小白的第一次hvv蓝初面试

xuejiuhan   ·   发表于 2023-03-20 20:46:01   ·   面试经验分享

背了两天面经后混了半天没看,这不,刚洗完澡一个电话就打过来了

面试官:你好,是** 同学嘛
我:是的

面试官:那就直接开始了吧?
ok

第一问:看你写的有过hvv经历,是吗?
我:没有(一开始准备小搞一下,后来改回来了,谁知道还是问了,我感觉这里应该已经没了)

第二问:行吧,那你知道shrio的特征嘛?
我:知道,apache的shrio反序列化漏洞,有一个remenber的关键字,在web页面上基本上就是有一个“记住我”的关键词,只要发现了就基本可以判定是shrio框架,然后丢扫描器。

第三问:redis的未授权访问如何拿shell?
我:不知道

第四问:sql注入的盲注了解过嘛?他有哪些关键函数?
我:看是普通盲注还是延时盲注,不过基本都一样。主要就是substr、length、sleep、if之类的

接四问:substr主要是有什么作用呢?
我:用我自己的话来理解就是切割字符串

第五问:7001端口对应的什么漏洞?
我:不知道
(weblogic那个,知道漏洞,但是不知道端口号)

第六问:冰蝎的流量特征是什么?
我:不清楚,我主要用菜刀和蚁剑
(答案:冰蝎3.0默认的16个ua头,payload长度固定)

接六问:好的,那蚁剑的流量特诊呢?
我:蚁剑的流量特征主要是会以明文方式传输,就是那个url编码的那个数据。其他的基本都会再进行加密。
(紧张,背过的@ini_set display都忘了)

第七问:你是没有接触过防御的相关设备是吗?、
我:之前打比赛的时候用过思科的防火墙和waf配置算不

接七问:算,那我问一下waf误报怎么判定?
我:查看误报内容,然后比对恶意语句,如果确实能绕过waf,基本确定被入侵成功了。

结果:失败。
总结:电话往往不会在你有准备的时候打过来,我还在外面准备接热水,谁知道电话比热水先来了,问的确实挺基础,可惜了。下次再接再厉把

用户名金币积分时间理由
admin 50.00 0 2023-03-28 16:04:42 加油~

打赏我,让我更有动力~

1 条回复   |  直到 2023-3-29 | 978 次浏览

我很低调
发表于 2023-3-29

积累下来了,加油加油

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.