1. 不出网有什么方法，正向shell 方法除了reg之类的，还有什么？ dns隧道 venom/nc等
2. 域内委派 域委派是指，将域内用户的权限委派给服务账号，使得服务账号能以用户权限开展域内活动。 一是非约束性委派（Unconstrained Delegation），服务账号可以获取某用户的TGT，从而服务账号可使用该TGT，模拟用户访问任意服务。 二是约束性委派（Constrained Delegation），即Kerberos的扩展协议S4U2Proxy，服务账号只能获取某用户的TGS，从而只能模拟用户访问特定的服务； 三是协议传递，即Kerberos的扩展协议S4U2Self，服务账号针对某一个特定服务，可查询获取任意用户的TGS，从而能模拟任意用户访问该特定服务。
3. dpapi机制说下，能干嘛 DPAPI 由一个加密函数（CryptProtectData()）和一个解密函数（CryptUnProtectData()）组成，是一组跟Windows 系统用户环境上下文密切相关的数据保护接口。某个系统用户调用 CryptProtectData() 加密后的数据只能由同一系统用户调用 CryptUnProtectData() 来解密，一个系统用户无法调用 CryptUnProtectData() 来解密其他系统用户的 DPAPI 加密数据。
4. fastjson 不出网 dnslog
5. shiro漏洞类型，721原理，721利用要注意什么？ 由于Apache Shiro cookie中通过 AES-128-CBC 模式加密的rememberMe字段存在问题，用户可通过Padding Oracle 加密生成的攻击代码来构造恶意的rememberMe字段，并重新请求网站，进行反序列化攻击，最终导致任意代码执行。 收集密钥
6. weblogic 漏洞类型都有啥,原理 未授权访问/任意文件上传/反序列化
7. dll劫持，dll注入 利用Window可以先加载当前目录下的dll特性,仿造系统的LPK.DLL,让应用程序先加载我们的伪LPK.DLL,然后在我们的dll中去调用原来系统的原函数.
8. 内网优先爆破测试的端口、为什么；如果只有3389开放，爆破3389的实际影响… 445，web端口 正常也会通信尽量无异常流量。 3389 挤掉用户被发现
9. window2003 frp nps为神马用不了 golang1.11开始不支持xp，而更高的frp版本都是用golang1.11+编译的，所以不再支持xp/2003
10. 钓鱼方法姿势…除了exe这种双击的，还有什么 office宏/chm/lnk/自解压/钓鱼网站
11. redis window shell方法 未授权访问 powershell反弹shell/mshta.exe/cs/web服务(写一句话)
12. bypass uac 技巧，方法 ，原理 通过 UAC，应用程序和任务可始终在非管理员帐户的安全上下文中运行，除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装，并防止无意中更改系统设置。 UACME/利用白名单/利用COM接口/利用Shell API
13. 内存马 filter shell ………. Filter程序则是一个实现了特殊接口的Java类，一般用于进行请求过滤。当某一个请求需要对内存中的数据进行读写或者执行时，就需要经过Filter的判断和过滤，由Filter来决定这些请求是否有权限进行这些操作。而内存马正是利用了这种机制，通过动态注册一个新的Filter或者向Filter中注入恶意的shellcode，让Filter允许攻击者访问到Web服务器内存中的数据。只要拥有了可用的Filter，攻击者就能进行远程攻击，而不管是shellcode的注入过程还是对Web服务器数据进行访问的过程都会在内存中出现异常行为。
14. PTH深度原理，利用条件 哈希传递攻击 获取了目标机器用户的NTLM Hash的情况下，可无需破解哈希直接使用目标的NTLM Hash来完成身份验证
15. 抓hash方法,有杀软抓不到尼… mimikatz，免杀，powershell，procdump导出lsass.exe mimikatz本地读取 等等
16. Windows defender安全机制 反恶意软件扫描接口(AMSI)工具，可以在内存中捕捉恶意脚本。任何应用程序都可以调用这个接口，任何注册反恶意软件引擎都能处理提交给AMSI的内容。 保护活动目录（AD） 虚拟化以限制攻击
17. 有的时候抓到的hash不是明文为啥 当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码
18. hvv三大洞
19. cs是否有二次开发过,cna脚本有没有写过.