网络安全面试经验                            贴一下我自己找的一些安全面经：https://github.com/h4m5t/Sec-Interview                   目录:                           个人介绍                      面试问题                      各大公司必问的问题                      自己要问的问题                      感谢名单                      简历模板                      总结以及招聘                      笔者微信                      参考文章                                                                                                           个人介绍:                           自我介绍要点：不要用长逻辑句，短小精悍 控制在3-4分钟                               1、自我介绍   姓名  年龄  哪里人  学校情况  不是重点，作为顺滑开场                                       2、经历与技能  啥时候开始学web攻防，实习经历（神舟，做了什么；尚然，做了什么），让人家清楚历史引入技术主题，挑重点                                       3、业绩/成绩： 研究类：freebuff SRC I春秋 博客 版主，自运营安全微信公众号，年度风云榜                                       技术类：0day  漏洞 比赛名次啊等                                       突出重点与精华展现实力                                       结束，谢谢                                       接下来靠自己                                                                                                                  面试问题                                                                   csp是什么？如何绕过csp?                               介绍:                                   Content Security Policy （CSP）内容安全策略，是一个附加的安全层，有助于检测并缓解某些类型的攻击，包括跨站脚本（XSS）和数据注入攻击。                                CSP的特点就是他是在浏览器层面做的防护，是和同源策略同一级别，除非浏览器本身出现漏洞，否则不可能从机制上绕过。                                 CSP只允许被认可的JS块、JS文件、CSS等解析，只允许向指定的域发起请求。                                  绕过方法                                   location.href+cookie                            子提交                                       js动态创建一个a标签，a标签里附带cookie                                      iframr绕过csp+ dns通道传送cookie                                       #原理是什么?                               当一个 同源 站点，同时存在两个页面，其中一个有CSP保护的A页面，另一个没有CSP保护B页面，那么如果B页面存在XSS漏洞，我们可以直接在B页面新建iframe用javascript直接操作A页面的dom，可以说A页面的CSP防护完全失效                                                 黄金票据和白金票据的区别                      mysql root 权限有哪些提权方式                               看系统，分别说                         window                                   MOF                            UDF                                  Linux                                    CVE-2016-6663                            CVE-2016-6664  #Mysql<5.5.51或<5.6.32或<5.7.14                            mysql 5.0 以上Linux 下提权，通过system 系统函数                                  常规写webshell                                   dump file                            outfile                            日志写shell                            ....                                       内网提权                               window                                   导出hash                            导出各种存储凭证                            window-exploit-suggester   systeminfor 进行对比                                       ms11080                               pr提权   补丁号为 KB952004                               巴西烤肉提权                               ...(这个不太擅长)                                      某特特定的软件，带有系统功能的软件，我们加个dll 注入器                                       reference: ATT&CK手册                                                                         linux                                   ...                                  web容器                                   iis6提权                                                                    正常注入点sa权限，可以os-shell但是全部是基于断网机，你怎么办?                               system权限                                   正常注入后台书籍，进入后台拿webshell, 通过上传exe文件来配合os-shell 执行系统命令来下载web服务器的文件到数据库服务器文件执行                            能够执行全部系统命令，可以在Web前台上传点，上传文件到web服务器，通过,arp -a,netstat -ano找到web服务器的ip地址，下载web服务器的文件执行抓取系统密码等操作                            利用网上的批量出网命令，利用前面拿到的系统的账号密码,psexec,vmi, net use, creakexec等工具进行批量横向出网探测，能够出网的机器转发出来                            可以把exe 转base64编码，通过某种方式带进去，然后用window自带的转码工具恢复                                       vmi,ssrf是什么？ssrf支持哪些协议                               ssrf支持哪些协议                                   file://                            Dict://                            SFTP://                            TFTP://                            LDAP://                            Gopher://                                  ....                              鱼叉，水坑攻击的案例                               鱼叉攻击把                                   对某些网络犯罪人员定向钓鱼， 利用winrar目录穿越+免杀技巧渗透                            通过webshell + flash/证书更新/浏览器需更新/网站崩溃需要修复 等，诱导其下载exe                             x网上批量投毒....                                       