面试汇总--持续更新(20250110)

admin 2025年1月10日19:09:51评论3 views字数 8944阅读29分48秒阅读模式

 

  • 2024.10.29内容:SQL注入、XSS、CSRF、SSRF、命令执行、代码执行、XXE、文件上传、文件包含、文件读取、文件下载、目录遍历、反序列化、逻辑漏洞、未授权、缓冲区溢出、Ddos攻击、应急响应
  • 20250101新增:常见端口、提权
  • 20250108新增:流量特征、应急响应(大概简化了点,不全)、框架组件
  • 20250110新增:常见漏洞危害及绕过、网络安全设备常见问题

面试会问到,记不住,放公众号,随时看,慢慢更新,更新会删除并重新发表,如果面试还有什么遗漏,欢迎提问

整理的肯定不全,而且主要是为了面试查看,所以没有采用官方回答,能简化则简化,如果写报告,肯定要使用更专业的回答

    • cisp必备(而且也简单,有手就会)
    • 其他证书看要求(有的项目必须要有)
      • cisp-pte(听说某公司之前可以免试,现在不确定)
      • cisp-pts
      • 如果做数据安全,可能需要数据安全证书
      • 如果做云安全,可能需要云安全证书
      • 如果做应急响应,可能需要应急响应证书

流量特征

  • PHP一句话木马:<?php @eval($_POST['w']);?>
  • 菜刀:base64加密,特征明显有参数z0,z1,z2,请求体中包含eval
  • 蚁剑:PHP用base64加密,UA为工具名antSword,请求中常见@ini_set
  • 冰蝎:AES对称加密,内置16个UA头,content-type固定
  • 哥斯拉:base64加密,cookie中结尾有;请求为pass=开始
  • CS:
    • 心跳包默认60秒,默认端口50050,随机或固定的UA根据版本判断,0.0.0.0是DNS beacon默认特征
    • HTTP源码特征:Wireshark抓HTTP请求包,然后提取他的请求url路径通过checksum8解密算法,如果得到的结果为92或93,则可以判断他的cs是没有进行魔改的
    • HTTPS源码特征:同一系统下的cs得到它的ja3 ja3s值是一致的
  • MSF:
    • 默认使用4444端口作为反向连接端口
    • msf数据包通常包含特定字符串:("meterpreter"、"revshell"等)

网络安全设备

  • IDS:
    • 入侵监测系统,是否了解并配置
    • 监控网络流量并报警
    • 部署在网络监控点,监听流量不干预
    • 减少误报:调整规则集、流量分析、机器学习
  • IPS:
    • 入侵防护系统,是否了解并配置
    • 主动拦截并阻止攻击
    • 部署在流量路径,实时阻断恶意流量
    • 减少误报:调整规则集、流量分析、机器学习
    • 处理误报:调整监测阈值、白名单等方式
  • 态势感知:是否会研判告警、调试规则、分析流量
  • NGSOC:是否会研判告警、调试规则、分析流量
  • 防火墙:是否会调试策略
  • WAF:是否会配置
  • 蜜罐:是否会配置
  • 堡垒机:是否会配置

框架组件

  • shiro反序列化:
    • 特征:存在rememberMe字段
    • 如果返回包包含java反序列化异常报错信息可能攻击成功
  • struts2:
    • 在请求头中存在OGNL表达式,请求头中找java.lang.Runtime这个参数可执行系统命令
    • URL中存在特定的Struts2命名空间(namespace)和操作名(action)
  • Log4j2:
    • ldap、rmi
    • 攻击成功可以查看源ip与dnslog外联请求
  • fastjson反序列化:
    • 请求方式为POST,且content_type:application/json
    • 状态码大多数为500,400

