攻击特征分析
0x00 特征字符分析
0x00.1 SQL 注入
- 漏洞特征:明显的SQL语句
- 字符型:
- 1、参数后加
单引号(')
,报错:sqli.php?name=admin'
- 2、参数后加
' and '1'='1
,访问正常:sqli.php?name=admin' and '1'='1
- 3、参数后加
and sleep(3) --+
,是否延迟3秒打开:sqli.php?name=admin' and/or sleep(3) --+
- 1、参数后加
- 数字型:
- 1.参数后加单引号,报错:
sql2.php?id=1'
- 2.参数后加
and 1=1
和and 1=2
,访问正常:sql2.php?id=1 and 1=1/sql2.php?id=1 and 1=2
- 3.参数后加
and sleep(5)
,是否延迟 5 秒打开:sql2.php?id=1 and sleep(5)
- 1.参数后加单引号,报错:
- 各种注入语句:
- 联合查询注入:
union select
、order by
- 报错注入(常见的报错函数):
floor()
、extractvalue()
、updatexml()
、geometrycollection()
、multipoint()
、polygon()
、multipolygon()
、linestring()
、multilinestring()
、exp()
。
- 联合查询注入:
0x00.2 常见数据库类型判断
- SQLSERVER:
- 1、and (select count(*) from sysobjects) > 0 返回正常
- 2、and (select count(*) from msysobjects) > 0 返回异常
- 3、and left(version(),1)=5%23 参数5 也可能是4
- MYSQL:
- 1、id=2 and version() > 0 返回正常
- 2、id=2 and length(user()) > 0 返回正常
- 3、id=2 CHAR(97,110,100,32,49,64,49) 返回正常
- ORACLE:
and length(select user from dual) > 0
返回正常- 示例:
0x00.3 恶意文件上传
- 通常存在于
upload
、file
、upfile
等出现类似字样的文件,均有可能是恶意文件上传,具体还需要结合日志进行判断,一般是判断后续是否出现有 Webshell 等一些 web 操作,可通过查看下图,发现存在一些比较奇怪的 php文件 ,此处判断可能存在恶意文件上传。 - 示例:
0x00.4 一句话木马(Webshell)
- 一般名字可以的文件,如带有日期字样的页面(.php、.asp、.aspx、.ash、.jsp等)、一串随机值的页面、正常目录下的非正常脚本文件(.php、.asp、.apsx、.ash、.jsp等),并通过 Post请求,同时会返回一定的数据,此时可判断可能存在一句话木马、webshell等文件,有些日志可能还有 post 请求参数,可结合参数,更准确的判断是否存在一句话木马、webshell等恶意文件。
- 示例:
0x00.5 命令执行/代码执行特征
- 针对命令执行后对操作系统进行更深入的渗透ÿ