■王志强
网络安全中被错误理解的名词
■王志强
很多初学者在一些教程、教材中经常会看到或者听到一个词就是“图片马”。
误解:一张具备木马功能的图片。
解释:图片格式文件不具备后门执行的能力。
在早期windows中对于图片格式文件的解析确实存在过多种安全问题,但每种文件都有自己特定的格式规范,最终也罕有利用漏洞将图片构造成木马的情况出现。
所谓图片马有两种:
第一种是从刚刚更新到XP时代时候兴起的。Windows 98和Windows XP的时代到来以后,桌面操作系统一开始都是不显示后缀名的。
于是就出现拿图片默认ico标识做程序图标的木马,也就是早期的“图片马”。后来XP时代到来,QQ的兴起,逐渐出现了在QQ上发送xxx.jpg.src这类木马的盗号潮流。
这其中还有一些大神级别的团队使用class后缀名来隐藏执行后缀,例如xxx.jpg.{class编号},这样即使做了显示后缀名等处理,class文件仍然不会显示后缀名,右键属性或其他方式才能看到其class属性。
第二类图片马则兴起于第一代之后,是在Web方向的。
Web图片马主要是将体积小的webshell后门和图片绑在一起,后缀则多种多样,有.asp.cer.asa.php等等。
如果没记错,应该是南方数据要不然就是动网的网站CMS系统对上传的文件进行比对,通过验证上传文件的文件头来确认上传的是正常的图片还是后门文件。
根据GIF图片格式的规范,每个GIF都会以GIF89a作为开头然后以分号;作为整个文件的结束,其中的89表示的是哪个版本的规范,一般是GIF89a最为常用。
在现在的IPv4协议上,不管公网还是内网IP一共有4个段:ABCD分别表示4个段。
典型的IP格式如下:
1.AA.BB.CC.DD
复制代码
假定AA.BB.CC.DD是目标服务器,理论上可以从AA. BB.CC.XX服务器上面找突破点。那么突破点服务器和目标服务器就是同一个C段的机器。
整个C段和同个C段查是不同的:
1.同C段:AA.BB.CC.XX
2.整个C段:AA.BB.XX.XX
复制代码
仔细看,同C段和整D段才是一样的。
另外,不是每个同C段的机器都属于同一个子网,只有在同一个子网才有机会进行嗅探。至于是否处在同一个子网,就要看子网掩码了。
如果子网掩码是255.255.255.0就没问题。
误解:拿webshell就是拿shell
解释:webshell一词其实是Web和shell的结合。
早在Web还不平民化的时候,像2001年中美黑客大战,都是拿shelll的,拿的是服务器的shell。
当然了,我们平常也会说这个服务器的shell是t c s h的,这个服务器的shell是bash等等。其实并不是特指webshell。
我们日常所说的拿shell才是特指拿webshell。而webshell则是基于Web层实现类似shell功能的一种统称。
误解:菜刀就是一句话
解释:一种菜刀是在现实生活中切菜砍人用的,一种是在计算机中管理后门用的。
需要注意的是,菜刀≠一句话。菜刀是管理工具,可以管理多种类型的webshell,其中以一句话形式的后门最为经典,变形过的“一句话”不一定只有一句话,但是都可以用菜刀来管理。
除此以外,菜刀支持的最简JSP后门需要49行代码,一句话后门是菜刀的经典,但是菜刀并不是一句话,可以“上个一句话用菜刀连”但是“上个菜刀一句话”是不准确的,菜刀和一句话不是一体的,在菜刀之前其实也有很多一句话后门工具,如顶端海洋,零魂等等。
菜刀是个管理工具,可以管理webshell,可以管理数据库,可以执行远程终端,可以扩展插件等等,但不是前端突破工具更不是挖洞工具,“上个菜刀一句话”只能证明说这句话的人习惯使用菜刀管理后门。