常见端口

  • MySQL:3306
    • UDF提权
    • MOF提权
    • 启动项提权
  • SQL Server:1433/1434
    • xp_cmdshell提权
    • CLR提权
    • 沙盒提权
  • PostgreSQL:5432
    • UDF提权
    • 历史漏洞提权
  • Oracle:1521
    • 注入存储过程提权
    • utl_http.request存储过程提权
  • MongoDB:27017/27018
  • ES:9200/9300
  • redis:6379
    • 写webshell
      • 条件:
        • 知道网站绝对路径,并且需要增删改查权限
        • root启动redis
        • redis弱密码或无密码
    • 写 ssh-keygen公钥
      • 条件:
        • redis服务使用Root账号登录
        • 服务器开放SSH服务,并且允许使用密钥登录
    • 创建计划任务反弹shell
      • 条件:
        • root启动redis
        • redis无密码或弱密码
    • 主从复制getshell
      • 条件:
        • Redis版本(4.x-5.0.5)
        • redis无密码或弱密码
        • root启动redis
  • FTP:21
  • SSH:22
  • Telnet:23
  • SMTP:25
  • DNS:53
  • RDP(远程桌面):3389
  • POP3:110
  • SMB:445
  • RabbitMQ Management:15672
  • ActiveMQ Web Console:8161
  • WebLogic:7001/7002
    • 弱口令
    • 反序列化
    • 任意文件上传
    • SSRF漏洞
    • 远程代码执行漏洞
    • 未授权访问漏洞
  • Tomcat:8080
    • 弱口令登录+后台配置WAR包getshell
    • 信息泄露
    • tomcat文件包含+getshell
    • 任意文件写入
  • Apache:80、443
    • 换行解析漏洞
      • 1.php后面插入�A
    • 多后缀解析漏洞
      • 1.php.jpg会解析为1.php
    • SSI远程命令执行漏洞
      • 上传1.shtml文件
    • 路径穿越漏洞
      • curl -v --data "echo;id" 'http://192.168.200.3:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh'
    • SSRF漏洞
    • 目录遍历漏洞
  • IIS:80
    • IIS6.0 PUT漏洞
    • IIS6.0 远程代码执行漏洞
    • IIS6.0 解析漏洞
      • 1.asp;.jpg会当成1.asp解析
    • IIS7.0/7.5 解析漏洞
      • 1.jpg/.php
    • IIS段文件名漏洞
    • HTTP.SYS远程代码执行漏洞
  • Nginx:443
    • 解析漏洞
      • 1.jpg/2.php
      • 1.jpg [加个空格]
      • 配置不当
      • %00截断解析
    • 目录遍历
    • 目录穿越
    • CRLF注入漏洞
    • 整数溢出漏洞
  • Jboss:8080
    • Jboss 5.x/6.x反序列化漏洞
      • 访问/invoker/readonly返回500,证明存在
    • Administrator Console管理页面弱口令+后台上传war包进行Getshell
    • JXM Console未授权访问

系统提权

  • Linux
    • 内核提权
      • 如脏牛漏洞:内核>=2.6.22
    • SUID提权
    • 计划任务提权
    • sudo提权
    • 明文root密码提权
    • 密码复用提权
    • 配置错误提权
    • 第三方服务提权
      • NFS提权
      • Docker提权
      • 数据库提权
        • UDF提权
        • MOF提权
        • 启动项提权
        • 反弹端口提权
        • CVE-2016-6663、CVE-2016-6664组合提权
  • Windows
    • 内核溢出漏洞提权
    • psexec提权
    • UAC提权
    • 令牌窃取
    • 烂土豆提权
    • 可信服务路径漏洞提权
    • DLL劫持提权
    • at命令提权
    • sc命令提权
    • 常用漏洞提权

