媒介:
前两天举行了蓝初的一面,感觉题目还是可以的,有难度高的,也有比力普通的,但是大多数都是常见的题目,于是搜罗资料总结一下分享出来。
一、装备题目(天眼)
1、在天眼装备中,各个字段的含义?
答:sip为源ip,dip为目的ip;sport为源端口,dport为目的端口。
2、天眼分析平台中DNS协议中的dns type字段含义是什么?
答:dns type 表现DNS请求范例;0表现DNS请求、1表现DNS相应。
3、dns_type中addr代表什么?
答:表现该host对应的IP地址信息;可能会有多个记录。
4、天眼可以捕捉到cmd命令嘛?
答:可以捕捉到远程执行的,比如攻击者远控你内网呆板,执行cmd并返回结果。
5、天眼告警可以表现的结果,除了成功和失败还有什么嘛?
答:成功、失败、实验、未知
未知:一般是告警生成错误了,可以忽略。
实验:是可能成功也可能失败, 需要全部分析。
6、内网横向有哪些告警范例?
答:cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解。
内网主机对内部其他主机的攻击行为,使得该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机
7、使用天眼,如何判断资产是否失陷?
答:受害资产不断外联恶意地址,并且有shell连接或者隧道类的告警。
8、出现受害ip为源的时候是什么情况?
答:可能是当网络攻击者使用了IP诱骗或伪造技术。
9、在天眼分析中,威胁告警检索字段中 attack sip 字段表现的含义是什么?
答:attack sip字段表现攻击者的IP。
10、在天眼分析平台中,proto字段表现的含义是? 举两个邮件应用协议的例子
答:proto字段表现协议,邮件应用协议有
- SMTP 协议 (简单邮件传送协议)
- MIME 协议
- POP3 协议
- IMAP 协议
11、在天眼分析平台中,IOC代表什么含义、反映了什么?
答:IOC表现匹配成功的威胁情报。
IOC反映了主机或网络失陷特性信息,包括入侵工具、恶意软件和攻击者的属性。
12、天眼中如何搜索一个日记里指定的端口?怎样把两个端口连接在一起查询?
答:搜索一个日记的指定端口:sport eq 80。
把两个端口连接在一起查询:sport eq 80 or sport eq 443。
13、一个告警的目的ip是114.114.114,端口是53,这样的告警,我应该对他的ip和端口举行封禁吗?
答:不能对其ip和端口举行封禁,该目的ip很明显为dns服务器转发的地址和端口,需要进一步确认真实受害资产的ip信息
14、在天眼分析平台中,如何搜索源IP为A,目的IP为B的网络日记?运算符(AND)是大写还是小写?
答:搜索源IP为A,目的IP为B的网络日记为ip(A) AND dip(B)。
运算符需要大写。
15、在天眼分析平台中,运算符都有哪些?
答:天眼运算平台里,运算符包括:AND、OR、NOT。
16、天眼分析平台中,发件人的字段是什么?
答:天眼分析平台中,发件人的字段是from。
17、天眼分析平台模糊搜索,应该怎么写查询语句?
答:模糊搜索应该直接在日记检索模块去搜索你要输入的关键字,并且使用*加部分名称举行检索。
18.、GEO字段代表什么?
答:GEO字段代表ip对应的地理位置。
19、不出网的主机通过哪种代理方式创建连接?
答:不出网的主机通过正向代理创建连接。
P、正向代理和反向代理区别与接洽?
正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端.。
反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端。
20、天眼里的小工具用过吗?
用过,可以做一些常见编码的解码等,比如base64解码、url解码
21、天眼告警主机外联的排查思绪?
答:主机外联主要判断主机请求的外网地址是否是恶意,或者是dnslog相关平台域名,若地址在威胁情报查询是恶意或请求dnslog相关域名次数较多,可判断主机非常。
23、天眼中成功使用的告警如那边理?
答:根据告警范例,分析回显特性是否使用成功。若数据包无法判断,可以复现漏洞判断。判断告警如果确实使用成功,立刻通报到研判组或客户。
24、告警成功怎么处理?
