内部资料 | 2020HW值守部分关注点

#一、漏洞类组件
##01 Web 服务

组件：Tomcat
漏洞说明1：CVE-2020-1938（需要公网开放 AJP 端口，且上传点在 Webapps 目录下 ）
特征：关注文件上传

漏洞说明2：Tomcat Console 弱口令
特征：关注账号登录

---

组件：Weblogic
漏洞说明1：Xmldecoder 反序列化（通过 HTTP 方式触发）
特征：关注反序列化Gadgets

漏洞说明2：T3 反序列化（一般在内网比较好用，主要几个要点：1、若打过一次weblogic 补丁之后CommonsCollections Gadget 无法使用，因此在10.3.6 版本上最好使用 7u21 否则无解。2、12C 的 weblogic 可以使用 Coherence 的Gadget，比较稳妥）
特征：关注反序列化Gadgets

漏洞说明3：Weblogic console 弱口令
特征：关注账号登录

---

组件：WebSphere
漏洞说明1：CVE-2020-4450，IIOP 反序列化
特征：关注反序列化Gadgets

漏洞说明2：admin console 弱口令
特征：关注账号登录

---

组件：JBOSS
漏洞说明1：CVE-2017-12149
特征：关注反序列化Gadgets

漏洞说明2：Jboss console 弱口令
特征：关注账号登录

---

##02 框架组件

组件：Spirng FrameWork
漏洞说明：反序列化漏洞
特征：关注反序列化Gadgets

---

组件：Shiro
漏洞说明：反序列化漏洞
特征：关注反序列化Gadgets

---

组件：CAS
漏洞说明：反序列化漏洞、任意文件读取
特征：关注反序列化Gadgets

---

组件：Fastjson
漏洞说明：反序列化漏洞
特征：关注反序列化Gadgets

---

##03 OA 系统

组件：泛微组件
漏洞说明1：E-cology
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明2：E-mobile
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明3：E-bridge
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明4：E-office
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明5：E-message（登陆后能够上传 jar、可导致代码执行）
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

---

组件：致远 OA
漏洞说明1：A8
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明2：A6
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

---

组件：通达 OA
漏洞说明：信息泄露、RCE、未公开 0day
特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

---

##04 邮件系统

组件：coremail
漏洞说明：信息泄露、任意文件读取、RCE、未公开 0day
特征：关注异常代码执行、文件上传功能等异常请求

---

组件：亿邮
漏洞说明：信息泄露、RCE、未公开 0day
特征：关注异常代码执行、文件上传功能等异常请求

---

##05 ERP 系统
组件：金蝶
漏洞说明：信息泄露、RCE、未公开 0day
特征：关注异常代码执行、文件上传功能等异常请求

---

组件：用友
漏洞说明：关注异常反序列化数据流、或者 base64 之后反序列化数据流
特征：关注异常代码执行、文件上传功能等异常请求

---

组件：禅道
漏洞说明：命令执行、代码执行、文件上传
特征：关注异常代码执行、文件上传功能等异常请求

##06 站群门户

组件：PHPCMS
漏洞说明：命令执行、代码执行、文件上传
特征：关注异常代码执行、文件上传功能等异常请求

---

组件：大汉
漏洞说明：命令执行、代码执行、文件上传
特征：关注异常代码执行、文件上传功能等异常请求

#二、Webshell 类

##01 菜刀(Chopper)
平台版本20141018后门说明默认一句话、6K、149K，包括 PHP、ASP.NET、ASPX、JSP 等环境版本，一般会做免杀处理，会结合代理使用
特征：关注协议特征+ 日志

##02 冰蝎(Behinder)
平台版本v3.0后门说明默认后门较小，1K，包括 PHP、ASP、ASP.NET JSP 等环境版本，一般会做免杀处理，会结合代理使用
特征：关注协议特征+日志

