某一线实验室（实习生）技术面（已通过）

给大家记录了几个我还记得的问题，没有问太多技术问题，多的还是经验和思路
面试官：你好，听说你对来我们公司的意愿非常强烈，是为什么呢？
我：因为我在项目中与贵公司的人员有过合作，感觉无论是技术还是硬件或者是待遇都算圈子里一流的

面试官：那你了解我们实验室吗？
我：我有了解过，巴拉巴拉说了一下

面试官：那我先给你介绍一下实验室的方向，分为三个方向….
我：好的明白了

面试官：你在项目中是否使用过我们公司的设备，感觉使用体验如何（意思就是让说设备的优缺点）
我：那我就实话实说了？

面试官：没问题的，我就想听听你的意见
我：我使用过…. ,优点就是性能好，能探测到更多的威胁情报之类的（大家脑补吧），感觉不足的就是探测和分析出的威胁，没法给出具体的流量片段，没法通过一个设备有效确定攻击，没有流量特征不好和其他全流量设备进行联动，可能是设备出场的保护机制，保护特征库不被外泄。

面试官：你知道主流的设备原理和开发过程吗
我：（我就说了一下原理，还不知道对不对）

面试官：你在项目中是做过流量分析对吗？能不能说说你的具体案例
我：我在国家hvv中协助发现过0day，单独发现过frp反弹定时回确认包向外输送流量，shiro反序列化等漏洞（我主要讲了我frp反弹的发现思路和流程）

面试官：除了这些常规的特征发现，你自己还有什么快速确定的方法吗？
我：（给大家分享一下我自己的流量分析心得）
1.确定事件的类型（确定事件是什么样的攻击，比如sql注入和爆破和frp的流量分析步骤就不一样）
2.确定事件的时间，首先划定一个时间段
3.确定数据流，攻击的数据流我们是要看HTTP，TCP，还是ssh
4.分析是内网—>外网还是外网—>内网，内网和外网时两种查询方法，正确的查询能有效的通过分析更少的数据包获取结果
比如 内网—>外网 我们确定后，第一步肯定先去先查看外网ip的流量，判断行为
外网—>内网 这样一般都是拿下了一个外网的服务器当做跳板机，我们肯定要先去分析内网的受害者服务器，看看有没有被攻击成功

        首先我们需要确定到攻击行为后，再深入的流量分析和应急响应，很多都是误报
        数据包的大小也是分析的条件，分析SSL数据包需要解密

        爆破攻击：
        SMB,SSH,MSSQL等协议比较多，看包的大小，成功登陆的包很大
        看ACK，SYN包的次数，如果成功至少20起步，放到科莱上为40起步，但是注意不是失效包和重传的包（注意加密流的ack和syn包也很多，为客户端一次，服务端一次）

        重传攻击：
        如果一个数据包非常大，几个G或者一个G，我们就考虑数据包是否进行了重传，然后查看数据包的重传数，打个比方就是刷新，如果短时间重传数非常多，就为机器操作，判定为攻击

        我们发现一个攻击（如平台登录后的sql注入）我们可以通过流量回溯装置抓取那个被登录用户的用户名和密码，登录平台后自己利用发现的payload进行尝试，看是否能注入成功

面试官：听说你还做过红队？是哪个项目，你在里面的职责是什么？
我：介绍了一下我的项目经验，然后说我在红队的是突击手负责打点（我们当时孤军奋战没后援，也没擅长内网的选手）

面试官：说说你项目中的成果
我：….

面试官：说一下你在项目里遇到的问题
我：我们通过exp拿下了一个锐捷路由器的webshell，但是卡在了反弹shell上面，无法进行反弹

面试官：那说一下项目结束后你是否有思考过这个问题，是否咨询过他人，解决方式是什么？（我感觉真的非常重视思考和问题解决，非常重视项目的闭环）
我：我有问过也拿过锐捷路由器的朋友，然后我认为是数据库和网站分离开了，然后只能拿下来webshell权限

面试官：你如何快速准确的确定资产？
我：通过fofa，谷歌语法，钟馗之眼，一些的注册信息

面试官：fofa的语法是什么？

面试官：你如何在这些资产中快速的确定漏洞？
我：最快的就是扫描器先扫描一遍，然后进行信息搜集，针对性的攻击，或者我们通过fofa语法针对性的在资产表中搜集是否存在特殊的cms或者oa系统….

面试官:一般扫描都会封禁你，你会怎么办
我：我会第一就是使用ip池代理，要么就是使用5g

面试官：你这些信息搜集和攻击都是效率不是很高的，项目结束后你有没有思考解决方法呢
我：我有想过自己写一个程序，把代码池和一些信息搜集和特定的利用方法融合，但是没写出来（又一次感到代码不好的痛苦）

面试官：那你是否有了解过国家hvv红队的隐藏流量过防火墙的技术呢？
我：有了解过，但是这个我不太会，没有地方去学（有点尴尬）

面试官：你们在打点的时候有没有什么特殊的方法呢？
我：我们除了搜索特点的oa系统，还会搜集资产里的邮件系统，进行信息搜集登录邮件系统，搜集各种配置文件数据库文件登录网站后台，我们成功登录到两个网站后台，和一个邮件系统，也拿下了几个oa

面试官：你们这么针对特定oa，是因为有0day吗（笑）
我：我们队有这几个oa的0ady和半day

面试官：开发这边怎么样？能直接上手开发吗？
我：python还能自己开发几个小工具，java还是只能看懂（好尴尬我真不行，可能是学安全时间还不够长，本来想今年主攻代码的）

面试官：意思就是只能开发几个简单的扫描脚本对么（大家一定啊要好好学代码）
我：是（尴尬的笑），最近在学习使用pos3编写poc

面试官：你如果来实习你想进行哪方面的学习呢？
我：（我选择了一个偏向防御类的方向，因为我知道攻击类的我应该水平不够，我很有自知之明）
然后就是一些询问能工作几个月，什么时候能到岗

综合下来我认为面试官认为我的不足就是，红队时的攻击和信息搜集效率不高需要改进，可能缺少一点项目的反思和解决思路

三天后hr面：
首先介绍一下你自己的经历？
你才大二该大三，你在学校是怎么自学安全的？
你是怎么接触安全的？
你现在的学习内容是什么？
近期的学习规划是什么？
你在大学中平时课程和安全的学习是怎么分配的？是否会冲突？

当时刚睡醒（十点半），比较懵，就回答了一下我在学校负责安全工作室，然后每天除去学习至少有5-8小时学习时间，下一步的计划是学习好java，往代码审计，脚本开发，移动端渗透发展
然后就开始聊薪资和体检事项
今天是已经确定通过，等待闪亮的offer