前言:
前两天进行了蓝初的一面,感觉问题还是可以的,有难度高的,也有比较普通的,但是大多数都是常见的问题,于是搜罗资料总结一下分享出来。
一、设备问题(天眼)
1、在天眼设备中,各个字段的含义?
答:sip为源ip,dip为目的ip;sport为源端口,dport为目的端口。
2、天眼分析平台中DNS协议中的dns type字段含义是什么?
答:dns type 表示DNS请求类型;0表示DNS请求、1表示DNS响应。
3、dns_type中addr代表什么?
答:表示该host对应的IP地址信息;可能会有多个记录。
4、天眼可以捕捉到cmd命令嘛?
答:可以捕捉到远程执行的,比如攻击者远控你内网机器,执行cmd并返回结果。
5、天眼告警可以显示的结果,除了成功和失败还有什么嘛?
答:成功、失败、尝试、未知
未知:一般是告警生成错误了,可以忽略。
尝试:是可能成功也可能失败, 需要全部分析。
6、内网横向有哪些告警类型?
答:cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解。
内网主机对内部其他主机的攻击行为,使得该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机
7、使用天眼,如何判断资产是否失陷?
答:受害资产不断外联恶意地址,并且有shell连接或者隧道类的告警。
8、出现受害ip为源的时候是什么情况?
答:可能是当网络攻击者使用了IP欺骗或伪造技术。
9、在天眼分析中,威胁告警检索字段中 attack sip 字段表示的含义是什么?
答:attack sip字段表示攻击者的IP。
10、在天眼分析平台中,proto字段表示的含义是? 举两个邮件应用协议的例子
答:proto字段表示协议,邮件应用协议有
-
SMTP 协议 (简单邮件传送协议)
-
MIME 协议
-
POP3 协议
-
IMAP 协议
11、在天眼分析平台中,IOC代表什么含义、反映了什么?
答:IOC表示匹配成功的威胁情报。
IOC反映了主机或网络失陷特征信息,包括入侵工具、恶意软件和攻击者的属性。
12、天眼中如何搜索一个日志里指定的端口?怎样把两个端口连接在一起查询?
答:搜索一个日志的指定端口:sport eq 80。
把两个端口连接在一起查询:sport eq 80 or sport eq 443。
13、一个告警的目的ip是114.114.114,端口是53,这样的告警,我应该对他的ip和端口进行封禁吗?
答:不能对其ip和端口进行封禁,该目的ip很明显为dns服务器转发的地址和端口,需要进一步确认真实受害资产的ip信息
14、在天眼分析平台中,如何搜索源IP为A,目的IP为B的网络日志?运算符(AND)是大写还是小写?
答:搜索源IP为A,目的IP为B的网络日志为ip(A) AND dip(B)。
运算符需要大写。
15、在天眼分析平台中,运算符都有哪些?
答:天眼运算平台里,运算符包括:AND、OR、NOT。
16、天眼分析平台中,发件人的字段是什么?
答:天眼分析平台中,发件人的字段是from。
17、天眼分析平台模糊搜索,应该怎么写查询语句?
答:模糊搜索应该直接在日志检索模块去搜索你要输入的关键字,并且使用*加部分名称进行检索。
18.、GEO字段代表什么?
答:GEO字段代表ip对应的地理位置。
19、不出网的主机通过哪种代理方式建立连接?
答:不出网的主机通过正向代理建立连接。
P、正向代理和反向代理区别与联系?
正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端.。
反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端。
20、天眼里的小工具用过吗?
用过,可以做一些常见编码的解码等,比如base64解码、url解码
21、天眼告警主机外联的排查思路?
答:主机外联主要判断主机请求的外网地址是否是恶意,或者是dnslog相关平台域名,若地址在威胁情报查询是恶意或请求dnslog相关域名次数较多,可判断主机异常。
23、天眼中成功利用的告警如何处理?
答:根据告警类型,分析回显特征是否利用成功。若数据包无法判断,可以复现漏洞判断。判断告警如果确实利用成功,立刻通报到研判组或客户。
24、告警成功怎么处理?
