应届生的面试题(四)

面试题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1、绕WAF
2、反序列化   fastjson
3、流量加密
4、XXE
5、命令执行   php&java的区别
6、溯源
7、中间件
8、代码审计
7、注入
8、SSRF
9、内网要怎么打

1.证书透明
2.Windows的Redis主从RCE
3.PTH怎么利用和NTML验证端口是什么
4.git和svn,svn
5.CS怎么联动C#来进程注入
6.JNDI有哪些利用协议
7.fastjson有哪些gadget
8.Shiro有哪些常见漏洞,Padding Oracle的利用条件是什么,加密方式是什么
9.RMI的漏洞有没有接触过
10.Linux和Windows有什么提权方式,Windows令牌窃取普通用户可以利用吗,为什么不能利用
11.ThinkPHP3有哪些漏洞,ThinkPHP5的路由控制不严谨导致的RCE有没有利用过
12.有没有钓鱼经历,如果和室友同在一台路由器下,有什么横向移动方法

webshell流量加密

我录制的视频:

webshell通信如果是明文,可以被安全软件直接拦截。如果使用冰蝎之类的webshell管理软件,也容易被提取特征,此处可以用antsword自定义的编码器来过waf。

图片中是网络上搜集到的自定义编码器,github上可以自行寻找。也可以自行编写自定义编码器

参考资料