Hvv篇——技战法

技战法——每年的玄学百科。

甲方觉得你写了就有分，你觉得这点屁分顶不住一条信息泄露。

今天废话少一点，来一篇实战技战法。写在前面：此篇技战法为up在hw中实际提交过并加了分的（非guohu哈），拆解步骤用于教学用，原文已适当删减。

一、**发现攻击告警**

xxxxx（具体时间）在xxx（安全设备）上发现SQL注入（这里以sql注入为例子）

1.1 *威胁情报查询*

1. 通常网络攻击者的IP经过长时间的渗透测试、攻防演练等大量暴露后会被贴上恶意标签，可通过各种威胁情报网站查询到该攻击IP何时何地进行了何种攻击行为。下图为针对该攻击IP的威胁情报查询：

（不给图片了，大家自己看情况粘上去）

1.2 *域名反查*

1. 作为后渗透\种入木马等阶段时攻击者无法继续使用IP资源池或不定IP，而由于多种场景下的需要（例如域名解析测试、dns劫持等）该IP可能绑定了一个恶意域名，进行域名反差，查询解析记录、绑定信息等，可以获取到部分攻击者个人信息。
2. 根据恶意域名类型、主域名归属，可以结合告警推测攻击者实际进行了何种形式的攻击，例如最近的Google域名漏洞、windows子域名钓鱼等。
3. 查询结果：未发现该IP绑定域名记录。

（也不给图片了，大家自己看情况粘上去）

1.3 *端口开放查询*

1. 作为反查手段之一在分析阶段的作用主要为判断是否存在扫描器、黑客工具等，由于大部分黑客工具有固定使用端口，可以作为参考之一。
2. 查询记录：未发现异常端口开放、未发现http/https服务。

*二、**研判思路***

*2.1* *payload分析*

通过查询告警发现该次攻击使用payload为（展示部分）：

1. (select(0)from(select(sleep(15)))v)/'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"/
2. （只保留关键部分）{

"formerQuery": "(AP=(............)) AND LG=(......) AND (PNC=CN) AND (PT=1) AND (ADY=(2015))",}

1. -1 OR 2+727-727-1=0+0+0+1 --
2. ?pageIndex=1%/**/and/**/1=1/**/and/**/1!=2

初步分析：从该攻击者使用paylad分析来看可以确认3、4payload为探测语句，测试是否存在sql注入漏洞，第一个payload疑似发现SQL注入漏洞点，利用sleep函数进行时间注入的测试，第二个payload实际为正常业务访问，json自带，已实际抓包测试，判断为误报。综合上述情报，目前判断为该攻击者对系统发起了SQL注入攻击，探测+函数测试，状态码返回为200，疑似攻击成功，需要进一步判断。

*2.2* *内部信息查询*

*2.**2****.****1*** *数据库操作记录查询*

经过与管理员确认，未发现数据库改写记录、未发现数据库操作异常记录、未发现数据库新增管理账户记录、未发现异常查询记录。

*2.**2****.****2*** *中间件日志查询*

经过与管理员确认，未发现日志异常，未发现该IP其他异常行为。

进一步分析：该次攻击行为未成功，返回再次查看数据包时注意到的细节有：payload插入位置并不一致，ua、请求路径甚至cookie的位置皆有发生，总体请求量不大，首先排除漏洞扫描攻击、poc、黑客工具sqlmap等，确认为手工注入，且为泛测试，该攻击者并不确定漏洞位置、漏洞是否真实存在。

*2**.4*** *攻击复现*

*2.**4****.****1*** *payload还原*

经还原，实际未能达到漏洞利用，状态码400，攻击为失败。后续在请求头及请求体各个位置插入SQL注入语句，结果均为400。

*2.**4****.****2*** *状态码200问题解析*

(select(0)from(select(sleep(15)))v)/'+(select(0)from(select(sleep(15)))v)+'"+(select(0)from(select(sleep(15)))v)+"/

通过对上面这串payload二次分析，判断网站实际未能识别特殊符号混淆，攻击者本意为绕过waf，可网站实际并未采用waf防护，而是采用网站监测+ips模型进行动态防护，阻隔非法行为，动态免杀类机制无效。