答:首先验证一下是否是成功有效的,如果是有效的就写下问题的详情,然后同步给研判组或者客户。
失败的话,我们再判断攻击者是手动进行攻击还是使用工具进行攻击;
使用分析平台进一步分析,查看攻击IP是否存在其他攻击行为,记录攻击结果,将发现时间及攻击行为反馈给护网客户。
Top10漏洞篇。
一、SQL注入
1、sql注入的原理
- 指的是web应用程序对用户输入的sql语句没有进行严格的过滤和验证,导致攻击者可以将自己构造的sql语句与我们后端的sql语句进行拼合,在管理员不知情的情况下实现非法操作,比如攻击者可以在我们服务器上执行非授权的任意查询,从而是我们的信息泄露。(开发者没有在网页传参点做好过滤,导致恶意 sql 语句拼接到数据库进行执行)
2、sql注入的分类
-
分为有回显的注入和无回显的注入。
-
无回显的注入又别称为盲注,盲注有三大类,布尔盲注、时间盲注以及报错盲注。
-
根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等
-
根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。
3、sql盲注的原理
- sql盲注和sql注入差不多,只不过sql盲注需要通过页面的回显内容来判断注入的字符是否正确,攻击者需要一个字符一个字符的去猜测。
4、宽字节注入的原理
-
向系统提交表单或查询请求时,将一些特殊的字符以另外的编码方式提交给服务器,让服务器错误的解读字符,从而使请求出现异常。
-
数据库使用 gbk 编码
-
使用反斜杠进行转义
5、堆叠注入的原理
-
mysql数据库sql语句的默认结束符是以“;”结尾,在执行多条sql语句时就要用结束符隔开,那么分号结束一条sql语句后继续构造下一条语句,然后去执行。
-
第一次的语句没有任何攻击性;
-
但是第二次语句注入之后,会和第一个语句产生作用从而导致sql注入
6、报错注入用到的函数以及原理
-
函数:updatexml、floor、exp、group by、extractvalue、rand
-
原理:updatexml()一共有三个参数,第一个是xml内容、第二个参数是update的位置XPATH路径、第三个参数是更新后的内容;
-
这里报错的主要原理是利用第二个参数,当其校验输入的内容是否符合XPATH格式的时候,不符合就报错,我们将第二个参数替换为version()或者database()等等,因为不满足XPATH格式所以会输出错误,输出错误的时候将sql代码(verson()/database()等)执行了。
7、Dnslog注入原理
-
利用 load_file() 函数读取共享文件
-
共享文件形式:\\hex(user()).dnslog.cn/ 或者 \\host\
-
利用 mysql 的 load_file() 函数解析拼接过的 dnslog 域名,进而带出数据
8、联合注入的步骤
-
找传参点
-
判断闭合符
-
判断列数
-
判断显示位
-
查询database()
-
查表
-
数据
9、SQL注入绕过方式
大小写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号等
10、盲注函数
if() 、sleep() 、substr() 、left() 、limit 、ascii() 、length()
11、判断闭合符方式:
构造真和假:id=1 and 1=1 、id=1’ and 1=2 、=1" or 1=1 、') or 1=2 、and 234=234 、and 1 、or 1 、and 1^1 、&&1 、||0
12、sql注入绕waf
-
代替空格:/**/ 、/*!*/ 、+ 、%09 、%0a 、%00 、括号
-
关键字:16进制 、char() 、字符串拼接
-
等价函数替换:sleep()==benchmark() 、if()==case when then else end 、ascii()==ord() 、substr()==substring()
-
内联注释:/*! */
13、sqlmap常用参数
-
-r :用于post型注入,指定 txt 文件的 post 数据包
-
-u :指定url,通常用于 get 型注入
-
-p :指定注入点,例如: python sqlmap.py -u http://127.0.0.1/index.php?id=1&mid=2&page=3 -p “page”
-
