安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
目录
[九十一、Android APP 逆向分析步骤](#九十一、Android APP 逆向分析步骤)
[九十七、OWASP Top 10 漏洞(2021版)](#九十七、OWASP Top 10 漏洞(2021版))
九十一、Android APP 逆向分析步骤一般是怎么样的? 九十二、sql 注入 的分类? 九十三、sql 注入的预防? 九十四、序列化与反序列化的区别 九十五、常见的中间件漏洞? 九十六、内网渗透思路? 九十七、OWASP Top10 有哪些漏洞 九十八、正向代理和反向代理的区别 九十九、蚁剑/菜刀/C 刀/冰蝎的相同与不相同之处 一百、正向 SHELL 和反向 SHELL 的区别九十一、Android APP 逆向分析步骤
Android逆向分析通常分为以下阶段:
- 环境准备
- 工具链:APKTool(反编译)、Jadx/Ghidra(代码分析)、Frida/Xposed(动态Hook)、Android Studio(调试)。
- 测试环境:Root手机/模拟器(如Genymotion)、网络抓包工具(Wireshark/Charles)。
- 静态分析
- 解包资源 :使用APKTool解压APK,获取
AndroidManifest.xml、资源文件、classes.dex。- 代码反编译 :
- 将Dex转为Smali(APKTool)或Java伪代码(Jadx)分析逻辑。
- 搜索关键字符串(如URL、加密关键字)定位入口点。
- 动态调试
- 行为监控:抓取网络请求、文件操作、日志输出。
- 运行时Hook :
- 使用Frida Hook Java/Native层函数,修改参数或返回值。
- Xposed修改APP行为(如绕过证书校验)。
- 脱壳与对抗
- 针对加壳APP:内存Dump(Frida脚本)、调试SO文件(IDA Pro)获取原始Dex[[3,4,()]]。
- 反反调试:修改
ro.debuggable属性、Hookptrace函数。- 代码修改与重打包
- 修改Smali代码(如破解验证逻辑) → 用APKTool重打包 → 签名安装测试。
案例参考:某点评APP登录加密逆向中,通过Hook
OutputStream定位加密函数,结合静态分析破解AES密钥。
九十二、SQL注入分类
类型 原理说明 示例片段 联合查询注入 利用 UNION拼接恶意查询' UNION SELECT 1,user()--报错注入 触发数据库报错泄露信息 ' AND updatexml(1,concat(0x7e,user()),1)--布尔盲注 根据页面真假状态推断数据 ' AND (SELECT substring(version(),1,1))='5'--时间盲注 通过延时响应判断条件成立 ' IF (1=1) WAITFOR DELAY '0:0:5'--堆叠查询 执行多条SQL语句(需数据库支持) '; DROP TABLE users--
九十三、SQL注入防御
参数化查询(预编译) :
javaPreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE id=?"); stmt.setInt(1, userId); // 参数自动转义输入过滤与白名单 :
- 过滤特殊字符(如
'、;),但避免依赖黑名单。- 对数字参数强制类型转换。
最小权限原则 :
- 数据库账户禁止
DROP、FILE等高危权限。启用WAF :
- 配置规则拦截
UNION、SELECT等敏感关键字。错误信息处理 :
- 关闭数据库详细报错,返回通用错误页。
九十四、序列化与反序列化
对比项 序列化(Serialization) 反序列化(Deserialization) 目的 对象 → 字节流/文本(便于存储传输) 字节流/文本 → 对象(重建数据结构) 常见格式 JSON、XML、Protobuf、Java序列化 同左 安全风险 可能暴露敏感数据 高危漏洞 :攻击者构造恶意数据触发RCE(如Java的 readObject)防御措施 加密敏感字段 使用安全库(如Jackson)、校验数据签名、禁止反序列化不可信数据
九十五、常见中间件漏洞
- Apache Tomcat
- 漏洞举例 :
- CVE-2020-1938(Ghostcat):AJP协议文件读取/包含。
- Manager后台弱口令部署WAR木马。
- Nginx
- 配置错误导致路径遍历(
alias指令误用)、CRLF注入。- WebLogic
- 反序列化RCE(CVE-2018-2894)、T3协议漏洞。
- FastCGI(PHP-FPM)
- 未授权访问可执行任意代码(需结合
SCRIPT_FILENAME参数利用)。防御:及时更新补丁、禁用高危协议(如WebLogic的T3)、最小化后台权限8。
九十六、内网渗透思路
mermaidgraph LR A[信息收集] --> B[权限提升] B --> C[横向移动] C --> D[权限维持]
- 信息收集 :
- 网段扫描(Nmap)、ARP欺骗、DNS记录查询。
- 提取密码(浏览器缓存、Mimikatz抓取域控Hash)6。
- 权限提升 :
- 本地提权(内核漏洞如Dirty Cow)、服务配置错误(如MySQL以System权限运行)。
- 横向移动 :
- 利用PsExec/WMI远程执行、Pass-the-Hash攻击、SMB中继。
- 权限维持 :
- 创建隐藏计划任务、添加后门账户、部署C2隧道(如Frp)5。
九十七、OWASP Top 10 漏洞(2021版)
- 访问控制失效(Broken Access Control)
- 加密机制失效(Cryptographic Failures)
- 注入漏洞(SQL/OS命令/模板注入等)
- 不安全设计(设计层面缺陷)
- 安全配置错误(如默认密码、调试页暴露)
- 危险组件漏洞(含已知漏洞的第三方库)
- 身份认证缺陷(弱口令、会话固定)
- 软件和数据完整性失效(未校验更新包来源)
- 安全日志缺失(无法追溯攻击行为)
- 服务端请求伪造(SSRF)
九十九、WebShell工具对比
工具 通信加密 协议支持 特点 菜刀 无(明文传输) HTTP 经典但易被检测,支持基础功能 蚁剑 AES/自定义加密 HTTP/WebSocket 插件化、跨平台,适合扩展开发 冰蝎 动态密钥AES HTTP/HTTPS 流量伪装强,绕过常见WAF规则 C刀 RSA+AES HTTP 专为中国红队优化,集成提权模块 冰蝎的动态密钥机制使其成为当前最难检测的工具。