山石网科面经（附参考回答）_站库分离拿shell

吾有一友…
base地：福州
职位：驻场安服工程师
可以直接划到底部，获取单张图的pdf面经。
走在上班路上，突然就接到了面试官的电面。过程二十几分钟，没有事先约好时间，面试官没提，没自我介绍就直接开始了。大概问的内容如下:

1.xss、ssrf漏洞利用，xxe、反序列化漏洞原理和利用

xss漏洞大概说了一下 cookie劫持、键盘记录器、模拟登录、点击劫持、获取浏览器或插件版本信息进一步利用，ssrf就说了主机探测、端口扫描，xxe和反序列化平时遇到的少，没回答好。
参考回答：
xss漏洞利用：网络钓鱼，盗取账号密码、cookie劫持、刷流量，SEO优化、网页挂马、DDOS攻击、XSS蠕虫等、以及结合其他漏洞进行组合攻击。
ssrf漏洞利用：内外网端口及服务扫描、内网敏感信息泄露、伪协议利用file（读文件）、dict（探测端口、写webshell、写计划任务反弹shell）、gopher协议（模拟请求、反弹shell）、结合XXE组合攻击。
xxe漏洞原理及利用：攻击者通过构造恶意XML实体，服务器引用外部实体并解析。导致读取任意文件、执行系统命令、探测内网信息、拒绝服务等。
反序列化漏洞原理及利用：攻击者构造恶意的序列化数据，被应用程序反序列化时，产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

2.找到个sql注入点，怎么判断数据库类型；sql注入如何反弹shell，提权;转义单引号怎么绕过;站库分离怎么拿getshell

应该就是根据不同数据库特性做注入，只回答了mysql注释里加版本信息的方法，其他类型没回答上来；写文件到定时任务，写文件到web访问到的路径，看看会不会被解析，dll文件；宽字节注入；没想到。
参考回答：
判断数据库类型：如开放数据库默认端口，则可判断（脱离sql注入）MySQL3306、Oracle1521、SqlServer1433等。根据数据库特有函数、注释符、报错注入的错误信息、数据库特有表，主要就是根据不同数据库的特性进行判断。
sql注入怎么反弹shell，提权：写webshell到网站的绝对路径下，MySQL（UDF提权、MOF提权）、Oracle（利用java权限、存储过程提权）、写入启动项等。
转义单引号怎么绕过：宽字节注入（利用GBK双字节编码），没转义 转义符的化，也可以利用转义符绕过。
站库分离怎么拿webshell：利用数据库连接情况，定位 web 端 ip 地址，获取网站敏感信息，进一步渗透。存储过程执行命令。

3.redis有哪些漏洞，如何利用

弱口令，空口令
参考答案：
未授权访问、拒绝服务、缓冲区溢出等。空口令、redis主从同步rce，写入webshell、计划任务反弹shell、公钥远程连接、文件到开机自启、写入恶意序列化数据，利用反序列化漏洞、爆破密码

4.win怎么提权，内网渗透了解多少

利用安装的应用漏洞，不太了解
参考答案:
win提权：系统内核溢出漏洞提权、数据库提权、错误的系统配置提权、组策略首选项提权、WEB中间件漏洞提权、DLL劫持提权、滥用高危权限令牌提权、第三方软件/服务提权等。
内网渗透：对目标服务器所在内网进行渗透并获取域控权限的一种渗透。

思路：1.攻击外网服务器，获取外网服务器的权限，利用入侵成功的外网服务器作为跳板，攻击内网其他服务器，最后获得敏感数据，并将数据传递到攻击者，看情况安装长期后门，实现长期控制和获得敏感数据的方式；
2.攻击办公网的系统、办公网电脑、办公网无线等方式，一般是采用社工，实现控制办公电脑，再用获得的办公网数据，可能是内网的各种登录账号和密码，再获取办公网或者生产网的有用数据。——内网渗透总结

5.php可能造成任意文件读取的函数

file_get_contents
参考回答：

file_get_contents()、file()、fopen()函数（及其文件指针操作函数fread()、fgets()等），与文件包含相关的函数（include()、require()、include_once()、require_once()等），以及通过PHP读文件的执行系统命令（system()、exec()等），除了上面提到的标准库函数，很多常见的PHP扩展也提供了一些可以读取文件的函数。例如，php-curl扩展（文件内容作为HTTP body）涉及文件存取的库（如数据库相关扩展、图片相关扩展）、XML模块造成的XXE等。——Web入门之任意文件读取漏洞

6.任意文件读取漏洞怎么利用

读配置文件、日志，看看有没有敏感信息；写定时任务
参考回答：
读历史操作（.bash_history）、配置文件、日志文件获取敏感信息，web业务文件，进一步白盒审计

7.不回显内容的命令注入怎么检测

dnslog外带、直接nc弹shell
参考回答：延时（sleep 5）、DNSLog外带

8.是否有复现log4j漏洞

复现过，但java还是不熟悉
参考回答：Log4j 漏洞复现

9.文件上传怎么绕过(黑名单，白名单)

大小写，00截断文件后缀，修改请求内的文件后缀，可同样解析的不同文件后缀（如：php3、php5)
参考回答:
黑名单：后缀绕过（PHP:php2、php3、php5、phtml、pht；ASP：asa、cer、cdx；ASPX：ascx、ashx、asac；JSP：jsp、jspx、jspf）、Windows环境特性绕过。大小写绕过、双写绕过（过滤场景）、
白名单（黑名单通用）:Content-Type绕过、前端绕过、文件解析规则绕过、00截断、文件头绕过、条件竞争绕过

10.怎么绕waf

payload超过waf缓存，双写，大小写，修改Content-type可能有些没拦截
参考回答：
大小写、双写、编码、超出waf缓存、分块传输、参数污染、pipeline绕过、白名单绕过、Content-Type绕过等

11.绕过CDN查找真实ip

先多地访问看看返回同ip，不同的话，一般用了CDN，就试试它的页面、订阅服务、子域名有没有信息或者没做CDN，用国外代理访问看看是不是没做CDN
参考回答：
查看IP与域名绑定的历史记录，可能寸止使用CDN前的记录；查询子域名、网络空间搜索引擎、利用SSL证书、使用国外主机解析域名、网站漏洞、网站邮件订阅等。

12.spring漏洞了解多少

不了解
参考回答：Spring全家桶各类RCE漏洞浅析

13.是否做过应急响应，参加过HW、挖过src、提过cnvd，有没有发证

只处理过src和cve的响应，没参加过HW、没挖过src，刚学安全的时候提过个sql注入，有证.
参考回答：根据自己实际情况回答。

14.如何处理子域名爆破的泛解析问题

不了解
参考回答：资产收集对抗-子域名爆破

15.是否了解态势感知

不了解
参考回答：安全态势感知的前世今生

16.是否有相关安全证书

CISP
参考回答：根据自己实际情况回答。

再问了问期望薪资和入职时间，还有几个忘了，应该是 disable_function绕过
关注公众号“吴花果的吴花火”，输入”山石网科面经“获取的单张图的pdf面经的下载链接。