面试经验分享（上海某公司）

公司忘记是哪家了，大概是长亭科技/启明星辰一面，要么就是长城汽车/斗象科技二面

1、先来个自我介绍把？

从学的什么到实习做的什么到目前从事的工作，然后展现出对渗透测试的兴趣。

2、可以说下为什么要换工作吗？

面试了这么多次，感觉是每次必问的问题，面试官比较介意为什么频繁换工作（其实也不算频繁），你要表现出自己的好学上进，对渗透的兴趣，还有就是一定不要说上一家公司的不好

答：因为我对渗透测试很感兴趣，虽然现在的工作也能接触到一些web方面的漏洞，但是都比较浅，授权也很低，只能做一些简单的复现，也不需要会一些新的东西就能做的工作，对我的提升帮助不是很大了，我目前都是去挖一些公益src或者看一些文章来提升自己，也会有帮助，但是我觉得如果能到实际的渗透项目上去，会更有利于我的成长…………

问：你现在主要做的是什么工作？

答：我日常主要做………………

3、你刚才说会去挖src，你有排名吗，一般都挖到些什么漏洞

答：排名没有呢，我没有特意的去冲榜，要冲榜的话可以批量挖一些简单的漏洞，比如反射xss，但是还得写报告各种很浪费时间，也学不到太多，我是把挖src当作一个学习提升技术的机会，比较倾向于平时挖到一些漏洞就记录下来思路啥的，感觉更有帮助，另一个就是时间关系，我想最快学到更多的东西早点去渗透项目上（ 其实是为了掩盖懒和冲不上去榜的事实……）
一般挖漏洞我觉着sql注入和xss比较常见，还有一些逻辑漏洞…………

4、那你来讲讲逻辑漏洞把？

答：逻辑漏洞还是比较常见的，我平时遇到的验证码绕过和越权比较多一些，支付漏洞也有挖到过，对这些逻辑漏洞我多数都是抓包对每个传参进行分析，猜测这些传参代表什么，尝试去修改传参。

证码绕过一般会存在于登录界面和密码找回界面，一般看到这个界面我都会去测试一下
如果登录界面有验证码我会先看一下验证码会不会变，不会的话直接burp去爆破密码或者用户名就可以了
如果会变的话试一下验证码可不可以重用，用上次登录的验证码输进去看一下返回效果，如果仍然显示用户名密码不正确，说明验证码可重用，可直接爆破，
我还会尝试抓包直接删除验证码的传参，有时候不小心就空值绕过了，
还有一种情况我之前挖漏洞遇到过，是一开始是没有验证码的，但是多次登录失败就出现了验证码，这种可能是对输错密码的次数进行限制，我尝试不爆破密码，爆破用户名，找一个弱密码比如123456去爆破用户名，就没有出现验证码，爆破出了很多使用了123456这个弱密码的用户。后面下去仔细学了下如果要爆破密码怎么做，他网站可能根据cookie，UA头或IP地址来判定多次登录，可以尝试一下不断去改cookie，改UA头，改xforword-for，在乌云漏洞库也看到过这样的例子。
前些天我还遇到过一个通过传参来控制验证码的情况，数据包里有个传参=ture，不知道是干嘛的，我将它改为false,验证码居然就消失了，可见这个传参控制验证码是否出现。有些验证码是传参控制的，可以多尝试。
密码找回界面也会存在验证阿玛的绕过，有些直接没有验证阿玛直接爆破，有些是在返回包里会返回验证码，更甚于我遇到过直接用自己手机号修改别人的密码的漏洞，抓包的时候发现它有传参手机号，我抓包将手机号改成我的手机号，验证码就发到了我手机里，改了该账号的密码
还有越权和支付，我主要讲了越权，

答：嗯，挺好的，说的挺详细的…………

还有越权和支付我就不写了，太多了，思路就是不要直接干巴巴的和面试官说验证码绕过分为几种，支付漏洞分为几种，就算这样说也可以，但是说了之后也要展现给面试官你平时是有实际的去挖掘的，而不是只像背书一样背下来有哪几种，上面说的验证码的绕过其实我一次都没挖到过，我很少去动手，但是我这样说面试官肯定是相信我挖到过的，可以自己体会一下。

5、那对sql注入有了解吗？如果存在sql注入你会怎么做

从sql注入的分类到绕过，平时是怎么测试sql注入的都给他讲一遍
答：sql注入主要有显错注入、POST注入、header注入、盲注、宽字节注入、cookie注入、偏移注入、DNSlog数据注入、反弹注入、报错注入
常见的显错注入我会这样测……
盲注这样测……
……
累，太多不写了，就课程里边讲就完事了。

6、那宽字节注入原理是什么呢？

答：宽字节注入其实就是编码格式的逃逸，它利用不同编码格式占用的字节宽度不同，可以构造payload拼接转义\ ,造成魔术引号机制失效，
导致网站单引号或其他符号的逃逸，从而我们可以闭合原有查询语句，构造payload查询数据。
它主要适用于数据库被设置成了gbk或其他非utf8的编码的时候，构造传参的字符之间不经意的字符集转换就可能导致宽字节注入。