答:首先验证一下是否是成功有效的,如果是有效的就写下题目的详情,然后同步给研判组或者客户。
失败的话,我们再判断攻击者是手动举行攻击还是使用工具举行攻击;
使用分析平台进一步分析,查看攻击IP是否存在其他攻击行为,记录攻击结果,将发现时间及攻击行为反馈给护网客户。
Top10漏洞篇。
一、SQL注入
1、sql注入的原理
- 指的是web应用程序对用户输入的sql语句没有举行严格的过滤和验证,导致攻击者可以将自己构造的sql语句与我们后端的sql语句举行拼合,在管理员不知情的情况下实现非法操作,比如攻击者可以在我们服务器上执行非授权的任意查询,从而是我们的信息泄露。(开辟者没有在网页传参点做好过滤,导致恶意 sql 语句拼接到数据库举行执行)
2、sql注入的分类
- 分为有回显的注入和无回显的注入。
- 无回显的注入又别称为盲注,盲注有三大类,布尔盲注、时间盲注以及报错盲注。
- 根据sql注入各自的特点可以分为联合注入、二次注入、宽字节注入、堆叠注入等
- 根据http报文中的不同位置可以有cookie注入、referer注入、x-forwarded-for注入等。
3、sql盲注的原理
- sql盲注和sql注入差不多,只不外sql盲注需要通过页面的回显内容来判断注入的字符是否正确,攻击者需要一个字符一个字符的去推测。
4、宽字节注入的原理
- 向系统提交表单或查询请求时,将一些特殊的字符以另外的编码方式提交给服务器,让服务器错误的解读字符,从而使请求出现非常。
- 数据库使用 gbk 编码
- 使用反斜杠举行转义
5、堆叠注入的原理
- mysql数据库sql语句的默认结束符是以“;”末端,在执行多条sql语句时就要用结束符隔开,那么分号结束一条sql语句后继续构造下一条语句,然后去执行。
- 第一次的语句没有任何攻击性;
- 但是第二次语句注入之后,会和第一个语句产生作用从而导致sql注入
6、报错注入用到的函数以及原理
- 函数:updatexml、floor、exp、group by、extractvalue、rand
- 原理:updatexml()一共有三个参数,第一个是xml内容、第二个参数是update的位置XPATH路径、第三个参数是更新后的内容;
- 这里报错的主要原理是使用第二个参数,当其校验输入的内容是否符合XPATH格式的时候,不符合就报错,我们将第二个参数替换为version()或者database()等等,由于不满意XPATH格式所以会输出错误,输出错误的时候将sql代码(verson()/database()等)执行了。
7、Dnslog注入原理
- 使用 load_file() 函数读取共享文件
- 共享文件情势:\\hex(user()).dnslog.cn/ 或者 \\host\
- 使用 mysql 的 load_file() 函数剖析拼接过的 dnslog 域名,进而带出数据
8、联合注入的步骤
- 找传参点
- 判断闭合符
- 判断列数
- 判断表现位
- 查询database()
- 查表
- 数据
9、SQL注入绕过方式
巨细写绕过 、编码绕过、注释绕过、关键字/关键函数替换、参数污染、缓存区溢出、特殊符号等
10、盲注函数
if() 、sleep() 、substr() 、left() 、limit 、ascii() 、length()
11、判断闭合符方式:
构造真和假:id=1 and 1=1 、id=1’ and 1=2 、=1" or 1=1 、') or 1=2 、and 234=234 、and 1 、or 1 、and 1^1 、&&1 、||0
12、sql注入绕waf
- 代替空格:/**/ 、/*!*/ 、+ 、%09 、%0a 、%00 、括号
- 关键字:16进制 、char() 、字符串拼接
- 等价函数替换:sleep()==benchmark() 、if()==case when then else end 、ascii()==ord() 、substr()==substring()
- 内联注释:/*! */
13、sqlmap常用参数
- -r :用于post型注入,指定 txt 文件的 post 数据包
- -u :指定url,通常用于 get 型注入
- -p :指定注入点,比方: python sqlmap.py -u http://127.0.0.1/index.php?id=1&mid=2&page=3 -p “page”
- * :指定注入点,比方:python sqlmap.py -u http://127.0.0.1/index.php?id=1*&mid=2&page=3* 注意:* 号也可以用于伪静态的注入,用法同前面一样,直接在注入点背面加 *
