我是 IDS 签名调整的新手。所以在学习签名的同时;在签名中,我遇到了签名触发警报的“内容”部分。现在,当我在内容中看到某些内容时(下面的示例);如何破译相同?
内容:“x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00|”
我是 IDS 签名调整的新手。所以在学习签名的同时;在签名中,我遇到了签名触发警报的“内容”部分。现在,当我在内容中看到某些内容时(下面的示例);如何破译相同?
内容:“x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00|”
如果您正在查看的是 Suricata,那么文档中提到任何十六进制值都应该放在管道中。
例如,要在签名的内容中写 http://,您应该这样写: content: “http|3A|//”; 如果在签名中使用十六进制符号,请确保始终将其放在管道之间。否则,符号将按字面意思作为内容的一部分。
随之,您可以破译内容在多个地方的管道中有 00。因此,内容字符串实际上转换为“xp_cmdshell”
如果您想找出它在数据包中匹配的位置,您需要从警报中提供更多详细信息。
如果您收到内容匹配的警报|00 00|
那意味着网络数据包数据包含在其字节中00 00
。
|47 45 54|
将是GET
数据包中的内容匹配。