渗透面试分享(含答案)-HVV特别版

蚁剑的特征？

• 支持自定义加密，但shell不稳定，且对JSP兼容性比较差

• 特征码为data:("display_errors" AND "set_time_limit(0)") 

  例如："@ini_set("display_errors", "0");@set_time_limit(0);"，base64情况下是"QGluaV9zZXQ"(eval)"，在chr情况下"cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116)"，在rot13的情况下"@vav_frg”

• agent:"antSword/v2.0或动态UA

• 不同语言的特征：

    Php：assert、eval关键词执行

    Asp：eval在jsp中使用

    Java：同时会带有base64编码解码等字符特征

哥斯拉的特征？

• 强特征，链接失败情况下2个流量包，成功为3个流量包

• 第一个请求总会发送大量数据，这是配置信息，且请求包内无cookie，服务器响应包无内容，生成一个session，后续请求会带上此session到请求包中的cookie中，且生成的cookie后面有个分号

• UA可能为jdk版本号，弱特征，可以做为辅助验证

• Accept字段:

  Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 弱特征，容易去除

• 响应内容中，哥斯拉会把32位的MD5拆分2部分放在base64前后，RAW加密器除外，也可以作为特征之一

• 请求体内容，较强特征，此检测方法较特殊，安全设备误报率较高，因为需要key通信，安全设备无法进行解密，这个需要人为自行判定并溯源至源文件

冰蝎的特征？

CS的流量特征？

• 心跳包默认60秒，默认端口50050，随机或固定的UA根据版本判断，0.0.0.0是DNS beacon默认特征

• 可以根据URL判断，根据初次下载payload的请求，遵循checksum8原则计算，当结果为92或93时，CS无魔改

• 执行命令时，回传会有POST传参，且数据包内有内容，并且以submit.php?id=xxx结尾

• ja3/ja3s特征，在进行https握手通信阶段时，server hello包内会有JA3/JA3S字段，这个和版本、系统、CS版本有关，无法通过文件去修改(profile)

• DNS隧道技术来传输数据，在DNS请求中，域名可能以特定前缀开头（如“cdn.”、“www6.”、“api.”等），查询结果可能包含非常规的IP地址，这些地址用于指令传输或心跳检测

• 对于二开的C2，可提取样本分析

相关内存马的特征？

• 哥斯拉和冰蝎的内存马会有webshell相似的特征，重点关注特殊的classloader加载，攻击者经常利用TemplatesImpl和bcel加载内存马，因为内存马是驻留在内存里的，本地无class文件，通过检测Filter对应的ClassLoader目录下是否存在class文件来判断，也可以把内存中所有的Filter的class dump出来，使用工具分析是否存在恶意代码