简学-攻击特征搜集

最新推荐文章于 2025-03-17 17:48:47 发布
最新推荐文章于 2025-03-17 17:48:47 发布
阅读量2.4k 收藏 30
点赞数 8
分类专栏: 网络与安全 文章标签: 攻击特征 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/e_mmm0629/article/details/115299748
版权
本文详细介绍了各种网络攻击的特征,包括SQL注入、数据库类型判断、恶意文件上传、Webshell、命令执行、反弹shell(Windows和Linux)、高危POC攻击特征以及HTTP请求中的高位特征值字段。此外,还探讨了信息泄露类扫描和绕过WAF的策略,为网络安全防护提供了关键的识别和防御手段。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻击特征分析

0x00 特征字符分析

0x00.1 SQL 注入

  • 漏洞特征:明显的SQL语句
  • 字符型:
    • 1、参数后加单引号('),报错:sqli.php?name=admin'
    • 2、参数后加' and '1'='1,访问正常:sqli.php?name=admin' and '1'='1
    • 3、参数后加and sleep(3) --+,是否延迟3秒打开:sqli.php?name=admin' and/or sleep(3) --+
  • 数字型:
    • 1.参数后加单引号,报错:sql2.php?id=1'
    • 2.参数后加 and 1=1and 1=2,访问正常:sql2.php?id=1 and 1=1/sql2.php?id=1 and 1=2
    • 3.参数后加 and sleep(5),是否延迟 5 秒打开:sql2.php?id=1 and sleep(5)
  • 各种注入语句:
    • 联合查询注入:union selectorder by
    • 报错注入(常见的报错函数):
      floor()extractvalue()updatexml()geometrycollection()multipoint()polygon()multipolygon()linestring()multilinestring()exp()

0x00.2 常见数据库类型判断

  • SQLSERVER
    • 1、and (select count(*) from sysobjects) > 0 返回正常
    • 2、and (select count(*) from msysobjects) > 0 返回异常
    • 3、and left(version(),1)=5%23 参数5 也可能是4
  • MYSQL
    • 1、id=2 and version() > 0 返回正常
    • 2、id=2 and length(user()) > 0 返回正常
    • 3、id=2 CHAR(97,110,100,32,49,64,49) 返回正常
  • ORACLE
    • and length(select user from dual) > 0 返回正常
    • 示例: 在这里插入图片描述

0x00.3 恶意文件上传

  • 通常存在于 uploadfileupfile 等出现类似字样的文件,均有可能是恶意文件上传,具体还需要结合日志进行判断,一般是判断后续是否出现有 Webshell 等一些 web 操作,可通过查看下图,发现存在一些比较奇怪的 php文件 ,此处判断可能存在恶意文件上传。
  • 示例:
    在这里插入图片描述

0x00.4 一句话木马(Webshell)

  • 一般名字可以的文件,如带有日期字样的页面(.php、.asp、.aspx、.ash、.jsp等)、一串随机值的页面、正常目录下的非正常脚本文件(.php、.asp、.apsx、.ash、.jsp等),并通过 Post请求,同时会返回一定的数据,此时可判断可能存在一句话木马、webshell等文件,有些日志可能还有 post 请求参数,可结合参数,更准确的判断是否存在一句话木马、webshell等恶意文件。
  • 示例:
    在这里插入图片描述