- -m :用于sqlmap批量跑注入,指定一个含有多个 url 的 txt 文件
- –os-shell :用户获取 shell
- –os-cmd :执行系统命令
- –tamper :指定绕过用的脚本文件
- –level 3 :指定测试品级,品级越高,检查项越多,共 1-5 个品级
- –risk 3 :指定风险品级,品级越告,payload 越复杂,共 1-3 个品级
- –random-agent :指定随机 agent 头
- –batch :默认选项
- –dbms :指定数据库范例
14、sql注入获取 webshell 的方式/ sql注入提权
- 写文件(需要写权限)
- 写日记文件(不要学权限,但是需要通过命令开启日记记录功能,而且还需要把日记文件的路径指定到网站根路径下面)
15、sql注入防御
- 过滤敏感字符,比方:information_schema 、into out_file 、into dump_file 、’ 、" 、()
- 预编译,我们的攻击指令被预编译之后就不会被当成SQL语句了,然后再拼接到mysql中,或者说我们已经编译过一次了,在mysql中就不会再被编译了
- 站库分离:增加攻击者的时间成本、防止通过数据库拿到webshell
16、mysql提权方式
二、XSS跨站脚本攻击
1、XSS漏洞的原理(简称为跨站脚本攻击)
浏览器剖析js代码触发我们的攻击js开辟人员没有做好过滤,导致我们可以闭合标签进而插入并执行恶意JS代码
2、XSS漏洞范例
- 存储型XSS:攻击者将恶意脚本存储在数据库中,当用户浏览页面时,恶意脚本会从数据库中取出并执行,从而攻击用户,会造成长期性的攻击。
- 反射型XSS:攻击者通过URL或者表单提交等方式将恶意脚本注入到页面中,用户打开页面后,恶意脚本会被执行,从而攻击用户,没有存储在数据库里。
- DOM型XSS:攻击者通过修改页面的DOM节点,注入恶意脚本,当用户与页面交互时,恶意脚本会被执行,从而攻击用户,由DOM文档完成剖析。
3、常用的JS函数
- document.cookie() :弹出当前网址的浏览器 cookie
- console.log(‘xss’) :在控制台输出日记
4、绕过方式
5、扫描工具
xsstrick
6、XSS垂纶平台
- kali工具:BEEF-能做什么
- 免费平台:https://xss.pt/
- 垂纶语句:<img src=https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fxss.pt%2Fhook.js&pos_id=img-sTm2CmYC-1716251248348)>
- Xss平台
7、XSS漏洞的预防步调:
- 过滤用户输入的数据,特殊是用户的HTML、JavaScript等代码,以防止注入攻击。
- 对用户输入的数据举行编码,比方使用HTML实体编码、URL编码等。
- 限制用户输入的数据长度,避免攻击者通过输入超长数据来举行攻击。
- 及时更新Web应用程序的安全补丁,避免已知的安全漏洞被攻击者使用。
- 对于需要认证的页面,需要验证用户的身份,以避免攻击者通过伪造用户身份举行攻击。
- 使用HTTP-only,克制javaScript读取cookie。
三、XXE:外部实体注入
1、漏洞原理:
PHP开启 外部实体引用 传入的 xml 数据未颠末过滤
2、漏洞特点
传参数据是以 xml 标签的情势
相应包里的 Content-type:text/xml
3、攻击手法
- 使用 file 协议读取文件
- 使用 http 协议举行端口探测,比方:http://127.0.0.1:22
- 使用 php 伪协议读取文件
4、盲XXE
焦点:加载执行远程xml文件,造成数据外发的结果
5、防御
- 关闭外部实体功能:libxml_disable_entity_loader(ture);
- 使用验证器和剖析器,清除不信任的输入数据,以防止注入攻击。
四、文件上传漏洞
1、文件上传漏洞的原理
答:在文件上传的功能处,若服务端脚本语言未对上传的文件举行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的本领,这就是文件上传漏洞。
2、绕过黑名单
- 特殊后缀名绕过:php3-php5 、 phtml 、,通过修改 httpd.conf 文件按可以实现剖析任意后缀名
- 通过上传 .htaccess 文件可以实现剖析任意后缀名
- 上传 .user.ini 文件,使用包罗实现getshell
- 空格绕过,使用的是 windows 和 linux 不允许文件名出现包括 空格 在内的特殊字符,比方上传:1.php[空格]
