FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

最新推荐文章于 2024-05-13 10:13:15 发布
最新推荐文章于 2024-05-13 10:13:15 发布
阅读量660 收藏 1
点赞数
文章标签: 安全 信息安全 linux 项目管理 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smellycat000/article/details/111351148
版权

 聚焦源代码安全,网罗国内外最新资讯!

前言

最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队工具将被如何处置,但FireEye 公司在 GitHub 上发布了一些应对措施。奇安信代码安全实验室将从技术角度,对 GitHub 仓库中的相关漏洞进行分析复现,希望能给读者带来一些启发,做好防御措施。

漏洞简介

Zoho企业的产品 Zoho ManageEngine ServiceDesk Plus 是一套IT互联网服务管理软件,拥有资产管理、采购管理、合同管理等功能模块,提供一流的IT支持服务。

ServiceDesk Plus10.0 build 10012之前的版本产品存在任意文件上传漏洞。具体来说,SDJSPClasses.jar包的FileAttachment_jsp.class仅检查module参数为“SSP”、“DashBoard”、“HomePage”时的上传文件类型,而未检查module参数为“CustomLogin”时的上传文件类型,导致恶意分子采用低权限guest用户即能上传、并任意访问jsp类可执行命令的脚本文件。

受影响产品

Zohocorp ManageEngine ServiceDesk Plus

受影响版本

9.4 and 10.0 before 10.0 build 10012

修复版本

最低0.47元/天 解锁文章
奇安信代码卫士
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
奇安信代码卫士,文件上传漏洞解决demo
04-23
奇安信代码卫士,文件上传漏洞解决demo; #### 文件上传可以参考以下安全需求进行处理: 1. 服务器配置: (1)将上传目录和上传文件设置为不可执行, 杜绝脚本执行。 (2)应保证服务器安全,避免文件解析漏洞。 2. 在服务端对上传文件进行检查: (1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务攻击。 (4)对文件名进行输入校验,显示时进行输出编码。 3. 文件存储: (1)上传文件应保存在指定路径下。 (2)对上传文件进行随机数重命名,避免文件被覆盖。 (3)设置上传文件路径, 使用户不能轻易访问自己上传的文件 。 (4) 文件应尽量保存在内容服务器或web目录外部,避免通过web应用直接访问上传的文件。 4. 对于图片文件进行二次渲染、压缩, 避免图片写马。 5. 校验失败后,记录错误日志信息,内容至少包括时间、用户、IP、操作内容、校验失败
FireEye红队失窃工具揭秘之:分析复现Zoho ManageEngine RCE (CVE-2020-10189)
smellycat000的专栏
12-15 597
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
【奇安信安全漏洞】XSS漏洞 重定向漏洞解决及产生分析!_奇安信漏洞
最新发布
2401_84132723的博客
05-13 893
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。既然都明确说明了是从客户端获取的数据,需要校验后才可以使用,那思路就清晰了。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!
文件上传漏洞
YoungHD的博客
06-16 568
什么是文件上传漏洞文件上传漏洞指用户上传了一个可执行脚本文件,并且通过此脚本文件获得了执行服务器端端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意脚本并执行从而控制服务器。上传文件操作本身是没有问题的,问题在于文件上传到服务器后,服务器怎么处理和解释文件。 什么是webshell? web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限。webshell一般.
ManageEngine ServiceDesk Plus之CVE漏洞
Zoho_Manager的博客
08-29 177
如果在一个漏洞报告中指明的一个漏洞CVE名称,那么就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,并解决安全问题。
详细分析 Sonlogger 任意文件上传漏洞 (CVE-2021-27964)
smellycat000的专栏
05-08 734
聚焦源代码安全,网罗国内外最新资讯!概述Sonlogger 是土耳其SFC 公司 开发的一款应用软件,兼容土耳其《第5651号法》,是一款基于 Web 的 SonicWall 防火墙设备...
FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY
09-08
【火眼揭露CVE-2017-8759:0day漏洞被用于野外分发FINSPY】 火眼公司在2017年发布了一份关于CVE-2017-8759的报告,指出这是一个在野外环境中被利用的0day漏洞,用于传播FINSPY恶意软件。该漏洞是一个SOAP WSDL解析...
ioc-scanner-CVE-2019-19781:CVE-2019-19781的损害扫描程序指示器
03-12
CVE-2019-19781的损害扫描程序指示器 该存储库包含一个实用程序,用于检测与CVE-2019-19781相关的Citrix ADC设备的威胁。 该实用程序及其资源对FireEye Mandiant调查期间收集到的危害指标进行编码。 要了解更多信息...