SQL注入

  • 原理:没有对用户输入的SQL语句进行严格的验证和过滤
  • 危害:只要权限广,可直接getshell
  • 一般都是以MySQL为准
  • MySQL5.0以下:只能暴力猜解
  • MySQL5.0以上:information_schema
    • information_schema.schemata: 该数据表存储了mysql数据库中的所有数据库的库名
    • information_schema.tables: 该数据表存储了mysql数据库中的所有数据表的表名
    • information_schema.columns: 该数据表存储了mysql数据库中的所有列的列名
  • 常用函数:
    • version(): 查询数据库的版本
    • user():查询数据库的使用者
    • database():数据库
    • system_user():系统用户名
    • session_user():连接数据库的用户名
    • current_user:当前用户名
    • load_file():读取本地文件
    • into outfile:写文件
    • @@datadir:读取数据库路径
    • @@basedir:mysql安装路径
    • @@version_complie_os:查看操作系统
    • ascii(str) : 返回给定字符的ascii值
    • length(str) : 返回给定字符串的长度
    • substr(string,start,length) : 对于给定字符串string,从start位开始截取,截取length长度
      • substr()、stbstring()、mid() 三个函数的用法、功能均一致
    • concat(username):将查询到的username连在一起,默认用逗号分隔
    • concat(str1,'*',str2):将字符串str1和str2的数据查询到一起,中间用*连接
    • group_concat(username) :将username数据查询在一起,用逗号连接
    • limit n,1: 查询第n+1个数
  • 分类
    • 注入类型分类
      • 数字类型、字符串类型、搜索类型、框架类型
    • 提交方式分类
      • GET注入、POST注入、Cookie注入、HTTP头注入
    • 获取信息的方式分类
      • 布尔注入
        • 猜,如length(str)
      • length(database())>5
      • 时间注入
        • sleep()
        • if(1>2,sleep(1),0);
      • 报错注入
        • floor
        • extractvalue
        • UpdateXml
        • NAME_CONST
        • join
        • exp
        • GeometryCollection
        • polygon
        • multipoint
        • multlinestring
        • multpolygon
        • linestring
      • 联合注入
        • union
      • 堆叠注入
      • 宽字节注入
        • df'
  • 步骤
    • 是否存在注入:
      • 单引号、双引号、单括号、双括号是否报错
      • and 1=1、and 1=2,页面不一样代表存在SQL注入
    • 判断列数:
      • order by
    • 判断回显点:
      • union select 1,2,3
    • 收集信息(用户、库、表、列、拿数据)
  • 万能密码:
    • OR '1' = '1
    • OR 1=1
    • ' OR 'a' = 'a
  • 绕过
    • 编码绕过
    • 大小写绕过
    • 等价函数绕过
    • 双写绕过
    • 注释符绕过
  • sqlmap
    • -u:判断是否存在注入
    • --current-db:获取当前数据库
    • --current-user:查看当前用户
    • --tables -D "admin":获取admin数据库中的表
    • --columns -T "admin" --tables -D "test":获取test数据库中admin表的列名
    • -dump -C "username,password" --columns -T "admin" --tables  -D "test":获取test数据库下admin表中的username和password列的数据
    • --dump-all:获取所有数据
    • --data "":POST注入
    • -r:文件注入
    • --tamper:脚本绕过
  • 绕过:
    • 注释符绕过
      • /*注释内容*/
      • ;
      • ;%00
    • 大小写绕过
    • 内敛注释绕过
      • /*!select*/
    • 双写绕过
    • 编码绕过
      • ASCII编码
      • 16进制编码
      • Unicode编码
    • 大于小于号绕过
      • between and
      • in
    • 空格绕过
      • /**/
      • ()
      • `
      • tab键
      • 两个空格
      • %0a
    • 关键字绕过
      • or:||
      • and:&&
      • xor:|或者异或^
      • not:!
    • 等号绕过:
      • like
      • regexp
      • 大小于号
      • !<>
    • 单引号绕过:
      • 十六进制
      • 宽字节
    • 等价函数绕过
      • sleep():benchmark
      • ASCII():bin、hex、ord
      • group_concat():concat_ws、concat
      • substr():substring、mid、left、right
  • 修复:
    • 采用预编译
    • 使用参数化查询
      • 参数化:将用户输入内容当作数据,而不是SQL语句的一部分
    • 使用ORM(对象关系映射)
      • ORM会自动使用参数化查询
    • 对输入内容做严格校验和过滤
      • 只允许字母和数字
    • 最小化数据库权限
    • 禁止敏感函数操作
    • 使用WAF
    • 禁用数据库错误输出
    • 使用云数据库(一般很少公司使用)
      • 原因:数据库是心脏,放在别人身上不安全
      • 如何取舍?
      • 云数据库只有白名单才可以访问(拿到账号密码也不行)

