小白的宁云X的hvv面试分享

刚刚学习完课程不久，想着能不能参加活动项目，增加经验认识更多大佬，学习更多技术，就递交了简历

这次之前有一个和学校合作的公司，面试了一次，感觉很简单不难，就报名了其他厂商的hvv，最后发现天壤之别
（我以为面试内容都差不多就没有怎么复习）
1. 首先还是简单的自我介绍，之后会问你有没有护网经历项目经历
（先从最简单的说起吧）

2.sql注入原理，分类和防护
（用户输入的数据被当作数据库语句执行
post，get，cookie，header，宽字节，二次注入，堆叠注入，报错注入，盲注，Dnslog注入，基于hander的注入，
加waf，正则过滤，不直接将用户输入的数据传入sql语句中，二次检查）

3. 蚂蚁舰队，菜刀，冰蝎，哥斯拉的流量特征
（这个我特意去网上查了，我只用过蚂蚁舰队和菜刀，记得我当时说菜刀新版是base64编码，蚂蚁舰队也是base64编码，面试官问我是不是感觉有些冲突矛盾，一下给我干蒙了，但是我记得是base64啊）

菜刀流量特征(最开始是明文传输，后来采用base64加密)：PHP类WebShell链接流量
第一：“eval”，eval函数用于执行传递的攻击payload，这是必不可少的；
第二：(base64_decode($_POST[z0]))，(base64_decode($_POST[z0]))将攻击payload进行Base64解码，因为菜刀默认是使用Base64编码，以避免被检测；
第三：&z0=QGluaV9zZXQ…，该部分是传递攻击payload，此参数z0对应$_POST[z0]接收到的数据，该参数值是使用Base64编码的，所以可以利用base64解码可以看到攻击明文。
注：
1.有少数时候eval方法会被assert方法替代。
2.$_POST也会被$_GET、$_REQUEST替代。
3.z0是菜刀默认的参数，这个地方也有可能被修改为其他参数名。
蚁剑（PHP用base64加密）：
PHP类WebShell链接流量
将蚁剑的正文内容进行URL解码后，流量最中明显的特征为<span class="label label-primary">@ini_set(</span>“display_errors”,”0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户会将这段编码或者加密，而蚁剑是明文，所以较好发现，同时蚁剑也有eval这种明显的特征。
蚁剑绕过特征流量
由于蚁剑中包含了很多加密、绕过插件，所以导致很多流量被加密后无法识别，但是蚁剑混淆加密后还有一个比较明显的特征，即为参数名大多以“_0x…..=”这种形式（下划线可替换为其他）所以，以_0x开头的参数名，后面为加密数据的数据包也可识别为蚁剑的流量特征。
冰蝎（AES对称加密）：
通过HTTP请求特征检测
1、冰蝎数据包总是伴随着大量的content-type：application什么什么，无论GET还是POST，请求的http中，content-type为application/octet-stream；
2、冰蝎3.0内置的默认内置16个ua（user-agent）头
3、content-length 请求长度，对于上传文件，命令执行来讲，加密的参数不定长。但是对于密钥交互，获取基本信息来讲，payload都为定长
哥斯拉（base64加密）：
特征检测
1、发送一段固定代码（payload），http响应为空
2、发送一段固定代码（test），执行结果为固定内容
3、发送一段固定代码（getBacisInfo）

4. 你会流量分析么
（略微了解，没有实操过，不太会）
5. 如果让你排查一个有webshell的机器你会怎么排查
（这个我不是特别了解没说多少）
排查webshell
6. 排查的时候如果日志被删了怎么办
（等我查一查再补）
7. 如果网站中有webshell如何排查，他说是什么http什么模型，忘记了
（等我查一查再补，他简单说了一下，说看网站日志）
8. 烂土豆提权原理
（我记得风哥讲过，但是我忘记了）
9. linux提权方法
（我就知道一个sudo）
10. 脏数据提权了解么
（听过不太了解）
11. 渗透测试思路
（授权，确定攻击范围，信息收集，常见漏洞点测试，最后用工具跑一下，最后写报告）（我说完他说没啦，等我查一查再来补充吧）
12. windows提权方法
(我知道用msf，烂土豆，查询补丁号提权)
13.堆叠注入有过经验么，如果什么w什么什么该怎么办
（我忘记是什么了）
14. 给你一段二进制木马如何溯源
（g）
15.jboss
（g）
16.有没有想法来厂商实习
（无论你在哪，我肯定有）
有点水，有点麻，问的我都记不住了，等我去好好学一下再回来给他补全