信息安全攻击与应对课件.ppt

1、信息安全攻击与应对信息安全攻击与应对讲座内容讲座内容v信息收集与分析v基于人性弱点的攻击v基于协议缺陷的攻击v基于程序开发的攻击v后门及清理痕迹2安全攻击与防护安全攻击与防护3踩点定位入侵后门痕迹v攻击的过程 信息收集 目标分析 实施攻击 方便再次进入 打扫战场v防护 针对以上提到的行为了解其原理并考虑应对措施信息收集与分析信息收集与分析v为什么要收集信息 获取攻击目标大概信息 为下一步攻击做准备 利用收集的信息直接攻击4知己知知己知彼，百彼，百战不殆战不殆分析目标分析目标-入侵的准备入侵的准备v为什么需要分析目标 确定收集信息的准确性 去除迷惑信息（例如:index.ycs是java开发，开

2、发人员修改了脚本后缀以迷惑攻击者）攻击方式及攻击路径的选择v分析目标的方式 漏洞扫描 漏洞库 论坛等交互应用 5信息收集与分析案例信息收集与分析案例v现实中的范例：著名的照片泄密案 背景 大庆油田在发现之初，其位置、储量、产量等信息全部定为国家机密 1964年中国画报封面泄露信息 衣着判断-北纬46度至48度的区域（即齐齐哈尔与哈尔滨之间）所握手柄的架式-油井的直径 钻井与背后油田的距离和井架密度-储量和产量6设计出适合中国大庆的设备，在我国设备采购中中标！信息收集与分析案例信息收集与分析案例v微博时代的范例：影星的住址 背景：明星家庭住址是明星隐私，她们都不愿意透露，微博时代，明星也爱玩微博

3、 微博信息 13:50:四环堵死了，我联排要迟到了？在北京工作这么久，都没在北京中心地带买一套房子 光顾着看围脖，忘记给老爸指路，都开到中关村了 结论：北四环外某个成熟小区，小区中间有三个相连的方形花坛 Google earth能帮助我们快速找到这个小区7收集哪些信息收集哪些信息v目标系统的信息系统相关资料 域名、网络拓扑、操作系统、应用软件 相关脆弱性v目标系统的组织相关资料 组织架构及关联组织 地理位置细节 电话号码、邮件等联系方式 近期重大事件 员工简历v其他可能令攻击者感兴趣的任何信息8公开信息收集公开信息收集-搜索引擎搜索引擎v快速定位 Google 搜索“5sf67.jsp”可以找

4、到存在此脚本的Web网站 Google 搜索“teweb/default.htm”就可找到开放着远程Web连接的服务器v信息挖掘 定点采集 Google 搜索“.doc+website”挖掘信息 隐藏信息.mdb、.ini、.txt、.old、.bak、.001 后台入口9How to hack website with google!网络信息收集网络信息收集-域名信息域名信息10v Whois Whois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料 Whois 可以查询到的信息 域名所有者 域名及IP地址对应信息 联系方式 域名到期日期 域名注册日期 域名所使用的 DNS S

5、ervers 信息收集技术信息收集技术-域名与域名与IPIP查询查询11v 域名与IP查询 nslookup 操作系统自带命令，主要是用来查询域名名称和 IP 之间的对应关系v 网络状况查询 Ping 系统自带命令，测试与远端电脑或网络设备的连接状况v 网络路径状况查询 tracert 系统自带命令，测试与远端电脑或网络设备之间的路径系统信息收集系统信息收集-服务旗标检测服务旗标检测v服务旗标检测法 rootpooh#telnet 192.168.1.13 Debian GNU/Linux 2.1 target login:vRedhat:/etc/issue、/etc/vbsd:/etc/m

