“ 安全从业者的知识宝库”
特别版
—
"蓝队重点检查 - 红队记得魔改"
蚁剑的特征?
-
支持自定义加密,但shell不稳定,且对JSP兼容性比较差
-
特征码为data:("display_errors" AND "set_time_limit(0)")
例如:"@ini_set("display_errors", "0");@set_time_limit(0);",base64情况下是"QGluaV9zZXQ"(eval)",在chr情况下"cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116)",在rot13的情况下"@vav_frg”
-
agent:"antSword/v2.0或动态UA
-
不同语言的特征:
Php:assert、eval关键词执行
Asp:eval在jsp中使用
Java:同时会带有base64编码解码等字符特征
哥斯拉的特征?
-
强特征,链接失败情况下2个流量包,成功为3个流量包
-
第一个请求总会发送大量数据,这是配置信息,且请求包内无cookie,服务器响应包无内容,生成一个session,后续请求会带上此session到请求包中的cookie中,且生成的cookie后面有个分号
-
UA可能为jdk版本号,弱特征,可以做为辅助验证
-
Accept字段:
Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 弱特征,容易去除
-
响应内容中,哥斯拉会把32位的MD5拆分2部分放在base64前后,RAW加密器除外,也可以作为特征之一
-
请求体内容,较强特征,此检测方法较特殊,安全设备误报率较高,因为需要key通信,安全设备无法进行解密,这个需要人为自行判定并溯源至源文件
冰蝎的特征?
-
冰蝎1.0和2.0版本中,最明显的特征就是需要密钥协商,发送GET请求获取动态密钥 -
在2.0版本中默认特征Accept为:text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2,可以作为辅助特征 -
在2.0版本中,UA是随机UA,每次或几次请求后会更换UA,大概是16个左右,UA较老,在Constants.java内的库中,我们对程序进行反编译后可以看到,这些特征都是可以修改 -
Connection特征Keep alive,这个可以使用流量抓包工具看到,长连接,避免资源浪费开销大,也和HTTP1.0有关,1.1后貌似就没了 -
2.0的固定特征就是随机请求的三位数,这个是强特征 -
在冰蝎3.0中,UA再次增加,每次或几次请求后会更换UA,可以作为辅助特征 -
辅助弱特征,可以改动: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9,以及:Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7 -
部分3.0以后的子版本至4.0以后增加了referer参数,末尾文件名随机大小写 -
在冰蝎4.0之后,UA头进行了缩减,弱特征参考意义不大,因为3.0以后可以自定义UA头 -
3.0-4.0之后的默认密码为rebeyond,对应密钥为“e45e329feb5d925b”,该密钥为连接密码32位md5值的前16位 -
冰蝎4.0弱特征,Accept: application/json, text/javascript, */*; q=0.01以及Content-type: Application/x-www-form-urlencoded -
冰蝎4.0攻击方主机特征每次建立连接端口会递增,活动端口多在49700附近 -
冰蝎4.0请求头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M 响应头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd -
强特征,解密后看到以下字段: $post=Decrypt(file_get_contents("php://input"));eval($post);
CS的流量特征?
-
心跳包默认60秒,默认端口50050,随机或固定的UA根据版本判断,0.0.0.0是DNS beacon默认特征
-
可以根据URL判断,根据初次下载payload的请求,遵循checksum8原则计算,当结果为92或93时,CS无魔改
-
执行命令时,回传会有POST传参,且数据包内有内容,并且以submit.php?id=xxx结尾
-
ja3/ja3s特征,在进行https握手通信阶段时,server hello包内会有JA3/JA3S字段,这个和版本、系统、CS版本有关,无法通过文件去修改(profile)
-
DNS隧道技术来传输数据,在DNS请求中,域名可能以特定前缀开头(如“cdn.”、“www6.”、“api.”等),查询结果可能包含非常规的IP地址,这些地址用于指令传输或心跳检测
-
对于二开的C2,可提取样本分析
相关内存马的特征?
-
哥斯拉和冰蝎的内存马会有webshell相似的特征,重点关注特殊的classloader加载,攻击者经常利用TemplatesImpl和bcel加载内存马,因为内存马是驻留在内存里的,本地无class文件,通过检测Filter对应的ClassLoader目录下是否存在class文件来判断,也可以把内存中所有的Filter的class dump出来,使用工具分析是否存在恶意代码
END
—
添加微信进面试交流群,千万问题等你来答~
关注公众号,持续分享各种面经及安全知识~
感谢,祝大家在渗透之路,大杀四方!!!
原文始发于微信公众号(306Safe):渗透面试分享(含答案)-HVV特别版
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论