網(wǎng)絡(luò)安全中被錯誤理解的名詞

■王志強

網(wǎng)絡(luò)安全中被錯誤理解的名詞

■王志強

1，圖片馬

很多初學(xué)者在一些教程、教材中經(jīng)常會看到或者聽到一個詞就是“圖片馬”。

誤解：一張具備木馬功能的圖片。

解釋：圖片格式文件不具備后門執(zhí)行的能力。

在早期windows中對于圖片格式文件的解析確實存在過多種安全問題，但每種文件都有自己特定的格式規(guī)范，最終也罕有利用漏洞將圖片構(gòu)造成木馬的情況出現(xiàn)。

所謂圖片馬有兩種：

第一種是從剛剛更新到XP時代時候興起的。Windows 98和Windows XP的時代到來以后，桌面操作系統(tǒng)一開始都是不顯示后綴名的。

于是就出現(xiàn)拿圖片默認(rèn)ico標(biāo)識做程序圖標(biāo)的木馬，也就是早期的“圖片馬”。后來XP時代到來，QQ的興起，逐漸出現(xiàn)了在QQ上發(fā)送xxx.jpg.src這類木馬的盜號潮流。

這其中還有一些大神級別的團隊使用class后綴名來隱藏執(zhí)行后綴，例如xxx.jpg.{class編號}，這樣即使做了顯示后綴名等處理，class文件仍然不會顯示后綴名，右鍵屬性或其他方式才能看到其class屬性。

第二類圖片馬則興起于第一代之后，是在Web方向的。

Web圖片馬主要是將體積小的webshell后門和圖片綁在一起，后綴則多種多樣，有.asp.cer.asa.php等等。

如果沒記錯，應(yīng)該是南方數(shù)據(jù)要不然就是動網(wǎng)的網(wǎng)站CMS系統(tǒng)對上傳的文件進(jìn)行比對，通過驗證上傳文件的文件頭來確認(rèn)上傳的是正常的圖片還是后門文件。

根據(jù)GIF圖片格式的規(guī)范，每個GIF都會以GIF89a作為開頭然后以分號;作為整個文件的結(jié)束，其中的89表示的是哪個版本的規(guī)范，一般是GIF89a最為常用。

2，同C段

在現(xiàn)在的IPv4協(xié)議上，不管公網(wǎng)還是內(nèi)網(wǎng)IP一共有4個段：ABCD分別表示4個段。

典型的IP格式如下：

1.AA.BB.CC.DD

復(fù)制代碼

假定AA.BB.CC.DD是目標(biāo)服務(wù)器，理論上可以從AA. BB.CC.XX服務(wù)器上面找突破點。那么突破點服務(wù)器和目標(biāo)服務(wù)器就是同一個C段的機器。

整個C段和同個C段查是不同的：

1.同C段:AA.BB.CC.XX

2.整個C段:AA.BB.XX.XX

復(fù)制代碼

仔細(xì)看，同C段和整D段才是一樣的。

另外，不是每個同C段的機器都屬于同一個子網(wǎng)，只有在同一個子網(wǎng)才有機會進(jìn)行嗅探。至于是否處在同一個子網(wǎng)，就要看子網(wǎng)掩碼了。

如果子網(wǎng)掩碼是255.255.255.0就沒問題。

3，拿shell

誤解：拿webshell就是拿shell

解釋：webshell一詞其實是Web和shell的結(jié)合。

早在Web還不平民化的時候，像2001年中美黑客大戰(zhàn)，都是拿shelll的，拿的是服務(wù)器的shell。

當(dāng)然了，我們平常也會說這個服務(wù)器的shell是t c s h的，這個服務(wù)器的shell是bash等等。其實并不是特指webshell。

我們?nèi)粘Ｋf的拿shell才是特指拿webshell。而webshell則是基于Web層實現(xiàn)類似shell功能的一種統(tǒng)稱。

4，上個菜刀一句話

誤解：菜刀就是一句話

解釋：一種菜刀是在現(xiàn)實生活中切菜砍人用的，一種是在計算機中管理后門用的。

需要注意的是，菜刀≠一句話。菜刀是管理工具，可以管理多種類型的webshell，其中以一句話形式的后門最為經(jīng)典，變形過的“一句話”不一定只有一句話，但是都可以用菜刀來管理。

除此以外，菜刀支持的最簡JSP后門需要49行代碼，一句話后門是菜刀的經(jīng)典，但是菜刀并不是一句話，可以“上個一句話用菜刀連”但是“上個菜刀一句話”是不準(zhǔn)確的，菜刀和一句話不是一體的，在菜刀之前其實也有很多一句話后門工具，如頂端海洋，零魂等等。

菜刀是個管理工具，可以管理webshell，可以管理數(shù)據(jù)庫，可以執(zhí)行遠(yuǎn)程終端，可以擴展插件等等，但不是前端突破工具更不是挖洞工具，“上個菜刀一句話”只能證明說這句話的人習(xí)慣使用菜刀管理后門。