面試經驗分享 | 成都滲透測試工程師二面面經分享

可以看看我的置頂文章和專欄找我哦??

　概況

　面試過程

　面試官的問題

　　問題1、你覺得當前OAuth2.0下的攻擊手段有哪些？結合具體案例詳細講講

　　問題2、php/java反序列化漏洞的原理?程序員/運維如何避免此類漏洞或如何防御?

　　問題3、如果一臺服務器被入侵后,你會如何做應急響應?

　　問題4、目前已知哪些版本的容器有解析漏洞，具體舉例。

　　　IIS

　　　Apache

　　　Nginx

　　問題5、寬字符注入的原理？如何利用寬字符注入漏洞，payload如何構造？

　　問題6、為何一個mysql數據庫的站，只有一個80端口開放？

　　問題7、如何繞過CDN獲取目標網站真實IP，談談你的思路？

　　問題8、在獲取書面授權的前提下，如果給你一個網站,你的滲透測試思路是什么?

　　問題9、談一談Windows系統與Linux系統提權的思路？

　　問題10、SSRF漏洞的成因、防御、繞過

　　問題11、有什么比較曲折的滲透經歷

　　問題12、你還會什么？多說說你覺得你會別人不會的？你的技能里邊最擅長什么？

　　問題13、你喜歡怎樣的工作，在團隊內你覺得你自己的優

概況

所面試的公司：成都某安全廠商

所在城市：成都

面試職位：滲透測試工程師崗位

面試過程

繼上次一面之后的二面，線下1V2面試，大概40分鐘吧。上次僥幸過了一面，這次記錄下二面經過。技術問題問得都比較深入，要求對原理系統掌握，其次綜合性要求也比一面要高不少，好幾個問題我都被追問的沒啥思路了，汗。當前環境下，網安圈也越來越卷，希望給最近找工作的小伙伴們提供參考，祝愿大家早日找到“薪”滿意足的好工作。

面試官的問題

問題1、你覺得當前OAuth2.0下的攻擊手段有哪些？結合具體案例詳細講講

1.XSS和CSRF組合攻擊
假設用戶的瀏覽器中已存儲了某個OAuth 2.0的訪問令牌。攻擊者創建了一個惡意頁面，誘使用戶打開。在用戶不知情的情況下，頁面會通過JavaScript向授權服務器發起請求，利用用戶的身份進行未授權的操作（例如，轉賬、修改設置等）。
2.授權碼攻擊（Authorization Code Attack）
假設用戶在某個應用中使用OAuth 2.0進行登錄。攻擊者通過網絡釣魚手段獲取了用戶的憑據，并在用戶不知情的情況下發送請求，以獲取授權碼。如果授權服務器的重定向URI不安全，攻擊者便可以攔截這個授權碼，并利用它請求訪問令牌，從而獲取用戶的資源。
3.重定向URI劫持（Redirect URI Hijacking）
攻擊者在授權請求中使用了一個惡意重定向URI。當用戶授權后，授權服務器將授權碼發送到這個惡意URI，攻擊者隨即獲取了用戶的授權碼。

問題2、php/java反序列化漏洞的原理?程序員/運維如何避免此類漏洞或如何防御?

反序列化漏洞的主要原理在于：應用程序在反序列化不受信任的數據時，可能會重建惡意對象，這些對象可以執行攻擊者指定的代碼。例如，攻擊者可以構造特定的序列化數據，使得在反序列化時執行不安全的操作，如遠程代碼執行、數據庫操作等。
php中圍繞著serialize()，unserialize()這兩個函數，如果服務器能夠接收用戶精心構造反序列化過的字符串、并且未經過濾的把其中的變量直接放進這些魔術方法里面的，從而控制對象內部的變量甚至是函數。
Java 序列化是指把 Java 對象轉換為字節序列的過程便于保存在內存、文件、數據庫中，ObjectOutputStream類的 writeObject() 方法可以實現序列化。Java 反序列化是指把字節序列恢復為 Java 對象的過程，ObjectInputStream 類的 readObject() 方法用于反序列化。

防御思路：
1.驗證用戶輸入數據
2.限制可反序列化的類，如unserialize()參數
3.使用安全框架和庫
4.異常處理機制

問題3、如果一臺服務器被入侵后,你會如何做應急響應?

