2023 春招安全研究岗位面经分享
Drunkbaby Lv6

随手记录一下

安恒卫兵实验室

1、你的简历与你之前发过来的简历有什么变化吗?

2、说一说你研究过的东西,然后有什么产出

这里我说研究了 Weblogic、shiro,但是没产出,那边似乎比较失望。

3、最近出了 Weblogic 的一个新的洞,你有研究过吗?自己在研究的时候有没有思考过别人是怎么挖出来的洞。

人麻了,没复现漏洞过,然后也没思考过这个。。

4、你觉得挖什么样子的洞比较好呢?你一般是怎么开展研究的

我说看漏洞类型,但是无论如何你需要先去简单了解一下它的流程,如果一个组件的流程你不清楚,盲目的开始挖洞比较愚蠢,像盲人摸象。然后在了解过基础流程之后,如果是反序列化的洞,就用 codeql、tabby 这些东西去找漏洞。

不知道那边是什么想法,不过有一说一面我的时候感觉大部分时候都是吸气和叹气qaq

5、你学习安全是什么时候开始的呢,一路上的经历是怎么样的

就简单聊了聊

6、有没有什么让你感觉很自豪的项目

当时说了 golang 写 sqlmap

7、你是什么状况下去学习 golang 的呢?是出于什么考虑呢

似乎很多面试官都会问这个问题,还是和之前一样回答了一下。

8、为什么在连连只实习了一个月呢?都做了什么业务

xxx

9、能简单说说在连连做了什么渗透测试吗?

10、能说一说常见的 SQL 注入种类吗?自己有绕过过一些 SQL 注入的 waf 吗?

这里说了绕过安全狗,麻了,当时就想到很可能会问 HIDS 的相关内容,果不其然后面就问了

11、一般是怎么绕 waf 呢?具体说说

我说了先 fuzz,然后具体的 bypass 就根据可用字符来打,那边似乎很不满意

12、有遇到过语意型的 waf 吗?自己是怎么 bypass 的呢?

我这里真的有点麻,满脑子都是 HIDS 和阿里的产品,包括先知 ban waf

13、如果给到你一个1day,你要怎么样进行漏洞分析呢?

14、又问了我如果就是一个 SQL 注入的 1day,让你漏洞分析,你会怎么分析呢,比如是有些特定条件下的 SQL 注入,比如什么什么配置文件下,你会怎么分析呢?

15、那你这样分析流程不会很耗时间吗?如果ddl之前你还没有分析完漏洞呢?你会怎么办?

16、那如果还是分析不出来,你是不是要思考一下你的方法是不是有问题了

我: 嗯……应该是吧

17、那如果你的 1day 积累的很多都完不成呢

我说我可能会考虑问一下其他有过经验的师傅,多多取经。

我大致了解你的情况了,能说说 SSRF 怎么样才能最好的利用呢?

我说,SSRF 用的好的话是可以 rce 的,但是前提是你需要先探活。当然这里 rce 的方式有很多,比如配合文件上传 gopher 打。

18、那如果目前我们探活出来有个 redis 服务,你要怎么打呢

SSRF 打 redis 的本质就是仿 redis 命令,将其写入一些 shell。我答了最多的一般都是 crontab,还有写入 shell,就类似于文件包含的原理。其实还有写入 ssh 私钥。还有主从复制什么的。

19、能说一说 ssrf 的防御嘛

我说了加白,最常用的方法,后续又补充了说限制一些不必要的协议,像 gopher 这种完全没必要啊,还有就是不给回显,这样的话对方探活也探不出什么东西,可能就以为这里并不存在 ssrf,但还得是白名单牛逼

20、那如果在变量里面呢?你要怎么过滤

我感觉这里就是加个 filter,实现单一职责原则

21、那如果我这里限制了 127.0.0.1,限制了 127.0.0.2 ,那你要怎么 bypass 呢

我直接说了 dns rebinding,我说这种攻击非常可观。面试官问我还有没有其他的呢?我补充了 @ 符绕过,进制转换,句号替换.符号。

22、能展开讲讲 @ 符是这么绕过的吗

这里其实是和 url 协议是有关系的,因为我们本质的 url 协议是这样请求资源的
http∶//url@ip,然后后面跟上请求的资源,比如 http://www.baidu.com@1.1.1.1,那么我们这里把后面 @ 的内容修改成恶意的 127.0.0.1即可。

23、面试官又问,如果把这些各种符号都禁了呢,因为很多时候我们会过滤这些输入。

我说那就 dns rebinding 呗,面试官说 dns rebinding 的事儿到时候再说。然后答了进制转换,他说算一种,又答了 xip.io 与 xip.name
泛域名解析,无需配置,将自定义的任何域名解析到指定的 IP 地址。假设你的 IP 地址是 10.0.0.1,你只需使用 前缀域名+IP地址+xip.io 即可完成相应自定义域名解析。

24、关于内存马有了解嘛?可以简单讲讲有哪些内存马吗?