* :指定注入点,例如:python sqlmap.py -u http://127.0.0.1/index.php?id=1*&mid=2&page=3* 注意:* 号也可以用于伪静态的注入,用法同前面一样,直接在注入点后面加 *
-
-m :用于sqlmap批量跑注入,指定一个含有多个 url 的 txt 文件
-
–os-shell :用户获取 shell
-
–os-cmd :执行系统命令
-
–tamper :指定绕过用的脚本文件
-
–level 3 :指定测试等级,等级越高,检查项越多,共 1-5 个等级
-
–risk 3 :指定风险等级,等级越告,payload 越复杂,共 1-3 个等级
-
–random-agent :指定随机 agent 头
-
–batch :默认选项
-
–dbms :指定数据库类型
14、sql注入获取 webshell 的方式/ sql注入提权
-
写文件(需要写权限)
-
写日志文件(不要学权限,但是需要通过命令开启日志记录功能,而且还需要把日志文件的路径指定到网站根路径下面)
15、sql注入防御
-
过滤敏感字符,例如:information_schema 、into out_file 、into dump_file 、’ 、" 、()
-
预编译,我们的攻击指令被预编译之后就不会被当成SQL语句了,然后再拼接到mysql中,或者说我们已经编译过一次了,在mysql中就不会再被编译了
-
站库分离:增加攻击者的时间成本、防止通过数据库拿到webshell
16、mysql提权方式
-
mof提权
-
udf提权
二、XSS跨站脚本攻击
1、XSS漏洞的原理(简称为跨站脚本攻击)
浏览器解析js代码触发我们的攻击js开发人员没有做好过滤,导致我们可以闭合标签进而插入并执行恶意JS代码
2、XSS漏洞类型
-
存储型XSS:攻击者将恶意脚本存储在数据库中,当用户浏览页面时,恶意脚本会从数据库中取出并执行,从而攻击用户,会造成持久性的攻击。
-
反射型XSS:攻击者通过URL或者表单提交等方式将恶意脚本注入到页面中,用户打开页面后,恶意脚本会被执行,从而攻击用户,没有存储在数据库里。
-
DOM型XSS:攻击者通过修改页面的DOM节点,注入恶意脚本,当用户与页面交互时,恶意脚本会被执行,从而攻击用户,由DOM文档完成解析。
3、常用的JS函数
-
document.cookie() :弹出当前网址的浏览器 cookie
-
console.log(‘xss’) :在控制台输出日志
4、绕过方式
-
改变大小写:
5、扫描工具
xsstrick
6、XSS钓鱼平台
-
kali工具:BEEF-能做什么
-
免费平台:https://xss.pt/
-
钓鱼语句:<img src=https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fxss.pt%2Fhook.js&pos_id=img-sTm2CmYC-1716251248348)>
-
Xss平台
7、XSS漏洞的预防措施:
-
过滤用户输入的数据,特别是用户的HTML、JavaScript等代码,以防止注入攻击。
-
对用户输入的数据进行编码,例如使用HTML实体编码、URL编码等。
-
限制用户输入的数据长度,避免攻击者通过输入超长数据来进行攻击。
-
及时更新Web应用程序的安全补丁,避免已知的安全漏洞被攻击者利用。
-
对于需要认证的页面,需要验证用户的身份,以避免攻击者通过伪造用户身份进行攻击。
-
使用HTTP-only,禁止javaScript读取cookie。
三、XXE:外部实体注入
1、漏洞原理:
PHP开启 外部实体引用 传入的 xml 数据未经过过滤
2、漏洞特点
传参数据是以 xml 标签的形式
响应包里的 Content-type:text/xml
3、攻击手法
-
利用 file 协议读取文件
-
利用 http 协议进行端口探测,例如:http://127.0.0.1:22
-
利用 php 伪协议读取文件
4、盲XXE
核心:加载执行远程xml文件,造成数据外发的效果
5、防御
-
关闭外部实体功能:libxml_disable_entity_loader(ture);
-
使用验证器和解析器,清除不信任的输入数据,以防止注入攻击。
四、文件上传漏洞
1、文件上传漏洞的原理
答:在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。
2、绕过黑名单
-
特殊后缀名绕过:php3-php5 、 phtml 、,通过修改 httpd.conf 文件按可以实现解析任意后缀名
-
通过上传 .htaccess 文件可以实现解析任意后缀名
-
