菠萝吹雪's Studio.

一些甲方和乙方的面经

字数统计: 1.8k阅读时长: 6 min
2020/03/27 Share

临近春招,看到身边的师傅都找到了不错的实习岗,觉得是时候去试一试了,一共面了3家,都感觉不错,纠结了很久Orz

星阑科技

起初也是看到有师傅在朋友圈里发了星阑的招聘,身边一大堆认识的师傅去了星阑,想试试,是浩歌子师傅在做红队相关的东西,面试是朱师傅和浩子师傅面的我,朱师傅因为之前一起打过比赛,还是比较熟悉,也有点小尴尬,XD

1.常见的端口,敏感的端口?

2.sql注入中常见的报错函数?

3.渗透测试的基本流程?

4.对于redis数据库你有什么利用手法?

5.对于csrf,你有深入利用过吗?,他的原理是什么?

6.有用过cs吗?对于webshell执行命令或者木马.exe被杀软拦截,有什么bypass方式?

7.xss的原理?如何将xss的利用成果最大化?

8.fastjson的某个版本漏洞成因?漏洞的入口点在哪儿?

9.java反序列化的原理?

小米科技

因为有朋友在小米,认识半年了,叫他帮忙推了一下,一面技术面面了2个小时,2个师傅面试我,第一个是启明星辰的老师傅,还有一个是前青藤云的web安全研究员,面试题的质量非常高,问的很深入Orz

一面

1.自我介绍

2.能对渗透测试的流程做一个基本的描述吗?

3.熟悉什么语言,有过开发经历吗?

4.自动化挖洞了解过吗?曾经刷过什么漏洞?怎么刷的?

5.前期信息搜集你是怎么搜集的?

1
这里我提到了一个webpack,打包前端用的,有的时候有网站忘记关闭webpack,可能会泄露一些铭感信息

6.印象深刻的一次漏洞挖掘?

二面

1.自我介绍

2.能讲一下从浏览器输入 http://www.baidu.com 到回显页面的过程中,经历了哪些协议?

1
DNS->TCP/IP->HTTP

3.sqlmap的几个参数,http和https网站的注入用sqlmap跑有区别吗?

4.sqlmap的几个参数,当注入时回显页面状态码为401或者其他状态码时如何与注入成功的页面区分开来?

5.awvs的一些东西,比如如何防御对于类似awvs的扫描?

6.awvs能否针对一个服务比如ASP.NET进行扫描?

7.csrf和ssrf的区别?

8.ssrf对输入做了ipv4的正则过滤,有什么bypass方式?

9.基于上题,如果再多加一个对本机ip如127.0.0.1的黑名单,有何绕过手法?

10.再深入一点,如果基于上题的条件,增加了两个函数,对传进来的域名进行gethostbyname函数处理,然后会对访问的域名进行file_get_contents函数的处理,像这种情况还能绕过吗?

1
本意是想说一个dns重绑定,我没想到,说了一个302重定向的bypass方式,类似2019湖湘杯的ssrfme

11.关于xss,一个场景,假如你找到一处接口,他返回的是json格式的信息,你能控制json里的内容并能造成xss,为什么浏览器会把他解析成html代码执行呢?

1
和Content-Type有关,Content-Type:text/html

12.一个ip可以有多个站点,服务器是怎么知道我们访问的是哪个站点的?

1
/etc/hosts

安恒信息

因为之前和安恒那边有过ctf培训的合作,所以找安恒的小姐姐帮我推了一下杭州安恒的研究院,红队攻防方向的,可能是内推,面试了20分钟左右,有几个问题还是值得分析思考一下。

1.挖过哪些漏洞,举一个你印象最深的漏洞挖掘经历?

