西安 苏州 等公司的面试分享 已拿到某安信的offer

oneeyedbear   ·   发表于 2020-07-17 07:17:33   ·   面试经验分享

我是五期的学员,之前在上学,现在终于毕业了,可以找工作了,以下是我的面试分享

所面试的公司:西安某港科技
薪资待遇:8k、双休
所在城市:西安
面试职位:技术支持高级工程师(看简介类似安服)
面试过程:我是20应届生,boss上面投了简历,先是项目总监简单聊了一下具体做什么的,然后安排了技术面,最后项目总监又聊了一下。
技术面的问题:顺序记不清了
1、说一下XXE
XXE就是xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

2、会用burp么,说一下burp都用过什么模块
重放模块,抓包模块,爆破模块

3、说一下nmap常用命令
-A -O -pn -ss -sv

4、说一下常见端口
3306 3389 22 21 445 443 80 8080 1433 1521 (就简单说一下各端口是什么服务)

面试结果:技术面通过,项目总监自己提的8k薪资,最后自己反悔,说领导说了,应届生拿不了这么高。(也不知道是什么逻辑)
面试难度:简单
面试感受:应届生属实难受
给大家的建议:老师上课讲的能理解理解,理解不了就硬背,原理这东西,一定要熟悉。

所面试的公司:苏州某安信外包驻场
薪资待遇:还没聊,目标8k-9k,双休
所在城市:苏州
面试职位:驻场工程师
面试过程:我是20应届生,boss上面投了简历,直接安排了技术电话面,技术面过了安排的项目经理视频面试,最后hr电话面试
技术面的问题:顺序记不清了
1、说一下sql注入都有哪些
显错注入,报错注入,盲注,反弹注入,偏移注入,dnslog注入

2、了解永恒之蓝么
了解,就是ms17-010么,自己在靶机上复现过

3、好,现在给你一个场景,网站被挂黑页了,怎么办
(弟弟应急响应就看了一眼,就按照自己的理解大概讲了讲)什么先断网,删掉黑页,看看是否留有后门,查日志什么的。

4、怎么看有没有后门
我说就追溯一下有没有危险文件,比如text.php等看看里面有没有eval这种危险函数(这回答的真的差,自己都差点回答不下去)

5、mysql日志在哪里
直接懵掉,不知道
技术:哈哈,没事这一搜就知道

6、审白盒的时候都会关注什么函数
$$ extract() parse_str() include() require() include once() require once() serialize() unserialize() 特地去背了这些函数的英文发音

7、有注入怎么拿webshell
要有root权限,有绝对路径,利用outfile()或dumpfile()

8、说一下内网渗透流程
我就按照理解的说的,什么端口转发呀,哈希值呀,黄金票据呀,随便扯一扯就行

9、会什么语言
会简单的python能写简单的目录扫描,端口扫描,fuzz bypass的组合脚本,php可以根据说明进行简单的审计。

二面项目经理就是在一面的基础上加深了问题,也不算难,也有好多网上现成的题。最后不会的一定要答好思路,思路真的很重要。

面试结果:通过,已拿到offer
面试难度:一般
面试感受:技术面的面试官很好,还说你想拿到你想达到的薪资,就跟hr那边提高点,他们肯定要压一压,别说是我说的(hhhhhh),期待与你共事。
给大家的建议:思路真的很重要,不会的问题也要把思路讲出来

剩下几个公司大概说说

西安某盾
上来就是副经理面试
面试问题:你有我的微信你能入侵到我们的内网么。
答:(我人直接傻掉,只能说)信息搜集呀,尝试社工你呀,什么的,能扯的都扯了一遍。
他又问我:你能不能从路由下手
答:(我又蒙了,路由渗透渗透进内网,不会呀)我没接触过路由渗透进内网
别的又扯了扯,最后告诉我,你吧,说你好也就一般,说你不行吧,也还行,没什么特色,咱们有微信,以后如果有需要再联系吧。

西安的一个小公司位于某小区里
面试官讲薪资 4k-6k还根据能力 还只交五险,不交一金
上来先丢了个靶场,用的向日葵我去远控他们的电脑,就是那个DVWA 非要让我爆破登录页面,他那个登录页面,不管账号密码对错,都会先跳转302才返回正常页面,我都猜到密码了,他说不行,必须爆破。(那天也跟群里的哥哥聊了聊,还有一个哥哥通过QQ远程我,然后我的电脑远程他,都解决不了,最后证明这家公司技术的脑子属实有点问题,我最后就没理他)

杭州某公司
技术面都过了 谈薪资,告诉我2k,还说没办法,应届生就这样,说他当时应届的时候才700
当时心里:我星号星号b的

目前就是等苏州那家来电话,并且还有一家约的视频面试

总体感受:尽量去大公司,有保证,有福利,面试官不会太扯淡。
应届生是真的难受,可能跟今年这个情况也有关系,还有就是毕业季,公司的选择更多,同样的技术,人家要5k,你要6k,那肯定选别人呀,技术方面,原理一定要清楚,不会的问题思路也一定要讲出来,最后祝掌控安全的好哥哥们都能找到好工作

用户名金币积分时间理由
1776524757 20.00 0 2020-10-12 17:05:54 一个受益终生的帖子~~

打赏我,让我更有动力~

6 条回复   |  直到 2023-5-12 | 1378 次浏览

holic
发表于 2020-7-18

秒懂

评论列表

  • 加载数据中...

编写评论内容

沐霖
发表于 2020-7-19

小区里那个估计是个找你测网页的,这次疫情不管严不严重都成了老板降工资的借口。
为什么不面渗透测试?驻场没意思。

评论列表

  • 加载数据中...

编写评论内容

青竹
发表于 2020-8-4

2k那个我笑了,哈哈哈

评论列表

  • 加载数据中...

编写评论内容

guidie
发表于 2020-8-4

通过微信入侵内网,笑死我了,他是招的红队还是招的神仙

评论列表

  • 加载数据中...

编写评论内容

a1287074202
发表于 2021-1-18

西安那个笑死我了

评论列表

  • 加载数据中...

编写评论内容

a744566
发表于 2023-5-12

1

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.