6、otdvSolaris:/etc/motd 缺陷：不准确，负责任的管理员一般都修改这个文件12FTP回显信息Web回显信息系统及应用信息收集系统及应用信息收集-TCP/IP-TCP/IP协议栈检测协议栈检测v原理 不同厂商对IP协议栈实现之间存在许多细微的差别，通过这些差别就能对目标系统的操作系统加以猜测。v检测方法 主动检测 被动检测13v原理 通过端口扫描确定主机开放的端口，不同的端口对应运行着的不同的网络服务v扫描方式 全扫描 半打开扫描 隐秘扫描 漏洞扫描 系统及应用信息收集系统及应用信息收集-端口扫描端口扫描端口测试数据包测试响应数据包我知道主机上开放的端口了14漏洞信息查询漏洞信息

7、查询v漏洞信息查询 漏洞库 论坛 QQ群 邮件列表v攻击工具收集 黑客网站15信息收集与分析的防范信息收集与分析的防范v公开信息收集防御 信息展示最小化原则，不必要的信息不要发布v网络信息收集防御 阻止ICMP 网络安全设备（IDS、防火墙等）v系统及应用信息收集防御 减少攻击面 修改旗标16严防死守！讲座内容讲座内容v信息收集与分析v基于人性弱点的攻击v基于协议缺陷的攻击v基于程序开发的攻击v后门及清理痕迹17利用人性懒惰利用人性懒惰-密码破解密码破解18v密码破解方法 暴力猜解v密码破解工具 密码暴力破解工具 密码字典生成工具v密码破解防御 密码生成技巧 密码管理策略暴力猜解方法一暴力猜解

8、方法一v已知密码的散列算法及散列值的破解方法 Linux密码散列值#root:$1$acQMceF9$1$acQMceF9:13402:0:99999:7:Windows密码散列值（LM-Hash）Administrator:500:C8825DB10F2590EAAAD3B435B51404EE:683020925C5D8569C23AA724774CE6CC:19密码明文对明文密码进行加密对比密文更换密码明文暴力猜解工具暴力猜解工具v获取散列值 pwdump7.exe GetHashes.exe SAMInside.exe Cain v破解散列值John the Ripper L0Phtc

9、rackv20ID:cisp psw:123456Ok,you can login inID:cisp psw:No,you can not login in1 12123123412345123456OK,you can login inNo,you can not login inNo,you can not login inNo,you can not login inNo,you can not login in暴力猜解方法二暴力猜解方法二21v字典生成器 根据用户规则快速生成各类密码字典 攻击者常用的工具v密码字典作用 提高密码破解效率 密码破解知识的具体体现v密码字典密码字典-密码

10、破解关键密码破解关键22密码字典是攻击者破解成功和效率的关键！v设置”好”的密码v系统及应用安全策略v随机验证码v好的密码特征 自己容易记住，别人不好猜v其他密码管理策略 密码信封 A、B角v密码破解安全防御密码破解安全防御23利用人性缺陷利用人性缺陷-社会工程学攻击社会工程学攻击人是永远的系统弱点!24v什么是社会工程学攻击 利用人性弱点（本能反应、贪婪、易于信任等）进行欺骗获取利益的攻击方法v社会工程学的危险 永远有效的攻击方法 人是最不可控的因素传统社会中的社会工程学传统社会中的社会工程学v 中奖通知v 欠费电话v 退税短信v 好友充值短信v 25案例一、凯文案例一、凯文米特尼克最擅长什

11、么米特尼克最擅长什么v凯文米特尼克 世界著名黑客（世界第一黑客）1995年16岁时被捕入狱，2000年保释 记者采访：你最擅长的技术是什么 回答:社会工程学，技术会过时，只有社会工程学永远不会26凯文米特尼克所著欺骗的艺术案例二：案例二：“最大的计算机诈骗最大的计算机诈骗”过程过程27获得密码伪装成银行职员（国际部麦克.汉森），要求转账伪装成电汇室人员，获取账号信息重新要求转账完成诈骗过程案例三：好心网管的失误案例三：好心网管的失误28InternetInternet攻击者网站上查询到信息：网管联系电话某处室人员名称：王强电话网管：你好，我是某某处王强，我的密码忘记了，麻烦帮处理一下好的，请1