我说了我只搞了 Tomcat 型内存马,我知道还有 Agent 型内存马和 websocket 型,还有 upgrade 型内存马。

25、内存马的查杀了解过原理吗?

我麻了,我说看调用的所有的filters,看哪些 filters 是恶意的,是程序没有的

26、后面问了问实习薪资期望

接下来就是反问环节

白帽汇安全研究面试

一面

1、自我介绍

2、讲一讲最近在做什么吧

3、说一说 Shiro 这个洞都了解多少

4、自己有没有独立挖出过 0day

5、weblogic 了解多少

说了一下复现了的漏洞,然后面试官让我说一说具体的一个漏洞

6、weblogic 的 T3 和 XMLDecoder 漏洞展开讲讲吧

7、fastjson 复现过多少漏洞,你研究的版本是多少

8、能简单说一说 Java 反序列化的流程吗?

9、讲讲 RMI 的通信原理以及为什么会存在漏洞

10、看到你还有在看 PHP 的东西,一般是研究哪种为主呢,PHP 还是 Java

11、说一说你做过的一些项目吧

12、写这个 Java 路线,你是出于什么考虑呢?

13、看到你审计过一些 CMS,自己从中有什么收获吗?

二面

二面主要是聊了聊一些挖洞的思想/个人经历,很有聊天的感觉,个人忘记记录完全了。

HR 面

1、看到你的简历上写了有说网络安全协会,都做了协会哪些工作呢

2、预期薪资是多少呢,我说在北京差不多 330/天吧

后面又说给实习生薪资一个月是 5500

3、有没有一段很难的时光

4、你是独生子女吗

5、最让你自豪的一件事是什么

6、在 CTF 上让你有很自豪的事情吗

7、有收到其他家的 offer 吗

8、目前多久能过来呢

极氪安全研究

1、简单说一说你作为红队,在 hvv 期间会有怎样的视角

我说,这是不是就是 hvv 视角下的红队攻击。面试官说是的

然后就说了社工钓鱼、信息收集、外网打点、内网横移、还有就是通过信息泄露拿源码,再进行源码审计,再就是 0day、1day 的应用、恶意流量分析

2、听到你说了源码审计,简单说一下思路吧

就还是那一套 filter ——> pom.xml ——> 细的功能点 ——> 调试

3、说一说如果 hvv 期间出了一个 fastjson 的 day,你需要怎么防护

给我特么问住了,面试官其实在这个过程中一直在向我往工具利用那方面引导。我说了加黑,然后加白这样的策略。

他又和我说,怎么样判断资产里面是否存在这个漏洞呢。我说用工具测,说如果你们有比较成熟的白盒扫描工具是可以的,但是我没用过。反正这个问题纠结了很久。。。。

4、说一说内网横移的思路吧

我说分 Windows 和 Linux,Linux 比较难横移;Windows 就还是那一套

5、说一说除了 web 服务之外还有服务值得注意

这个问题问的挺。。。隐晦

其实就是问有哪些端口,我就说了那些

6、说一说你用 python 做过的一些项目吧

简单聊了聊

7、有做过白盒代码审计的一些项目吗

没有

8、如果你挖掘 Java 反序列化的 0day,你会怎么挖掘呢

就还是那样

下面是反问环节

主要问了问他们的业务、转正、一般上班强度如何、部门地位如何、食堂

就这些

墨云科技安全研究

总体上来说和白帽汇的面试很像,当时便没有记录,而且问的很急

奇安信观星实验室

一面

1、先做个自我介绍吧

2、我看你有复现过一些 Java 反序列化的漏洞,简单讲一讲漏洞原理吧。

easy

3、在这些反序列化的链子里面,有什么比较共通的地方吗

我说了链首、链尾、sink 要求

4、你有审计 Java 代码的经验,可以简单说一说吗?

说了一些思路

5、我看你 CTF 打的很多,其中应该有很多 PHP 吧,然后你挖的 PHP 洞也挖了几个,简单讲讲让你印象深刻的洞吧。

说了一个 SQL 注入,一个 phar

6、我看你复现过 fastjson 系列的洞,说一说最新的那个 fastjson 1.2.80 的洞吧,就浅蓝挖的那个

日了。。。我没很好的复现过

7、那你说一说 fastjson 的一些漏洞原理和绕过思路吧

我说了一些,但是有一条通杀的 jdbc 没有很好的分析过,后悔。

8、PHP 反序列化的漏洞挖掘思路可以说一下吗?

