某信服安全服务工程师秋招面试

一、自我介绍

阿吧阿吧

二、你挖src有挖哪些，就是有没有挖到一些好的成果。

这里我介绍的是前两天挖src挖到的一个存储型XSS漏洞，详细可参考“https://bbs.zkaq.cn/t/31195.html” 这篇文章。
面试官：一般存储型xss还可以通过哪些方式来利用呢，比如说它设置了http-only，还有哪些利用方式呢？
我：设置了http-only就不能获取到cookie了。其余的利用方式有网页挂马、恶意弹窗、流量劫持等。
面试官：你一般做测试的时候会常用到哪些测试工具？
我：最常见的就是burpsuite了，平常如果挖到类似sql注入的漏洞，也会尝试使用sqlmap；如果是渗透小程序、app的话就会用到fiddler、charles之类的流量工具；平常还有一些web扫描工具，像nessus、appscan、awvs之类的；剩下比较常用的就是一些信息收集工具，像nuclei、yakit这种集成化工具或者像hunter、fofa、钟馗之眼之类的黑暗引擎搜索工具。
面试官：那你刚刚列举的这些信息搜集工具你觉得哪一款是比较好用的，或者哪个平台哪一方面做的比较好？
我：我比较推荐的是奇安信的hunter工具，因为它是有icp备案的，收集资产比较全，每天也会给400积分进行免费的查询，如果注册两个手机号，基本上来说一天都用不完；像fofa的话，如果你不是会员，那么你能查看的资产就非常少，搜集的信息有限。
面试官：比如说sql注入这个漏洞，如果用户想要去修复他，可以采取哪些措施？
我：第一种就是可以过滤传参，采用预编译的方式，不要让用户的传参直接拼接在sql语句上，像mybatis里面如果出现了${}这种形式的话就很有可能产生sql注入或者jdbc里面如果出现用+进行拼接，也很容易出现sql注入；第二种就是可以将报错注入、联合查询注入这些注入方式中的关键函数给禁用掉；第三种可以设置黑白名单，限制访问的机器；第四种可以部署waf来防御。
面试官：那么这个漏洞比如说在测试的时候他有waf拦截了，怎么去绕过？
我：现在市面上已经出现了非常多绕过waf的手法了。比如说waf绕过了空格，我们可以采用内敛注释或者小括号来代替空格；如果waf是禁用掉了一些危险函数的话，可以从mysql手册中去查询作用相似的替代函数；如果是过滤掉了像substring之类的截取函数，我们可以采用from语法来替代。
面试官：那通过这个漏洞能拿到webshell吗？
我：可以。
面试官：那需要哪些前提条件？
我：第一个需要知道绝对路径；第二个需要拥有root权限；第三个需要secure_file_priv参数为空或者为指定路径。
面试官：你平时在测这个漏洞的时候，经常用手工去测试，还是直接拿工具去跑？
我：我是先用手工去进行测试，如果确认存在了sql注入漏洞，那么我就会用sqlmap去跑。
面试官：sqlmap它有一些自带的temper脚本，你有自己去尝试写一些吗？
我：这个倒没有，因为基本上平常不太会去使用temper脚本。像前几天我也挖到过sql注入漏洞，但是它的后台数据库不是常见的mysql或者是oracle，而是access，然后access是没有数据库的这个概念的，所以我先手工尝试了几个比较常见的数据表，像admin、user、member之类的，没跑出来，然后利用sqlmap工具跑了三千多条payload也没跑出来，后来就不了了之了。
面试官：如果说我们在做渗透的时候，不小心把用户的业务数据给删除了，遇到这种情况，你怎么处理？
我：一般来说，我们在做渗透测试之前，会让用户先备份一份数据的，可以直接从备份数据恢复。
面试官：如果没有备份数据呢？
我：应该可以通过日志去还原，或者是通过查看一些历史记录，看他执行了哪些命令，在从结果来回溯判断删除掉了哪些数据。
面试官：那客户端怎么解决这个事情？（这个问题我没回答上来）

三、比如给你一个场景，登录框，有输入用户名加密码以及验证码和忘记密码的功能，你觉得可能存在哪些漏洞？

第一个是验证码绕过，第二个是任意重置密码，第三个是弱口令，第四个是万能密码。
面试官：刚刚提到忘记密码，那我们通过忘记密码去重置其他人的密码，这个大概会有哪些常见的攻击方法？
我：基本上我们修改密码是需要先填一个手机号，获取验证码之后才会进行密码重置。如果这个验证码会在前端显示，或者验证码可以从响应包中获取，就可以很容易的重置密码。
面试官：自己有去分析或者是深入了解过一个poc吗？
我：这个倒没有，我平常都是直接从cve官网上或者github上拿到payload就直接去利用了，对payload为什么会生效没有去深入了解过。

四、一般在做护网的时候，肯定是想拿到权限或者webshell，那你觉得有哪些方式可以拿到webshell或者权限？

最常见的是一个文件上传漏洞，还可以利用xxe漏洞实现任意命令执行，或者是你写入的数据可以存入到对方数据库中的，在这种地方写个一句话木马存到数据库中在去访问它就可以调用木马了。
面试官：有做过护网的红队、攻击队吗？
我：这个暂时没有。
面试官：如果给你一个用户名称，对他进行信息收集，大概有哪些方式或者说用到哪些工具？
我：第一个可以用爱企查，看看有没有跟这个用户相关联的资产，如果有公司的话，可以搜索公司对应的域名，还可以收集跟该用户有关系的用户的资产信息；第二个可以收集该用户的一些社交帐号，例如微博账号、抖音账号；第三个还可以该用户的个人信息，比如生日、手机号、银行账号之类的，后续有可能用于社会工程学攻击。
面试官：有去做过钓鱼吗？
我：暂时没有。
面试官：那比如说我们拿到webshell的时候权限比较低，有去做过提权操作吗？
我：靶场里面平时有做到过，实战中没有。
面试官：那比如说phpmyadmin的提权方式有哪些？
我：第一个可以利用udf提权，以dll的形式写成mysql的插件，dll中就是我们想要实现的功能，但这个有两个前提条件，一个是要知道root账户的密码，一个目标系统得是Windows；第二个可以利用mof提权，其每隔五秒就会去监控进程创建和死亡，然后我们用mysql的root权限去执行我们上传的mof。隔了一定时间以后这个mof就会被执行，这个mof当中有一段是vbs脚本，这个vbs大多数的是cmd的添加管理员用户的命令。
面试官：那比如说windows的操作系统，它的rdp协议被爆破，怎么去确定他有没有登录成功？
我：可以看他的日志记录，像事件查看器中如果有一连串的4625id号，然后紧接着出现一个4624id号，那么很有可能就是爆破之后登录成功了。
面试官：windows有哪几类日志？
我：应用程序日志、系统日志、安全日志。
面试官：如果说一个用户的网站被上传webshell了，你怎么去分析它从哪里被上传的？
我：可以看他的web应用日志，特别是要关注post提交方式的流量，看请求体中上传的数据是不是webshell，然后还需要看它的响应包是不是200，是否上传成功。还可以去查看有上传功能点的地方，上传的文件被放到哪个文件夹中，从那个文件夹中去筛选webshell。
面试官：那你自己的个人职业规划，更倾向于哪个方向？
我：还是漏洞挖掘、web渗透这一块。

下面就是反问环节。总结一点就是一直问到你不会为止，不给你任何出路。