2019/11/6深信服電話面試
一開始也沒想到能收到面試通知,收到了面試通知也不驚不喜,不過這波面試下來,估計也過不了這一面了。不太記得面試題目了,那個時候在重保。
本來打電話過來的時候我就說我沒有時間,他說大概就聊聊20到30分鍾就行。我說明天這個時候面試行嗎?他說就面個15分鍾左右吧,我說行吧,
最后也差不多面了快20分鍾吧。
0x001 一開始讓我來一波自我介紹,講真的,面試綠盟的時候沒有這個,直接進入主題。我還就以為技術面試沒有這個那,看來我天真了。
我就大概講了一下,我叫什么,我什么專業,我哪個學校的。然后用的什么工具,我講了抓包工具burpsuit,namp。然后又是
一如既往的卡住,想不起來了。然后電話那邊看我停頓了,主動問我差不多就這樣了嗎?我也想不起來了,說暫時就這些吧。感覺這個問題
回答的一攤糊塗,估計面試官一下子就不喜歡了。
0x002 之后讓我談談sql注入。
題目范圍寬泛,把你知道的都說出來。我大概還是回答綠盟的那一套。不想再說了。就and1=1 and1=2加在url后面看看頁面什么情況。
之后就是那一套流程跑數據庫,跑表,跑字段,跑值,然后dump下來。
0x003 問我知不知道跨站腳本攻擊?有哪幾種類型。
就是xss,有三種類型,反射型,用戶點開鏈接就有的。存儲型,存在數據庫里的,用戶不管登錄幾次,都會有彈框。還有一種dom型。
這種好像不多吧。其實我也不知道多不多,沒挖過,就這樣說了。
0x004 問我知道文件包含嗎?文件包含有哪些函數?
include 跟require 好像還有。我只記得這兩個了,暫時就回答了這兩個。好像還有include-once 、require-once
0x005 遠程文件包含需要什么要求?
不知道,楞了好久,感覺自己知道,有不知道。最后回答了一個需要知道遠程的url或者IP。電話那頭說了哦哦,我知道了。
0x006 mysql如何執行系統命令?
講真的,我真的不知道,楞了好久,編不出來,就直接跟面試官說我不知道了。
0x007 之后面試官就直接問,你會提權嗎?
其實上一個問題,我大概猜到可能要提權,但是我沒有提權過,所以我也不敢說。我就這么說的。這樣一來把這個問題也直接pass了。直接不會。
0x008 你有漏洞嗎?
沒有,就這么直接,我真的很菜啊。哎。
0x009 如果sql注入過濾了union跟空格你怎么繞過?
其實我也不怎么會,我也不記得怎么回答的了,回答的一塌糊塗就是了。好像提到了寬字節注入(又為后面埋了坑,哭了)
0x010 那寬字節的原理是什么?
一般ASCII碼是一個字節,寬字節顧名思義是兩個字節。就說了這么一個基礎,然后就沒了
0x011 如果上傳不允許上傳php格式的,你要怎么上傳繞過?
在文件后面加后綴,你如加個分號jpg,有哪個服務器是從后面讀取文件的,讀到jpg就不讀了,這樣就可以繞過了。
電話那頭就說,行吧。
0x012 知道sqlmap的temper嗎?自己有寫過嗎?
知道,但是沒寫過。
0x013 如果給你一個網站,你有什么思路滲透?
一開始就信息收集,工具什么的。我又不記得流程,在信息收集方面他就卡我,信息收集方面就這些了嗎。我暫時就想到了這些,然后他就哦哦
0x014 然后開始問我簡歷上寫的東西,我寫了了解PHP、python,問我用php、python寫過什么嗎?
我說python寫過socket算嗎?然后PHP搭配PHPstudy寫一個留言板,但是調用數據庫的函數沒成功,不知道為什么,其實這就相當於沒寫過
。然后電話那頭就說留言板是php最基礎的了。我。。。。。。我知道,但是我沒寫出來,編程能力就是這么菜。
0x015 之后就是大概隨便聊了。
好像就開始聊編程了,我說java是學校教的,php跟python都是自學的。什么亂七八糟的
0x016套話,你有沒有什么問我的。
我說我又學長在你們公司,大致情況都知道了。
0x017 突然想起來了一個問題,就在這補充一下, 問我對於盲注你有什么想法?
沒什么想法。。。。。。
電話掛斷,嘟嘟嘟嘟嘟嘟嘟嘟嘟嘟嘟