1
2
3
4
5
常挖逻辑漏洞,比如在登录处重置密码的地方大有文章可做,还有水平越权,垂直越权
重置密码我粗略的讲了几个,例如重置密码的时候向邮箱或手机发送验证码,发送验证码的时候没有做验证识别导致的验证码轰炸
或者是在发送邮箱或手机验证码时会弹出"已向xxxxxxxxxx成功发送验证码",可存在xss
或者是,是否进入设置新密码页面完全是由前端 js 基于应答状态决定的,直接改回包可直接进入重置验证码页面等等
freebuf的yangyangwithgnu师傅讲的很多,他的文章都很有质量
1
https://www.freebuf.com/author/yangyangwithgnu

2.有过代码审计的经历吗?

3.看我博客有个Discuz ML getshell漏洞分析的文章,内容是空白的,能讲一下漏洞的分析原理吗?

1
去年7月份的漏洞,是由于cookie字段里的lanauage选项过滤不严导致临时模板文件名可操纵,最后include_once包含导致的代码注入
1
https://mp.weixin.qq.com/s/5Zl3Jve4eblNIXh30t469w

4.介绍一下有关渗透方向的一些东西

1
讲的去年护网由逻辑漏洞到getshell的一次经历

5.假设你拿到了一台mssql的dbowner权限,怎么获得webshell或者拿到服务器权限?

1
2
3
第一反应就是如果站库同服务器且知道web服务路径可以试试能不能写一句话,可以用xp_dirtree探测目录,然后用mssql的差异备份getshell
第二反应就是看看是否打开xp_cmdshell(2000版本默认开启,05之后的版本默认关闭)
如果开启可以直接执行系统命令
1
2
3
https://www.cnblogs.com/-qing-/p/10910282.html
https://blog.csdn.net/Fly_hps/article/details/82945179
https://www.freebuf.com/articles/web/55577.html

6.假如你找到了一处网站mysql数据库root权限的注入,但是这个网站做的站库分离且数据库在内网,是否有办法拿到权限?

1
2
3
这个问题当时是懵了,但是第一反应还是写webshell,但是我忘了是站库分离的,网站和数据库只有一个连接的关系,没有什么交互的地方。
只能模模糊糊的说看看数据库里有什么敏感数据,然后如果找到后台的话可以进一步利用后台getshell,
或者如果有第三方mysql的应用如phpmyadmin,可以尝试ssrf探测内网资源

7.对内网渗透了解过多少?域渗透呢?

1
2
3
内网渗透前不久才做过,用的frp做的内网穿透,socks5做代理连进内网,一些常用的工具如cs,msf,mimitakz屡试不爽
域渗透基本没遇过,对域渗透的了解止步于别的师傅的文章,一些协议如kerberos协议了解过,还有一些攻击方式如票据传递攻击,ipc连接。
大师傅的文章域渗透一般最注重的是思路,对信息的搜集,对服务,端口的探测,以及pth,希望以后能遇到域渗透能多多学习

8.还有什么想问的?