0x00.5 命令执行/代码执行特征

  • 针对命令执行后对操作系统进行更深入的渗透,常规先判断系统类型,命令是否回显,以及目标系统是否能够出网,即系统类型->是否回显->能否出网。代码相对简单,所以很多都是直接贴代码,因此基本需要判断是否存在一下命令执行函数。
  • 命令执行函数
    • system()、passthru()、exec()、shell
最低0.47元/天 解锁文章
黑客攻击行为特征分析与反攻击技术
flyfash的专栏
02-25 1548
要想更好的保护网络不受黑客的攻击,就必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击方法的特征分析,来研究如何对黑客攻击行为进行检测与防御。  一、反攻击技术的核心问题  反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径(如Sniffer,
IDS入侵特征库创建实例解析
08-12 1433
来源:hackbase.comIDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征数据库,这就如同公安部门必须拥有健全的罪犯信息库一样。但是,IDS一般所带的特征数据库都比较死板,遇到“变脸”的入侵行为往往相逢不相识。因此,管理员有必要学会如何创建满足实际需要的特征数据样板,做到万变应万变!本文将对入侵特征的概念、种类以及如何创建特征进行介绍,希望能帮助读者尽快掌握对付“变脸”的方法。   一、
SRC日常捡洞之某集团任意文件读取&RCE漏洞,从零基础到精通,收藏这篇就够了!_用户nc系统 rec 漏洞
最新发布
喜欢Python编程的程序员柚柚呀
03-17 1198
一直觉得,若能找一静僻之地,静心,静悟,静静思考,时时看看美丽的苍穹,时而品品手中的香茗,时而挥洒手中的笔墨,时而让钢笔在纸上舞动,在配以安静的乐曲,静静的,静静的,想想白天,想想生活,想想每一个人,那就好了。各地疫情有点严重,这几天社区封控也被圈家里出不去,听说隔壁楼有阳性,第一次疫情离的这么近,其实内心一点也不慌,常态而已。接下来我们说一下任意文件读取和RCE漏洞,这两个漏洞都是关于用友NC的。
洪水攻击特征
weixin_34324081的博客
10-12 198
2019独角兽企业重金招聘Python工程师标准>>> ...
如何识别攻击者的技术特征和行为模式?
图幻未来的博客
12-28 565
为了有效识别和应对网络攻击者,我们需要关注他们的技术特征和行为模式。通过加强安全意识培训、提高设备安全性以及制定合理的应急计划,我们可以大大降低成为受害者的风险。同时,保持警惕并采取适当的防御措施是确保网络安全的关键所在。
Wireshark抓包分析Yersinia 根据DHCP协议发送的伪造数据包攻击(sending RAW packet)
千尺浪的博客
12-19 2644
抓包结果如下: 抓包与分析 帧号时间   源地址         目的地址     高层协议  包内信息概况 No.  Time   Source        Destination      Protocol    Info 5  1.04252000  0.0.0.0   255.255.255.255  DHCP    -TransactionID 0x643c9869 
网络安全-攻击篇-攻击载体
qq_53439698的博客
01-06 2125
随着网络的安全事态不断演变、新的威胁不断出现,从而也萌生了形式多样的网络攻击手段。网络安全攻击是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的任何类型的进攻动作。这些攻击可能会破坏网络系统运行的安全、信息内容的安全、信息通信与传播安全,使计算机或网络系统中的数据被篡改、窃取或丢失,导致严重的安全后果。网络安全攻击通常由黑客或其他恶意行为者发起,他们利用各种技术手段和漏洞来实施攻击,以获得非法利益或造成损害。
简学-CobaltStrike 的使用(三)
码农米格的博客
03-14 310
CobaltStrike 的使用(三)进行网站克隆对钓鱼网页的链接进行伪装 学习使用 CS 进行一次钓鱼攻击。 本次实验环境: 攻击机 kali 10.1.1.100 靶机 win7 10.1.1.200 靶机 win7 上搭建有 dvwa 环境 实验前提:靶机上线,即 CobaltStrike 的使用(一) 打开靶机的控制台 shell 窗口 进行网站克隆 通过 Attacks->web driver by->clone site,输入要克隆的网址,在端口选择上默认是80
网络安全学习】-05- 敏感信息收集
Zane的博客
06-11 1081
如何进行敏感信息收集
【密码学】密码学中的四种攻击方式和两种攻击手段
qq_39780701的博客
07-07 3365
密码学中的四种攻击方式的定义、举例和对比。两种攻击手段。
攻击数据集的建立、采样以及SVM特征值计算
caad3's blog
