记一次斗象hw蓝初面试经验

这次面试其实是二面，一面是中介面，比较简单就通过了，并且说了冰蝎和log4j2让我提前了解些（不过我没完全get到这就是二面面试题，没准备那么充分QAQ）。面试的形式是电话，其实本来是可以面的时候看看资料的，不过被问的有点懵，资料在眼前也没想着找了。投的简历没加料（经历），不多说了（doge）

注：
Q—问题
A1—当时的回答
A2—进行资料搜集\复习后的回答

Q：能做一下简单的自我介绍吗？
A1：xxxx大学网安专业，会top10，会些代码审计

Q：看你简历写了一些src挖掘经历，能简单说一说那些印象深刻的吗？
A1：主要挖就SQL注入、弱密码、xss，印象深刻的有一次SQL注入发现安全狗防护，用大小写绕过了，还有一个通过目录遍历的任意文件下载
A2：其实可以加点料~以后多挖一挖别的，省的没啥底气

Q：有用过安全产品吗？
A1：安全狗，本地安装过
A2：ips、ids、天眼-态势感知，查查资料了解一下

Q：了解过log4j吗？
A1：apache的远程代码执行漏洞，修复方法就升级一下版本
A2：流量特征JNDI（rulel $(jndi:ldap://、rule2 $(jndi:rmi:// ）

Q：了解过冰蝎吗，流量特征？
A1：一款webshell管理工具，比蚁剑菜刀功能要多，流量特征母鸡啊
A2：流量特征是（这里简单写了些）

1. Accept: application/json, text/javascript
2. Content-type: Application/x-www-form-urlencoded
3. eval($post);
4. e45开头的16位md5值（可变，这个是默认密码Rebeyond的md5）

Q：蚁剑流量特征
A1：母鸡啊
A2：_0x、@ini_set

Q：应急流程？（简历上写了应急溯源）
A1：准备阶段写好计划书什么的，出现安全事件先搜集信息，判断类型，进行分析，然后进行处理，产出报告（当时说的磕磕巴巴，没说完就叫停了。。）
A2：如下

1. 准备阶段：做好预案
2. 排查思路：产生异常的时间、通过现象判断类型
3. 检查账户、网络连接、进程、日志信息、系统启动项之类
4. 看一下有没有远程登陆，如4624：账户成功登录

Q：看你简历还写了溯源，能简单说一说？（当时只了解了个大概，然后全忘了）
A1：嗯，先搜集信息，然后emm。。。QAQ
A2：攻击来勒的话会有一些特点

1. 攻击者漏洞利用数据包特点（字符串格式、特殊字符串等，留存记录，下一次类似的话作为参考）
2. 攻击者使用特有漏洞利用工具时，可能在请求包中存在公司或个人信息
3. 钓鱼邮件可能存在个人信息（发送方账号信息）

Q：算了，那你知道使用猕猴桃的时候需要什么权限吗？（简历上写了内网相关）
A1：阿巴阿巴（彻底懵了）
A2：系统权限

Q：黄金票据的作用？
A1：阿巴阿巴（没怎么复习内网知识，第一次学的也不是很扎实）
A2：krbtat账户登陆对方，对方很难发现

结局：寄