寒假

还有1个半小时不到,今年的工作就结束了,暂时告别绿盟的生活模式。 一路走来,真的是弯路走了很多,坑也踩了很多,难受,不后悔,因为没办法。 这几天wiki还挺多,感兴趣的没有特别多,难道大佬们冬天也一样会怠惰的吗。 公司confluence挂了,无意间发现藏经阁居然对我开放了,马上把感兴趣的资料下了下来,顺便翻了翻资料密级。 有点担心搞不定未来的学习啊,不过应该不大会吧。 明年准备针对应急补补逆向,再补补域渗透。 看了一些企业安全的东西,很多还是能和工作中接触的东西对的上号。开始了解SDL相关知识,感觉开了一个大坑。 嗯,最近还对黑产灰产的操作和利益来源比较感兴趣。 实际上学习记录还是在写的,乱的没特点的也不好意思放博客了。 临走前把报销报了,翻了翻邮箱,去年也是差不多这个时候请假的orz... 整理整理桌子,隔壁haohong哥竟然搞了个什么净瓶养植物,佛系玩家。 公司玻璃上居然还是圣诞的贴纸。 走了走了,回家休息了。 明年在做事上,争取每件事都做得靠谱。 »

kafkatao kafkatao 分类:默认分类 标签:none

记一次黑产利用思路学习

最近做了一个应急响应,但是环境被破坏得太厉害了,除了入侵者本身留下的东西清理了一部分,甲方人员不会做现场保存处理也导致丢失了很多东西,溯源无从查起,但是从剩下的文件里可以看到入侵者的思路,学习一下 首先,入侵者的解压出来的文件夹应该有两个,一个用于挖矿,一个用于扫描 首先从日志进行分析 日志中可以看到上来后从远程拉了个压缩包并解压,然后拉入了个a2.txt并且执行了perl脚本。 这里的users和a2文件都被销毁了,所以无法查证其具体作用,但是根据思路分析猜测a2应该是配置文件,perl文件可能是用来执行后续一系列shell脚本以便于隐藏执行的shell命令。 至于为什么这里的history文件还留着,最后解释,有点骚。 文件分析 我们先看看真正起作用的shell脚本 挖矿程序目录下入口文件为x,其内容为nohup ./a >>/dev/null & 跟a文件内容, 其作用是将upd加入定时计划中去,然后执行run文件,继续跟run文件 可以看到bash.pid里的pid是a文件的pid,在run中会被kill掉,run中执行的真正的挖矿程序md,分...»

kafkatao kafkatao 分类:学习记录 标签:none

Webshell检测思路

0x01 关于Webshell Web shell是基于Web的应用程序,它为恶意攻击者提供了与系统交互的能力(从文件访问和上传到在被攻击的服务器上执行任意代码的能力)。 它们是用各种脚本语言编写的,包括PHP,ASP,Java和JavaScript。 一旦他们进入你的系统,攻击者就可以使用它们来窃取数据或证书,访问网络中更重要的服务器,或作为上传更危险和广泛的恶意软件的渠道。 除此之外,由于中间件的或者 java字节码马(类似的还有PHP7中的OPCache) php不死马 0x02 检测手段 静态检测(文件内容 文本内容 敏感函数中外来数据输入输出安全流程标志检测 ……大体上从函数调用到里面使用的参数 文件内敏感内容不一定是做简单的规则正则匹配,而是可以作为一个rulelist,某类规则下所有条件均满足时才判断为webshell,可能会存在漏报,但是可以大大减少误报,而匹配模式也不仅可以是字符串,还可以是一类正则表达式 动态检测 文件行为 非文件生成环境下生成的文件 hook函数调用 通过对函数调用原始内容数据进行判断 检测到函数的调用源文件内却没有相关函数 检测文件进程所属...»

kafkatao kafkatao 分类:默认分类 标签:none

SQLI预编译处理的学习

#0x01 什么是SQL的预编译 预编译是一种在同结构SQL语句多次发送时,可以提升效率的特性。创建一个sql语句模板发送到数据库,但是参数是未确定的,例如insert into test values(?,?) 利用客户端/服务器的二进制协议,将包含占位符的语句传给数据库。数据库接收后会解析,编译,在SQL语句模板上执行查询优化,并储存执行计划加入缓存,之后在执行的时候只需要发送数据就行。 #0x02 为什么采用预编译 从效率上来说,预编译语句减少了对sql语句的解析时间,查询的准备工作只进行一次,并且绑定参数传输可以使得服务器的带宽最小化,因为每次只需要发送参数,而不是整个查询语句。 从安全性上来说,SQL之所以能被注入,就是因为其非编译性语言的性质,一个合法的语句可以被我们动态的添加数据去进行修改。像比如C这种语言的话,在语义上就不会被欺骗,而SQL中的预编译也可以产生这样的作用。 在使用了预编译之后,从其他途径传输获取的参数值就不需要绞尽脑汁的做相应的转义过滤了,只要原始语句模板不存在被外部数据控制的可能,那么就不会发生SQL注入。 顺手查了查ORACLE数据库的SQL执...»

kafkatao kafkatao 分类:默认分类 标签:none