CVE-2019-19781:CVE-2019-19781-Citrix ADC Netscaler漏洞的远程执行代码
05-26
编辑:来自FireeyeCVE-2019-19781漏洞扫描程序指示器-> 受影响的产品: Citrix ADC和Citrix Gateway 13.0版均受支持 Citrix ADC和NetScaler Gateway版本12.1所有受支持的内部版本 Citrix ADC和NetScaler ...
flare-fakenet-ng:[已暂停] FakeNet-NG-下一代动态网络分析工具
02-24
开发暂停 FLARE团队必须暂时中止FakeNet-NG的开发和维护。 FLARE选择在此处指示项目状态,而不是存档项目。 这将使用户和维护人员能够继续记录问题,记录有关问题,故障排除和解决方法的宝贵信息。...
火炬线:FireEye Labs混淆字符串求解器-自动从恶意软件中提取混淆字符串
02-24
FireEye Labs混淆字符串求解器(FLOSS)使用高级静态分析技术来自动对来自恶意软件二进制文件的字符串进行混淆。 您可以像strings.exe一样使用它来增强未知二进制文件的基本静态分析。 请在回顾FLOSS背后的理论。 ...
ssh-cluster:通过SSH的FireEye Agent远程Python安装程序
04-04
SSH群集(cmds,上载器) 这很简单,执行命令并通过多个SSH / SFTP服务器上传文件。 笔记 Python3(Anaconda可以工作) 对于Windows测试,您需要安装Visual Studio Build工具(paramiko软件包需要) 怎么运行的? 编辑creds.json 编辑cmds.json 将您的IP /主机名添加到srv.txt 如何编辑creds.json? 您可以使用 生成您的base64字符串 前任: 您想your-ssh-password编码为base64字符串 您需要在creds.json上替换**第6行** { " creds " : { " ssh_user " : " ssh-user-base64-encoded " , " ssh_password " : " ssh-password-base64-e
fireye-agent-remote-installer:通过SSH的FireEye Agent远程Python安装程序
04-03
多SFTP / SSH上传器 这很简单,可以上传文件并在多个SSH / SFTP服务器上执行命令多次上传。 笔记 Python3(Anaconda可以工作) 对于Windows测试,您需要安装Visual Studio Build工具(paramiko软件包需要) 将您的IP /主机名添加到srv.txt 这不会保存日志,因此您必须重定向标准输入 怎么运行的 一,生成base64字符串密码 。 替换**第90行**将cGFzc3dvcmQ =更改为you-base64-string-output 更改密码并登录 usr = "you-user" 需要上传文件吗? 轻松地通过file_uploads删除文件 是否需要更改文件上传路径? 默认情况下,所有文件都保存在tmp上,您可以更改此设置... remote_folder = "/tmp/" 需要更改更改cmds吗? a
研究员在微软 Azure API 管理服务中发现3个漏洞
smellycat000的专栏
05-05 599
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软 Azure API 管理服务中存在三个新漏洞,可用于获得敏感信息或后端服务的访问权限。以色列安全公司 Ermetic 提到,在这三个漏洞中,两个是服务器端伪造 (SSRF) 漏洞,一个是位于 API 管理开发者门户中不受限的文件上传漏洞。研究员 Liv Matan 在报告中提到,“攻击者可利用这些SSRF 漏洞发送源自该服务 CORS Pr...
gitee 奇安信代码卫士使用
SHELLCODE_8BIT的博客
03-01 3916
使用的是个人版,新建分析,支持选择分支,支持扫描的语言:php、java/jsp、python、c/c++,java 版本最高支持 1.8,点击提交。注册 gitee 账号后,push 一个项目,或者 fork 一个别人的项目,这里 fork 了一个 java-sec-code 靶场。下面有详细的污点数据跟踪、漏洞描述信息、修复建议。在项目的 服务 项下,选择奇安信代码卫士。点击漏洞点,显示源码,sink 点高亮。点击任务名,跳转到风险内容页面。详细的修复建议和示例。
FireEye 红队失窃工具揭秘之:分析复现SolarWinds RCE 0day (CVE-2020-10148)
smellycat000的专栏
12-31 1102
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
FireEye 红队失窃工具揭秘之:分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)
smellycat000的专栏
12-11 485
聚焦源代码安全,网罗国内外最新资讯!前言最近,全球领先的网络安全公司 FireEye 疑遭某 APT 组织的攻击,其大量政府客户信息遭越权访问,且红队工具被盗。虽然目前尚不清楚这些红队...
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9186
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
从EDR到XDR,构建主动防御体系.pdf
02-01
首先,我们明确了EDR的概念,它是一种专注于监控终端系统的实时活动,如用户操作、文件操作、进程管理、注册表变化以及网络流量,这些信息通常存储在本地端点或集中式数据库中。其主要目标是通过分析预定义的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值