04-04 1138
1. NS2环境下,在不同的实验配置下进行网络仿真。testdata*.tcl为一系列配置文件。由于是通过脚本文件进行批处理,所以如果运行单个配置文件有新文件(跟踪文件、日志文件等)生成,最好不要使用默认文件名,而应该在配置文件中为新产生的文件定义能够相互区别的文件名。   for i in testdata*.tcl    do    ns $i    done    生成一
《黑客免杀攻防学习笔记》——免杀与特征码
Traxer的学习之路
12-17 1865
以下图片均来自《黑客免杀攻防》若有侵权,请告知,我将最快删除。转载请注明出处。 1.特征码免杀技术          这里主要是用到分割法,就是将一份病毒文件分割成多份让反病毒软件扫描,然后再将扫描出有问题的那份文件再次分割,直到分割到长度适合为止。如下图所示: 若是获得合适的文件之后,再将这份文件进行相应的处理,比如可以添加一些花指令等代码混淆技术。因为许多杀毒软件进行查杀都是
多步攻击场景构建和攻击链提取方法
weixin_43915129的博客
07-15 2582
传统方法在面对多步攻击时很难溯源,面临的困难如下1.snort需要依赖人工定义好规则,重放对应流量包,来获得警报数据,但是也会得到一些虚假的警报信息,这会影响到多步攻击的攻击场景构建、2.高风险攻击很重要,一般不会漏掉,但是低风险攻击往往会被忽视掉,然而低风险攻击往往时为多步攻击奠定基础,也很重要。如NMAP网络扫描3.攻击者往往会设计多条攻击路径,确保至少有一条路径可以利用网络中的漏洞,但是我们很难捕获所有的攻击一个多步攻击流程为。...
DDOS攻击/防御介绍
魏言华的博客
09-12 6800
1.防御流程图 1 检测中心分析防护网络的分光或者镜像流量 2 检测中心发现流量异常,上报受攻击IP地址到管理中心 3 管理中心向清洗中心下发引流策略 4 通过BGP路由通告,清洗中心将被攻击IP的流量重定向到自身,实现流量牵引 5 清洗中心通过多层过滤的防御技术,丢弃攻击流量,转发正常流量 .
深入理解模式匹配在入侵检测系统中的应用
weixin_31800911的博客
10-20 1110
本文还有配套的精品资源,点击获取 简介:入侵检测系统(IDS)是网络安全的关键技术,利用模式匹配分析网络流量或系统日志,与已知攻击模式比对以识别潜在入侵。本文将探讨模式匹配在IDS中的关键应用点,包括攻击特征库、数据预处理、精确与模糊匹配算法、匹配效率优化、误报和漏报处理、实时性与响应机制,以及代码实现。详细分析如何通过这些技术点提高入侵检测的效率和准确性,以及如何解决检测...
第三章:利用恶意软件网络识别攻击活动
weixin_50005008的博客
06-02 522
文章目录前言1.与从恶意软件里提取威胁情报相关的网络分析理论2.使用可视化来识别恶意软件样本之间关系的方法3.使用Python和各种开源工具包从恶意软件中创建、可视化和提取情报来进行数据分析和可视化 前言   恶意软件网络分析可以将恶意软件数据集转化为有价值的威胁情报,揭示对抗性攻击活动、常见的恶意软件手段和恶意软件样本来源。包括分析恶意软件样本组通过共同属性相互关联的方式,无论这些共享属性是内嵌的IP地址、主机名、可打印字符串、图形或类似的信息。可以使用这些连接来帮助区分哪些是对你的组织发起的协同攻击
HTTP慢攻击(Slow HTTP Attack)
qq_44005305的博客
01-10 5794
缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。瘫痪目标服务器。
深入了解SQL注入绕过waf和过滤机制
kendyhj9999的专栏
06-06 5665
深入了解SQL注入绕过waf和过滤机制 来源:http://drops.wooyun.org/tips/968 16人收藏 收藏 2014/03/02 13:24 | r00tgrok | 技术分享 | 占个座先 知己知彼百战不殆 --孙子兵法 [目录] 0x00 前言 0x01 WAF的常见特征 0x02 绕过WAF的方法 0x03 SQLi Filte
网络攻击类型
weixin_43815178的博客
10-01 2103
网络攻击主要分为流量型攻击,扫描窥探攻击,畸形报文攻击和特殊报文攻击。其中扫描窥探攻击、畸形报文攻击以及特殊报文攻击属于单包攻击。 • 通常的网络攻击,一般是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或占用网络带宽,干扰破坏服务器对外提供的服务。也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。 流量型攻击 • 流量型攻击是指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的目的。 • 这类攻击典型特征是通过发出海量数据包,造成设备负载过高,最终
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值