防守方视角-文件上传+命令执行

已于 2024-05-08 17:37:29 修改
阅读量445 收藏 2
点赞数 10
分类专栏: # 安全运营 文章标签: 安全
于 2024-05-07 15:29:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HeLLo_a119/article/details/138524392
版权

今天凌晨主机EDR出现了文件上传、命令执行等多个告警。

一、文件上传

先判断文件上传的条件,应用系统存在上传点或者拿到后台账号权限。

因为公司已经禁止直连服务器,所以拿到后台账号登录的概率非常低。。

那么需要排查一下应用系统是不是存在账号密码泄露(弱口令)被非法登录的情况。

第一步:登录应用系统查看系统登录记录

排查结果在告警时间段存在一个测试账号登录系统的记录。

第二步:排查是否存在测试账号(弱口令),若没有必要进行删除

存在三个测试账号,进行了删除。

第三步:排查弱口令,并重置密码

重置了所有管理账号的密码。

第四步:排查服务器

(1)登录服务器查看是否存在该文件

(2)将文件下载下来进行分析

(3)删除脚本文件

(4)确认是否存在可疑账号、进程、定时任务等

(5)进行全盘杀毒查杀

二、命令执行

上传脚本后,攻击者通过脚本(PHP文件)调取了服务器命令。

大部分为连通性测试,其中需要关注的是pty(python实现交互式shell的方式)。

Python pty方式:当我们拿到一个webshell的时候,我们能够执行一些命令,但是这些命令都是非交互的,也就是说不存在上下文的概念。当我们想使用vim、top等命令时,webshell就无能为力了。

如果正好服务器上有 python 的话,攻击者会执行以下命令:

python -c 'import pty; pty.spawn("/bin/bash")'

结论:

攻击者没有执行恶意操作,需要继续观察。

最重要的是抓紧修复弱口令、文件上传漏洞!!

HeLLo_a119
关注
专栏目录
蓝队视角下的企业安全运营
HBohan的博客
09-19 665
蓝队应急响应处置案例 一、发现及研判组 【攻击成功分析及举证】 1630308078_612c86eeae5b5a42afaba.png!small?1630308079430 处置建议:排查可疑进程与TCP连接。 二、应急处置溯源组 【威胁等级】:严重 【事件链说明】:以时间点为出发点简述如下: 处理记录: 1>于2021-06-28 10:51登机排查 网络连接 2>处置过程:查看对应进程的进程号并kill进程。 溯源过程: 通过搜索指定时间内系统内被修改的文件发现exp.so文件,通过
渗透测试专业术语——防守
m0_62614507的博客
03-06 949
渗透测试专业术语——防守
红队视角下的防御体系突破之第二篇案例分析
千寻的博客
07-02 1363
社会工程学(简称)在红队工作中占据着半壁江山,而则是社工中的最常使用的套路。案例:背景:小D团队便接到这样一个工作目标:某企业的财务系统。通过前期踩点和信息收集发现,目标企业外网开放系统非常少,也没啥可利用的漏洞,很难通过打点的式进入到内网。 小D决定浑水摸鱼,在此邮件的基础上进行改造伪装,构造钓鱼邮件如下。其中, 为提高攻击成功率,通过对目标企业员工的分析,小D决定对以及几个跟进行邮件群发。小D发送了一批邮件,有好几个企业员工都被骗上线,打开了附件。控制了更多的主机,继而便控制了更多的邮箱。在钓鱼邮件的
HW:红队眼中的防守弱点与蓝队应对攻击的常用策略
weixin_42489549的博客
06-07 2736
HW 红队眼中的防守弱点 一、资产混乱、隔离策略不严格 除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。 除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。 此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,
红队视角下的公有云基础组件安全(二)
heike_Ch的博客
05-21 1029
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
AD攻防-域用户HashDump追踪之道
2401_84466224的博客
06-20 1158
Know it Then Hack it,网上dump域用户hash的式五花八门,少有站在防御者视角对不同的dump式进行梳理剖析和取证定位的文章,掌握不同dump式的底层原理才能在EDR对抗时不慌不乱、在应急响应中抓住重点,选择最适合的手段快速达到自己的目的。
命令执行(RCE)面对各种过滤,骚姿势绕过总结
HUANGXIN9898的博客
07-09 1391
RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
红蓝对抗之蓝队防守:ATT&CK框架的应用
DBappSecurity_的博客
07-15 2681
企业大规模数字化转型的浪潮下,各类网络入侵事件频发、APT和黑客团伙活动猖獗,合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展,企业安全建设正逐步向实战化转型,而MITRE(一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织)提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。 ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上,被F-Secure评为十大关注
渗透测试-行业术语
weixin_74305514的博客
08-16 776
对渗透测试中的行业术语进行介绍。
红蓝攻防演练过程中零失陷经验分享
maoguan121的博客
10-12 727
漏洞修复是开展网络安全防控工作的基础。该金融单位开展了开 源组件扫描、漏洞扫描和渗透测试,建立风险动态管理台账,紧盯问 题一对一整改,问题整改完成率高达90%。通过内部梳理网络基础设施 服务情况,关闭无用端口,切断不必要的访问渠道,梳理网上交易 区、办公区
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
安全术语扫盲
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
网络安全概述:从认知到实践
l1x1n0的博客
10-04 427
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
如何安全地大规模部署 GenAI 应用程序
最新发布
网络研究观
10-06 329
将生成式人工智能融入到你的商业模式中,既会带来新的风险,也会带来新的回报。以下是如何应对这些风险。
【蚂蚁HR-注册/登录安全分析报告】
09-28 1295
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
企业间图文档发放:如何在保障安全的同时提升效率?
文件数据安全交换
09-29 733
飞驰云联是中国领先的数据安全传输解决案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决案,公司产品和案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。《Ftrans B2B企业间文件安全交换系统》仅需通用浏览器即可使用,用户界面清晰明了,功能操作和收发流程简单便捷,可快速在企业内外部推行,实现安全的图文档发放,极大降低用户学习成本,提升终端用户满意度,为企业内外部的业务协作提供保障。
安全服务面试
m0_74402888的博客
09-28 853
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 966
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
2021年防守HW行动经验分享:云平台安全防御策略
重点关注的漏洞包括:弱口令(数据库、SSH、RDP、后台)、命令执行(Solr、Jenkins、Weblogic、Struts2、RMI、JBoss、Tomcat、Spring、ActiveMQ、Zabbix)、文件操作(文件上传、文件读取)和未授权访问(Redis、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值