- 点绕过,windows 不允许出现点末端的文件名,会自动去掉文件名背面的点, linux 允许出现点末端的文件
- 流文件绕过,windows 中,:: D A T A 符号背面的内容会被当成字节流数据,上传之后会自动去掉 : : DATA 符号背面的内容会被当成字节流数据,上传之后会自动去掉 :: DATA符号背面的内容会被当成字节流数据,上传之后会自动去掉:
 ATA 以及背面的内容
- 双写后缀名,比方上传 1.pphphp ,只适用于将 php 替换为空的情况
3、绕过白名单
4、对文件内容举行绕过
5、绕过前端验证
五、文件包罗/下载漏洞
1、文件包罗漏洞原理
答:web应用程序中没有正确的过滤或验证用户输入,导致攻击者可以通过构造恶意请求,将任意文件包罗到web应用程序中,从而执行恶意代码或读取敏感数据等操作。
2、文件包罗函数
include() 、require 、 include_once() 、 require_once(),幽灵猫
3、文件包罗支持的协议
- php 伪协议:fiter 、 input 、 data 、 zip 、phar
- file 协议
- http 和 https
4、使用条件
- 本地文件包罗不需要开启 allow_url_* 参数
- 部分伪协议需要开启一个或者两个 allow_url_* 参数
5、文件包罗漏洞的防御步调
- 对用户输入的数据举行过滤和安全验证。
- 检查系统配置,确保 PHP 中禁用了 allow_url_fopen 和 allow_url_include 选项。这将克制远程文件包罗和文件读取操作,从而淘汰了攻击者使用文件包罗漏洞的时机。
6、文件下载漏洞的原理
是指攻击者使用Web应用程序中的漏洞,通过某种方式下载到了应该不被公开访问的文件,这些文件可能包罗敏感信息,如用户凭证、暗码等,从而造成安全风险。
7、为了防止文件下载漏洞,应该采取的步调
- 对文件下载链接举行严格的访问控制,只有颠末授权的用户才华访问;
- 验证用户请求中的参数,防止攻击者使用构造的请求举行攻击;
- 对应用程序举行安全测试,及时发现和修复漏洞。
六、命令/代码执行漏洞
1、命令执行漏洞的原理
命令执行漏洞是指攻击者可以或许通过向应用程序或系统发送恶意输入,从而使其执行未履历证或不受信任的命令。
2、命令执行漏洞的防御步调
- 输入验证:应用程序必须对全部输入数据举行严格验证,以防止攻击者提交恶意数据。
- 输入过滤:应用程序必须过滤掉不必要的字符和符号,以确保输入数据不包罗任何恶意代码。
- 最小权限原则:应用程序应该以最小的权限级别运行,以淘汰攻击者使用漏洞获取系统权限的可能性。
3、代码执行漏洞的原理:
代码执行漏洞是指攻击者可以或许在Web应用程序中执行自己的恶意代码。这种漏洞可能会导致攻击者控制整个应用程序,从而窃取敏感信息、窜改数据、乃至在服务器上执行命令。
4、代码执行漏洞预防步调:
- 对于用户输入的数据,需要举行严格的过滤和验证,避免用户输入的数据被当做代码执行。
- 在服务器上,需要正确设置文件和目录的访问权限,避免攻击者使用目录遍历漏洞在服务器上执行命令。
七、CSRF:跨站请求伪造漏洞
1、CSRF漏洞的原理(简称为跨站请求伪造攻击)
是一种常见的Web安全漏洞,攻击者使用用户已登录的身份,向Web应用程序发起恶意请求,以实现攻击目的。CSRF攻击通常发生在网站中的表单、链接、图片等交互式元素中。
2、CSRF攻击的过程可以简单描述为以下几步:
- 攻击者构造恶意请求,其中包罗攻击目的的关键操作,比方转账、修改暗码等。
- 攻击者将恶意请求嵌入到诱骗用户点击的链接、图片等元素中。
- 用户在登录状态下访问包罗恶意请求的页面时,浏览器会自动发送请求,攻击目的就会执行,从而达到攻击者的目的。
3、为了避免CSRF漏洞,可以采取以下预防步调
- 在关键操作之前,先举行身份验证,比方输入暗码、输入验证码等。
- 在Web应用程序中加入随机令牌机制,防止攻击者伪造请求。
- 使用HTTP-only,克制javaScript读取cookie。
八、SSRF:服务器端请求伪造漏洞
1、SSRF原理:
- 大都是由于服务端提供了从其他服务器获取数据的功能且没有对目的地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等
2、SSRF攻击的过程可以简单描述为以下几步:
- 攻击者构造恶意请求,其中包罗攻击目的的关键操作,比方读取文件、获取机密信息等。
- 攻击者将恶意请求发送给Web应用程序,Web应用程序将恶意请求发送到内部网络中的其他服务。
