本文分享了如何构建和利用开源工具捕获0day漏洞,包括通过网络告警和系统告警进行入侵检测,利用docker环境、falco和packetbeat监控payload,以及在实战中复现tomcat弱口令攻击,展示捕获过程。
渗透干货又来了,雨笋教育又给大家整理的漏洞复现分析的案例
整个过程仅讲思路的实现,因笔者日常工作并不相关,从构思到实现,前前后后大概花了两个月时间,未对数据进行整理,也未列出具体的步骤,仅供研究与参考,思路如有雷同,那真是太好了
0x01 概念
根据维基百科的解释,在电脑领域中,零日漏洞或零时差漏洞(英语:zero-day vulnerability、0-day vulnerability)通常是指还没有补丁的安全漏洞,而零日攻击或零时差攻击(英语:zero-day exploit、zero-day attack)则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是黑客的最爱,掌握多少零日漏洞也成为评价黑客技术水平的一个重要参数。
0x02 构思
目前大多数漏洞都是以Web为主,那么在HTTP中都是流量都是可见的,那么可以进行流量的入侵检测,入侵检测主要分为两个途径,第一个是网络告警,就是在内外网通信中查找攻击者入侵迹象,第二个是系统告警,就是在系统上查找攻击者存在的迹象,我们从网络层面和系统层面实现捕获0day。
一般攻击路径都是通过互联网进行,那么我们利用属于DMZ区的一台服务器上搭建一个docker漏洞环境,然后通过falco进行CONTAINER内执行命令的监控,在互联网侧通过packetbeat进行HTTP的p
最低0.47元/天 解锁文章
302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