XSS

  • 跨站脚本攻击
  • 原理:没有对用户输入的HTML语句进行严格的验证和过滤
  • 危害:
    • 窃取用户信息
    • 篡改页面
    • 钓鱼
    • 执行恶意操作
    • 传播恶意软件
    • 破坏网站功能
    • 蠕虫
    • 恶意重定向
  • 分类:
    • 反射型
    • 存储型
    • DOM型
  • 绕过:
    • 编码绕过
      • HTML实体编码
      • URL编码
      • Unicode编码
      • base64编码
      • Javascript编码
    • 大小写绕过
    • Javascript事件绕过
    • 浏览器容错机制绕过
    • 不完整的HTML标签绕过
    • 注释绕过
    • DOM方法绕过
    • 外部脚本绕过
    • IMG标签绕过
    • IFrame绕过
    • SVG绕过
    • Flash文件绕过
    • 内敛绕过
    • windows.location绕过
    • document.write绕过
    • 字符拼接绕过
  • 修复:
    • 对用户输入进行转义
    • 对用户输入内容进行严格的验证
    • 使用CSP
      • CSP:浏览器的安全机制
    • 避免直接插入数据
      • 使用textContent 或 innerText 来插入文本(只是插入纯文本)
      • 不能使用 innerHTML(会解析并执行其中的HTML和Javascript)
    • 使用安全的JS框架和库
      • React, Angular, Vue等框架会自动对用户输入进行转义
    • 禁止内敛脚本
    • 关闭错误显示
    • 使用HttpOnly

CSRF

  • 跨站请求伪造
  • 原理:利用登录状态诱使用户在不知情的情况下执行恶意操作
  • 危害:
    • 数据泄露
    • 非法操作
    • 蠕虫
    • 拒绝服务
  • 绕过:
    • 置空
    • 删除参数请求
    • 复用请求
    • 更改请求方法
    • 替换相同长度
    • 解码CSRF令牌
    • HTML注入提取令牌
    • referer绕过
  • 修复建议
    • 使用Token验证
    • 在Set-Cookie头中使用SameSite属性
      • 限制浏览器是否携带Cookie跨站点发送
    • 避免使用GET请求敏感操作
    • 验证请求来源
      • Referer、Origin

SSRF

  • 服务器请求伪造
  • 原理:通过构造恶意请求,利用服务器发起请求,访问内部资源
  • 危害:
    • 内网探测
  • 伪协议:
    • http://
    • file:///
    • dict://
    • sftp://
    • ldap://
    • tftp://
    • gopher://
  • 绕过:
    • 伪协议绕过
    • @符号绕过
    • .绕过
    • IP地址绕过
      • 127.0.1
      • localhost
      • [::1]
      • 17.1
    • 进制转换绕过
    • 短网址绕过
    • 302绕过
    • 注册域名并解析到127.0.0.1绕过
    • 特殊地址绕过
      • http://0/
  • 修复建议
    • 限制HTTP请求范围
      • 白名单限制服务器能访问的IP地址范围
      • 禁止访问内部地址(127.0.0.1, localhost, 0.0.0.0)
    • 对输入内容进行严格验证
    • 禁止不必要的协议
    • 避免URL重定向

命令执行

  • 原理:通过WEB应用执行系统命令
  • 危害:
    • 系统权限提升
    • 铭感信息泄露
    • 远程执行恶意代码
    • 只要权限广可getshell
  • 函数:
    • system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_popen()、passthru()等
  • 绕过:
    • 空格绕过
      • ${IFS}
      • $IFS$9
      • %09
      • {}
      • <
    • 关键字绕过
      • 变量拼接
      • 系统变量绕过
      • Base64编码绕过
    • 无回显借助DNSlog平台
  • 修复建议
    • 避免直接执行输入的命令
      • 使用系统的 API(如 Python 的 subprocess)并避免使用 system()、exec() 等函数
    • 对输入内容进行严格校验
    • 使用参数化命令执行
      • 使用 subprocess.run() 代替 os.system()
    • 限制命令的执行权限
    • 禁止返回内容

代码执行

  • 原理:允许攻击者在目标服务器上传或执行恶意代码
  • 函数:
    • eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()、等
  • 修复建议
    • 禁止上传可执行文件
    • 检查文件内容
      • MIME类型、扩展名
    • 限制权限
    • 文件上传时使用随机文件名
    • 对输入内容进行严格校验
    • 关闭错误显示

