近期要准备HW了,这里就更新一点相关面试可能会问的问题。
菜刀流量分析:
代码语言:javascript复制payload的特征:
PHP:<?php @eval($_POST["cai"]); ?>
ASP: <%eval request("bai")%>
ASP.NET:<%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>
数据包流量特征:
1、请求包中 ua头位百度,火狐
2、请求实体中存在eval,base64等特征字符
3、请求实体中传递depayload为base64编码,并且存在固定的:
代码语言:javascript复制QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtpZihQSFBfVkVSU0lPTjwnNS4zLjAnKXtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO307ZWNobygiWEBZIik7J
蚁剑流量分析:
payload特征:
php中使用assert,eval执行,asp中使用eval,在jsp使用的是Java类加载(classLoader),同时会带有base64编码解码等样式
数据包流量特征:
使用普通的一句话都存在以下特征:
每个请求实体都存在
代码语言:javascript复制@ini_set(“display_errors”, “0”);@set_time_limit(0)
开头。并且后面存在base64等字符
响应包返回格式:
随机数,响应内容,随机数
使用base64加密的payload,数据包存在以下base加密的eval命令,数据包中的payload几个分段内容都是用了base加密,解密之后可以看到相关的路径和命令等。
冰蝎流量分析:
payload分析:
php在代码中同样会存在eval或者assert等字符特征。
asp中会在for循环进行一段异或处理
在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
冰蝎2.0流量特征:
第一阶段中请求返回包状态码为200,返回的内容必定是16位的密钥
请求包存在:
代码语言:javascript复制Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
建立连接后的cookie存在特征字符
所有请求 Cookie的格式都为:
代码语言:javascript复制 Cookie: PHPSESSID=; path=/;
冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
代码语言:javascript复制Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
哥斯拉流量特征:
payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
哥斯拉流量分析:
作为参考:
所有请求中Accept:
代码语言:javascript复制 text/html,application/xhtml xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在