同源策略和跨域                               不同域名，端口，协议，无法通信                         跨域:CORS                                    access-control-allow-original                            跨域加载资源  img,script,link                                    jsonp                         window.domain                         window.message                              sql盲注时候有什么办法优化                               二分查找                         DNslog                              拿到一台内网的PC机，应该做什么?                               本机信息搜集                                   本地hash                            网页历史存储的密码                            rdp连接记录                            winscp,ssh,putty,xshell,等连接过的痕迹                            mysql,mssql等，快速查找带有 user,pass等字段的值                            利用一切现有的工具，把敏感信息搜集起来，做横向渗透用                            做个简单免杀权限维持                                       白名单的                                           MSbuild.exe                                  installutil.exe                                  mshta.exe                                  vmic.exe                                  bitsadmin.exe                                          命令行的免杀teamview                                            B/C段信息搜集                                   看看本地拿下的账号密码和其他段内的是否相似                                       ms17-010 ， phpstudy的后门， 已知的web中间件的快速getshell(iis写，nginx配置不当导致getshell，), cve漏洞,使用,SMBexecc, psexec，net use 这些工具，使用相同的密码对C段或者B段探测                                      段内的web服务，网关等                                       或者拿下某台特定的服务， net share  或者是ftp(文件服务器/共享服务器,wiki，对面的软件做捆绑，或者是chm手册上.....)                                      搜集特定段内的邮箱，批量的信息搜集或者是用鱼叉式钓鱼附件/鱼叉式连链接                            最先尝试web爆破，最后尝试爆破ssh,rdp,ftp,mysql,mssql等                                  域渗透                                   .....                                       SQL注入，id=1如何检测？orderby怎么利用？limit语句怎么利用？盲注有什么？                               SELECT * FROM users WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,version())),1);                              sqlmap os shell原理                               就是通过 outfile 上传一个简单的上传一个 cmd命令 shell                                   权限:                                       file权限                               绝对路径                               php gpc 为off                                                 为什么同源策略无法防御csrf？                               为什么同源策略无法防御csrf？ 同源策略不能阻止一个域向另一个域发送请求，它能阻止处理请求返回的数据，csrf在请求发送的瞬间就完成攻击了。                         同源策略是限制了不同源的读，但不限制不同源的写                              cors和jsonp比较？                               JSONP只支持GET请求，CORS支持所有类型的HTTP请求； JSONP兼容性好，支持老式浏览器；                              B站与A站不同源的情况下如何通过B站获取到A站用户信息                               csrf+xss                         jsonp                              ARP攻击原理，防御方法                               假冒ARP reply包（单波或广播），向单台主机或多台主机发送虚假的IP/MAC地址                         防御方法:                                   瑞星***                            ip和mac地址绑定                                       php的站限制了任何php文件上传，如何上传php文件？                               先判断是win还是linux，再进一步上传分析，是基于白名单校验还是黑名单校验,是否是waf进行了限制                                   php3,php3,php5,phtml                            如果是前台，可以尝试上传html，或者在上传的地方fuzz，看看有没有注入，如果前台上传html成功，盗取页面cookie，到后台再试试，如果注入成功，拿到账户密码再去后台试试                            .htaccess                            .user.ini                            配合中间件的信息进行做fuzz                                       nginx                               apache                                                 sqlmap udp提权原理?                               ....                              你是如何做应急响应的呢?查询webshell,如何被黑，如何提取解决方案，如何溯源入侵的黑客呢？如何取证呢?                                 网页挂木马                                   如果木马上写上了 hack by 谁谁谁，那你就要考虑是不是哪些小黑客干的了，一般他们的能力就只能黑 gov, 学校的，如果是商业的网址，你就要考虑是不是 为了转移你目标视线的狡猾黑客了.还有，如果引流某个特定的bc,黄色，约炮这种，根据这些黑网站的信息进行检索，看看全球网站都是通过这样被黑的，因此思考，是不是同一套系统的0day,或者这些端口特定的漏洞                                  分析是怎么入侵的？                                   window                                       服务器有没有用cdn,是否有弱口令，开放了哪些端口，尝试测试有哪些可以是未授权访问                               打开 D 盾 web 查杀工具， 看看有没有克隆或者隐藏的账号                               Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”。                               检查异常端口、进程 1、检查端口连接情况，是否有远程连接、可疑连接。                                           a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED                                  b、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”                                  如果觉得可疑ip，那么首先端口扫描下，用一些开源的情报平台搜索下..                                          查看开始自启菜单，计划任务，注册表，dll劫持....                                      