面试篇——某数字企业安服工程师

临近毕业季，刚巧团队里的X师傅最近刚过了emo期要找工作，我就把他的这段面试经历记录下来了，给即将毕业的小师傅们和打算提桶跑路的师傅们做一个参考。请注意，面试经历为师傅亲身经历，不加修饰，除了可能暴露信息的题目做了掩饰采用了网上回答（会注明出处）之外，其余为x师傅真实回答情况，不存在虚构和编撰，企业和师傅的信息高度打码，不会放出。

背景：

企业：某合资数字企业

岗位：安服工程师

薪资范围：9~11k

证书要求：cisp大类（有就最好，没写强制要）

要求：

会渗透（要求不小，需要熟练掌握，漏洞经验丰富，最好有src排名，能在项目上拿成果。）

参加过hvv（国h）

1~3年经验

研判水准到位（具体要求里写的也很模糊，我这里只好概括为到位）

会技术培训

其他安服技能包都要有

地点：某中南部二线小城

• 面试过程

• 电话面试

（以下为师傅原话）

在某招聘软件上投递反应挺快的，不到半小时给我回了，说了大致情况后要了简历，结果过了四五天都没什么动静，我也懒得去问，以为石沉大海被筛选掉了就搁置了，毕竟也是一天回复10+的，谁知道小一周吧，我也记不清几天了，那个声音像嗓子卡弹的hr（x师傅原话！）就call我，说我过筛了，现在进行一下简单的电话面试问我放不方便。

问：有自己的研究方向吗？

答：最近主要对开发工具和免杀一类比较有兴趣（x师傅套用了我之前写webshell免杀的那篇答的，感觉hr是完全不懂技术的，也就记录下来而已，没深问。）。

问：参加过hvv吗，简单说说自己的经历。

答：（这里不透露了，大家如实答就好，x师傅和up经历很像，都是hvv原厂黑奴，主要还是答了研判经理和一些处置经历，以及前置工作之类的，能多掰扯就多说些，说些细处才能提高可信度。）

问：我们这个岗位需要在客户现场对进行漏洞挖掘，有相关的渗透技能吗？

答：（提前交代下，x师傅也和up一样，渗透技能一般，很一般，能跟着打没问题，叫干什么都能做，但是这方面的独立执行性很低，没把握交出什么好果子，所以这题先是肯定了自己的水准，然后大致说了一下渗透测试流程，和自己的思路，都是和身边的大佬白嫖来的。师傅们自行准备吧，这题一般都有，实在不行按照up给出来的渗透测试流程抄！）

明确目标

  主要是确定需要渗透资产范围；确定规则，如怎么去渗透；确定需求，如客户需要达到一个什么样的效果。

信息收集

  信息收集阶段主要是收集一些基础信息，系统信息，应用信息，版本信息，服务信息，人员信息以及相关防护信息。

  信息收集大多是工具加手工进行收集信息，工具如nmap，相关终端命令，浏览器插件，在线工具等。

漏洞探测（挖掘）

  主要是探测（挖掘）系统漏洞，web服务器漏洞，web应用漏洞以及其他端口服务漏洞，如telnet，ssh，vnc，远程桌面连接服务（3389）等。

漏洞验证（利用）

  漏洞验证主要是利用探测到的漏洞进行攻击，方法主要有自动化验证（msf），手工验证，业务漏洞验证，公开资源的验证等。

  总的来说就是工具加手工，为了方便，可以将自己渗透常使用的工具进行封装为工具包。

（附上原文链接：https://blog.csdn.net/weixin_52790143/article/details/124899016）

• 小总结：

电话面试结束，感觉就是个先遣，结果未知，等待二面。

• 技术面试

大概电话面试当天下午x师傅就又接到了hr的电话，想约第二天中午的线上技术面试，面试开始前十分钟进某会议软件等待面试官。（标准多人轮换排队面试，up出社会前也有过一次，当时up也是从十几个人之中突出！可惜最后工资没谈妥，话不多说正片开始↓）

问：常见中间件的漏洞？

答：反序列化大家族、nginx解析漏洞、redis未授权。

问：反序列化原理？

答我记得java从编译到执行一共有七步，其中一步里就是序列化：将对象转换成二进制字节流，反序列化就是将字节流重新转化为对象。

问：Shiro反序列化攻击过程？

答：我水平有限平时都是用工具实现的，首先还是确认是否存在shiro框架，可以通过识别中间件的工具或者rememberme的关键字，然后爆破密钥，爆出后测试利用链，测试通过即可rce。

问：Shiro反序列化的防御手段？

答：我上一题的回答提到了爆破密钥，其实最简单的方法就是将默认加密的key改掉，二次进行加密或者直接采用随机生成的方式，都是很好的解决办法，当然了，最普遍的做法也可以采用升级shiro或者打上补丁。

问：数据包分析

答：（这个就很随机了，x师傅当时拿到的是一个还算简单的题目，题目的形式就是数据包截图，一个http请求，别的什么都没有，甚至截图都是在wireshark截的，不给你看到太多有用信息，攻击加密了藏在head里，就不透露是什么了，具体情况具体分析，正常来说不可能太难，一般都是常见攻击的数据包，师傅们可以移步看看我之前讲数据分析的一个帖子，参考参考。）

问：应急响应思路？

答：如果是操作系统就查日志，查隐藏用户，查事件id，查计划任务，查远程登录记录，查历史命令查；数据库就查操作记录、数据变动、接入记录等；web的多加个访问日志查询而已，需要配合现场安全设备告警内容和已有信息进行排查。（没继续深问，感觉只是需要基本具备）

问：内存马排查？

答：（这题x师傅拉了，给大家贴上网上回答吧。）

先查看检查服务器web日志，查看是否有可疑的web访问日志，比如说filter或者listener类型的内存马，会有大量url请求路径相同参数不同的，或者页面不存在但是返回200的请求。

如在web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，排查中间件的error.log日志查看是否有可疑的报错，根据注入时间和方法根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell，排查框架漏洞，反序列化漏洞。

查看是否有类似哥斯拉、冰蝎特征的url请求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本吻合。

通过查找返回200的url路径对比web目录下是否真实存在文件，如不存在大概率为内存马。

（附上原文链接：https://blog.csdn.net/SimoSimoSimo/article/details/127700190）

问：看你昨天说会免杀，大概说说怎么个流程？

答：webshell的话基本就是混淆、编码、倒叙，去除关键字的特征，不过也需要对系统的中间件、语言版本进行一个判断，像assert就不能在php7.1版本下执行字符串内容了，拼接无效，eval现在测试下大概率能过，以上思路做出了的除了某圣云沙箱和某h的沙箱会告警外其余基本通杀。Exe目前还在研究中，汇编是指定做不了，但也有个大体思路，加白壳，dll劫持，多压一次，defender就可能识别不出来，但还是有概率，还不清楚是哪部分的问题，最近打算尝试加上分离加载。

• 大总结

技术面试结束后hr还和x师傅聊了通勤时间、薪资要求，讲了大概的工作内容、问x师傅能不能接受以及最快什么时候到岗，虽然还没正式出结果，但应该问题不大了.。面试难度总体不高，万幸面试官不是那种爱抬杠深问的，估计岗位竞争没有想象的大。恰逢六一，up偷个懒水一篇，祝x师傅和各位师傅好运。

原文始发于微信公众号（一己之见安全团队）：面试篇——某数字企业安服工程师