问 ：宽字节拼接字符的时候怎么确定拼接高字节还是低字节呢？

答（我懵了）：这个我没怎么了解过，平时都是拿自己知道的可以凑成汉字的几个字符去拼接尝试

7、那你知道sql如何写shell吗？

知道的，一般如果存在sql注入我都会去尝试一下能不能写shell,但是并不是都可以写的，它首先需要满足4个条件：
1，要拥有root权限（写入权限），这个我会去sqlmap用—i-dba看一下
2，知道网站的绝对路径 （寻找web页面的报错，或者@@basedir得到mysql路径，推测出www路径）
3，PHP关闭了魔术引号（magic_quotes_gpc） ，输入特殊字符试一下有没有被转义
4，有导出权限 ，有这个才能用导出函数，我目前不知道怎么判定，直接上手写shell试试

满足条件之后可以写shell了，我记着有三种方法可以去尝试一下：
1，sqlmap写shell（用sqlmap的 —os-shell参数来反弹shell）
2，into outfile导出函数写shell (通过导出函数将一句话木马写进某php文件)
3，还有个好像是通过日志记录函数写shell，但是我实际没有去做过，想不起来具体怎么做了，一般都是前两种去尝试。（这种就是自己给自己挖坑，不会就不要说了）

8、对内网渗透有了解吗？日常工作会接触到内网渗透项目吗？

答:日常没有接触过内网渗透的项目，毕竟这个是需要很大的授权，我参加工作时间也不长，但是我学过内网渗透，自己搭建过域渗透的环境去做了一下

问：那你搭建的是什么样的环境？

答:我先是在win2003上搭建一个域控主机，然后win10作为成员机加入该域控，先用域控登录一下win10成员机，然后在win10上用猕猴桃抓取域控管理员的账号密码，
抓到的是密文，先构建hash传递的密文让猕猴桃执行，得到域控登录权，接着用一个进行域操作的工具调出域机器的cmd窗口，工具名字不记得了，然后进行一系列添加账号，加入管理员组的操作，当然为了更好的维持权限，还可以构建黄金票据，猕猴桃抓到域控账户 krbtgt 的密码 ，用它来构建黄金票据并将其放进猕猴桃生成票据文件，以后就可以直接用猕猴桃加载这个票据文件和域控进行通信，通过黄金票据进行了权限的维持

问：黄金票据也是提权把

答：是的是的（其实没太懂他意思）

9、说一下反序列化漏洞把

答：反序列化漏洞是由于网站对一些用户可控制的数据进行反序列化操作的时候，攻击者能够对序列化的对象进行修改，将有害的数据传到代码中进行反序列化执行。从而产生了反序列化漏洞。如果开发人员在魔术方法中定义了一些敏感操作，比如文件读取，操作数据库等，在对对象的操作和反序列化的过程中会触发这些魔术方法，攻击者就可以构造序列化代码并传入，触发魔术方法执行反序列化传入代码，来实现文件读写或者数据读取的行为。
我遇到过的反序列化是一个ctf题目…………（靶场讲一下）
但是实际的挖反序列化漏洞我还没有挖到过，这个需要代码审计，我目前学的比较浅，可能还不具备独立挖反序列化的能力，只是对他的原理和怎么做有个了解（太实诚了，蠢哭，不知道当时为啥这样说）

hr:好的，了解了

10、文件上传如果加入黑名单了怎么进行绕过

答：针对黑名单的绕过主要根据黑名单对后缀的检测，构造特殊的后缀来绕过,我会尝试下文件扩展名的绕过，比如尝试下.cer，
还可以尝试构造文件名大小写绕过，文件名后面加.或加个空格试试，也可以::$DATA( windows文件流绕过），后缀双写绕过这几种，还可以用htaccess分布式配置文件去绕过，这个我平时没怎么用，一下子想不起来怎么做了。

11、那你对一些框架漏洞有了解过吗？

答：框架漏洞我日常没怎么接触，只接触过struts2,平时工作会分析判研到struts2的漏洞，我会用工具去验证是否存在struts2漏洞

问：什么工具，是k8吗？

答：是的，k8, 还有安恒的一个struts2工具也会用到

问：那struts2的原理你有做过深入的了解吗？

答（慌得一批，问到短板）：struts2的原理我之前有去看过文章，但是现在一时想不起来了，我只记得他有爆出很多种漏洞，RCE,xss都可能导致,只是没有遇到合适的环境去实际的做，平时工作中的网站也是没有这个授权，不敢乱弄，所以就没有太深入的去学习它。

12、平时你会用什么工具呢？

答:我会用一个指纹识别的工具识别网站的操作系统后端语言之类的，具体名字忘记了，还会用nmap和sqlmap，burp用的比较多。还有御剑进行目录扫描，常用的大概就这些

问：那nmap你经常用什么命令呢？

答：nmap我比较常用的命令是这几个
-F 快速扫描
-p 指定端口/端口范围
-Pn 扫描之前不使用ping，适用于防火墙禁止ping，比较有用。
-O 探测操作系统信息
-v 详细信息,扫描细节

还有其他的我依赖笔记，一时想不起来了，记得的就这几个。

问：那nmap中探测主机是否存活的命令是什么？

答： 这个呀，好像是 -sP 会进行ping扫描，只有主机存活才继续ping

hr：好呢，那你对我们有什么想要了解的吗？

我： 我想问一下日常工作主要做什么，以及调薪制度之类的

hr:他的回答，略

面试难度：感觉相对简单，只是问到了几个不太会的问题

面试结果：忘记了哪家公司了，要么是一面通过等二面，要么是二面结束等通知

经验：平时针对学过的知识自己想下如果问到怎么回答，有些想不起来怎么组织语言的，最好写个小本本组织一下，然后自己好好记一下，还有就是面试的时候不要自己给自己挖坑，不会的不确定的就不要提，能回避就回避。