linux                                       history                               常见的web,系统，waf日志                               进程注入(cymothoa)，计划任务的，自启目录,ssh记录账户密码，开源的rootkit                               定时计划任务                               #  awk -F: '$3==0{print $1}' /etc/passwd   #查看uid为0的特权账户                               开启自启配置文件                               /etc/rc.local                               /etc/rc.d/rc[0-6].d                               ...                                      如何查找挖矿木马                                       两个点:                               cpu                               可以的对外连接                                           直接查看占cpu高得进程                                  在windows下查看某个运行程序（或进程）的命令行参数                                  使用下面的命令：                                  wmic process get caption,commandline /value                                  如果想查询某一个进程的命令行参数，使用下列方式：                                  wmic process where caption=”svchost.exe” get caption,commandline /value                                  这样就可以得到进程的可执行文件位置等信息。                                  #不过有些时候，木马删除了，他还是会不断得复制得，这个时候你可以用特定得软件（火绒剑）去分析，找他这个进程得父进程，或者找到进程所注入得服务，先把服务关了，再把进程杀了，                                          linux:计划任务，开启启动项，服务等，一般可以查看到恶意脚本                                                 挖了哪些洞，怎么挖的                               简单讲三个小漏洞                                   存储xss                                       挖掘 某*** ，idc商的的过程                                      注入                                       表单提交，fuzzing上传图片的注入，地后台更换密码的谍对注入                               但是密码加密加盐了，创建了一个简单的账号密码，解密出加密加盐的规则，谍对注入修改管理账户密码                                                 本人经典的渗透实战案例:                               某个公安的网站被黑，查看日志等信息，没有看出什么结果，但是页面全部引流到一个商城系统，卖壮阳药的. 这个商城是TPSHOP1.3.3，后台指定ip登录，商城系统，而这个商城系统是存在 xss+后台getshell （添加物流插件的地方存在getshell）漏洞的，                                    构造方法:  触发xss的时候，后台页面先用ajax获取hash值，再去发起一个ajax请求，请求附带上一次请求的hash值，和插入的webshell代码，成功后就返回url地址                                  通过xss 获取到对方的某些客服的名字微信`                         提交工单，说（某个其他客服，私下找我，说叫我去去别的商城卖壮阳药，结果骗了我3000元）.管理员..  (这个人本身就是诈骗团伙的成员吗)                         微信加我，我说我这边我和他的聊天证据以及录音， 这时候我利用出来的  CVE-2018-20250  winarar 目录穿越的漏洞，结合免杀木马.从而直接获取到它的页面信息                                   钓鱼案例，通过其他apt报告分析总结出来的                            挖掘漏洞的案例，网上+自己经验和技术 找出来                                       GPC是什么？开启了怎么绕过:                               预防注入， ' " 这些加上了转义   addslshes()和stripslashes()                         尝试宽字节注入， 数字注入，                         magic_quotes_gpc                         魔术引号自动过滤 GET/POST/COOKIE 但是不会处理$_SERVER(client-ip/referer注入) php<5.4                         magic_quotes_runtime                         作用同上，受体数据库或者文件中获取的数据 php<5.4                                    参考文章:https://phyb0x.github.io/2018/12/06/php%E5%AE%A1%E8%AE%A1%E7%AC%94%E8%AE%B0/                                       SQL注入写shell的条件，用法:                               要知道网站绝对路径，可以通过报错，phpinfo界面，404界面等一些方式知道                         gpc没有开启，开启了单引号被转义了，语句就不能正常执行                         要有file权限，默认情况下只有root有                         对目录要有写权限，一般image之类的存放突破的目录就有                              Mysql一个@和两个@什么区别                               @x(219) 是 用户自定义的变量  (User variables are written as @var_name)                         @@x 是 global或session变量  (@@global  @@session )                              如何隐藏自己的服务器以及ip                               涉及敏感..暂时不说                              英语介绍一下自己:                               可以百度到就不说了                              算法？了解过什么排序？                               快速排序                         冒泡排序                              sql注入分类，宽字节注入原理                               宽字节原理                                   设置gbk编码的时候， %df 和引号会转成一个汉字，导致单引号逃逸出来，从而导致注入                                       如果让你用工具进行代码审计一个cms的上传功能，你会关注哪些函数                               ...                              php代码审计中命令执行你会关注哪些函数，代码执行你会关注哪些函数                               system(),exec(),popen() , passthru(), s hell_exec(),``,proc_open(),pcntl_exec(), curl_exec(),eval(),  ：file_get_contents(),                              内网渗透怎么获取服务器账号密码                               window                                   导入hash                                       .mimikatz                               procudmp                               powershell                               LaZagne                               WebBrowserPassView                               ....                                      搜集本机的信息                                       各种服务,mysql,myssql,ssh,ftp等账户密码                               键盘记录                                            linux                                   .bash_history 历史密码                            mimipenguin  类似于window里mimikatz，获取登录凭证，账户密码                            ssh 私钥 key，.pgp，.gpg，.p12，.pem，.pfx，.cer，.p7b，.asc                                       你有一个webshell但是无法执行系统命令，无法上传，怎么进行内网渗透                               ......                              