##03 reGeorg
平台版本v1.0后门说明默认 5K、6K,包括 PHP、ASP.NET、JSP 等环境版本，一般会做免杀处理，主要用于代理配合使用
特征：关注协议特征+ 日志

##04 reDuh
平台版本v.0.3后门说明默认 12K 到 30K 左右,包括 PHP、ASP.NET、JSP 等环境版本，一般会做免杀处理，主要用于代理 配合使用
特征：关注协议特征+ 日志

##05 Tunna
平台版本v1.1后门说明默认 7K 到 9K 左右,包括 PHP、ASP.NET、JSP 等环境版本，一般会做免杀处理，主要用于代理配合使用
特征：关注协议特征+ 日志

##06 ABPTTS
平台版本2016后门说明默认 20K 到 30K 左右,包括 ASP.NET、JSP/WAR 等环境版本（无 PHP），一般会做免杀处理，主要用于代理配合使用
特征：关注协议特征+ 日志

#三、扫描刺探类

##01 系统服务扫描
扫描方式服务端口刺探说明通过 nmap、masscan 等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等
特征：关注协议特征+ 频率

##02 Web 漏洞扫描
扫描方式Web 服务端口刺探说明通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等，扫描器特征一般有 Acunetix WVS、Netsparker 等
特征：关注协议特征+ 频率

##03 系统扫描（内网）
扫描方式服务端口、版本刺探说明通过 nmap、masscan、metasploit 脚本、ICMP SMB 单协议扫描脚本等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等
特征：关注协议特征+ 样本+频率

##04 Web 扫描（内网）

扫描方式Web 服务端口刺探说明通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等，一般通过专用漏洞扫描工具进行
特征：关注协议特征+ 样本+频率

##05 弱口令扫描
扫描方式服务端口刺探说明通过字典对系统管理端口和协议、数据库端口、Web 服务管理端口等进行弱口令扫描，比如SSH、RDP、SMB、MySQL、SQLServer、Oracle FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL IMAP、IMAP_SSL、SVN、VNC、Redis 等服务的弱口令
特征：关注协议特征+ 样本+频率

#四、0day 漏洞类

##01 溢出类
平台版本Windows SMB漏洞说明主要为操作系统的漏洞，内网利用为主，比如MS17-010 漏洞，直接获取存在漏洞的系统管理权限
特征：关注协议特征+ 样本+日志

##02 反序列化
平台版本Web 服务、中间件漏洞说明通主要为 Web 服务比如：Weblogic、WebSphere 等，中间件和组件：比如 Spirng FrameWork、Shiro、CAS、Fastjson 等
特征：关注协议特征+ 样本+日志

##03 代码执行
平台版本应用组件漏洞说明主要为 Web 应用组件比如：禅道、PHPCMS、大汉、通达 OA、coremail、亿邮等 Web 站点应用
特征：关注协议特征+ 样本+日志

##04 信息泄露
平台版本应用组件漏洞说明主要为 SQL 注入漏洞、路径遍历等泄露敏感配置文件等，比如泛微组件、致远 OA、通达 OA、coremail、亿邮等
特征：关注协议特征+ 样本+日志

##05 漏洞获取
平台版本Web 管理后台漏洞说明通过存储型 XSS 漏洞诱骗管理权限用户点击，获取管理权限用户的Cookie，从而获得关联的后台管理权限
特征：关注特权用户动态+样本+日志

##06 客户端
平台版本浏览器、APP漏洞说明通过浏览器进程会话、APP 应用克隆获取当前会话权限，并通过会话权限获取关联用户凭据特征：关注特权用户动态+样本+日志

#五、管理系统类

##01 运维审计系统
平台版本堡垒机系统说明通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后，批量操作堡垒机管理的主机，比如获 得 JumpServer 堡垒机系统权限后，可以直接管理堡垒机上主机

