作为蓝队人员,需要熟悉各种恶意攻击流量,需识别web漏洞学习作为基础,才能快速轻松是被出是否被攻击,还需要判断是否攻击成功,然后以此决定是否需要上报。

        本文将介绍常见web漏洞流量特征,我们需要重点关注webshell得流量,主要是一些主流的webshell连接工具的流量,希望对大家今年的hvv有所帮助。其实只要需要熟悉常见web漏洞的payload以及对response数据包进行分析即可。

        一般数据包的流量会被url编码,如果看着不习惯的话可以先解码再观察。可以在网上找一些url解码工具。

SQL注入

        因为攻击者看见一些框框,就想sqlmap跑一下,这里面鱼龙混杂,我们需要仔细辨别。主要依赖于你对SQL注入漏洞的了解,主要是各种的注入手法以及注入的位置。

  • 注入手法:堆叠,联合,延时,布尔,报错,宽字节等
  • 注入位置:GET,POST,Cookie等数据包位置

如果你对这两者掌握不错,相信SQL注入的流量你一定能轻松识别,但如果你对这些这些掌握并不全面,也可以根据一些特定的字段

select,union,limit,sleep(),concat(),length(),mid(),ord()等

还有在GET请求中的参数,需要关注。

XSS漏洞

     

        主要关注一些常见的标签即可,主要依赖js脚本,关注一些常见js标签即可。

文件上传

        需要关注数据包的filename字段以及content-type字段,还有重点关注数据包的实体内容,往往包含有webshell代码,往往带有一些混淆,需要仔细看看,尤其是一些以文件类型是jsp,php的,要格外关注,并且要看看返回包的内容。

文件包含

        要注意一些数据包参数里面的远程地址,文件路径

弱口令爆破

        这一般是爆破账号密码,如果数量过多要及时进行ip封禁,数据包特征一般是post,而且清晰明显

命令/代码执行

        主要关注一些数据包的用户可控参数位置,如果看见 eval ,system 以及一些脚本后门代码,win系统或者linux系统的命令,就要格外小心了,一定要仔细看看返回包是否执行成功,不能仅以数据包的状态表示码来判断。

Webshell

主流的webshell连接工具,一般是哥斯拉,蚁剑,冰蝎。

这一块我把三款工具的使用和流量特征各写了一篇文章,下面是连接。