- 内部网络中的其他服务执行了恶意请求,将敏感信息或者控制权返回给攻击者。
3、支持的协议
- http://
- https://
- dict://
- ftp://
- file1
- php 伪协议
- gopher://
4、危害
- 表里网的端口和服务扫描
- 主机本地敏感数据的读取
- 表里网主机应用程序漏洞的使用
- 表里网Web站点漏洞的使用
5、为了避免SSRF漏洞,可以采取以下预防步调:
- 对于外部请求,需要举行严格的输入验证和过滤,避免攻击者通过构造恶意URL来绕过防护步调。
- 对于内部请求,需要对请求的URL举行白名单校验,只允许请求已经明确授权的内部服务。
九、中心件漏洞
1、Apache
- 剖析漏洞:多后缀名剖析漏洞(从后往前剖析,不停剖析到可识别的后缀)、罕见后缀名剖析漏洞、.htaccess剖析漏洞
- 命令执行漏洞:CVE-2021-42013
2、IIS
- 文件名剖析漏洞,从前去后剖析,遇到分号就截断,忽略分号背面的内容,比方:1.asp;.jpg
- 罕见后缀名,比方:.asa、.cer、.cdx
- IIS 5.X/6.0的文件夹剖析漏洞,比方:将文件夹以1.asp命名,该文件夹中的全部文件都会被当做asp文件执行:1.asp/1.jpg、1.asa/1.jpg、1.cer/1.jpg、1.cdx/1.jpg
- IIS 7.0/IIS 7.5的CGI剖析漏洞,比方上传1.jpg然后访问1.jpg/.php
- IIS PUT文件上传漏洞
- HTTP.sys远程代码执行漏洞:MS15-034
3、Nginx
CGI剖析漏洞,比方上传1.jpg然后访问1.jpg/.php
4、其他
- IS:目录剖析漏洞、分号截断、CGI剖析漏洞、PUT文件上传漏洞、MS15-034
- Apache:多后缀名剖析漏洞、目录遍历、命令执行漏洞:CVE-2021-42013
- Nginx:CGI剖析漏洞
- Tomcat:背景部署war包、PUT文件上传漏洞、反序列化漏洞、样例目录session操控漏洞
- Weblogic:背景部署war包、一大堆反序列化漏洞、未授权RCE漏洞
- Jboss:背景部署war包、一堆反序列化
- 有反序列化漏洞的中心件:Tomcat、Jboss、weblogic
十、框架漏洞/反序列化漏洞
1、反序列化漏洞原理
序列化是指Java对象转化为二进制文件的过程,反序列化指的是这个文件再转化为Java对象的过程,自己是个正常过程,但如果被转化的这个文件是个恶意的,转化后的对象也是会是恶意的,由此可造成命令执行等等威胁。
2、反序列化漏洞修复发起
一般我们遇到的反序列化漏洞,根本都是使用了具有反序列化漏洞的组件或者类造成的,一般我们打补丁或者升级到最新版本就可以防御。
3、Shiro反序列化漏洞
原理:Apache Shiro是一个Java安全框架,执行身份验证、授权、暗码和会话管理,Shiro提供了RememberMe的功能,当用户关闭浏览器,下次再打开浏览器访问时,还是能记着我是谁,无需登录即可访问。
其实很多网站都有这功能,Shiro对RememberMe的Cookie做了加密处理,在CookieRememberMeManaer类中将Cookie中RememberMe字段内容分别举行序列化、AES加密、Base64编码等操作,但是默认的加密AES Key是硬编码进去的,都知道这个Key是什么,所以在逆向操作反序列化、Base64解密的时候,攻击者就可以伪造恶意数据通过反序列化远程执行命令。
4、Fastjson反序列化漏洞
Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名,由此造成反序列化漏洞。
5、Log4j漏洞
自己是Apache日记功能,他有个日记遍历的功能,当碰到${jndi:// } ,会遍历执行,JNDI功能又可以使用ldap或者rmi来引入class文件,我们只需要在class文件中加入需要执行的恶意代码,就可以造成代码注入。
6、Fastjson 反序列化
通过Fastjson反序列化漏洞,攻击者可以传入一个恶意构造的JSON内容,程序对其举行反序列化后得到恶意类并执行了恶意类中的恶意函数,进而导致代码执行。
7、redis未授权
- redis在6379端口
- 写webshell
- 写公钥实现免密登录
- 写计划任务实现反弹shell
- 主从复制getshell
补:目录遍历漏洞
目录遍历通常是由于web服务器配置错误,或者web应用程序对用户输入的文件名称的安全性验证不敷而导致的一种安全漏洞,使得攻击者通过使用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),乃至执行系统命令。
