检测遏制CVE-2023-2928漏洞利用活动

使用SHC-Update漏洞数据订阅分析工具，提取CVE-2023-2928漏洞公开信息，关注漏洞重要参数有漏洞详情、影响版本等，由于我搭建的是测试环境真实客户环境也可以结合漏洞公开的时间进行威胁狩猎。

快速分析一下这个漏洞产品名称是DedeCMS，DedeCMS是一个商业的网站管理系统，在DedeCMS 5.7.106版本中存在漏洞，漏洞利用条件是前提需要知道管理员账号密码通过/uploads/dede/article_allowurl_edit.php文件上传php恶意代码，使用/uploads/dede/file_manage_control.php文件进行文件包含并使用webshell管理软件进行命令执行。

漏洞创建时间:2023-05-27 8:30:33漏洞披露时间:2023-05-27 10:15:09漏洞修改时间:2023-10-08 12:27:05

安装部署复杂之眼EDR，并搭建好关于DedeCMS 5.7.106环境。

访问/uploads/dede/article_allowurl_edit.php 并保存冰蝎php一句话

向/uploads/dede/file_manage_control.php文件可控参数发送文件包含代码创建1.php文件包含指向保存的php一句话路径。

访问http://192.168.0.103/uploads/1.php冰蝎木马路径并执行命令。

复杂之眼EDR触发了告警，通过威胁分析图可以看到执行的命令。

使用事件猎手进行提取分析IOA攻击指标，这个是搭建的模拟环境，没有开启主动防御，真实环境威胁行为者执行不了命令。

原文始发于微信公众号（我的安全梦）：检测遏制CVE-2023-2928漏洞利用活动