XXE

  • XML外部实体注入
  • 原理:没有对用户输入的恶意的XML语句进行严格的验证和过滤
  • 危害:
    • 内网扫描
    • 任意文件读取
    • 命令执行
  • 绕过:
    • 关键词绕过
      • HTML实体
      • Base64
      • UTF-7
      • UTF-16be
    • 其他协议绕过
      • data://
      • file:///
      • php:/filter
    • 文档中额外空格绕过
  • 修复建议
    • 禁用外部实体解析
    • 使用XML解析库的安全配置
    • 对输入内容进行严格校验
    • 限制权限

文件上传

  • 原理:没有对用户上传的文件进行严格的验证和过滤
  • 危害:
    • 上传WEBshell
  • 绕过:
    • 前端绕过
      • 删除前端校验函数
      • 禁用JS代码
      • BP改包
    • 黑名单绕过
      • 等价扩展名绕过
      • .htaccess文件绕过
      • 大小写绕过
      • 空格绕过
      • 点号绕过
      • ::$DATA绕过
      • 空格+点号绕过
      • 双写绕过
      • 00截断
      • 文件头监测绕过
      • user.ini名字绕过
    • 白名单绕过
      • MIME绕过
      • 00截断
      • 二次渲染
      • 条件竞争时间差绕过
      • 配合其他漏洞
  • 修复建议
    • OSS
      • 引发的问题:key泄露
    • 限制上传类型
      • 扩展名、MIME类型
    • 对文件内容进行严格验证和过滤
      • 使用库如 ImageMagick 或 Pillow 来验证图像文件的实际内容
    • 上传目录设置为只读,无执行权限
    • 限制上传文件大小
    • 对上传文件名进行处理(随机生成)
    • 禁止使用特殊字符
      • ..
      • /
      • %
    • 白名单校验
    • 如果是图片,进行二次渲染、压缩
    • 禁用输出

文件包含

  • 原理:包含文件时没有对用户输入的内容进行严格的验证和过滤
  • 分类:
    • 本地文件包含
    • 远程文件包含
      • allow_url_include=On
  • 绕过:
    • 伪协议绕过
    • %00截断
    • 长度截断
  • 伪协议:
    • file://
    • php://filter/read=conver.base64-encode/resource=./index.php
    • php://filter/write=convert.base64-encode/resource=phpinfo.php&test=<?php phpinfo()?>
    • php://input    post=<?php phpinfo()?>
      • php://input  POST:<?php fputs(fopen('shell.php','w'),'<?php @eval($_GET[cmd]); ?>'); ?>
    • data://text/plain,<?php phpinfo();?>
  • 修复建议
    • 禁用远程文件包含
      • allow_url_fopen 和 allow_url_include 设置为 Off
    • 对用户输入的内容进行严格的验证和过滤
    • 使用安全的库或函数
      • 在 PHP 中,可以使用 basename() 来去除路径信息,只保留文件
    • 限制目录
    • 最小化原则

文件读取

  • 原理:没有对用户的输入进行严格的过滤,导致可以读取敏感文件
  • 修复建议
    • 禁锢目录,只能访问特定目录下的文件
    • 限制权限,最小化原则
    • 文件名和访问路径进行白名单设置
    • 对用户输入的内容进行严格的验证和过滤(如../)
    • 禁止使用危险参数
      • readfile()、file_get_contents()等

文件下载

  • 原理:没有对用户的输入进行严格的过滤,导致可以下载敏感文件
  • 修复建议
    • 对用户输入的内容进行严格的验证和过滤(如../)
    • 限制可下载的文件文件类型和目录
    • 控制文件访问权限
    • 设置白名单,只能下载特定目录下的文件
    • 随机ID文件拼接

目录遍历

  • 原理:没有对用户的输入进行严格的过滤,导致可以目录遍历
  • 修复建议
    • 对用户输入的内容进行严格的验证和过滤(如../)
    • 控制文件访问权限
    • 禁用相对路径
    • 使用安全的函数
      • 如 realpath()