这个不会

9、jpress 我看你有审计的校验,有自己搞出来一些前台 RCE 吗

10、简单聊一聊 Java 内存马吧,原理以及如何写入

后面就是反问环节,问了一下他们的业务,然后大概组织架构,转正情况

二面

说实话二面没有准备好,因为一些特殊原因

1、做个自我介绍吧,主要讲一讲自己研究哪个方向。

2、PHP 审计过哪些大型的 CMS 呢

我说了 TP,还有一些其他的自己审计的

3、TP 里面不是有个命令执行吗?可以说一说里面大概后利用是怎么利用的,比如现在目标站开启了 disabled_function

我这里有点麻,本身 PHP 就不是很好,我说如果利用角度来说,蚁剑的插件就行,如果没有这个条件的话就手动写入 .so 文件

那你详细说一说怎么写进去…… 寄、我忘了具体利用手法

4、PHP 里面的 extract 变量覆盖这个问题,有在实际漏洞挖掘的时候遇到过吗

没有

5、面试官似乎还是很想问 PHP 的,问了 PHP 的另外一个问题,还是没怎么答出来。

又问了问 最近打的 CTF,主要是 ant 和 阿里云,让我讲讲印象深刻的题目,我都忘得差不多了。。

6、说一说 Java JDBC MySQL 反序列化这个漏洞吧

我说这只是给了一个入口,需要伪造 MySQL fake server

7、那你说一说怎么判断 MySQL jdbc 的版本吧

我说 wireshark 抓个包,内容应该会在里面

8、看你 Java CMS 审计过 jpress,当时是复现还是

我说了复现,然后让我聊一聊印象最深刻的一个洞

9、如果现在有个文件上传,但是只有 Web-INF 下的 .jsp 文件才会被渲染,你有什么思路

我说了 SSTI、crontab、sh、weblogic 的部署都可以

10、你有在大型攻防演练当中跟进过一些 VMware 类型的漏洞吗?展开聊聊

我说我只做过蓝队,然后 VMware 的话,最新的洞正在看。然后简单讲一讲,感觉面试官没有复现这个漏洞

11、听你说分析了 RocketMQ 的洞,简单聊聊吧

就简单聊了聊

12、那如果不出网呢?

。。。。我说这个单纯从这个漏洞的角度来说,其实是可以写入 crontab 的,但是实际打内存马,我还没有试过。

下面就是反问环节

沥泉科技红队安全研究

1、做个自我介绍吧

2、看你漏洞这块,Java,PHP,Python 都有了解是吗?简单说一说怎么审计 PHP 漏洞的吧。

说了用 Seay 扫一扫,然后对扫出来的重点去审计,黑白盒结合一起打

3、Seay 是很老的东西了,你有没有修改一下它的规则什么的

答:没有。。。寄

4、如果你没有修改过的话,那你怎么样才能挖出别人挖不出来的洞呢?

不会啊。。麻了

5、说一说了解的 Java 漏洞吧,像 fastjson、shiro 这些,就先说说 fastjson 吧,你对它了解多少。

这里我说了说 fastjson 最好用的两条链子,一条是 templatesImpl 的,另外一条是不出网的 BCEL。

6、简单说一说 fastjson 的 checkAutoType 吧

如果开启了就是先白名单过滤,再黑名单。

如果没开启就是会先黑名单,再白名单。

7、那关于 fastjson 的 parse 和 parseObject 呢?

parseObject:返回 fastjson.JSONObject 类

parse :返回我们的类 User

一般来说 parseObject 的利用面更广

8、有学过哪些框架和组件呢?为什么要学他们

就简单说了说,不过我的回答好像让那边挺满意的

9、关于 Shiro 的漏洞,有了解吗?展开说说

说了 550,721 和权限绕过

10、说一说 721 的 Oracle Padding Attack 的原理

寄,没背过

11、你用 Python 写过什么工具吗

说了说自己写了爬虫,然后写了个网段扫描的工具。

12、说到 nmap,一般 nmap 扫描很慢的时候会怎么办呢?

这里应该是用 msscan 比较好

13、有了解过内网么?说一说 Kerberos 协议的流程吧,后面又问了 NTLM 协议的流程

14、除了 NTLM Hash,还知道哪些 Hash 呢

15、src 自己有在挖嘛,简单说一说信息收集的一些方法吧。

寄,后门 l3m0n 师傅说有十多种方法。。。

16、话说 fastjson 需要碰到高版本的 jdk8 的时候要怎么绕过呢

这个其实就是 jndi 打高版本 jdk 的思路

17、Java 设计模式了解多少呢

18、打 CTF 是跟着战队拿奖还是自己校队拿奖

19、内网渗透的流程都了解吗

20、我大致了解你的情况了,可以说一说你的规划预期吗


接下来就是反问环节,主要是问了问他们到底是做什么业务的。

面我的是 l3m0n 师傅,很强

总结一下

投的太晚了,金三银四,我是四月底投的,差不多五月初的样子,这个非常不利。

自己能力上还是有非常多的不足。

补充

最终是入职了安恒,不过那地方待个两三个月就可以走了,差不多得了

 评论