记一次黑产利用思路学习

最近做了一个应急响应,但是环境被破坏得太厉害了,除了入侵者本身留下的东西清理了一部分,甲方人员不会做现场保存处理也导致丢失了很多东西,溯源无从查起,但是从剩下的文件里可以看到入侵者的思路,学习一下 首先,入侵者的解压出来的文件夹应该有两个,一个用于挖矿,一个用于扫描 首先从日志进行分析 日志中可以看到上来后从远程拉了个压缩包并解压,然后拉入了个a2.txt并且执行了perl脚本。 这里的users和a2文件都被销毁了,所以无法查证其具体作用,但是根据思路分析猜测a2应该是配置文件,perl文件可能是用来执行后续一系列shell脚本以便于隐藏执行的shell命令。 至于为什么这里的history文件还留着,最后解释,有点骚。 文件分析 我们先看看真正起作用的shell脚本 挖矿程序目录下入口文件为x,其内容为nohup ./a >>/dev/null & 跟a文件内容, 其作用是将upd加入定时计划中去,然后执行run文件,继续跟run文件 可以看到bash.pid里的pid是a文件的pid,在run中会被kill掉,run中执行的真正的挖矿程序md,分...»

kafkatao kafkatao 分类:学习记录 标签:none

Webshell检测思路

0x01 关于Webshell Web shell是基于Web的应用程序,它为恶意攻击者提供了与系统交互的能力(从文件访问和上传到在被攻击的服务器上执行任意代码的能力)。 它们是用各种脚本语言编写的,包括PHP,ASP,Java和JavaScript。 一旦他们进入你的系统,攻击者就可以使用它们来窃取数据或证书,访问网络中更重要的服务器,或作为上传更危险和广泛的恶意软件的渠道。 除此之外,由于中间件的或者 java字节码马(类似的还有PHP7中的OPCache) php不死马 0x02 检测手段 静态检测(文件内容 文本内容 敏感函数中外来数据输入输出安全流程标志检测 ……大体上从函数调用到里面使用的参数 文件内敏感内容不一定是做简单的规则正则匹配,而是可以作为一个rulelist,某类规则下所有条件均满足时才判断为webshell,可能会存在漏报,但是可以大大减少误报,而匹配模式也不仅可以是字符串,还可以是一类正则表达式 动态检测 文件行为 非文件生成环境下生成的文件 hook函数调用 通过对函数调用原始内容数据进行判断 检测到函数的调用源文件内却没有相关函数 检测文件进程所属...»

kafkatao kafkatao 分类:默认分类 标签:none

SQLI预编译处理的学习

#0x01 什么是SQL的预编译 预编译是一种在同结构SQL语句多次发送时,可以提升效率的特性。创建一个sql语句模板发送到数据库,但是参数是未确定的,例如insert into test values(?,?) 利用客户端/服务器的二进制协议,将包含占位符的语句传给数据库。数据库接收后会解析,编译,在SQL语句模板上执行查询优化,并储存执行计划加入缓存,之后在执行的时候只需要发送数据就行。 #0x02 为什么采用预编译 从效率上来说,预编译语句减少了对sql语句的解析时间,查询的准备工作只进行一次,并且绑定参数传输可以使得服务器的带宽最小化,因为每次只需要发送参数,而不是整个查询语句。 从安全性上来说,SQL之所以能被注入,就是因为其非编译性语言的性质,一个合法的语句可以被我们动态的添加数据去进行修改。像比如C这种语言的话,在语义上就不会被欺骗,而SQL中的预编译也可以产生这样的作用。 在使用了预编译之后,从其他途径传输获取的参数值就不需要绞尽脑汁的做相应的转义过滤了,只要原始语句模板不存在被外部数据控制的可能,那么就不会发生SQL注入。 顺手查了查ORACLE数据库的SQL执...»

kafkatao kafkatao 分类:默认分类 标签:none

CSP 学习记录

0x00 CSP 是什么 Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。 CSP的特点就是他是在浏览器层面做的防护,是和同源策略同一级别,除非浏览器本身出现漏洞,否则不可能从机制上绕过。 CSP只允许被认可的JS块、JS文件、CSS等解析,只允许向指定的域发起请求。 总结来说,CSP就是浏览器层面的,通过对不同类型的资源的来源、方式做限制来控制资源的加载,从而达到防止某些漏洞产生的策略。 0x01 内容源 内容源是用来声明资源可能从哪里加载的字符串 其形式包括 * 允许任意url加载但是不能够使用data:blob:filesystem:schemes协议 http://*.xxxx.com 用于匹配所有使用http协议加载foo.com任何子域名的尝试 xxx.xxx.com:123 匹配所有访问域名端口的尝试 https:// 匹配所有使用https协议访问的尝试 除此之外,还有一些关键字可以用来描述一些特别的内容源,比如 'none' 表示...»

kafkatao kafkatao 分类:学习记录 标签:none

文件解析漏洞

之前在看到文件上传漏洞的部分的时候,感觉除了绕过后缀名,MIME-TYPE的检查外,对文件的解析部分不是太清楚,现在再记录一下。 IIS 6中会将a.asp;xx.jpg解析成asp,原因是被;符号截断了。还存在一个目录解析,会将a.asp/目录下文件解析成asp文件,前提是本地确实存在这样的文件或环境。 7.5中xyz.jpg/.php 会被解析成php ,pathinfo Apache apache:webshel.php.XXX.XXA.XXB module方式解析php文件的情况下,由于mime.types配置里没有XXX文件类型,不认识就往前遍历解析.php(1.x 2.x) 还有个关于AddType和AddHandler的配置问题,AddType指令在给定的文件扩展名与特定的内容类型之间建立映射关系。MIME-type指明了包含extension扩展名的文件的媒体类型。 而AddHandler 指令的作用是:在文件扩展名与特定的处理器之间建立映射 比如:AddHandler php5-script .php 就是指定扩展名为 .php 的文件应...»

kafkatao kafkatao 分类:学习记录 标签:none