文章来源:漏洞复现
①应急思路:首先通过安全设备拦截攻击包体和日志分析,了解攻击者具体进行了什么样的攻击,通过黑白结合模拟方法进一步判断攻击者的攻击方式。复现之后对漏洞进行修复,对攻击者进行溯源。
②溯源思路:首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断,获取姓名电话等丢社工库看看能不能找到更多信息然后收工
③干过什么项目:接过一些项目,可以利用水泽进行目标资产进行信息收集,或者灯塔,做好信息收集可以判断框架是否存在shiro反序列化、struct命令执行打点,框架不行挨个功能点测试,然后就几种,弱口令,进入后台,模板注入,上传漏洞,拿到shell权限,我觉得比较有意思的就是这次我遇到的机子,正常的烂土豆无法提权。最后发现他存在3306的mysql服务,并且网站源码中找到了密码并且是root权限,接着就利用mysql的udf提权,就直接上传sqlmap自带的那个udf文件,利用16进制传输,最后提权,执行免杀马上线Cs,获取当前服务器的账号和密码,利用hash传递横向。发现是大网段,对内网的ip段进行扫码看看web站点,再次信息收集,对ssh,mysql,sqlserver,3389,横向移动基本能拿取大量机器。域控就利用抓取的域控登陆的账号和密码,最后金银票据,拿到域控。内网的话 我觉得就是弱口令爆破,获取密码后提权等
④设备:中睿的睿眼,他会自动匹配可能是攻击的数据包,然后通过数据包判断是否是攻击
⑤内存马如何排查:如果发现了一些内存webshell的痕迹,需要有一个排查的思路来进行跟踪和分析,也是根据各类型的原理,列出一个排查思路——1、如果是jsp注入,日志中排查可以jsp的访问请求。2、如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方法。3、根据业务使用的组件排查可能存在的java代码执行漏洞,spring的controller了类型的话根据上报webshell的url查找日志,filter或者listener类型,可能会有较多的404但是带有参数的请求。
⑥蜜罐钓鱼:通常部署一个中间件页面或者后台页面,一旦被攻击就会获取到攻击者的部分信息(具体看厂家部署的蜜罐什么功能 如:奇安信的蜜罐可以捕获到攻击者微信昵称,微信账号等需要攻击者在页面进行点击和操作)
⑦如何分析报文:根据数据包利用平台或者wireshark分析攻击payload是哪种攻击 攻击的路径或者接口在哪
⑧进程排查思路(火绒剑都可查看到)
信息收集
漏洞扫描
漏洞利用
权限提升
日志清理
总结报告以及修复方案
查找行已曝光的漏洞。
如果开源,还能下载相对应的源码进行审计
IIS、Apache、nginx、Lighttpd、Tomcat
IIS 6.0—— /xx.asp/xx.jpg
IIS 7.0—— 默认Fast-cgi开启,直接在图片地址后面输入/.php就会将图片当做php解析
Nginx——版本小于0.8.37 利用方法和IIS7.0一样
Apache—— 上传文件名为test.php.x1.x2.x3, Apache是从右往左判断
Lighttpd—— XX.jpg/xx.php
linux大小写敏感,windows大小写不敏感
不是,是根据特征码
后台登陆处加一段记录登陆账号密码的js,并判断是否登陆成功,就把账号和密码记录到一个生僻的路径文件中或者直接发到自己的网站中
IIS
PUT漏洞、短文件名猜解、远程代码执行、解析漏洞
Apache
解析漏洞、目录遍历
Nginx
文件解析、目录遍历、CRLF注入、目录穿越
Tomcat
远程代码执行、war后门文件部署
JBoss
反序列化漏洞、war后门文件部署
WebLogic
反序列化漏洞SSRF任意文件上传war后门文件部署
Apache Shiro反序列化漏洞
Shiro rememberMe(Shiro-550) Shiro Padding Oracle Attack(Shiro-721)
SQL注入
失效的身份认证
敏感数据泄露
XML外部实体(XXE)
失效的访问控制
安全配置错误
跨站脚本(XSS)
不安全的反序列化
使用含有已知漏洞的组件
不足的日志记录和监控
TCP面向连接,UDP面向报文,tcp保证完整性和顺序,udp不保证
ip.src==1.1.1.1
; 过滤目的ip地址: ip.dst==1.1.1.1
tcp.port==80
,源端口:tcp.srcport=80
,目的端口:tcp.dsttport==80
本文作者:潇湘信安
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/171854.html