派的原理和利用方式
NoPAC漏洞的原理
对一个机器账号有全部属性的写权限，怎么利用
如果默认的可以创建10个机器账号被修改为0了怎么绕过
Kerberosting原理
利用Kerberosting的时候会重点关注哪些服务
AS-REPRoasting原理
有一台工作组的机器，可以访问域控，这时候怎么利用AS-REPRoasting
几种土豆提权的原理
黄金票据和白银票据的区别
ADCS漏洞了解过吗
如果只有hash，怎么登录RDP
Zerologon漏洞的原理
说一下域间信任
可以从什么方向去判断目标存在域环境
挂了socks代理，但是ping不通内网的机器，为什么

0x4 Java安全

Java反射做了什么事情
Java反射可以修改Final字段吗
传统的反射方法加入黑名单怎么绕
Java中可以执行反弹shell的命令吗
假设Runtime.exec加入黑名单还有什么方式执行命令
RMI和LDAP类型的JNDI注入分别在哪个版本限制
RMI和LDAP的限制版本分别可以怎样绕过
谈谈TemplatesImpl这个类
了解BCEL ClassLoader吗
谈谈7u21反序列化
谈谈8u20反序列化
了解缩小反序列化Payload的手段吗
Shiro反序列化怎么检测key
Shiro 721怎么利用
最新版Shiro还存在反序列化漏洞吗
Shiro反序列化Gadget选择有什么坑吗
Shiro注入Tomcat内存马有什么坑吗
有什么办法让Shiro漏洞只能被你一人发现
Shiro的权限绕过问题了解吗
Shiro的Payload过长怎么解决
谈谈Log4j2漏洞
知道Log4j2 2.15.0 RC1修复的绕过吗
Log4j2的两个DOS CVE了解吗
Log4j2 2.15.0正式版的绕过了解吗
Log4j2绕WAF的手段有哪些
Log4j2除了RCE还有什么利用姿势
Fastjson漏洞的原理
Fastjson漏洞不出网怎么利用
利用Fastjson漏洞时，怎么判断版本
各个中间件的回显思路
内存马有几种不同类别，分别是什么

0x5 免杀

平时怎么做的免杀
常见的反沙箱手段有哪些
常见的反虚拟机手段有哪些
你的Shellcode Loader中会使用哪些技术点
怎么规避360 QVM
权限维持怎么绕过常见的杀软
有没有研究过Cobalt Strike的Kit
进程注入的步骤
有没有挖过DLL劫持，怎么挖的
怎么解决DLL劫持利用的死锁问题
是否了解syscall的原理和分类
有没有做过webshell的免杀，具体会怎么做
对于工具的免杀，有源码和无源码的情况下你分别会怎么做
如何绕过新下载文件打开时的告警（smartscreen机制）
是否了解杀软的各种查杀机制特性，以及如何绕过这些机制
是否知道哪些可以规避杀软的抓取哈希的方法
Sleepmask原理是什么，其本身是否有特征
有没有了解过BYOVD
EDR致盲的原理是什么
360核晶的检测拦截内容包括哪些
你测试免杀的时候开不开网络，开不开云传，为什么
你平时使用哪种语言写木马，选择这种语言的原因是什么
为什么木马自己cmd运行不被杀，但是钓鱼时就会被杀
知不知道天擎的检测点，怎么绕过
有没有对抗过卡巴斯基，有哪些检测点
怎么绕过AMSI
BOF、execute-assembly的原理是什么，有什么区别