綠盟科技面試
2019/10/23
面試形式:電話面試
0x001 開始讓我講了一下我用的工具
我就說了namp ,sqlmap,然后突然就想不起來了,連最基本的抓包工具burpsuit都沒想起來。然后就開始隨便扯了
什么whois查詢,dvwa,sqli-labs靶機環境都說了。sqli-labs用docker搭的我都說了。然后就呃呃呃,最后緊張實在想不起來了,說了句差不多就這樣吧。然后等到面試官再說話。
0x002 第二個問題,也是我回答出來的其中一個問題,問你如果用sqlmap跑出來了數據庫名字之后怎么辦?
還好我最近在看網絡上注入視頻。找到了數據庫之后就是爆表,之后繼續爆列,然后就爆字段名,然后dump下來。、
我后來莫名其妙的加了一句,如果權限夠大。還可以一句話木馬。(其實我不知道權限夠大之后,怎么弄一句話木馬
而且這也為我之后的問題埋了雷。哭了)
0x003 問你一個什么3389端口,然后主機什么80 端口。什么什么的我根本聽不懂。然后就問我怎么辦?
我徹底懵了。我隨口說把3389映射為80 端口。 然后他說那主機80服務就用不了。我撐不住了,唬不了,直接說我不會了
(之后一定要把這個題目問清楚。搞明白)
0x004 問sql注入點我要寫入一句話木馬,是用絕對路徑,還是相對路徑?
說實話我不確定,我也沒注意過,因為我沒有上傳過一句話木馬,就看視頻里面上傳了。這題目也沒什么好拖拖拉拉的。
我直接說的絕對路徑。然后面試官那邊也沒聲音了。
0x006 終於問了一個我會的問題 問如果我已經找到了mysql注入點,上傳一句話木馬要什么條件?
我看過位數不多的面試題目里面,剛好有這題,人家給的答案是 root權限以及網站的絕對路徑。 我沒有直接這么說
我回答的是首先你要寫一句話木馬要先找到這個表,要有權限啊。跟了一句root權限。之后要求文件可讀可寫。之后呃呃呃了幾聲差不多就這樣了
0x007問我有沒有挖過漏洞。
渣渣的我表示沒有。我說我不敢亂動人家網站,現在安全法都出台了。我就直接在靶機里面練習的。這就讓以后的很多問題問不了了。同時面試成功幾率又低了。哭了
0x008 問我知不知道CMS,說我可以在CMS里自己寫一個網站測試。
我說我知道。我下載過織夢的CMS看目錄結構的。但是沒有自己寫網站。
0x009 好像還問道一個關於xss的
我說我知道xss,但是我沒挖過。被自己菜哭了。
差不多就這些了,其他的我也記不清了 ,雖然就是昨天的事。聊完面試題目之后好像瞎扯了一會兒,問我什么時候能實習,什么的。然后又扯了點學校什么的。
我說我這些都是自學的。然后他又說了點他們公司招收實習生要求很低(那就求你收了我吧),進去之后他會盡量搞點培訓什么的。說實習轉正的時間不固定,
不一定你實習多久就一定會轉正,也有可能雖然你能力差點,但是項目做得好,也可能會讓你轉正。還說實習期間要滿足他們的實習要求。之后就是工資福利之類的了。
然后就是套話,保持手機郵箱暢通。ending。。。。。。