12、0分钟后登陆，我帮你把密码重置为123网络社会的社会工程学网络社会的社会工程学v正面攻击-直接索取v建立信任v我来帮助你v你能帮助我吗？v假冒网站和危险附件v利用同情、内疚和胁迫v逆向骗局29如何防止社会工程学攻击？如何防止社会工程学攻击？v了解攻击者如何利用人的天性并制定针对性培训 权威 爱好 报答 守信 社会认可 短缺v制定针对性安全策略 验证身份 验证权限 30讲座内容讲座内容v信息收集与分析v基于人性弱点的攻击v基于协议缺陷的攻击v基于程序开发的攻击v后门及清理痕迹31利用协议的缺陷利用协议的缺陷-欺骗攻击欺骗攻击BACHello,Im B!v欺骗攻击（Spoofing）是指通过伪造源

13、于可信任地址的数据包以使一台机器认证另一台机器的复杂技术 32典型的欺骗攻击典型的欺骗攻击vIP欺骗（IP Spoofing）vDNS欺骗（DNS Spoofing）vARP欺骗（ARP Spoofing）v33电子欺骗是一类攻击方式的统称！SYN FloodSYN Flood攻击基础攻击基础-三次握手过程三次握手过程客户服务器Syn send连接请求（ISN）回应（ISN+1）Syn+ack确认（ISN+1）会话过程连接请（ISN）IPIP欺骗实现步骤欺骗实现步骤IP欺骗攻击方法中包括了一系列攻击步骤确认攻击目标使要冒充主机无法响应目标主机猜正确的序数冒充受信主机进行会话35IPIP欺骗实例

14、讲解欺骗实例讲解BACSYN flood攻击 连接请求伪造B进行系列会话A的序数规则36IPIP欺骗的防范欺骗的防范37v严格设置路由策略：拒绝来自网上，且声明源于本地地址的包v使用最新的系统和软件，避免会话序号被猜出v使用抗IP欺骗功能的产品v严密监视网络，对攻击进行报警ARPARP欺骗基础欺骗基础-ARP-ARP协议基础协议基础vARP协议（地址解析协议）ARP用于将IP地址解析MAC地址的协议 ARP协议特点：无状态，无需请求可以应答 ARP实现：ARP缓存38ARPARP欺骗基础欺骗基础-Arp-Arp协议工作过程协议工作过程bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa

15、:aa:aa:aa:aa192.168.1.1192.168.1.2Whos IP is 192.168.1.1Whos IP is 192.168.1.1MAC aa:aa:aa:aa:is 192.168.1.1I see,I will cache192.168.1.339ARPARP欺骗实现欺骗实现bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aa192.168.1.1192.168.1.2MAC cc:cc:cc:cc:cc is 192.168.1.1I see,I will cache192.168.1.340Internet地址 物理地址192.

16、168.1.1 cc:cc:cc:cc:ccCC:CC:CC:CC:CC192.168.1.1HelloAA:AA:AA:AA:AA192.168.1.1HelloARPARP欺骗的防范欺骗的防范41v使用静态ARP缓存v使用三层交换设备vIP 与MAC地址绑定vARP防御工具DNSDNS欺骗基础欺骗基础-DNS-DNS协议工作过程协议工作过程?其他DNS1.1.1.1I will cacheI dont know,I will ask other1.1.1.1 ?Its in my cache1.1.1.142DNS服务器客户机客户机DNS服务器DNSDNS欺骗实现欺骗实现?I dont k

17、now,I will ask otherOther DNSI will ?Its in my cache 2.2.2.2 1.1.1.143攻击者DNS服务器DNS服务器客户机?Qid=222.2.2.2Qid=22DNSDNS欺骗的防范欺骗的防范44v安装最新版本的DNS软件v安全设置对抗DNS欺骗 关闭DNS服务递归功能 限制域名服务器作出响应的地址 限制域名服务器作出响应的递归请求地址 限制发出请求的地址其他欺骗攻击其他欺骗攻击45vTCP会话劫持v路由欺骗 ICMP重定向报文 RIP路由欺骗 源径路由欺骗v利用协议缺陷利用协议缺陷-拒绝服务攻击拒绝服务攻击v什么是拒绝服务 拒绝服务式攻

