寒假

还有1个半小时不到,今年的工作就结束了,暂时告别绿盟的生活模式。 一路走来,真的是弯路走了很多,坑也踩了很多,难受,不后悔,因为没办法。 这几天wiki还挺多,感兴趣的没有特别多,难道大佬们冬天也一样会怠惰的吗。 公司confluence挂了,无意间发现藏经阁居然对我开放了,马上把感兴趣的资料下了下来,顺便翻了翻资料密级。 有点担心搞不定未来的学习啊,不过应该不大会吧。 明年准备针对应急补补逆向,再补补域渗透。 看了一些企业安全的东西,很多还是能和工作中接触的东西对的上号。开始了解SDL相关知识,感觉开了一个大坑。 嗯,最近还对黑产灰产的操作和利益来源比较感兴趣。 实际上学习记录还是在写的,乱的没特点的也不好意思放博客了。 临走前把报销报了,翻了翻邮箱,去年也是差不多这个时候请假的orz... 整理整理桌子,隔壁haohong哥竟然搞了个什么净瓶养植物,佛系玩家。 公司玻璃上居然还是圣诞的贴纸。 走了走了,回家休息了。 明年在做事上,争取每件事都做得靠谱。 »

kafkatao kafkatao 分类:默认分类 标签:none

Webshell检测思路

0x01 关于Webshell Web shell是基于Web的应用程序,它为恶意攻击者提供了与系统交互的能力(从文件访问和上传到在被攻击的服务器上执行任意代码的能力)。 它们是用各种脚本语言编写的,包括PHP,ASP,Java和JavaScript。 一旦他们进入你的系统,攻击者就可以使用它们来窃取数据或证书,访问网络中更重要的服务器,或作为上传更危险和广泛的恶意软件的渠道。 除此之外,由于中间件的或者 java字节码马(类似的还有PHP7中的OPCache) php不死马 0x02 检测手段 静态检测(文件内容 文本内容 敏感函数中外来数据输入输出安全流程标志检测 ……大体上从函数调用到里面使用的参数 文件内敏感内容不一定是做简单的规则正则匹配,而是可以作为一个rulelist,某类规则下所有条件均满足时才判断为webshell,可能会存在漏报,但是可以大大减少误报,而匹配模式也不仅可以是字符串,还可以是一类正则表达式 动态检测 文件行为 非文件生成环境下生成的文件 hook函数调用 通过对函数调用原始内容数据进行判断 检测到函数的调用源文件内却没有相关函数 检测文件进程所属...»

kafkatao kafkatao 分类:默认分类 标签:none

SQLI预编译处理的学习

#0x01 什么是SQL的预编译 预编译是一种在同结构SQL语句多次发送时,可以提升效率的特性。创建一个sql语句模板发送到数据库,但是参数是未确定的,例如insert into test values(?,?) 利用客户端/服务器的二进制协议,将包含占位符的语句传给数据库。数据库接收后会解析,编译,在SQL语句模板上执行查询优化,并储存执行计划加入缓存,之后在执行的时候只需要发送数据就行。 #0x02 为什么采用预编译 从效率上来说,预编译语句减少了对sql语句的解析时间,查询的准备工作只进行一次,并且绑定参数传输可以使得服务器的带宽最小化,因为每次只需要发送参数,而不是整个查询语句。 从安全性上来说,SQL之所以能被注入,就是因为其非编译性语言的性质,一个合法的语句可以被我们动态的添加数据去进行修改。像比如C这种语言的话,在语义上就不会被欺骗,而SQL中的预编译也可以产生这样的作用。 在使用了预编译之后,从其他途径传输获取的参数值就不需要绞尽脑汁的做相应的转义过滤了,只要原始语句模板不存在被外部数据控制的可能,那么就不会发生SQL注入。 顺手查了查ORACLE数据库的SQL执...»

kafkatao kafkatao 分类:默认分类 标签:none

2017 SWPU CTF部分Writeup

包括 WEB1、2、3、7、8 RE1、4 MISC 1、2、3、4 最后终于靠一波misc到了第六,但作为一个WEB狗我想了想还是应该学学逆向...... wp链接: writeup.pdf »

kafkatao kafkatao 分类:默认分类 标签:none

最近的学习记录和总结

最近又回到公司继续实习了,除了面试笔试中会学习到很多,在工作中也能学到新东西和值得思考的内容。 在这里记录一下最近面试笔试的感受和与学弟一同参与的应急响应。 应急响应(数据已脱敏) 有客户联系公司说他们的服务器宕机了,疑似是由内部部门AWVS扫描造成的,并且在完成修复后登陆服务器发现passwd文件被清,并且发现在/abc/images目录下存在一个写入文件的木马webshell,可以定义任意路径写入文件,可通过此木马写入任意文件。让我们去做一次调查取证。 有同事过去到手8个G的Web日志,那就先从Web日志入手。 第一部分的攻击手段的回溯是学弟做的,通过对日志和机器上文件的产生日期、文件名等调查,发现确实是由于AWVS引起的服务器宕机,根源是在扫描shell文件的时候,构造了passwd文件的路径和文件内容payload进行扫描,服务器中间件又是root权限,直接覆盖了passwd文件。 客户在得知原因之后,让我们继续对通过shell上传的大马进行分析,看能不能找到确定攻击者。 之后找学弟要了日志文件,一份涉及到log.jsp的所有记录,一份是上传的大马tmp.jsp的访问日志...»

kafkatao kafkatao 分类:默认分类 标签:none