渗透面试分享(含答案)-HVV特别版

admin 2024年6月17日17:04:10评论30 views字数 2481阅读8分16秒阅读模式

 安全从业者的知识宝库

渗透面试分享(含答案)-HVV特别版

特别版

"蓝队重点检查 - 红队记得魔改"

蚁剑的特征?

  • 支持自定义加密,但shell不稳定,且对JSP兼容性比较差

  • 特征码为data:("display_errors" AND "set_time_limit(0)") 

    例如:"@ini_set("display_errors", "0");@set_time_limit(0);",base64情况下是"QGluaV9zZXQ"(eval)",在chr情况下"cHr(64).ChR(105).ChR(110).ChR(105).ChR(95).ChR(115).ChR(101).ChR(116)",在rot13的情况下"@vav_frg

  • agent:"antSword/v2.0或动态UA

  • 不同语言的特征:

    Php:assert、eval关键词执行

    Asp:eval在jsp中使用

    Java:同时会带有base64编码解码等字符特征

哥斯拉的特征?

  • 强特征,链接失败情况下2个流量包,成功为3个流量包

  • 第一个请求总会发送大量数据,这是配置信息,且请求包内无cookie,服务器响应包无内容,生成一个session,后续请求会带上此session到请求包中的cookie中,且生成的cookie后面有个分号

  • UA可能为jdk版本号,弱特征,可以做为辅助验证

  • Accept字段:

    Accept:text/html, image/gif, image/jpeg, *; q=.2, /; q=.2 Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 弱特征,容易去除

  • 响应内容中,哥斯拉会把32位的MD5拆分2部分放在base64前后,RAW加密器除外,也可以作为特征之一

  • 请求体内容,较强特征,此检测方法较特殊,安全设备误报率较高,因为需要key通信,安全设备无法进行解密,这个需要人为自行判定并溯源至源文件

冰蝎的特征?

  • 冰蝎1.0和2.0版本中,最明显的特征就是需要密钥协商,发送GET请求获取动态密钥
  • 在2.0版本中默认特征Accept为:text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2,可以作为辅助特征
  • 在2.0版本中,UA是随机UA,每次或几次请求后会更换UA,大概是16个左右,UA较老,在Constants.java内的库中,我们对程序进行反编译后可以看到,这些特征都是可以修改
  • Connection特征Keep alive,这个可以使用流量抓包工具看到,长连接,避免资源浪费开销大,也和HTTP1.0有关,1.1后貌似就没了
  • 2.0的固定特征就是随机请求的三位数,这个是强特征
  • 在冰蝎3.0中,UA再次增加,每次或几次请求后会更换UA,可以作为辅助特征
  • 辅助弱特征,可以改动:
    text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9,以及:Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
  • 部分3.0以后的子版本至4.0以后增加了referer参数,末尾文件名随机大小写
  • 在冰蝎4.0之后,UA头进行了缩减,弱特征参考意义不大,因为3.0以后可以自定义UA头
  • 3.0-4.0之后的默认密码为rebeyond,对应密钥为“e45e329feb5d925b”,该密钥为连接密码32位md5值的前16位
  • 冰蝎4.0弱特征,Accept: application/json, text/javascript, */*; q=0.01以及Content-type: Application/x-www-form-urlencoded
  • 冰蝎4.0攻击方主机特征每次建立连接端口会递增,活动端口多在49700附近
  • 冰蝎4.0请求头:dFAXQV1LORcHRQtLRlwMAhwFTAg/M 响应头:TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd
  • 强特征,解密后看到以下字段:
    $post=Decrypt(file_get_contents("php://input"));eval($post);

CS的流量特征?

  • 心跳包默认60秒,默认端口50050,随机或固定的UA根据版本判断,0.0.0.0是DNS beacon默认特征

  • 可以根据URL判断,根据初次下载payload的请求,遵循checksum8原则计算,当结果为92或93时,CS无魔改

  • 执行命令时,回传会有POST传参,且数据包内有内容,并且以submit.php?id=xxx结尾

  • ja3/ja3s特征,在进行https握手通信阶段时,server hello包内会有JA3/JA3S字段,这个和版本、系统、CS版本有关,无法通过文件去修改(profile)

  • DNS隧道技术来传输数据,在DNS请求中,域名可能以特定前缀开头(如“cdn.”、“www6.”、“api.”等),查询结果可能包含非常规的IP地址,这些地址用于指令传输或心跳检测

  • 对于二开的C2,可提取样本分析

相关内存马的特征?

  • 哥斯拉和冰蝎的内存马会有webshell相似的特征,重点关注特殊的classloader加载,攻击者经常利用TemplatesImpl和bcel加载内存马,因为内存马是驻留在内存里的,本地无class文件,通过检测Filter对应的ClassLoader目录下是否存在class文件来判断,也可以把内存中所有的Filter的class dump出来,使用工具分析是否存在恶意代码

END

添加微信进面试交流群,千万问题等你来答~

渗透面试分享(含答案)-HVV特别版

  关注公众号,持续分享各种面经及安全知识

感谢,祝大家在渗透之路,大杀四方!!!

渗透面试分享(含答案)-HVV特别版

原文始发于微信公众号(306Safe):渗透面试分享(含答案)-HVV特别版

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日17:04:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透面试分享(含答案)-HVV特别版http://cn-sec.com/archives/2856682.html

发表评论

匿名网友 填写信息