扫码领资料
获网安教程
免费&进群
背了两天面经后混了半天没看,这不,刚洗完澡一个电话就打过来了
面试官:你好,是** 同学嘛
我:是的
面试官:那就直接开始了吧?
ok
第一问:看你写的有过hvv经历,是吗?
我:没有(一开始准备小搞一下,后来改回来了,谁知道还是问了,我感觉这里应该已经没了)
第二问:行吧,那你知道shrio的特征嘛?
我:知道,apache的shrio反序列化漏洞,有一个remenber的关键字,在web页面上基本上就是有一个“记住我”的关键词,只要发现了就基本可以判定是shrio框架,然后丢扫描器。
第三问:redis的未授权访问如何拿shell?
我:不知道
第四问:sql注入的盲注了解过嘛?他有哪些关键函数?
我:看是普通盲注还是延时盲注,不过基本都一样。主要就是substr、length、sleep、if之类的
接四问:substr主要是有什么作用呢?
我:用我自己的话来理解就是切割字符串
第五问:7001端口对应的什么漏洞?
我:不知道
(weblogic那个,知道漏洞,但是不知道端口号)
第六问:冰蝎的流量特征是什么?
我:不清楚,我主要用菜刀和蚁剑
(答案:冰蝎3.0默认的16个ua头,payload长度固定)
接六问:好的,那蚁剑的流量特诊呢?
我:蚁剑的流量特征主要是会以明文方式传输,就是那个url编码的那个数据。其他的基本都会再进行加密。
(紧张,背过的@ini_set display都忘了)
第七问:你是没有接触过防御的相关设备是吗?、
我:之前打比赛的时候用过思科的防火墙和waf配置算不
接七问:算,那我问一下waf误报怎么判定?
我:查看误报内容,然后比对恶意语句,如果确实能绕过waf,基本确定被入侵成功了。
结果:失败。
总结:电话往往不会在你有准备的时候打过来,我还在外面准备接热水,谁知道电话比热水先来了,问的确实挺基础,可惜了。下次再接再厉把
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
回顾往期内容
代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!
扫码白嫖视频+工具+进群+靶场等资料
扫码白嫖!
还有免费的配套靶场、交流群哦
原文始发于微信公众号(掌控安全EDU):小白的第一次hvv蓝初面试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论