西安 苏州 等公司的面试分享 已拿到某安信的offer

我是五期的学员，之前在上学，现在终于毕业了，可以找工作了，以下是我的面试分享

所面试的公司：西安某港科技
薪资待遇：8k、双休
所在城市：西安
面试职位：技术支持高级工程师（看简介类似安服）
面试过程：我是20应届生，boss上面投了简历，先是项目总监简单聊了一下具体做什么的，然后安排了技术面，最后项目总监又聊了一下。
技术面的问题：顺序记不清了
1、说一下XXE
XXE就是xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时，就会发生这种攻击。这种攻击通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

2、会用burp么，说一下burp都用过什么模块
重放模块，抓包模块，爆破模块

3、说一下nmap常用命令
-A -O -pn -ss -sv

4、说一下常见端口
3306 3389 22 21 445 443 80 8080 1433 1521 (就简单说一下各端口是什么服务)

面试结果：技术面通过，项目总监自己提的8k薪资，最后自己反悔，说领导说了，应届生拿不了这么高。（也不知道是什么逻辑）
面试难度：简单
面试感受：应届生属实难受
给大家的建议：老师上课讲的能理解理解，理解不了就硬背，原理这东西，一定要熟悉。

所面试的公司：苏州某安信外包驻场
薪资待遇：还没聊，目标8k-9k,双休
所在城市：苏州
面试职位：驻场工程师
面试过程：我是20应届生，boss上面投了简历，直接安排了技术电话面，技术面过了安排的项目经理视频面试，最后hr电话面试
技术面的问题：顺序记不清了
1、说一下sql注入都有哪些
显错注入，报错注入，盲注，反弹注入，偏移注入，dnslog注入

2、了解永恒之蓝么
了解，就是ms17-010么，自己在靶机上复现过

3、好，现在给你一个场景，网站被挂黑页了，怎么办
（弟弟应急响应就看了一眼，就按照自己的理解大概讲了讲）什么先断网，删掉黑页，看看是否留有后门，查日志什么的。

4、怎么看有没有后门
我说就追溯一下有没有危险文件，比如text.php等看看里面有没有eval这种危险函数（这回答的真的差，自己都差点回答不下去）

5、mysql日志在哪里
直接懵掉，不知道
技术：哈哈，没事这一搜就知道

6、审白盒的时候都会关注什么函数
$$ extract() parse_str() include() require() include once() require once() serialize() unserialize() 特地去背了这些函数的英文发音

7、有注入怎么拿webshell
要有root权限，有绝对路径，利用outfile()或dumpfile()

8、说一下内网渗透流程
我就按照理解的说的，什么端口转发呀，哈希值呀，黄金票据呀，随便扯一扯就行

9、会什么语言
会简单的python能写简单的目录扫描，端口扫描,fuzz bypass的组合脚本，php可以根据说明进行简单的审计。

二面项目经理就是在一面的基础上加深了问题，也不算难，也有好多网上现成的题。最后不会的一定要答好思路，思路真的很重要。

面试结果：通过，已拿到offer
面试难度：一般
面试感受：技术面的面试官很好，还说你想拿到你想达到的薪资，就跟hr那边提高点，他们肯定要压一压，别说是我说的（hhhhhh），期待与你共事。
给大家的建议：思路真的很重要，不会的问题也要把思路讲出来

剩下几个公司大概说说

西安某盾
上来就是副经理面试
面试问题：你有我的微信你能入侵到我们的内网么。
答：（我人直接傻掉，只能说）信息搜集呀，尝试社工你呀，什么的，能扯的都扯了一遍。
他又问我：你能不能从路由下手
答：（我又蒙了，路由渗透渗透进内网，不会呀）我没接触过路由渗透进内网
别的又扯了扯，最后告诉我，你吧，说你好也就一般，说你不行吧，也还行，没什么特色，咱们有微信，以后如果有需要再联系吧。

西安的一个小公司位于某小区里
面试官讲薪资 4k-6k还根据能力 还只交五险，不交一金
上来先丢了个靶场，用的向日葵我去远控他们的电脑，就是那个DVWA 非要让我爆破登录页面，他那个登录页面，不管账号密码对错，都会先跳转302才返回正常页面，我都猜到密码了，他说不行，必须爆破。（那天也跟群里的哥哥聊了聊，还有一个哥哥通过QQ远程我，然后我的电脑远程他，都解决不了，最后证明这家公司技术的脑子属实有点问题，我最后就没理他）

杭州某公司
技术面都过了 谈薪资，告诉我2k，还说没办法，应届生就这样，说他当时应届的时候才700
当时心里：我星号星号b的

目前就是等苏州那家来电话，并且还有一家约的视频面试

总体感受：尽量去大公司，有保证，有福利，面试官不会太扯淡。
应届生是真的难受，可能跟今年这个情况也有关系，还有就是毕业季，公司的选择更多，同样的技术，人家要5k，你要6k，那肯定选别人呀，技术方面，原理一定要清楚，不会的问题思路也一定要讲出来，最后祝掌控安全的好哥哥们都能找到好工作