1.準備已經編譯好的工具以及取證分析等工具干凈可靠放U盤。
2.初步判斷事件的類型，是被入侵、ddos還是其它的原因。
3.首先抑制范圍、影響范圍，隔離使受害面不繼續擴大。
4.尋找原因，封堵攻擊源。
5.把業務恢復至正常水平。
6.監控有無異常，報告、管理環節的自省和改進措施。

問題4、目前已知哪些版本的容器有解析漏洞，具體舉例。

IIS

1、PUT漏洞
2、短文件名猜解
3、解析漏洞
IIS 6.0
/xx.asp/xx.jpg “xx.asp”是文件夾名
IIS 7.0/7.5
默認Fast-CGI開啟，直接在url中圖片地址后面輸入/1.php，會把正常圖片當成php解析

Apache

1、解析漏洞，上傳的文件命名為：test.php.x1.x2.x3，Apache是從右往左判斷后綴
2、目錄遍歷

Nginx

1、文件解析
版本小于等于0.8.37，利用方法和IIS 7.0/7.5一樣，Fast-CGI關閉情況下也可利用。
空字節截斷 xxx.jpg%00.php
2、目錄遍歷
3、CRLF注入

問題5、寬字符注入的原理？如何利用寬字符注入漏洞，payload如何構造？

指在處理用戶輸入的寬字符（如GBK、UTF-16或UTF-32等）時，應用程序未能正確解析或過濾這些字符，從而導致安全漏洞。

比如在mysql中使用了gbk編碼，占用2個字節,而mysql的一種特性,GBK是多字節編碼，它認為兩個字節就代表一個漢字，所以%df時候會和轉義符5c進行結合,所以單引號就逃逸了出來,當第一個字節的ascii碼大于128，就可以了。SQL注入中利用寬字節注入能夠把過濾轉義符\吃掉從而繞過。

問題6、為何一個mysql數據庫的站，只有一個80端口開放？

1、更改了端口，沒有掃描出來。
2、可能是站庫分離。
3、可能3306端口不對外開放

問題7、如何繞過CDN獲取目標網站真實IP，談談你的思路？

查詢歷史DNS記錄：查看IP與域名綁定的歷史記錄。
利用子域名：通過工具如，查找子域名，嘗試解析不在CDN上的IP地址。
網絡空間引擎搜索：使用fofa等工具，輸入網站標題或正文特征，查找IP域名。
利用SSL證書：使用Censys工具，將域名相關參數組合進行搜索，查看符合條件的證書及相關IPv4主機列表，找到真實原始IP。
利用HTTP標頭：在Censys上組合搜索參數，通過比較HTTP標頭找到原始服務器，如80.http.get.headers.server cloudflare可查找由CloudFlare提供服務的網站相關信息。
利用網站內容：瀏覽網站源代碼，尋找獨特代碼片段。還可能發現類似phpinfo、網站信息
使用國外主機解析域名：國內很多CDN廠商只做國內線路，使用國外主機直接訪問可能獲取真實IP。

問題8、在獲取書面授權的前提下，如果給你一個網站,你的滲透測試思路是什么?

其實這是一個非常大的話題，滲透大部分思路都是如此，而面試官是想聽到你回答不一樣的答案讓人眼前一亮如何才做到讓人眼前一亮都需要看你的經驗，把你實踐的過程拿出來說，以及遇到什么問題如何解決，最終取得成果滲透其它大同小異,而做為滲透者知識的儲備、基礎扎實、耐心、細心都是必不可少。

問題9、談一談Windows系統與Linux系統提權的思路？

Windows最基本的就是Exp提權，數據庫SQLServer、MYSQL UDF等、第三方軟件提權。除此之外提權的成功與否和在于信息收集也非常重要，你對這臺服務器和管理員了解多少。

Linux也是類似，除了EXP或者高版本的內核無法提權之外，通過第三方軟件和服務，除了提權也可以考慮把這臺機器當跳版,達到先進入內網安全防線最弱的地方尋找有用的信息，再迂回戰術。還有下面：
suid和guid錯誤配置
濫用sudo權限
以root權限運行的腳本文件
計劃任務
通過鍵盤記錄竊取密碼

問題10、SSRF漏洞的成因、防御、繞過

SSRF形成的原因大都是由于服務端提供了從其他服務器應用獲取數據的功能，且沒有對目標地址做過濾與限制。比如從指定URL地址獲取網頁文本內容，加載指定地址的圖片，文檔，等等。常用攻擊方式包括：
1.可以對外網、服務器所在內網、本地進行端口掃描，獲取一些服務的banner信息;
2.攻擊運行在內網或本地的應用程序;
3.對內網web應用進行指紋識別，通過訪問默認文件實現;
4.攻擊內外網的web應用，主要是使用get參數就可以實現的攻擊（比如struts2，sqli等）;
5.利用file協議讀取本地文件等。

防御思路：嚴格的輸入過濾、使用代理服務器、限制訪問內部資源、日志和監控。
繞過方法：
1.編碼繞過，攻擊者可能使用URL編碼、雙重編碼等手段繞過輸入過濾。
2.利用內部服務，來獲取敏感信息。
3.DNS重綁定，使得原本合法的域名解析到攻擊者控制的IP上。