护网面试经验分享——第一次hw面试分享

最近陆陆续续接到了几个厂商的护网面试，大致整理一下：

一般一开始的时候都会先让自我介绍一段，这里就把简历的内容挑选些，简单说一下。
因为我的简历没有写工作经验，在自我介绍后，面试官基本都会问我有没有安服之类的工作经验，或者之前有没有参加过护网。
我是如实说没有工作经验，平时会在src挖挖漏洞。大家按照自己的情况说就可以了。

接下去面试官就会按历你自我介绍所说的内容提问，也会问一些你没有提到过的东西。下面我整理一些被问到比较多的问题。

1、一些基础知识。

问的不多，我就说说比较有印象的。SQL注入的绕过方法有哪些，文件上传绕过方法，命令执行函数有哪些，哪些方法获得webshell，想不起来其他的了。。。

2、SSRF。

印象比较深，某个厂商就一个劲的问SSRF，从如何发现，到如何利用，到怎么防护，再到绕过。还有哪些常见的协议。平时几乎没遇到过，但是那个面试官说有很多hw服务对象不可避免地会用到这个功能，这个又确实是比较难防御的。
原理方面上课风哥都有说过。
关于如何防护：限制请求的端口为http常用的端口；黑名单内网ip，避免应用被用来获取获取内网数据，攻击内网；禁用不需要的协议。等等
如何绕过可以参考https://blog.csdn.net/qq_39101049/article/details/102501839

3、框架漏洞也被问过几次。

shiro反序列化漏洞被问得较多，这里会提及反序列化的知识，大家最好再记一下4个魔术方法[construct；destruct；wakeup；toString]。struts2也被带着问到过，当时问我看到.action会不会想测一下什么。之前看到过，当时觉得有印象但是没想起来。

3、给你一个ip或者域名，说一下你的渗透思路。

emmmm，这个大家就按照自己的思路说说。

4、应急响应和溯源。

面试蓝队，这两个是必被问到的。面试官会问你知不知道应急响应和溯源，并展开说说。就大致说说应急响应包括哪些要做的工作，以及溯源的方法。
因为我之前也没有参加过护网，相关内容都是看一些资料看来的，下面说说我的一知半解。

应急响应

大致过程包括：主机隔离、系统备份、病毒及后门等的检测和排查、清除病毒及后门、修复漏洞、安全加固、系统恢复、调查追踪
这里面会展开问的比较多的是排查部分。以linux举例
1.账号排查：记住几个关键的文件，如/etc/passwd、/etc/shadow，看看有没有异常账号、特权账号，例如uid=0|可远程登入|sudo权限，对发现的可疑账号进行删除
2.历史命令：/home目录下的各个账号，.bash_history
3.进程、端口等：netstat -antlp，ps aux，top等查看，发现cpu占比很高或其他异常的进程，通过ls -l /proc/PID/exe ，可以找到异常程序所在位置。通过kill可以杀死进程
3.开机启动项、定时任务等：如果杀死进程后又重新启动，在以下位置可能找到问题所在。开机启动项/etc/ini.d；自启项/etc/rc.local；定时任务crontab
4.日志：/var/log/*，里面有很多日志，比如/wtmp记每个用户的登录次数和登录时间，/btmp记录错误登录的日志
还有些比如命令行last查看登入信息，find查看文件文件改动时间、查看777权限文件等

溯源

溯源的话，就基本通过系统日志、中间件日志，查看尝试远程登入及传入恶意代码的ip。通过查到的ip去尝试解析域名、查找注册人、手机号、邮箱等，利用社工手法。通常获取的攻击方ip可能是个肉鸡，我们也可以搜集目标ip资产，根据渗透测试的那一套拿下肉鸡，再通过肉鸡向上溯源。

如果不熟悉linux基础命令的，要多了解一下，面试官基本上都会以linux举例。
内网的话就被问比较少，有几个根本没提到内网。除了风哥课上说的其他我自己也不熟悉，掌握风哥那几节内网的课就可以有东西说说了。
暂时就想到这些，以上就是弟弟此次的hw面试经历了。

差点忘了重要的事，重新编辑在最后面补充一下。

都说绿盟妹子最多，果然如此。接了其他厂商的面试都是大汉，绿盟电话打过来是个声音轻柔甜美的妹妹，想着可以白嫖跟妹妹十几分钟的聊天时间。然而。。

mm：请做一下自我介绍
我：balabala半分钟
mm：有没有相关工作经验？
我：没有，平时挖挖src
mm：上学的时候没有出去相关实习嘛？
我：没有，本科不是计算机专业的
mm：什么时候能入职
我：随时
mm：好的，我这边好了
我：好的。哎不是，我还没好啊！你不问问我其他的啊？最近有个电影挺好看的叫···
mm：嘟嘟嘟嘟嘟嘟嘟嘟