绿盟科技面试
2019/10/23
面试形式:电话面试
0x001 开始让我讲了一下我用的工具
我就说了namp ,sqlmap,然后突然就想不起来了,连最基本的抓包工具burpsuit都没想起来。然后就开始随便扯了
什么whois查询,dvwa,sqli-labs靶机环境都说了。sqli-labs用docker搭的我都说了。然后就呃呃呃,最后紧张实在想不起来了,说了句差不多就这样吧。然后等到面试官再说话。
0x002 第二个问题,也是我回答出来的其中一个问题,问你如果用sqlmap跑出来了数据库名字之后怎么办?
还好我最近在看网络上注入视频。找到了数据库之后就是爆表,之后继续爆列,然后就爆字段名,然后dump下来。、
我后来莫名其妙的加了一句,如果权限够大。还可以一句话木马。(其实我不知道权限够大之后,怎么弄一句话木马
而且这也为我之后的问题埋了雷。哭了)
0x003 问你一个什么3389端口,然后主机什么80 端口。什么什么的我根本听不懂。然后就问我怎么办?
我彻底懵了。我随口说把3389映射为80 端口。 然后他说那主机80服务就用不了。我撑不住了,唬不了,直接说我不会了
(之后一定要把这个题目问清楚。搞明白)
0x004 问sql注入点我要写入一句话木马,是用绝对路径,还是相对路径?
说实话我不确定,我也没注意过,因为我没有上传过一句话木马,就看视频里面上传了。这题目也没什么好拖拖拉拉的。
我直接说的绝对路径。然后面试官那边也没声音了。
0x006 终于问了一个我会的问题 问如果我已经找到了mysql注入点,上传一句话木马要什么条件?
我看过位数不多的面试题目里面,刚好有这题,人家给的答案是 root权限以及网站的绝对路径。 我没有直接这么说
我回答的是首先你要写一句话木马要先找到这个表,要有权限啊。跟了一句root权限。之后要求文件可读可写。之后呃呃呃了几声差不多就这样了
0x007问我有没有挖过漏洞。
渣渣的我表示没有。我说我不敢乱动人家网站,现在安全法都出台了。我就直接在靶机里面练习的。这就让以后的很多问题问不了了。同时面试成功几率又低了。哭了
0x008 问我知不知道CMS,说我可以在CMS里自己写一个网站测试。
我说我知道。我下载过织梦的CMS看目录结构的。但是没有自己写网站。
0x009 好像还问道一个关于xss的
我说我知道xss,但是我没挖过。被自己菜哭了。
差不多就这些了,其他的我也记不清了 ,虽然就是昨天的事。聊完面试题目之后好像瞎扯了一会儿,问我什么时候能实习,什么的。然后又扯了点学校什么的。
我说我这些都是自学的。然后他又说了点他们公司招收实习生要求很低(那就求你收了我吧),进去之后他会尽量搞点培训什么的。说实习转正的时间不固定,
不一定你实习多久就一定会转正,也有可能虽然你能力差点,但是项目做得好,也可能会让你转正。还说实习期间要满足他们的实习要求。之后就是工资福利之类的了。
然后就是套话,保持手机邮箱畅通。ending。。。。。。