18、击(Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。v拒绝服务攻击方式 利用大量数据挤占网络带宽 利用大量请求消耗系统性能 利用协议实现缺陷 利用系统处理方式缺陷46典型的拒绝服务攻击方式典型的拒绝服务攻击方式vPing of deathvSYN FloodvUDP FloodvTeardropvLandvSmurfv47拒绝服务是一类攻击方式的统称！Ping of deathPing of deathv原理 Ping使用ICMP协议数据包最大为65535 构造错误的ICMP数据报文（错误的偏移值和分片大小），在重组时会产生大于65535的数据包，导

19、致填入堆栈时产生缓冲区溢出48ICMP协议堆栈错误的ICMP重组数据报文其他内存空间(syn)Hello,Im 2.2.2.2(syn+ack)Im ready?Im waitingSYN FloodSYN Flood(syn)Hello,Im 2.2.2.2?Im waiting(syn)Hello,Im 3.3.3.3Im waitingIm waitingIm waiting1.1.1.11.1.1.149v原理 伪造虚假地址连接请求，消耗主机连接数UDP FLOODUDP FLOODv原理 利用UDP协议实现简单、高效，形成流量冲击 实现方式 大量UDP小包冲击应用服务器（DNS、Ra

20、dius认证等）利用系统服务形成流量（Echo chargen）利用正常UDP服务发送大流量形成网络拥塞50LANDLAND攻击攻击v原理 类似SYN flood，伪造受害主机源地址发送连接请求，使受害主机形成自身连接，消耗连接数511.1.1.1(SYN)hello,Im 1.1.1.1Syn+AckAckSYNSYN ACKACKPSH 1:1024PSH 1025:2048PSH 2049:3073FINACKPSH 1:1025PSH 1000:2048PSH 2049:3073试图重组时主机崩溃TearDropTearDrop（分片攻击）（分片攻击）52v原理 构造错误的分片信息，系

21、统重组分片数据时内存计算错误，导致协议栈崩溃Smurf&FraggleSmurf&Fraggle攻击攻击531.1.1.1Please replay 1.1.1.1广播地址ICMP-SmurfUDP -Fragglev原理 伪造受害者地址向广播地址发送应答请求，要求其他机器响应，形成流量攻击拒绝服务攻击的危害拒绝服务攻击的危害v消耗带宽v瘫痪服务器 DNS 网页 电子邮件v阻塞网络 路由器 交换器54DDoSDDoS攻击原理攻击原理55典型的典型的DDoSDDoS攻击工具攻击工具vTFN2KvTrinoo 563133527665 27444 udpmaster client.主机列表teln

22、et betaalmostdone 攻击指令目标主机nc 拒绝服务攻击的防范拒绝服务攻击的防范v增强自身强壮性 风险评估 补丁 安全加固 资源控制v加强防御 安全设备（防火墙、抗DoS设备）网络带宽v协调机制 运营商、公安部门、专家团队等57讲座内容讲座内容v信息收集与分析v基于人性弱点的攻击v基于协议缺陷的攻击v基于程序开发的攻击v后门及清理痕迹58利用程序开发缺陷利用程序开发缺陷-缓冲区溢出缓冲区溢出59v 缓冲区溢出原理 缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。v基础知识 堆栈 寄存器 指

23、针 缓冲区溢出基础缓冲区溢出基础-堆栈、指针、寄存器堆栈、指针、寄存器v堆栈概念 一段连续分配的内存空间v堆栈特点 后进先出 堆栈生长方向与内存地址方向相反v指针 指针是指向内存单元的地址 寄存器 暂存指令、数据和位址 ESP（栈顶）、EBP（栈底）、EIP（返回地址）34H12H78H56H0108HESP栈顶堆栈(AL)(AH)34H12H78H56H0106HESP栈顶栈底栈底60简单示例简单示例Buffer.c#include int main()char name8;printf(Please input your name:);gets(name);printf(you name