特征：关注用户登录动态+行为+日志

##02 运维监控系统

平台版本管理后台系统说明通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后，批量操作监控系统上主机，比如获得Nagios、Zabbix 等运维监控系统权限后，可以直接下发命令到主机
特征：关注用户登录动态+行为+日志

##03 云管理平台
平台版本管理后台系统说明通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后，批量操作云上虚拟主机，比如获得Citrix、VMware ESXi、Azure、阿里云等管理后台权限后，可以直接下发命令到虚拟主机
特征：关注用户登录动态+行为+日志

##04 容器管理平台
平台版本管理后台系统说明通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后，批量操作容器和微服务，比如获得Swarm、Kubernetes、Mesos 等容器管理平台系统权限后，可以直接操作容器
特征：关注用户登录动态+行为+日志

##05 安全管理平台
平台版本管理后台系统说明通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后，可以操作安全防护策略，比如获得态 势感知平台、EDR 等管理平台系统权限后，可以修改安全策略使其防护失效
特征：关注用户登录动态+行为+日志

#六、社工类样本

##01 交互式
实施方式反馈获取样本说明通过邮件、电话冒充合作伙伴或内部管理人员直 接询问已获取到的名单人员的敏感信息，不投送后门程序
特征：关注行为特征+ 样本

##02 仅信息
实施方式点击链接样本说明通过邮件诱骗已获取到的名单人员点击 URL 链接，不投送后门程序，只获取浏览器、IP 等基本信息
特征：关注行为特征+ 样本

##03 后门投放
实施方式点击运行样本说明通过邮件诱骗已获取到的名单人员点击附件运行（看起来像图片或 Office 文档，实际为 exe、vbs、js 等多重扩展名），投送后门程序，一般会做免杀处理
特征：关注行为特征+ 样本

##04 漏洞投放
实施方式点击运行样本说明通过邮件诱骗已获取到的名单人员点击包含漏洞的附件文档（Office、PDF 等），触发漏洞后下载后门程序，后门一般会做免杀处理
特征：关注行为特征+ 样本

##05 广撒网式
实施方式主动运行样本说明通过微博、微信公众号等发布热点相关咨询文章，诱骗下载执行后门程序，后门一般会做免杀 处理，不会立即触发远控功能，先潜伏静默然后 加入任务计划执行
特征：关注行为特征+ 样本

#七、后门类工具

##01 Metasploit
平台版本4.17 Pro后门说明默认生成的 PE 后门小于 10K，一般会做免杀处理，通常内网使用 TCP 协议，到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹
特征：关注协议特征+ 频率

##02 Cobalt Strike
平台版本4.1 Licensed后门说明默认生成的 PE 后门小于 20K，一般会做免杀处理，通常内网使用 SMB 协议，到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹
特征：关注协议特征+ 频率

##03 Core Impact
平台版本19.1 Pro后门说明默认生成的 PE 后门较大，大于 200K，一般会做免杀处理，通常内网使用 TCP 协议，到外网使用HTTP/HTTPS、DNS 等协议反弹
特征：关注协议特征+ 频率

##04 DanderSpritz
平台版本1.3.0.0后门说明默认生成的 PE 后门较大，70~150K，模块化， 一般会做免杀处理，通常内网使用 TCP 协议，到外网使用 HTTP/HTTPS、UDP 等协议反弹
特征：关注协议特征+ 频率

##05 lcx(HTran)
平台版本v1.0后门说明默认生成的 PE 后门 50K 左右，一般会做免杀处理，用来协议 Socks 代理
特征：关注协议特征+ 频率

##06 ew(EarthWorm)
平台版本free 1.0后门说明默认生成的 PE 后门 50K 左右，,mac、linux 版本30K 左右，一般会做免杀处理，用来协议 Socks 代理
特征：关注协议特征+ 频率

免责声明：文章来源于雷神众测公众号，文章链接：https://mp.weixin.qq.com/s/Dm-wl3H2UedtceUY3zFcig，如有侵权，请告知删除。