上传 .user.ini 文件,利用包含实现getshell
-
空格绕过,利用的是 windows 和 linux 不允许文件名出现包括 空格 在内的特殊字符,例如上传:1.php[空格]
-
点绕过,windows 不允许出现点结尾的文件名,会自动去掉文件名后面的点, linux 允许出现点结尾的文件
-
流文件绕过,windows 中,:: D A T A 符号后面的内容会被当成字节流数据,上传之后会自动去掉 : : DATA 符号后面的内容会被当成字节流数据,上传之后会自动去掉 :: DATA符号后面的内容会被当成字节流数据,上传之后会自动去掉::DATA 以及后面的内容
-
双写后缀名,例如上传 1.pphphp ,只适用于将 php 替换为空的情况
3、绕过白名单
-
00 截断
-
配合文件包含
4、对文件内容进行绕过
-
填充垃圾字符
-
免杀
5、绕过前端验证
-
在浏览器关闭前端 JS 功能
-
burp 抓包修改
五、文件包含/下载漏洞
1、文件包含漏洞原理
答:web应用程序中没有正确的过滤或验证用户输入,导致攻击者可以通过构造恶意请求,将任意文件包含到web应用程序中,从而执行恶意代码或读取敏感数据等操作。
2、文件包含函数
include() 、require 、 include_once() 、 require_once(),幽灵猫
3、文件包含支持的协议
-
php 伪协议:fiter 、 input 、 data 、 zip 、phar
-
file 协议
-
http 和 https
4、利用条件
-
本地文件包含不需要开启 allow_url_* 参数
-
部分伪协议需要开启一个或者两个 allow_url_* 参数
5、文件包含漏洞的防御措施
-
对用户输入的数据进行过滤和安全验证。
-
检查系统配置,确保 PHP 中禁用了 allow_url_fopen 和 allow_url_include 选项。这将禁止远程文件包含和文件读取操作,从而减少了攻击者利用文件包含漏洞的机会。
6、文件下载漏洞的原理
是指攻击者利用Web应用程序中的漏洞,通过某种方式下载到了应该不被公开访问的文件,这些文件可能包含敏感信息,如用户凭证、密码等,从而造成安全风险。
7、为了防止文件下载漏洞,应该采取的措施
-
对文件下载链接进行严格的访问控制,只有经过授权的用户才能访问;
-
验证用户请求中的参数,防止攻击者利用构造的请求进行攻击;
-
对应用程序进行安全测试,及时发现和修复漏洞。
六、命令/代码执行漏洞
1、命令执行漏洞的原理
命令执行漏洞是指攻击者能够通过向应用程序或系统发送恶意输入,从而使其执行未经验证或不受信任的命令。
2、命令执行漏洞的防御措施
-
输入验证:应用程序必须对所有输入数据进行严格验证,以防止攻击者提交恶意数据。
-
输入过滤:应用程序必须过滤掉不必要的字符和符号,以确保输入数据不包含任何恶意代码。
-
最小权限原则:应用程序应该以最小的权限级别运行,以减少攻击者利用漏洞获取系统权限的可能性。
3、代码执行漏洞的原理:
代码执行漏洞是指攻击者能够在Web应用程序中执行自己的恶意代码。这种漏洞可能会导致攻击者控制整个应用程序,从而窃取敏感信息、篡改数据、甚至在服务器上执行命令。
4、代码执行漏洞预防措施:
-
对于用户输入的数据,需要进行严格的过滤和验证,避免用户输入的数据被当做代码执行。
-
在服务器上,需要正确设置文件和目录的访问权限,避免攻击者利用目录遍历漏洞在服务器上执行命令。
七、CSRF:跨站请求伪造漏洞
1、CSRF漏洞的原理(简称为跨站请求伪造攻击)
是一种常见的Web安全漏洞,攻击者利用用户已登录的身份,向Web应用程序发起恶意请求,以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。
2、CSRF攻击的过程可以简单描述为以下几步:
-
攻击者构造恶意请求,其中包含攻击目标的关键操作,例如转账、修改密码等。
-
攻击者将恶意请求嵌入到诱骗用户点击的链接、图片等元素中。
-
用户在登录状态下访问包含恶意请求的页面时,浏览器会自动发送请求,攻击目标就会执行,从而达到攻击者的目的。
3、为了避免CSRF漏洞,可以采取以下预防措施
-
在关键操作之前,先进行身份验证,例如输入密码、输入验证码等。
-
在Web应用程序中加入随机令牌机制,防止攻击者伪造请求。
-
使用HTTP-only,禁止javaScript读取cookie。
八、SSRF:服务器端请求伪造漏洞
1、SSRF原理:
- 大都是由于服务端提供了从其他服务器获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等