常用的webshell管理工具的流量特性。
一、菜刀流量特性
最开始是明文传输,后来采用base64加密:
中国菜刀 (Chopper) 是一款经典的网站连接工具支持的服务端脚本有 PHP、ASP、ASPX,具有文件管理数据库管理、虚拟终端等功能。它的流量特性较为明显国内主流防病毒软件/终端安全类软件都将中国菜刀视为黑客类工具进而加入病毒特性库隔离,因此大多都会报毒。
如下:
第一:eval函数用于执行通报的攻击payload,这是必不可少的;
第二:(base64 ecode(_POST[z0]))将攻击payload举行Base64解码,由于菜刀默认是使用Base64编码,以避免被检测;
第三:&z0=QGluaV9zZXQ…,该部分是通报攻击payload,此参数z0对应$_POST[z0]吸取到的数据,该参数值是使用Base64编码的,所以可以使用base64解码可以看到攻击明文。
注:
- 1.有少数时候eval方法会被assert方法替换。
- 2.POST也会被_GET、$_REQUEST替换。
- 3.z0是菜刀默认的参数,这个地方也有可能被修改为其他参数名。
- 菜刀流量是base64加密,并且解码出来,里面有z0z1z2参数
二、蚁剑(PHP用base64加密)
PHP类WebShell链接流量
蚁剑的很多源码来自菜刀,所以链接流量特性与中国菜刀很相似,但是蚁剑的扩充性很好可以对举行加密,混淆等绕过处理。蚁剑默认支持 ASP以及PHP的Webshell链接,还可以通过插件来扩展其功能。
将蚁剑的正文内容举行URL解码后,流量最中明显的特性为@ini_set(“display_errors”,“0”);这段代码根本是全部WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现,同时蚁剑也有eval这种明显的特性。
蚁剑绕过特性流量
由于蚁剑中包罗了很多加密、绕过插件,所以导致很多流量被加密后无法识别,但是蚁剑混淆加密后还有一个比力明显的特性,即为参数名大多以“_0x…=”这种情势(下划线可替换为其他)所以,以_0x开头的参数名,背面为加密数据的数据包也可识别为蚁剑的流量特性。
三、冰蝎(AES对称加密)
通过HTTP请求特性检测
冰蝎是一款动态二进制加密 Web 远程管理客户端,以举行动态流量加密,且加密密钥是由使用者来设定,但是该拦截器对 webshell 的需求比力高,无法连接一句话木马。
1、冰蝎数据包总是陪同着大量的content-type:application什么什么,无论GET还是POST,请求的http中,content-type为application/octet-stream。
2、冰蝎3.0内置的默认内置16个ua(user-agent)头。
3、content-length 请求长度,对于上传文件,命令执行来讲,加密的参数不定长。但是对于密钥交互,获取根本信息来讲,payload都为定长。
四、哥斯拉(base64加密)
哥斯拉是一个基于流量、HTTP 全加密的 Webshell管理工具。和冰蝎雷同,哥斯拉为加密的通讯流量,因此通过流量举行检测会有很大的难度,由于 WAF 等流量检测型安全装备无法对加密的流量举行解密,因此只能采用一些比力宽泛的匹配规则举行检测。如哥斯拉客户端使用JAVA 语言编写,在默认的情况下,如果不修改 UserAgent,User-Agent 会包罗Java 版本信息。
特性:
1、发送一段固定代码(payload),http相应为空
2、发送一段固定代码(test),执行结果为固定内容
3、发送一段固定代码(getBacisInfo)
五、Webshell简介
webshell就是以asp、php、jsp或者cgi等网页文件情势存在的一种代码执行情况,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可举行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的,也可以将其称做为一种网页后门
最普通的一句话木马:
为了资助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的条记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要扫下方即可前去获取
因篇幅有限,仅展示部分资料,需要扫下方即可前去获取
因篇幅有限,仅展示部分资料,需要扫下方即可前去获取
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
