安恒-卫兵实验室

你的简历与你之前发过来的简历有什么变化吗？

2、说一说你研究过的东西，然后有什么产出

这里我说研究了 Weblogic、shiro，但是没产出，那边似乎比较失望。

3、最近出了 Weblogic 的一个新的洞，你有研究过吗？自己在研究的时候有没有思考过别人是怎么挖出来的洞。

人麻了，没复现漏洞过，然后也没思考过这个。。

4、你觉得挖什么样子的洞比较好呢？你一般是怎么开展研究的

我说看漏洞类型，但是无论如何你需要先去简单了解一下它的流程，如果一个组件的流程你不清楚，盲目的开始挖洞比较愚蠢，像盲人摸象。然后在了解过基础流程之后，如果是反序列化的洞，就用 codeql、tabby 这些东西去找漏洞。

不知道那边是什么想法，不过有一说一面我的时候感觉大部分时候都是吸气和叹气qaq

5、你学习安全是什么时候开始的呢，一路上的经历是怎么样的

就简单聊了聊

6、有没有什么让你感觉很自豪的项目

当时说了 golang 写 sqlmap

7、你是什么状况下去学习 golang 的呢？是出于什么考虑呢

似乎很多面试官都会问这个问题，还是和之前一样回答了一下。

8、为什么在连连只实习了一个月呢？都做了什么业务

xxx

9、能简单说说在连连做了什么渗透测试吗？

10、能说一说常见的 SQL 注入种类吗？自己有绕过过一些 SQL 注入的 waf 吗？

这里说了绕过安全狗，麻了，当时就想到很可能会问 HIDS 的相关内容，果不其然后面就问了

11、一般是怎么绕 waf 呢？具体说说

我说了先 fuzz，然后具体的 bypass 就根据可用字符来打，那边似乎很不满意

12、有遇到过语意型的 waf 吗？自己是怎么 bypass 的呢？

我这里真的有点麻，满脑子都是 HIDS 和阿里的产品，包括先知 ban waf

13、如果给到你一个1day，你要怎么样进行漏洞分析呢？

14、又问了我如果就是一个 SQL 注入的 1day，让你漏洞分析，你会怎么分析呢，比如是有些特定条件下的 SQL 注入，比如什么什么配置文件下，你会怎么分析呢？

15、那你这样分析流程不会很耗时间吗？如果ddl之前你还没有分析完漏洞呢？你会怎么办？

16、那如果还是分析不出来，你是不是要思考一下你的方法是不是有问题了

我: 嗯……应该是吧

17、那如果你的 1day 积累的很多都完不成呢

我说我可能会考虑问一下其他有过经验的师傅，多多取经。

我大致了解你的情况了，能说说 SSRF 怎么样才能最好的利用呢？

我说，SSRF 用的好的话是可以 rce 的，但是前提是你需要先探活。当然这里 rce 的方式有很多，比如配合文件上传 gopher 打。

18、那如果目前我们探活出来有个 redis 服务，你要怎么打呢

SSRF 打 redis 的本质就是仿 redis 命令，将其写入一些 shell。我答了最多的一般都是 crontab，还有写入 shell，就类似于文件包含的原理。其实还有写入 ssh 私钥。还有主从复制什么的。

19、能说一说 ssrf 的防御嘛

我说了加白，最常用的方法，后续又补充了说限制一些不必要的协议，像 gopher 这种完全没必要啊，还有就是不给回显，这样的话对方探活也探不出什么东西，可能就以为这里并不存在 ssrf，但还得是白名单牛逼

20、那如果在变量里面呢？你要怎么过滤

我感觉这里就是加个 filter，实现单一职责原则

21、那如果我这里限制了 127.0.0.1，限制了 127.0.0.2 ，那你要怎么 bypass 呢

我直接说了 dns rebinding，我说这种攻击非常可观。面试官问我还有没有其他的呢？我补充了 @ 符绕过，进制转换，句号替换.符号。

22、能展开讲讲 @ 符是这么绕过的吗

这里其实是和 url 协议是有关系的，因为我们本质的 url 协议是这样请求资源的 http∶//url@ip，然后后面跟上请求的资源，比如 http://www.baidu.com@1.1.1.1，那么我们这里把后面 @ 的内容修改成恶意的 127.0.0.1即可。

23、面试官又问，如果把这些各种符号都禁了呢，因为很多时候我们会过滤这些输入。

我说那就 dns rebinding 呗，面试官说 dns rebinding 的事儿到时候再说。然后答了进制转换，他说算一种，又答了 xip.io 与 xip.name 泛域名解析，无需配置，将自定义的任何域名解析到指定的 IP 地址。假设你的 IP 地址是 10.0.0.1，你只需使用 前缀域名+IP地址+xip.io 即可完成相应自定义域名解析。

24、关于内存马有了解嘛？可以简单讲讲有哪些内存马吗？

我说了我只搞了 Tomcat 型内存马，我知道还有 Agent 型内存马和 websocket 型，还有 upgrade 型内存马。

25、内存马的查杀了解过原理吗？

我麻了，我说看调用的所有的filters，看哪些 filters 是恶意的，是程序没有的

26、后面问了问实习薪资期望