最后口头说了一下大概能给一个职务,是负责对1day漏洞进行挖掘和跟进,对复杂网络进行渗透。

CATALOG
  1. 1. 临近春招,看到身边的师傅都找到了不错的实习岗,觉得是时候去试一试了,一共面了3家,都感觉不错,纠结了很久Orz
  2. 2. 星阑科技
    1. 2.1. 起初也是看到有师傅在朋友圈里发了星阑的招聘,身边一大堆认识的师傅去了星阑,想试试,是浩歌子师傅在做红队相关的东西,面试是朱师傅和浩子师傅面的我,朱师傅因为之前一起打过比赛,还是比较熟悉,也有点小尴尬,XD
      1. 2.1.1. 1.常见的端口,敏感的端口?
      2. 2.1.2. 2.sql注入中常见的报错函数?
      3. 2.1.3. 3.渗透测试的基本流程?
      4. 2.1.4. 4.对于redis数据库你有什么利用手法?
      5. 2.1.5. 5.对于csrf,你有深入利用过吗?,他的原理是什么?
      6. 2.1.6. 6.有用过cs吗?对于webshell执行命令或者木马.exe被杀软拦截,有什么bypass方式?
      7. 2.1.7. 7.xss的原理?如何将xss的利用成果最大化?
      8. 2.1.8. 8.fastjson的某个版本漏洞成因?漏洞的入口点在哪儿?
      9. 2.1.9. 9.java反序列化的原理?
  3. 3. 小米科技
    1. 3.0.1. 因为有朋友在小米,认识半年了,叫他帮忙推了一下,一面技术面面了2个小时,2个师傅面试我,第一个是启明星辰的老师傅,还有一个是前青藤云的web安全研究员,面试题的质量非常高,问的很深入Orz
  4. 3.1. 一面
    1. 3.1.1. 1.自我介绍
    2. 3.1.2. 2.能对渗透测试的流程做一个基本的描述吗?
    3. 3.1.3. 3.熟悉什么语言,有过开发经历吗?
    4. 3.1.4. 4.自动化挖洞了解过吗?曾经刷过什么漏洞?怎么刷的?
    5. 3.1.5. 5.前期信息搜集你是怎么搜集的?
    6. 3.1.6. 6.印象深刻的一次漏洞挖掘?
  5. 3.2. 二面
    1. 3.2.1. 1.自我介绍
    2. 3.2.2. 2.能讲一下从浏览器输入 http://www.baidu.com 到回显页面的过程中,经历了哪些协议?
    3. 3.2.3. 3.sqlmap的几个参数,http和https网站的注入用sqlmap跑有区别吗?
    4. 3.2.4. 4.sqlmap的几个参数,当注入时回显页面状态码为401或者其他状态码时如何与注入成功的页面区分开来?
    5. 3.2.5. 5.awvs的一些东西,比如如何防御对于类似awvs的扫描?
    6. 3.2.6. 6.awvs能否针对一个服务比如ASP.NET进行扫描?
    7. 3.2.7. 7.csrf和ssrf的区别?
    8. 3.2.8. 8.ssrf对输入做了ipv4的正则过滤,有什么bypass方式?
    9. 3.2.9. 9.基于上题,如果再多加一个对本机ip如127.0.0.1的黑名单,有何绕过手法?
    10. 3.2.10. 10.再深入一点,如果基于上题的条件,增加了两个函数,对传进来的域名进行gethostbyname函数处理,然后会对访问的域名进行file_get_contents函数的处理,像这种情况还能绕过吗?
    11. 3.2.11. 11.关于xss,一个场景,假如你找到一处接口,他返回的是json格式的信息,你能控制json里的内容并能造成xss,为什么浏览器会把他解析成html代码执行呢?
    12. 3.2.12. 12.一个ip可以有多个站点,服务器是怎么知道我们访问的是哪个站点的?
  • 4. 安恒信息
    1. 4.0.1. 因为之前和安恒那边有过ctf培训的合作,所以找安恒的小姐姐帮我推了一下杭州安恒的研究院,红队攻防方向的,可能是内推,面试了20分钟左右,有几个问题还是值得分析思考一下。
    2. 4.0.2. 1.挖过哪些漏洞,举一个你印象最深的漏洞挖掘经历?
    3. 4.0.3. 2.有过代码审计的经历吗?
    4. 4.0.4. 3.看我博客有个Discuz ML getshell漏洞分析的文章,内容是空白的,能讲一下漏洞的分析原理吗?
    5. 4.0.5. 4.介绍一下有关渗透方向的一些东西
    6. 4.0.6. 5.假设你拿到了一台mssql的dbowner权限,怎么获得webshell或者拿到服务器权限?
    7. 4.0.7. 6.假如你找到了一处网站mysql数据库root权限的注入,但是这个网站做的站库分离且数据库在内网,是否有办法拿到权限?
    8. 4.0.8. 7.对内网渗透了解过多少?域渗透呢?
    9. 4.0.9. 8.还有什么想问的?
    10. 4.0.10. 最后口头说了一下大概能给一个职务,是负责对1day漏洞进行挖掘和跟进,对复杂网络进行渗透。