2、SSRF攻击的过程可以简单描述为以下几步:
-
攻击者构造恶意请求,其中包含攻击目标的关键操作,例如读取文件、获取机密信息等。
-
攻击者将恶意请求发送给Web应用程序,Web应用程序将恶意请求发送到内部网络中的其他服务。
-
内部网络中的其他服务执行了恶意请求,将敏感信息或者控制权返回给攻击者。
3、支持的协议
-
http://
-
https://
-
dict://
-
ftp://
-
file1
-
php 伪协议
-
gopher://
4、危害
-
内外网的端口和服务扫描
-
主机本地敏感数据的读取
-
内外网主机应用程序漏洞的利用
-
内外网Web站点漏洞的利用
5、为了避免SSRF漏洞,可以采取以下预防措施:
-
对于外部请求,需要进行严格的输入验证和过滤,避免攻击者通过构造恶意URL来绕过防护措施。
-
对于内部请求,需要对请求的URL进行白名单校验,只允许请求已经明确授权的内部服务。
九、中间件漏洞
1、Apache
-
解析漏洞:多后缀名解析漏洞(从后往前解析,一直解析到可识别的后缀)、罕见后缀名解析漏洞、.htaccess解析漏洞
-
命令执行漏洞:CVE-2021-42013
2、IIS
-
文件名解析漏洞,从前往后解析,遇到分号就截断,忽略分号后面的内容,例如:1.asp;.jpg
-
罕见后缀名,例如:.asa、.cer、.cdx
-
IIS 5.X/6.0的文件夹解析漏洞,例如:将文件夹以1.asp命名,该文件夹中的所有文件都会被当做asp文件执行:1.asp/1.jpg、1.asa/1.jpg、1.cer/1.jpg、1.cdx/1.jpg
-
IIS 7.0/IIS 7.5的CGI解析漏洞,例如上传1.jpg然后访问1.jpg/.php
-
IIS PUT文件上传漏洞
-
HTTP.sys远程代码执行漏洞:MS15-034
3、Nginx
CGI解析漏洞,例如上传1.jpg然后访问1.jpg/.php
4、其他
-
IS:目录解析漏洞、分号截断、CGI解析漏洞、PUT文件上传漏洞、MS15-034
-
Apache:多后缀名解析漏洞、目录遍历、命令执行漏洞:CVE-2021-42013
-
Nginx:CGI解析漏洞
-
Tomcat:后台部署war包、PUT文件上传漏洞、反序列化漏洞、样例目录session操控漏洞
-
Weblogic:后台部署war包、一大堆反序列化漏洞、未授权RCE漏洞
-
Jboss:后台部署war包、一堆反序列化
-
有反序列化漏洞的中间件:Tomcat、Jboss、weblogic
十、框架漏洞/反序列化漏洞
1、反序列化漏洞原理
序列化是指Java对象转化为二进制文件的过程,反序列化指的是这个文件再转化为Java对象的过程,本身是个正常过程,但如果被转化的这个文件是个恶意的,转化后的对象也是会是恶意的,由此可造成命令执行等等威胁。
2、反序列化漏洞修复建议
一般我们遇到的反序列化漏洞,基本都是使用了具有反序列化漏洞的组件或者类造成的,一般我们打补丁或者升级到最新版本就可以防御。
3、Shiro反序列化漏洞
原理:Apache Shiro是一个Java安全框架,执行身份验证、授权、密码和会话管理,Shiro提供了RememberMe的功能,当用户关闭浏览器,下次再打开浏览器访问时,还是能记住我是谁,无需登录即可访问。
其实很多网站都有这功能,Shiro对RememberMe的Cookie做了加密处理,在CookieRememberMeManaer类中将Cookie中RememberMe字段内容分别进行序列化、AES加密、Base64编码等操作,但是默认的加密AES Key是硬编码进去的,都知道这个Key是什么,所以在逆向操作反序列化、Base64解密的时候,攻击者就可以伪造恶意数据通过反序列化远程执行命令。
4、Fastjson反序列化漏洞
Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名,由此造成反序列化漏洞。
5、Log4j漏洞
本身是Apache日志功能,他有个日志遍历的功能,当碰到${jndi:// } ,会遍历执行,JNDI功能又可以使用ldap或者rmi来引入class文件,我们只需要在class文件中加入需要执行的恶意代码,就可以造成代码注入。
6、Fastjson 反序列化
通过Fastjson反序列化漏洞,攻击者可以传入一个恶意构造的JSON内容,程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数,进而导致代码执行。
7、redis未授权
