科来对网站渗透行为的检测、定位、取证的实现

long_323 · 发表于 2010-5-18 10:20:01

本帖最后由 long_323 于 2010-5-18 10:39 编辑

小弟刚接触网站渗透，内容只涉及sql注入，希望大家把对其他渗透行为检测的实现方法补全，谢谢！

一、概要
本次分析针对客户需求，对网站的攻击、入侵行为进行诊断、定位和取证。这种网站渗透行为都是通过对web访问，查找漏洞、猜测口令，然后进一步实现越权访问，最终达到提权、获取数据、修改数据库的目的。而我们可以针对web访问的url，进行审计、保存，实现客户需求。

二、数据采集
2.1部署

此次科来网络分析系统部署在外网出口处，即：防火墙与路由器之间，增加一镜像交换机，安装科来的测试机接镜像口，从而实现监听。
2.2设置
2.2.1过滤器

综合考虑网络流量、测试机硬盘容量以及客户需求，需设置过滤器，只采集192.168.10.0/24网段的数据，并进行实时保存。
如图：

2.2.2日志设置

科来支持对Http、Dns、Email、Ftp等访问日志进行实时保存，此次根据客户需求，只需要保存http日志。日志文件的保存方式，可以根据时间、大小进行自定义设置，便于查找，我们可以按小时进行设置，如图：

2.3采集

此次采集时间为：5月12日上午-14日上午共48小时。把实时保存的数据包及日志文件提交给分析人员。
注意：设置完毕后，在采集过程中，要找到相关目录，确定数据包及日志文件是否实现了实时保存。

三、数据分析

数据分析需结合日志文件和数据包文件进行总体分析，从而对入侵、提权、篡改数据等行为进行诊断、审计、取证。
从日志文件中，查找特征url，定位攻击IP、攻击时间。
根据IP、时间，调取相关数据包，查看详细会话信息，为审查人员提供实实在在的证据。

随着网络技术和操作系统的不断发展和完善，网站渗透技术所涉及的url链接也在千变万化。因此对URL的收集和更新就显得尤为重要，这就更需要各方人员的紧密配合，甚至是一些专门的网络安全系统测试人员的帮助，才能更好的保障网站的安全性。

url的不断增加，必然会增加我们的查找工作量，我们也可以借助其他工具或脚本进行查找，是整个流程更加简洁、快速、准确。比如：ultraedit

3.1 SQL注入

Sql注入的入侵过程主要包括如下步骤:
1、测试系统是否有注入漏洞；2、获取数据库名；3、测试管理员ID；4、测试管理员用户名长度和管理员密码长度；5、从高到底测试出管理员用户名和密码。

这个过程涉及的字段和字符一般包括如下内容：
and、<>、select、create、where、shell、.db、exec、master、delete、sa、top、table temp、HKEY等。
1、And 、Select关键字的查找，并未发现异常url，只有如图这些信息：

2、Create关键字查找；
在已保存的日志文件中，查找这些字符。如存在则定位时间和相关IP，如图：

根据时间，查找相关数据包，定位相关IP，查看其所有访问web日志，发现此ip有大量登录及创建目录的url，如图：

定位到会话视图查看整个会话信息，发现这些URL，都对应了404的报错，如图：

http请求内容都以404报错返回，有尝试查找登录路径的嫌疑，如图：

保存数据包，待web系统管理人员来进一步核实，如图：

3.2跨站攻击CSS cross site scripting 跨站脚本也叫XSS。
所谓跨站攻击其实也就是代码（js,vs,html等）注入，利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行，从而损害访问者。利用CSS可以实现cookie窃取，钓鱼，会话劫持，插入木马，权限提升等工作。
针对跨站攻击，我们可以查找如下字段：

科来对网站渗透行为的检测、定位、取证的实现.pdf (972.21 KB, 下载次数: 878)

