網(wǎng)絡(luò)安全中被錯誤理解的名詞

■王志強

網(wǎng)絡(luò)安全中被錯誤理解的名詞

■王志強

1，圖片馬

很多初學(xué)者在一些教程、教材中經(jīng)常會看到或者聽到一個詞就是“圖片馬”。

誤解：一張具備木馬功能的圖片。

解釋：圖片格式文件不具備后門執(zhí)行的能力。

在早期windows中對于圖片格式文件的解析確實存在過多種安全問題，但每種文件都有自己特定的格式規(guī)范，最終也罕有利用漏洞將圖片構(gòu)造成木馬的情況出現(xiàn)。

所謂圖片馬有兩種：

第一種是從剛剛更新到XP時代時候興起的。Windows 98和Windows XP的時代到來以后，桌面操作系統(tǒng)一開始都是不顯示后綴名的。

于是就出現(xiàn)拿圖片默認ico標識做程序圖標的木馬，也就是早期的“圖片馬”。后來XP時代到來，QQ的興起，逐漸出現(xiàn)了在QQ上發(fā)送xxx.jpg.src這類木馬的盜號潮流。

這其中還有一些大神級別的團隊使用class后綴名來隱藏執(zhí)行后綴，例如xxx.jpg.{class編號}，這樣即使做了顯示后綴名等處理，class文件仍然不會顯示后綴名，右鍵屬性或其他方式才能看到其class屬性。

第二類圖片馬則興起于第一代之后，是在Web方向的。

Web圖片馬主要是將體積小的webshell后門和圖片綁在一起，后綴則多種多樣，有.asp.cer.asa.php等等。

如果沒記錯，應(yīng)該是南方數(shù)據(jù)要不然就是動網(wǎng)的網(wǎng)站CMS系統(tǒng)對上傳的文件進行比對，通過驗證上傳文件的文件頭來確認上傳的是正常的圖片還是后門文件。

根據(jù)GIF圖片格式的規(guī)范，每個GIF都會以GIF89a作為開頭然后以分號;作為整個文件的結(jié)束，其中的89表示的是哪個版本的規(guī)范，一般是GIF89a最為常用。

2，同C段

在現(xiàn)在的IPv4協(xié)議上，不管公網(wǎng)還是內(nèi)網(wǎng)IP一共有4個段：ABCD分別表示4個段。

典型的IP格式如下：

1.AA.BB.CC.DD

復(fù)制代碼

假定AA.BB.CC.DD是目標服務(wù)器，理論上可以從AA. BB.CC.XX服務(wù)器上面找突破點。那么突破點服務(wù)器和目標服務(wù)器就是同一個C段的機器。

整個C段和同個C段查是不同的：

1.同C段:AA.BB.CC.XX

2.整個C段:AA.BB.XX.XX

復(fù)制代碼

仔細看，同C段和整D段才是一樣的。

另外，不是每個同C段的機器都屬于同一個子網(wǎng)，只有在同一個子網(wǎng)才有機會進行嗅探。至于是否處在同一個子網(wǎng)，就要看子網(wǎng)掩碼了。

如果子網(wǎng)掩碼是255.255.255.0就沒問題。

3，拿shell

誤解：拿webshell就是拿shell

解釋：webshell一詞其實是Web和shell的結(jié)合。

早在Web還不平民化的時候，像2001年中美黑客大戰(zhàn)，都是拿shelll的，拿的是服務(wù)器的shell。

當(dāng)然了，我們平常也會說這個服務(wù)器的shell是t c s h的，這個服務(wù)器的shell是bash等等。其實并不是特指webshell。

我們?nèi)粘Ｋf的拿shell才是特指拿webshell。而webshell則是基于Web層實現(xiàn)類似shell功能的一種統(tǒng)稱。

4，上個菜刀一句話

誤解：菜刀就是一句話

解釋：一種菜刀是在現(xiàn)實生活中切菜砍人用的，一種是在計算機中管理后門用的。

需要注意的是，菜刀≠一句話。菜刀是管理工具，可以管理多種類型的webshell，其中以一句話形式的后門最為經(jīng)典，變形過的“一句話”不一定只有一句話，但是都可以用菜刀來管理。

除此以外，菜刀支持的最簡JSP后門需要49行代碼，一句話后門是菜刀的經(jīng)典，但是菜刀并不是一句話，可以“上個一句話用菜刀連”但是“上個菜刀一句話”是不準確的，菜刀和一句話不是一體的，在菜刀之前其實也有很多一句話后門工具，如頂端海洋，零魂等等。

菜刀是個管理工具，可以管理webshell，可以管理數(shù)據(jù)庫，可以執(zhí)行遠程終端，可以擴展插件等等，但不是前端突破工具更不是挖洞工具，“上個菜刀一句話”只能證明說這句話的人習(xí)慣使用菜刀管理后門。