24、is:%s!,name);return 0;61程序作用：将用户输入的内容打印在屏幕上简单示例简单示例62用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误简单示例简单示例由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。63当我们全部输入a时，错误指令地址为0 x616161，0 x61是a 的ASCII编码64内存底部 内存顶部 name XXX EIP XXXcispcisp 堆栈顶部 堆栈底部堆栈情况堆栈情况 name XXX EIP XXXaaaaaaaa aaaa aaaa aaaa由于输入

25、的由于输入的namename超过了定义变量的长度（超过了定义变量的长度（8 8位），堆栈中预计的位置无法容纳，位），堆栈中预计的位置无法容纳，只好向内存顶部继续写只好向内存顶部继续写aa，由于堆栈的生长方向与内存的生长方向相反，由于堆栈的生长方向与内存的生长方向相反，用户输入的用户输入的aa覆盖了堆栈底部覆盖了堆栈底部EBPEBP和和retret。程序在返回时，将。程序在返回时，将EBPEBP中的中的aaaaaaaa的的ASCIIASCII码：码：0 x616161610 x61616161作为返回地址，试图执行作为返回地址，试图执行0 x616161610 x61616161处指令，导致错处

26、指令，导致错误，形成一次堆栈溢出误，形成一次堆栈溢出65缓冲区溢出危害缓冲区溢出危害寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统危害：如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统66缓冲区溢出的防范缓冲区溢出的防范v用户 补丁 防火墙v开发人员 编写安全代码，对输入数据进行验证 使用相对安全的函数v系统 缓冲区不可执行技术，使被攻击程序的数据段地址空间不可执行，从而使攻击者不可能执行输入缓冲区的代码 虚拟化技术67利用应用开发缺陷利用应用开发缺陷-网页脚本安全网页脚本安全v脚本安全基础 WEB应用开发脚本:ASP、PHP、JSP等 脚

27、本的优势：交互性：自动更新：因时因人而变：v脚本安全风险 注入攻击 跨站脚本 68典典型注入攻击型注入攻击-SQL-SQL注入注入vSQL注入攻击原理 SQL注入（SQL Injection）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作操作系统Web应用数据库服务器123调用数据库查询直接调用操作系统命令通过数据库调用操作系统命令69SQLSQL注入基础知识注入基础知识v SQL(Structured Query Language)：结构化的查询语言，是关系型数据

28、库通讯的标准语言。v 查询：Select statement from table where conditionv 删除记录：delete from table where conditionv 更新记录：update table set field=value where condtionv 添加记录：insert into table field values(values)v 常用函数 Count()Asc(nchar),unicode(nchar)mid(str,n1,n2),substring(str,n1,n2)70SQLSQL注入简单示例注入简单示例Select*from ta

29、ble where user=admin and pwd=ABCDEFG!;adminABCDEFG!71Select*from table where user=admin and pwd=123 or 1=1admin123 or 1=1由于密码的输入方式，使得查询语句返回值永远为True，因此通过验证SQLSQL注入范例注入范例-检测检测72http:/xx.xxx.xx.xx/playnews.asp?id=772and 1=1Microsoft OLE DB Provider for ODBC Drivers 错误 80040e14 MicrosoftODBC Microsoft A

30、ccess Driver 字符串的语法错误 在查询表达式 id=772 中。/displaynews.asp，行31 说明:数据库为Access 程序没有对于id进行过滤 数据库表中有个字段名为idSQLSQL注入范例操作数据库注入范例操作数据库http:/ And(update user set passwd=123 where username=admin);-Select*from 表名 where 字段=49 And(update user set passwd=123 where username=admin);update user set passwd=123 where use

