面试记录-2

题目

• MS17-010使用的是什么端口

445端口

• 假设现在有一台电脑，被MS17-010入侵了，那么你需要怎么做

关端口，开杀毒软件，一般情况下免杀做的很好，还需要看端口，看服务进程，找到可疑的端口和程序，接着看能否溯源

• 用过哪些中间件

nginx apache tomcat weblogic

• apache什么什么漏洞，记不太清了
• 有没有了解过框架漏洞，用过哪些

Thinkphp5.x版本命令执行（实不相瞒，当时我还在打守望，根本想不起来其他的）

• 说一下命令执行和代码执行的区别

命令执行就是执行操作系统的命令，代码执行就只是执行你那个语言的代码，比如php的话，需要用system才能执行系统的命令

• 不用工具，怎么判断一个xxx框架

当时面试不是这个问题，问的是怎么判断这个网站用的是不是xxx框架，当时随口说了一句用工具，就给diao了说不用工具能不能判断，其实我连那个名字都没听清

• 做过护网吗，如果现在安全设备检测到了一次入侵，你要怎么做

首先去机器查看原始日志，看一下是误报还是确有此事，如果是真的，先把IP封禁了，然后分析一下黑客的攻击手段，看能不能判断出来攻击是否成功，或者是自己根据方法来进行复现，也可以黑客注入的方式是否存在变化（SQL注入验证成功后就会进行查询式的注入）

• 你在护网期间都遇到过什么漏洞

没遇到过什么，都是扫描，金山毒霸才是最大的威胁

• 了解过木马连接工具吗

菜刀、蚁剑、冰蝎、cs

• 能不能说一下冰蝎连接的特征和原理

不了解，下一个

• 能不能说菜刀的

菜刀是通过base64编码，然后内容通过几个符号区分开来

• 如果有人进行菜刀连接，你要怎么发现

菜刀的特征就是Base64，http数据包中去匹配这个就好了

• SQLMAP了解吗

那我还能咋地，说不了解吗

• SQLMAP用什么参数可以进行POST注入

-r可以指定文件，然后sqlmap会自动去匹配参数，也可以-p指定（小知识，如果参数带一些符号，sqlmap可能会识别不到，所以这个时候可以-p指定）

• SQL注入有什么类型

联合查询，二次注入，报错注入，盲注（基于时间或者布尔）

• 二次注入的原理

因为触发的内容不在当前页面，在防护不严的情况下，写入恶意语句到数据库中，然后在其他查询的地方中引用恶意语句造成二次注入（比如注册界面，你的介绍或者名字为恶意语句，然后注册成功后，点开个人信息，那么就会造成注入）