昆明某公司面试经验(通过）

所面试的公司：联创网安 周末双休不加班
薪资待遇： 6K 通过
所在城市： 昆明
面试职位：渗透测试工程师
面试过程：boss直聘按老师课程指导，认真制作简历，当天接到公司电话，进行初步面试，并预约下午技术视频面试。
当天下午去到他们公司面谈薪资问题！还有其他技术问题！

1. 问题1. 面试官问题：做一下自我简绍
我：我今年19岁中专毕业，去年毕业的，我18年9月份没有读书然后工作搬砖，然后开始18年接触网络安全的 18也前我是学CCIE的然后因为特殊原因没有学了，我在漏洞盒子挖过公益src挖到过2个高危一个中危 在教育src提交过中危漏洞并。

2. 问题2。 面试官问你都提交过哪些漏洞流程咋样挖的？
我：首先我是通过google语法找到漏洞的找SQL注入 语法是inurl:php?id= 这样找SQL注入的，我在找SQL注入的时候发现某学校可以注册当时我就注册了一个账号进去发现可以上传头像这个PHP 的存在iis文件解析漏洞我就上传了一个图片码成功上传并拿到webshell，提交过SQL注入，xss反射型，存储型，文件上传 弱口令，万能密码，等

3. 问题3，面试官问你是自学网络安全的？？还是培训机构的学的？为啥想学网络安全？
我：我是在18年在线上腾讯课堂报名学习安全，掌控安全机构报名学习，因为我兴趣爱好想学习安全。

4. 问题4 ，面试官你都会那些工具？
我： 我会awvs ，APPscan ,xray，burp，msf，kali等。

5. 问题5 面试官问如果一个他是iis6.0 阿帕奇的 你会咋么拿webshell通过什么漏洞？ 不好意思我是菜鸡大佬别建议我这里有点记不清了问的具体内容
我：我会先注册看他可以注册吗 ？然后登陆制作一句话木马，找上传点比如头像，上传文件的地方，照片等！进行文件上传选择图片burp开始抓包拦截改包后缀改成PHP的！

6. 问题 6 你会手工注入吗 ？你会用sqlmap吗 ？你是咋样找网站后台 的？？
我：会手工注入 我只会简单的显错注入，我依赖笔记SQL注入全是记在笔记上的，sqlmap会用 我会用工具直接扫或者在网站后面加admin 要么google语法。

7. 问题7 你会用kali里面 的msf吗生成免杀木马吗 ？
我：会，没有具体问流程做免杀木马的。

8. 问题8 面试问我需要多少薪资？
我：当时我自己想的是没有经验的我也不敢咋说当时我就想了一下我说我要7k，面试官让我大胆的说出来不要怕。

9. 问题9，面试官问我 你通过漏洞拿到别人网站webshell没有，并打到他们的内网没 真实的网站提过权吗 ？
我：webshell拿过，打到他们的内网没有 没有我做过 靶场提权！

最后经理让我入职通过！我说考虑一下！
我希望能够给大家来来点面试经验！谢谢大家！ 也前我是搬砖的只能靠搬砖维持点生活，如果不搬砖咋么行呢对吧？不搬砖哪里来收入来源呢？所以我就努力秀学习我现在在一家安全公司里面老板经验天天叫我学习 ！上面这家我没有去 。。。

10. 问题10 面试官问精通哪一门语言 吗 ？
我：学过PHP基础 和python基础。

面试结果：通过
面试难度：简单
面试感受：学习扎实基础，面试的时候不要慌，不要怕，我当时面试慌的一匹。回答问题稳住，
下面就是其他面试的 经验大家不要建议我菜综合在一起的 这是我去年的时候找工作的面试经验
面试我在19年开始网上找工作然后有人给打电话来问我问题 问 你对反序列化有了解吗 我当时一脸懵逼因为当时基础薄弱
面试官 接着就是 挖过src吗 ？？？ src有排名吗 ？？ 当时的我没有
面试官 问我会代码审计吗 ？ 我说不会。
面试官 你知道SQL注入可以直接写木马进去吗 ？ 我说不知道。
面试官 你会绕过waf吗 ？手工绕过waf会吗 我会用sqlmap通过脚本绕过。 不会
面试官 知道xss咋么绕过吗 编码绕过? 面试官说很多xss都能绕过不过有些确实无法绕过？
面试官 知道csrf吗 和xss有啥区别嘛 我当时直接说不出来 大佬别建议我是菜鸡
面试官 msf实战过吗？？知道咋么扫描漏洞吗 ？？ 没有实战过做过靶场自己搭建环境 知道可以用nmap加上脚本扫漏洞
我是卡哇伊菜的 一批菜的抠脚