31、rname=admin);73非法的SQL语句被传递到数据库执行！SQLSQL注入攻击演示注入攻击演示74SQLSQL注入的危害注入的危害v数据库信息收集 数据检索v操作数据库 增加数据 删除数据 更改数据v操作系统 借助数据库某些功能（例如：SQLServer的内置存储过程XP_CMDShell）7576SQLSQL注入的防范注入的防范v防御的对象：所有外部传入数据 用户的输入 提交的URL请求中的参数部分 从cookie中得到的数据 其他系统传入的数据v防御的方法 白名单：限制传递数据的格式 黑名单：过滤 过滤特殊字串：update、insert、delete等 开发时过滤特殊字符：单引号

32、、双引号、斜杠、反斜杠、冒号、空字符等的字符 部署防SQL注入系统或脚本跨站脚本攻击跨站脚本攻击v原理 远程Web页面的HTML代码中插入的具有恶意目的的数据，用户认为该页面是可信的，当浏览器下载该页面时，嵌入其中的脚本将被解释执行 跨站脚本（CSS-Cross Site Scripting）v跨站脚本成因 CGI程序没有对用户提交的变量中的HTML代码进行过滤或转换。这种攻击利用的是用户和服务器之间的信任关系，以及Web站点没有使用有效的输入输出验证来拒绝嵌入的脚本。77跨站脚本攻击跨站脚本攻击v跨站脚本的类型 反射型（reflected XSS）存储型（stored XSS）基于DOM（D

33、OM-basic）v跨站脚本威胁 敏感信息泄露 账号劫持、Cookie欺骗 拒绝服务 钓鱼 78跨站脚本范例跨站脚本范例-页面嵌入页面嵌入v使用跨站脚本进行钓鱼攻击 提交脚本 欺骗性信息 用户信任79跨站脚本范例跨站脚本范例-信息窃取信息窃取v使用跨站脚本窃取敏感信息 用户构建窃取管理员信息的脚本，如论坛帖子、留言板等 要求管理员访问，如论坛帖子为“管理员请进来看看！”管理员访问后，session 等敏感信息别窃取 伪造管理员进行登录80讲座内容讲座内容v信息收集与分析v基于人性弱点的攻击v基于协议缺陷的攻击v基于程序开发的攻击v后门及清理痕迹81跨站脚本攻击的防范跨站脚本攻击的防范v跨站脚本

34、问题与SQL注入漏洞类似，都是利用程序员编写脚本或页面过滤不足所导致v相对SQL注入而言，跨站脚本安全问题和特点更复杂，这使得对跨站脚本漏洞的防范难度更大。v对于用户可提交的信息要进行严格的过滤，防止跨站脚本漏洞的产生。82v后门可以作什么 方便下次直接进入 监视用户所有行为、隐私 完全控制用户主机v后门放置方式 如果已经入侵 简单！如果尚未入侵 手动放置 利用系统漏洞，远程植入 利用系统漏洞，诱骗执行后门后门-方便下次进入方便下次进入83v特洛伊木马 随系统自启动 修改注册表 服务 Ini文件vRootKit 设备驱动v脚本后门 难以查找v隐藏账号 考验管理人员耐心与细心后门后门-方式方式8

35、4相关知识参考恶意代码课程！v清除/改写日志 日志存放路径 例如：IIS访问日志位置%WinDir%System32LogFilesW3SVC1exyymmdd.log 修改系统日期v删除中间文件v删除创建的用户日志日志-抹去痕迹抹去痕迹85日志保护日志保护v日志设置 尽可能多的信息 日志时间 日志空间v日志权限v日志存储 本地路径及备份方式 网络存储（日志服务器）86日志分析重点日志分析重点v日期 时间 （确定攻击的时间）v源IP (确定攻击者IP）v请求方法 (部分情况下要关注post操作)v请求链接 （查找链接中的特殊字符串）v状态代码 （了解操作的结果）87日志分析日志分析v关注超长的

36、记录 http协议对URL长度没有限制 一般网站正常情况下不需要太长的URLv关注记录中的非正常编码 例如红色代码蠕虫攻击会形成如下记录GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u000 3%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0v关注日志请求链接中的关键字 cmd、select、xp_cmdshell、Post等88谢谢，请提问题！谢谢，请提问题！