简学-攻击特征搜集

攻击特征分析

0x00 特征字符分析

0x00.1 SQL 注入

0x00.2 常见数据库类型判断

0x00.3 恶意文件上传

0x00.4 一句话木马（Webshell）

0x00.5 命令执行/代码执行特征

0x00.6 反弹 shell（Windows）

0x00.7 Linux

0x00.8 反弹 shell（Linux）

0x00.9 高危POC攻击特征

0x00.10 HTTP请求中高位特征值字段

0x00.11 信息泄露类扫描

0x00.12 常见各种绕过WAF的姿势

0x01 访问频率分析

0x01.1 SQL盲注

0x01.2 敏感目录爆破

0x01.3 暴力破解

0x01.4 WEB 扫描

0x00 特征字符分析

0x00.1 SQL 注入

漏洞特征：明显的SQL语句

字符型：

1、参数后加单引号(')，报错：sqli.php?name=admin'

2、参数后加' and '1'='1，访问正常：sqli.php?name=admin' and '1'='1

3、参数后加and sleep(3) --+，是否延迟3秒打开：sqli.php?name=admin' and/or sleep(3) --+

数字型：

1.参数后加单引号，报错：sql2.php?id=1'

2.参数后加 and 1=1 和 and 1=2，访问正常：sql2.php?id=1 and 1=1/sql2.php?id=1 and 1=2

3.参数后加 and sleep(5)，是否延迟 5 秒打开：sql2.php?id=1 and sleep(5)

各种注入语句：

联合查询注入：union select、order by

报错注入（常见的报错函数）： floor()、extractvalue()、updatexml()、geometrycollection()、multipoint()、polygon()、multipolygon()、linestring()、multilinestring()、exp()。

0x00.2 常见数据库类型判断

SQLSERVER：

1、and (select count(*) from sysobjects) > 0 返回正常

2、and (select count(*) from msysobjects) > 0 返回异常

3、and left(version(),1)=5%23 参数5 也可能是4

MYSQL：

1、id=2 and version() > 0 返回正常

2、id=2 and length(user()) > 0 返回正常

3、id=2 CHAR(97,110,100,32,49,64,49) 返回正常

ORACLE：

and length(select user from dual) > 0 返回正常

示例：

0x00.3 恶意文件上传

通常存在于 upload、file、upfile 等出现类似字样的文件，均有可能是恶意文件上传，具体还需要结合日志进行判断，一般是判断后续是否出现有 Webshell 等一些 web 操作，可通过查看下图，发现存在一些比较奇怪的 php文件 ，此处判断可能存在恶意文件上传。

示例：

0x00.4 一句话木马（Webshell）

一般名字可以的文件，如带有日期字样的页面（.php、.asp、.aspx、.ash、.jsp等）、一串随机值的页面、正常目录下的非正常脚本文件（.php、.asp、.apsx、.ash、.jsp等），并通过 Post请求，同时会返回一定的数据，此时可判断可能存在一句话木马、webshell等文件，有些日志可能还有 post 请求参数，可结合参数，更准确的判断是否存在一句话木马、webshell等恶意文件。

示例：

0x00.5 命令执行/代码执行特征

针对命令执行后对操作系统进行更深入的渗透，常规先判断系统类型，命令是否回显，以及目标系统是否能够出网，即系统类型->是否回显->能否出网。代码相对简单，所以很多都是直接贴代码，因此基本需要判断是否存在一下命令执行函数。

命令执行函数：

system()、passthru()、exec()、shell_exec()、popen()、proc_popen()、eval()、assert()、xp_cmdshell()

回调函数：

call_user_func()、call_user_func_array()、array_map()、preg_replace()