-
redis在6379端口
-
写webshell
-
写公钥实现免密登录
-
写计划任务实现反弹shell
-
主从复制getshell
补:目录遍历漏洞
目录遍历通常是由于web服务器配置错误,或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
常用的webshell管理工具的流量特征。
一、菜刀流量特征
最开始是明文传输,后来采用base64加密:
中国菜刀 (Chopper) 是一款经典的网站连接工具支持的服务端脚本有 PHP、ASP、ASPX,具有文件管理数据库管理、虚拟终端等功能。它的流量特征较为明显国内主流防病毒软件/终端安全类软件都将中国菜刀视为黑客类工具进而加入病毒特征库隔离,因此大多都会报毒。
如下:
第一:eval函数用于执行传递的攻击payload,这是必不可少的;
第二:(base64 ecode(_POST[z0]))将攻击payload进行Base64解码,因为菜刀默认是使用Base64编码,以避免被检测;
第三:&z0=QGluaV9zZXQ…,该部分是传递攻击payload,此参数z0对应$_POST[z0]接收到的数据,该参数值是使用Base64编码的,所以可以利用base64解码可以看到攻击明文。
注:
-
1.有少数时候eval方法会被assert方法替代。
-
2.POST也会被_GET、$_REQUEST替代。
-
3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。
-
菜刀流量是base64加密,并且解码出来,里面有z0z1z2参数
二、蚁剑(PHP用base64加密)
PHP类WebShell链接流量
蚁剑的很多源码来自菜刀,所以链接流量特征与中国菜刀很相似,但是蚁剑的扩充性很好可以对进行加密,混淆等绕过处理。蚁剑默认支持 ASP以及PHP的Webshell链接,还可以通过插件来扩展其功能。
将蚁剑的正文内容进行URL解码后,流量最中明显的特征为@ini_set(“display_errors”,“0”);这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特征。
蚁剑绕过特征流量
由于蚁剑中包含了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x…=”这种形式(下划线可替换为其他)所以,以_0x开头的参数名,后面为加密数据的数据包也可识别为蚁剑的流量特征。
三、冰蝎(AES对称加密)
通过HTTP请求特征检测
冰蝎是一款动态二进制加密 Web 远程管理客户端,以进行动态流量加密,且加密密钥是由使用者来设定,但是该拦截器对 webshell 的需求比较高,无法连接一句话木马。
1、冰蝎数据包总是伴随着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream。
2、冰蝎3.0内置的默认内置16个ua(user-agent)头。
3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取基本信息来讲,payload都为定长。
四、哥斯拉(base64加密)
哥斯拉是一个基于流量、HTTP 全加密的 Webshell管理工具。和冰蝎类似,哥斯拉为加密的通讯流量,因此通过流量进行检测会有很大的难度,由于 WAF 等流量检测型安全设备无法对加密的流量进行解密,因此只能采用一些比较宽泛的匹配规则进行检测。如哥斯拉客户端使用JAVA 语言编写,在默认的情况下,如果不修改 UserAgent,User-Agent 会包含Java 版本信息。
特征:
1、发送一段固定代码(payload),http响应为空
2、发送一段固定代码(test),执行结果为固定内容
3、发送一段固定代码(getBacisInfo)
五、Webshell简介
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门
最普通的一句话木马:
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
[2024最新CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享]
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
325
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
