Webshell检测思路

0x01 关于Webshell Web shell是基于Web的应用程序,它为恶意攻击者提供了与系统交互的能力(从文件访问和上传到在被攻击的服务器上执行任意代码的能力)。 它们是用各种脚本语言编写的,包括PHP,ASP,Java和JavaScript。 一旦他们进入你的系统,攻击者就可以使用它们来窃取数据或证书,访问网络中更重要的服务器,或作为上传更危险和广泛的恶意软件的渠道。 除此之外,由于中间件的或者 java字节码马(类似的还有PHP7中的OPCache) php不死马 0x02 检测手段 静态检测(文件内容 文本内容 敏感函数中外来数据输入输出安全流程标志检测 ……大体上从函数调用到里面使用的参数 文件内敏感内容不一定是做简单的规则正则匹配,而是可以作为一个rulelist,某类规则下所有条件均满足时才判断为webshell,可能会存在漏报,但是可以大大减少误报,而匹配模式也不仅可以是字符串,还可以是一类正则表达式 动态检测 文件行为 非文件生成环境下生成的文件 hook函数调用 通过对函数调用原始内容数据进行判断 检测到函数的调用源文件内却没有相关函数 检测文件进程所属...»

kafkatao kafkatao 分类:默认分类 标签:none

SQLI预编译处理的学习

#0x01 什么是SQL的预编译 预编译是一种在同结构SQL语句多次发送时,可以提升效率的特性。创建一个sql语句模板发送到数据库,但是参数是未确定的,例如insert into test values(?,?) 利用客户端/服务器的二进制协议,将包含占位符的语句传给数据库。数据库接收后会解析,编译,在SQL语句模板上执行查询优化,并储存执行计划加入缓存,之后在执行的时候只需要发送数据就行。 #0x02 为什么采用预编译 从效率上来说,预编译语句减少了对sql语句的解析时间,查询的准备工作只进行一次,并且绑定参数传输可以使得服务器的带宽最小化,因为每次只需要发送参数,而不是整个查询语句。 从安全性上来说,SQL之所以能被注入,就是因为其非编译性语言的性质,一个合法的语句可以被我们动态的添加数据去进行修改。像比如C这种语言的话,在语义上就不会被欺骗,而SQL中的预编译也可以产生这样的作用。 在使用了预编译之后,从其他途径传输获取的参数值就不需要绞尽脑汁的做相应的转义过滤了,只要原始语句模板不存在被外部数据控制的可能,那么就不会发生SQL注入。 顺手查了查ORACLE数据库的SQL执...»

kafkatao kafkatao 分类:默认分类 标签:none

2017 SWPU CTF部分Writeup

包括 WEB1、2、3、7、8 RE1、4 MISC 1、2、3、4 最后终于靠一波misc到了第六,但作为一个WEB狗我想了想还是应该学学逆向...... wp链接: writeup.pdf »

kafkatao kafkatao 分类:默认分类 标签:none

最近的学习记录和总结

最近又回到公司继续实习了,除了面试笔试中会学习到很多,在工作中也能学到新东西和值得思考的内容。 在这里记录一下最近面试笔试的感受和与学弟一同参与的应急响应。 应急响应(数据已脱敏) 有客户联系公司说他们的服务器宕机了,疑似是由内部部门AWVS扫描造成的,并且在完成修复后登陆服务器发现passwd文件被清,并且发现在/abc/images目录下存在一个写入文件的木马webshell,可以定义任意路径写入文件,可通过此木马写入任意文件。让我们去做一次调查取证。 有同事过去到手8个G的Web日志,那就先从Web日志入手。 第一部分的攻击手段的回溯是学弟做的,通过对日志和机器上文件的产生日期、文件名等调查,发现确实是由于AWVS引起的服务器宕机,根源是在扫描shell文件的时候,构造了passwd文件的路径和文件内容payload进行扫描,服务器中间件又是root权限,直接覆盖了passwd文件。 客户在得知原因之后,让我们继续对通过shell上传的大马进行分析,看能不能找到确定攻击者。 之后找学弟要了日志文件,一份涉及到log.jsp的所有记录,一份是上传的大马tmp.jsp的访问日志...»

kafkatao kafkatao 分类:默认分类 标签:none

360面试总结

大型企业渗透测试个人去做怎么做 我认为步骤应该是信息搜集,扫描,入侵,内网渗透这么个思路,实际上他在问的时候,我并不知道他想让我回答什么内容。我刚提到信息搜集,就开始下一个问题了。 安全模式下绕过php的disable fuction DL函数,组件漏洞,环境变量。 这个当时没答出来。 SQL头注入点 UA REFERER COOKIE IP php中命令执行涉及到的函数 eval()、assert()、popen()、system()、exec()、shell_exec()、passthru()、pcntl_exec()等函数 反引号,花括号嵌套 文件包含可能导致命令执行 正则表达式 /e 修饰 creat_fuction 金融行业常见逻辑漏洞 单针对金融业务的 我认为除了通用性以外的,主要是数据的篡改(涉及金融数据,或部分业务的判断数据),由竞争条件或者设计不当引起的薅羊毛,交易/订单信息泄露,水平越权对别人的账户查看或恶意操作,交易或业务步骤绕过。 其他我也不太清楚 SSRF漏洞的成因 防御 绕过 成因:模拟服务器对其他服务器资源进行请求,没有做合法性验证。 利用:构造恶意...»