常見的類型有以下:SQL注入、XSS跨站腳本攻擊、惡意文件上傳、一句話木馬連接等。
SQL注入:
漏洞特征:存在SQL注入語句 常見的SQL注入語句有:
●通過報錯注入、布爾盲注、時間盲注判斷是否存在注入:
⊙字符型
■ 參數后加單引號,報錯:sql1.php?name=admin'
■ 參數后加' and '1'='2和' and '1'='2,訪問正常:sql1.php?name=admin' and '1'='1 /sql1.php?name=admin' and '1'='2
■ 參數后加' and sleep(3) --,是否延遲3秒打開:sql1.php?name=admin' and/or sleep(3)--
⊙數字型
■ 參數后加單引號,報錯:sql2.php?id=1'
■ 參數后加and 1=1和and 1=2,訪問正常:sql2.php?id=1 and 1=1/sql2.php?id=1 and 1=2
■ 參數后加and sleep(5),是否延遲3秒打開:sql2.php?id=1 and sleep(5)
● 通過各種注入語句進行SQL注入攻擊:
☉聯合查詢注入
■ union select
■ order by
☉報錯注入(常見報錯注入函數)
■ floor()
■ extractvalue()
■ updatexml()
■ geometrycollection()
■ multipoint()
■ polygon()
■ multipolygon()
■ linestring()
■ multilinestring()
■ exp()
⊙常見數據庫類型判斷
■ ACCESS
and (select count (*) from sysobjects)>0返回異常
and (select count (*) from msysobjects)>0返回異常
■ SQLSERVER
and (select count (*) from sysobjects)>0返回正常
and (select count (*) from msysobjects)>0返回異常
and left(version(),1)=5%23參數5也可能是4
■ MYSQL
id=2 and version()>0返回正常
id=2 and length(user())>0返回正常
id=2 CHAR(97, 110, 100, 32, 49, 61, 49)返回正常
■ Oracle
and length (select user from dual)>0返回正常
由於文章長度有限,只列舉部分,一般出現有上述內容,則可判斷此處可能存在SQL注入。
如圖,可以很明顯地發現紅色框中有很明顯的SQL注入語句,如布爾盲注、union select聯合注入。
XSS跨站腳本攻擊:
漏洞特征:明顯的js惡意執行代碼 常見的XSS跨站腳本攻擊中存在的一些代碼:
● 標簽
■ <script>
■<body>
■<input>
■<img>
■<a>
■<svg>
■<BGSOUND>
■<LINK>
■<META>
■<TABLE>
■<DIV>
■<IFRAME>
■<FRAMESET>
■<STYLE>
■<OBJECT>
■ ......
● 常用觸發事件
■ oninput
■ onload
■ oncut
■ onclick
■ onerror
■ onmouseover
■ onfocus
■ onblur
■ poster
■ onscroll
■......
● 常用惡意代碼
■ prompt
■ confirm
■ alert
■ javascript
■ eval
■ expression
■ window.location
■......
斗哥只給出部分常見的js代碼,有興趣的同學,自行查閱資料,將其補全,因為比賽是瞬息萬變的,偶爾也會出現一些比較偏門的也不一定。
如圖,可以很明顯地發現紅色框中有很明顯的js惡意執行代碼,如<script>標簽、alert語句,但是由於apache日志的特性,如果是通過Post請求,則無法准確判斷出是否存在XSS跨站腳本攻擊
惡意文件上傳:
通常存在於upload、file等出現類似字樣的文件,均可能存在惡意文件上傳,具體還需結合日志進行判斷,一般是判斷后續是否有出現Webshell等一些可以的web操作,可通過查看下圖,發現在file.php頁面的前后日志中,有存在一個帶着日期的php頁面,很可能就是利用file.php上傳的文件,服務器自動生成名字,因此判斷此處可能存在惡意文件上傳。
一般地,如果Post請求的數據未被顯示出來,則需要我們通過訪問的鏈接以及上下文的訪問詳情確認此處是否存在惡意文件上傳
一句話木馬(Webshell):
一般名字可疑的文件,如帶日期字樣的頁面(.php、.asp、.aspx、.ash、.jsp等)、一串隨機值的頁面等,並且是通過Post請求,同時會返回一定的數據,此時可判斷可能存在一句話木馬、webshell等惡意文件,有些日志可能還有post請求參數,可結合參數,更准確地判斷出是否存在一句話木馬、webshell等惡意文件。
訪問頻率分析
訪問頻率分析:不難理解,就是通過查看攻擊者訪問的頻率來判斷攻擊者使用的是哪一種攻擊。
常見的類型有有以下:SQL盲注、敏感目錄爆破、賬號爆破、Web掃描
SQL盲注:
一般訪問比較有規律,基本都包含SQL語句,並且大體都相似,有個別字符不同,具體情況可參考下圖:
不難發現,上圖中語句中除了包含SQL語句外,並且最后幾個字符不同,其他都是一致的,因此可推測出此處為SQL盲注
敏感目錄爆破:
一般會有大量的探測目錄,一般以Head方法為主進行探測,具體情況可參考下圖:
發現在上圖中,存在大量的HEAD請求方法,並且基本訪問的頁面返回的狀態碼為404
賬號爆破:
通常都是對一個登錄頁面進行大量post請求,並且返回值基本相似,具體情況可參考下圖:
從上圖可以很容易看出,明顯是個登錄頁面,並且訪問頻率較高,都是通過post方法進行請求,訪問值均一樣,幸運的是此處出現了一個302狀態碼,說明攻擊者已經爆破到賬號密碼了,故可判斷此處應該為賬號爆破。
參照:https://cloud.tencent.com/developer/article/1424498