我绕过Waf得层面                               主流得手法                                   溢出                            分块传输                            GET/POST                            参数污染                            内联                            空字节                            不同的中间件支持的不同的编码                                                   Waf从入门到Bypass                                                       首先，探测是什么waf,网上已经针对主流waf得探测了，探测出来先试试网上主流得payload                         不行的话，进一步探测，先看看是什么中间件，过滤哪些关键字字符，user-agent, 访问频率                                   中间件有特定得编码支持                                       IIS支持Unicode编码字符的解析，但是某些WAF却不一定具备这种能力。                                                                      黑名单过滤关键字符，还是使用正则匹配过滤等                                       黑名单过滤关键字符，那么尝试绕过，重点在于使用不同得函数，不同得关键字，不同得编码等                                           eg: union [all|distinct] select                                          正则匹配过滤，重点在于根据混淆                                           %0a                                  %0b                                  %0d                                  %C0                                  %20                                  %09                                  %0c                                  %a0                                                 bypass safe dog:                                       union  -- hex()%0a select 1,2,3,4,5,database/*!44544()*/,7,8 %23                                 -- hex()%0a    是注释的意思，本来是注释后面的语句，到了安全狗这里就成为了绕过安全狗的语法                                                 如果你是一个安全攻防负责人，如何做好安全架构，整理防御黑客攻击?（听到这个问题有点懵逼，这个问题太广了，思考了5-7分钟，想出了一些简答,）                               人员层面                                   安全意识                            PC定期杀毒，培训，上网行为管理....                            开发人员的安全意识，代码审计等                                  web层面                                   之前说的渗透测试                            信息存储，备份，传输等                            日志，流量分析搜集                            开源框架安全管理                                  主机层面                                   定期加固，渗透                            ids这些                            日志搜集                                  数据安全                                   数据分类别管理                            定期备份，敏感数据怎么管理                                  应急检测方面                                   安全事件应急方案的制作                                  架构                                   安全域，边界防护，***，waf,入侵检测等                                  这个问题实在是有点广，我一个还没毕业的学生的见解可能有限，但是如果公司需要，我会尽量朝着这方面走                              如何bypass CDN                               1.全局ping                         2.暴力子域查找子域IP                         3.FOFA网站历史收录                         4.历史DNS分析（很多网站可以搜索DNS分析）                         5.smtp发送邮件，可以找到真正的ip                         6.find phpinfo（）函数                         7.ssl证书查找                         8.favicon_哈希匹配                         9.CloudFlare Bypass(前提是要用的是cloudflare cdn)                         10.异常ping                         11.使用旧域名                              会制作免杀吗?                               利用网上成熟的Shellcode制作简单免杀                         dump hash, 内网转发等行为也能针对性的绕过检测                              继续总结....                                                                                   自己要问的问题:                       您公司做的类似于绿盟一样做的是安全产品 ，安全服务(等保，渗透)？                   有没有岗位晋升机制，入职培训项目，员工培训提升项目？考证有没有报销？                   五险一金、社保比例、饭补、餐补、交通补助？                   应聘岗位具体职责和工作内容？会不会经常出差？                   试用期多久？薪水多少？                   工作时间，加班情况                   一周加几天班，上下班时间                   公司队伍技术和产品这块有什么战略布局(一个公司如果没有核心的产品或者服务，迟早要被淘汰，记住! 光有钱没用)                   目前招进来的人主要擅长哪方面，多少人。                   进了公司以后做什么？如果我到公司3个月，未来会做什么？                   应聘的这个部门叫什么部门，有多少人？                   问下该公司有哪些福利保障？                   这个职位在贵公司的具体职责是什么？                   您公司的晋升政策是什么？                                                                                                           各大公司必问的问题:                       说说的你渗透流程                           ..太多                          你未来有什么职业规划                           未来3-5年以内我希望自己能够成为一个红队的Leader [ 注意，大部分面试官其实想知道的是不是你未来会不会长期呆在哪个公司,志向是否符合面试官公司的发展，而未必是真的想知道规划]                          挖掘过哪些漏洞                           挖掘漏洞是一回事，如何表达又是另外一回事，建议最好自己对朋友说一边，看看别人能否大致听懂白话文                                                                                       一套实用的渗透测试岗位面试题          渗透测试面试近期热门题          360奇安信绿盟深信服等公司秋招面试题总结与分享