牛二 · 发表于 2010-5-18 12:38:25

正在努力学习中...谢谢楼主分享！

gu_chong · 发表于 2010-5-18 13:41:45

赞一个，精华贴！！！！

seagull312 · 发表于 2010-5-22 23:24:56

这么经典的东西，好好学习学习！

tjoeegjp · 发表于 2010-5-23 00:02:59

好帖顶顶ddddddddddddddddddddddd

1024 · 发表于 2010-6-4 14:30:01

本人觉得表单绕过和SQL注入一般是配合使用的
注入是利用网站没有对特殊字符做滤和合法性校验，不发分子可以测试一些页面有没有漏洞或直接执行一些数据库语句。
当这招失效后表单绕过就登场了，就是说一些网站的安全认证做的不好，只要我们输入一些恒等式（如1=1）就可以绕过登录认证，有较高的权限来操作系统了。

菜鸟人飞 · 发表于 2010-6-7 10:21:05

表单绕过攻击不是楼上所述这样的吧，同时它与SQL注入是两种不同的攻击方式。
and 1=1, and 1=2，这是判定一个URL是否存在SQL注入漏洞的方法。
表单绕过攻击举例，如本来访问http://www.test.cn/admin/manage.asp，需要首先在http://www.test.cn/admin/login.asp页面进行用户名密码验证，正确后才能访问。但是现在网站存在表单绕过攻击漏洞，则攻击者无需验证用户名密码，可以直接提交http://www.test.cn/admin/manage.asp而获得网站的管理权限。

zhx13211953 · 发表于 2010-6-7 13:25:47

楼主的分析能力真的很强大很强大哦

jiamin · 发表于 2010-6-9 09:15:45

科来软件2010产品培训教程：高级网络分析技术

skyingandy · 发表于 2010-6-10 16:32:48

分析的不错，学习了！！！！！学习了！！！！！学习了！！！！！

bql123 · 发表于 2010-6-12 09:17:47

学习了！！！！！学习了！！！！！学习了！！！！！

hahaha39 · 发表于 2010-6-12 11:03:58

又一个精华诞生了！！！！！！！！！1

hahaha39 · 发表于 2010-6-12 11:11:35

看来大哥还没有写完，争取早日完工

stormqi · 发表于 2010-6-18 10:27:10

网络分析有前途啊！这么强的都可以分析！有点无语了原来以为没什么用的！正好我也正在学习渗透提权！

p4nt1um · 发表于 2010-6-24 09:26:29

这种应用很特别啊,记录http的日志量会不会太大了?还是在设置时就过滤掉正常访问?

long_323 · 发表于 2010-6-24 09:42:25

15# p4nt1um
不会的，只是以文本文件的格式保存，而且日志可以根据时间、大小进行多文件保存。

yanghaiquan423 · 发表于 2010-6-29 10:16:02

不会的，只是以文本文件的格式保存，而且日志可以根据时间、大小进行多文件保存。

poot23 · 发表于 2010-7-1 20:28:20

这么经典的东西，好好学习学习！

liwention · 发表于 2010-7-5 09:48:51

很好的文章，可惜是限于克莱软件的

阿发 · 发表于 2010-7-8 16:39:48

太经典了。。学习。中。。。。

taijizsf · 发表于 2010-7-12 23:05:41

赞！！！学习下下载线~~~~~~~~~！

shantow · 发表于 2010-7-14 19:36:48

分析的不错，学习了！！！！！学习了！！！！！学习了！！！！！

bing_yuan · 发表于 2010-7-15 10:42:41

学习学习。。。。。。。。。。。。

clcyc · 发表于 2010-7-16 11:44:32

学习学习！但所获科来功能上还是有限制，数据回存设置为禁止！
先谢谢楼主分享！

szyptx · 发表于 2010-7-16 12:48:53

谢谢楼主分享！谢谢楼主分享！谢谢楼主分享！

doudou9000 · 发表于 2010-8-2 20:00:07

是真实环境么？如果是，那还是不错的

cqddm · 发表于 2010-8-3 12:00:20

这个东西还需要好好研究。不要攻击别人，但要知道怎么防范。

rock177486 · 发表于 2010-8-6 10:57:40

新手上路，谢谢楼主无私奉献、传授宝贵经验。

suren · 发表于 2010-8-6 13:05:00

好东西，要好好看看那~~~~~~~~~~

96163jm · 发表于 2010-8-9 14:38:04

正在努力学习中...谢谢楼主分享！！

科来对网站渗透行为的检测、定位、取证的实现

评分

评分