5,791 views

基于访问日志的异常请求检测

1 前言 看了兜哥在freebuf上的专栏文章《学点算法搞安全之HMM(上篇)》,大意就是将URL参数进行范化,然后使用hmm算法来进行训练和测试,这里检测的重点是xss,但是带着我自己的疑问认真看了下方的评论,里面提到一个我非常认同的问题 这里原先是对相同url的参数进行数据提取和训练,那么我们知道一个网站,可能会有上千上万的页面,对应上千上万的url,那么按照这样的思路可能就真的需要去建立上千上万的模型,这显然是不现实的。 那么我们能否将模型范化,去建立一个模型检测一个业务网站的所有的url以及所有url中的异常参数?带着这样的疑问继续找文章,翻到了先知的《Web日志安全分析浅谈》,其中检 […]

5,724 views

基于机器学习的jsp/jspx webshell检测

前言 在上文《基于AST的Webshell检测》中,笔者已经提出了基于抽象语法树是可以用来检测Webshell的,那么如何将这种思想应用在jsp/jspx的webshell检测便是本文讨论的重点。 简单回顾下抽象语法树的检测原来,由于webshell和正常文件在语法结构上会有比较明显的出入,比如说一句话木马普遍流程就是传参然后执行命令,转化为语法结构上其实是比较单一的,正常文件的语法结构会比这复杂的多得多,因此从语法结构上来分辨是否为webshell也是一种不错的选择。但是语法结构的缺点就是难以对具体参数进行分析,所以当出现“eval(‘1111’);”和“eval(file_put_cont […]

6,888 views 6,006 views

基于AST的Webshell检测

前言 想了好久的题目,不知道该用什么样的标题去吸引人,webshell的检测研究已经有很多文章披露了,在兜哥的机器学习书中也被反复作为案例提及,这里Webshell检测都是基于文件特征的,并不是基于流量特征的检测。 个人思考 在查阅了大量论文研究和实际案例后发现国内在webshell检测上的思路似乎没有什么新的突破,总结下来Webshell检测其实无外乎统计学检测、基于黑白名单的检测、基于opcode的机器学习研究,这中间也看到部分闪光点,比如说基于抽象语法树的命令执行节点截取、基于抽象语法树的评分规则、基于关联规则分析(看了一个星期的关联算法,自己实践结果惨不忍睹)等。 统计学检测:主要是指 […]

6,238 views

恶意样本家族分类实践

前记 最近有一个项目需求,需要将恶意样本的厂商描述给汇聚成一组统一的标签,然后后续需要对恶意样本的流量及行为进行特征提取和机器学习来实现恶意样本的检测。 简单点来讲所做的恶意样本家族分类其实就是一个数据清洗和打标签的过程。 数据样本量有90000多条,主要采集于virusshare,这里就以virustotal为例,实际效果其实是一样的 这里大概有大概几十家厂商,但是各家厂商的标签都不一样,甚至连标签描述有时候都不一样,举一个例子,这里Alibaba的样本标签为Trojan:Win32/Agent.5b6e44b1,而CMC的样本标签为Trojan-Dropper.Win32.Flystud! […]

6,933 views

帆软报表v8.0 Getshell漏洞分析

cms简介 南京帆软软件有限公司(以下简称“帆软”)成立于2006年,是中国专业的大数据BI和分析平台提供商,专注商业智能和数据分析领域,致力于为全球企业提供一站式商业智能解决方案。帆软在专业水准、组织规模、服务范围、企业客户数量上均为业内前列,先后获得包括Gartner、IDC、CCID在内的众多专业咨询机构的认可。并于2018年入选福布斯中国非上市潜力企业榜50强,工信部中国电子信息产业发展研究院与中国大数据产业生态联盟“中国大数据企业50强”。 cms官网:http://www.finereport.com/product/download 下载地址:(官网版本已修复,可自行百度其他下载 […]

7,115 views

某CMS组合漏洞至Getshell

前言 首先这个文件上传的漏洞点只能上传压缩包,因此并不能直接getshell。 这里的组合原理是通过sql注入漏洞拿到数据库中存放的压缩包信息,然后利用压缩包信息去构造payload触发解压缩操作,最终实现getshell。 审计的cms名为5iSNS内容付费系统,代码规模并不大,但是漏洞点比较有趣,故分享此文。 源码的下载地址:http://down.chinaz.com/soft/39377.htm 源码的官网地址:http://www.imzaker.com/ 1. sql注入漏洞 其实乍一看他的数据库连接函数,都带有pdo的字样,但是跟进去具体瞧一瞧才发现其实还是用了很多的原生处理,如 […]

4,849 views

利用web内径图谱来检测EAR漏洞

1 前言 基于先前所做的研究工作,需要构建web应用的内路径图谱,本意是想构建精确的渗透路径,目前市面上看到大多数扫描器如果能够扫出来漏洞,好一点的可能会将攻击url和攻击参数展示出来,但是局限性就在于如果这个链接需要层层跳转,当用户不能直接访问这个攻击链接的时候,可能用户就会很迷茫:我该如何访问到这个链接? 那么构建了web内路径图谱后,我们就可以根据爬虫的爬取先后顺序构建一张web应用的网图,那么当出现某个攻击链接的时候,我们就可以使用图查询语句来搜寻从主页到攻击链接的最短路径,从而获得一条精确的渗透路径。 但是在构建过程中发现了一笔意外宝藏,这种检测思想可以对某些不那么常规的漏洞进行检测 […]