反序列化

  • 原理:没有对用户的输入的序列化数据进行校验
  • 序列化:对象转换为数组或字符串等格式
    • serialize()
  • 反序列化:数组或字符串等格式转换为对象
    • unserialize()
  • 绕过:
    • 魔术方法绕过
    • 正则匹配绕过
    • 十六进制绕过
  • 修复建议
    • 禁用不必要的反序列化操作
    • 对反序列化的数据进行签名和加密
    • 验证和过滤反序列化数据
    • 使用安全的库和数据格式
      • JSON、XML
    • 白名单
      • 只允许特定的类进行反序列化

逻辑漏洞

  • 原理:逻辑功能存在缺陷,导致可以绕过造成其他影响
  • 修复建议
    • 代码控制(逻辑漏洞是程序员设计问题,没想到这个问题)

未授权

  • 原理:没有正确实现访问控制,导致可以访问限制级的资源
  • 修复建议
    • 强制认证和授权
    • 最小化原则
    • 定期审查访问控制逻辑

缓冲区溢出

  • 原理:将过多数据写入缓冲区导致溢出,造成缓冲区溢出
  • 修复建议
    • 使用安全的编码语言
    • 边界检查和验证
    • 编译器保护
      • 使用栈保护(如 StackGuard)和数据执行保护(如 DEP)等编译器和操作系统功能来防止缓冲区溢出

Dos攻击

  • 原理:通过消耗系统资源(如 CPU、内存、带宽)使 Web 应用无法正常提供服务
  • 修复建议
    • 限制请求频率
    • 部署WAF
    • 反向代理、负载均衡

应急响应:

  • 流程:
    • 收集信息
      • 收集客户信息和中毒信息,包括样本
    • 判断类型
      • 判断是否是安全事件、何种安全事件、勒索、挖矿、断网、Dos
    • 深入分析
      • 日志分析、进程分析、启动项分析、样本分析
    • 清理处置
      • 直接杀掉进程、删除文件、打补丁、修复文件
    • 产出报告
      • 整理并输出完整的安全事件报告
  • 学习:https://bypass007.github.io/Emergency-Response-Notes/
  • 应急响应简化:
    • Windows入侵排查:
      • 入侵排查思路:
        • 检测系统账号安全:
          • 是否存在弱口令、远程管理端口是否对公网开放
          • 是否存在可疑账号、新增账号
          • 是否存在隐藏账号、克隆账号
          • 结合日志,查看管理员登录时间,用户名是否存在异常
        • 检查异常端口、进程:
          • 异常端口检查:
            • netstat -ano:查看网络连接,定位可疑的ESTABLISHED
            • netstat -ano | findstr "port"
            • 根据netstat定位的pid,结合tasklist命令进行进程定位:tasklist | findstr “PID”
          • 进程检查:
            • msinfo32命令可查看运行进程的详细信息
            • D盾、微软官方提供的 Process Explorer 等工具排查
            • 主要关注:没有签名验证的进程及子进程、没有描述信息的进程、进程的属主、进程的路径是否合法、CPU或内存资源占用时间过高的进程
        • 检查启动项、计划任务、服务
        • 检查系统相关信息
          • 系统版本、补丁、可以目录及文件、同时间段修改的文件和目录
        • 自动化查杀
        • 日志分析
      • Linux入侵排查思路:
        • 账号安全
          • 可疑账号、可以远程登录的账号、UID为0的特权用户(who、w、uptime)
          • 之后禁用或删除多余及可疑的账号
        • 历史命令是否存在
        • 检查异常端口
        • 检查异常进程
        • 检查开机启动项
        • 检查定时任务
        • 检查服务自启动
        • 检查异常文件
          • /tmp目录
          • 入侵范围内修改的文件
        • 检查系统日志
      • WEBshell查杀工具:
        • D盾、百度WEBDIR+、河马、Web Shell Detector、牧云、Sangfor WebShellKill、深度学习模型检测PHP Webshell、PHP Malware Finder、findWebshell、在线webshell查杀工具
      • 如何发现隐藏的后门:
        • MD5校验、diff命令、版本控制工具、文件对比工具(Beyond Compare、WinMerge)
      • 勒索病毒:
        • 利用勒索病毒搜索引擎

原文始发于微信公众号(一个努力的学渣):面试汇总--持续更新(20250110)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月10日19:09:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   面试汇总--持续更新(20250110)https://cn-sec.com/archives/3616576.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息