记一次黑产利用思路学习

最近做了一个应急响应,但是环境被破坏得太厉害了,除了入侵者本身留下的东西清理了一部分,甲方人员不会做现场保存处理也导致丢失了很多东西,溯源无从查起,但是从剩下的文件里可以看到入侵者的思路,学习一下 首先,入侵者的解压出来的文件夹应该有两个,一个用于挖矿,一个用于扫描 首先从日志进行分析 日志中可以看到上来后从远程拉了个压缩包并解压,然后拉入了个a2.txt并且执行了perl脚本。 这里的users和a2文件都被销毁了,所以无法查证其具体作用,但是根据思路分析猜测a2应该是配置文件,perl文件可能是用来执行后续一系列shell脚本以便于隐藏执行的shell命令。 至于为什么这里的history文件还留着,最后解释,有点骚。 文件分析 我们先看看真正起作用的shell脚本 挖矿程序目录下入口文件为x,其内容为nohup ./a >>/dev/null & 跟a文件内容, 其作用是将upd加入定时计划中去,然后执行run文件,继续跟run文件 可以看到bash.pid里的pid是a文件的pid,在run中会被kill掉,run中执行的真正的挖矿程序md,分...»

kafkatao kafkatao 分类:学习记录 标签:none

CSP 学习记录

0x00 CSP 是什么 Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。 CSP的特点就是他是在浏览器层面做的防护,是和同源策略同一级别,除非浏览器本身出现漏洞,否则不可能从机制上绕过。 CSP只允许被认可的JS块、JS文件、CSS等解析,只允许向指定的域发起请求。 总结来说,CSP就是浏览器层面的,通过对不同类型的资源的来源、方式做限制来控制资源的加载,从而达到防止某些漏洞产生的策略。 0x01 内容源 内容源是用来声明资源可能从哪里加载的字符串 其形式包括 * 允许任意url加载但是不能够使用data:blob:filesystem:schemes协议 http://*.xxxx.com 用于匹配所有使用http协议加载foo.com任何子域名的尝试 xxx.xxx.com:123 匹配所有访问域名端口的尝试 https:// 匹配所有使用https协议访问的尝试 除此之外,还有一些关键字可以用来描述一些特别的内容源,比如 'none' 表示...»

kafkatao kafkatao 分类:学习记录 标签:none

文件解析漏洞

之前在看到文件上传漏洞的部分的时候,感觉除了绕过后缀名,MIME-TYPE的检查外,对文件的解析部分不是太清楚,现在再记录一下。 IIS 6中会将a.asp;xx.jpg解析成asp,原因是被;符号截断了。还存在一个目录解析,会将a.asp/目录下文件解析成asp文件,前提是本地确实存在这样的文件或环境。 7.5中xyz.jpg/.php 会被解析成php ,pathinfo Apache apache:webshel.php.XXX.XXA.XXB module方式解析php文件的情况下,由于mime.types配置里没有XXX文件类型,不认识就往前遍历解析.php(1.x 2.x) 还有个关于AddType和AddHandler的配置问题,AddType指令在给定的文件扩展名与特定的内容类型之间建立映射关系。MIME-type指明了包含extension扩展名的文件的媒体类型。 而AddHandler 指令的作用是:在文件扩展名与特定的处理器之间建立映射 比如:AddHandler php5-script .php 就是指定扩展名为 .php 的文件应...»

kafkatao kafkatao 分类:学习记录 标签:none

通过先知XSS挑战学习到的点

maltipart/form-data伪造通过表单中textarea构造参数 通过meta标签限制no-referer,预先用ajax或者fetch先请求,前提是ajax需要同步请求以免影响到之后的跳转 通过构造iframe的 poc.html <iframe id=x src=redirect.php></iframe> <script> x.location.reload(); </script> redirect.php <?php header("location: json.php"); ?> 可以绕过application/x格式对xss进行执行 通过flash发送请求绕过对referer的编码 说到这里,flash的部分版本还能控制referer的发送 端口小于80的location头不跳转,P牛的博客里也说了用CSP控制头不跳转的情况,当时没有复现成功不知为何 PHP的header函数一旦遇到\0、\r、\n这三个字符,就会抛出一个错误,此时Location头便不会返回,浏览...»

代码审计

补充一个,之前在说XSS的输入检查的时候,这种方式是有局限性的,因为输入的XSSfilter无法理解输出的语境,对一些符号的处理可能会改变用户数据的原意,并且,针对一些特定输出点可能起不到正确的防御作用。然后这篇的内容是想把代码审计的一个大体思路和一些注意的地方记录一下。 目录 代码审计思路 首先,我们在对一个系统进行审计过程之前,最好在本地搭建一个应用,然后对功能有个大体上的了解。然后接下来会描述一下几种不同的审计思路。 从功能方向上的审计思路 从index、webxml等入口页面开始 寻找加载的配置文件,如conf、inc、ini、敏感xml文件等 寻找功能实现点 从功能点中找到参与实现的函数 函数中是否含有敏感方法的调用 调用过程中参数是否可控,参数是否通过安全函数,以及安全函数对应此功能点是否合适 数据有无二次使用,在二次使用中是否做了相应的安全措施 从数据流向上的审计思路 用户可控变量在应用的什么位置被获取 该变量参与了什么功能的实现,将涉及变量的所有函数找全 参与的函数中是否含有敏感方法 如为敏感方法对应数据是否做了安全措施 注意普遍验证过程中参数的...»