“满当当的昨天,
富意义的今天~”
今日主题:01 HW日记、02 攻防技巧
01 HW日记
今天的告警依旧、应急依旧、溯源依旧、钓鱼依旧、段子依旧
邮件钓鱼、恶意程序钓鱼、人身攻击钓鱼。。。总之,故事总是不断产生
我如同韩毅,静静地坐在故事中间,看着故事讲完
hw第四天了,似乎比前几天更忙了,战术又升级了
天亮后又是全新的一天,新的周一
攻防的常态化,钓鱼和0day成了攻击方的攻击武器,溯源反制成了防守方的目标
我们总是猝不及防中提升着技术,自我怀疑、自我抛弃、自我安慰、自我成长
如同去年一样,不断有人跟我打听,你认识这个人么,这个人在哪家公司啊,最朴实无华的溯源方式
这个世界很小,这个圈子很小
小到我们总是无意中相遇
现实中见到你,网络中也见到你
其实没有真正的对手,无论现实和网络我们都是朋友,立场不同并不代表势不两立,真正的朋友是可以直面对抗的
攻击者通过被溯源你学到了什么:
-
不要带着自己的指纹id随意访问网站
-
网络id不要使用自己的名字
-
不要始终如一的使用一个网路id,购物网站、技术博客等id最好不要一样
-
要低调,知名度高固然是好事,但是要知道自己从事的什么职业
![2021HW平安夜 | 04/13-抛砖引玉]( "2021HW平安夜 | 04/13-抛砖引玉")
-
隐藏好自己,现实中你是你,网络中你是所有人
![2021HW平安夜 | 04/13-抛砖引玉]( "2021HW平安夜 | 04/13-抛砖引玉")
“生活不会因为进入了黑夜而停止 凌晨一点也有灯光闪闪发亮 意思是你不动 生活会推着你走 每个人都很累 但每个人都在自己的世界里好好努力 无论你当前在坚持什么 请别轻易放弃”
送给每一个还在苦苦坚持的网安人儿~愿今年hw,各位收获满满~
以下hw日记来源于网络:
2021年4月11日 天气阴晴
红队依然在钓鱼,不停的钓啊钓啊。我依然在摸鱼,不停的摸啊摸啊。仿佛一瞬间全世界的都在抓鱼。这时候尼古拉斯大师兄神秘兮兮的跑过来,看着他淫荡笑容。我说咋了,麻豆又出新作品了,大西轰摇了摇头头,伸出来短粗的中指 我说一本道出了新作品,大西轰又摇了摇头,叹气到,世风日下,道德沦丧,人心不古。原来大湿兄再说昨天无良钓鱼的瓜,真真假假,假假真真,已经成了罗生门。我说大西虹别想了,人要多读书才能分辨是非,走咱们去书店。然后就见大喜宏的手犹如加藤鹰般的手把图书馆给。
今日情报:
以下信息来源于网络搜集整理:
4月8日,最新传出WPS-0day利用方式,通过点击触发WPS内置浏览器RCE4月8日,有消息传出天擎存在越权访问漏洞,poc已流出4月8日,致远OA-ajax.do存在任意文件上传漏洞,poc已流出4月8日,有消息传出齐治堡垒机存在命令执行漏洞,poc疑似已流出4月8日,网传深信服EDR存在命令执行漏洞,poc疑似已流出4月8日,网传深信服VPN存在无条件RCE漏洞,poc疑似已流出4月8日,网传jackson存在反序列化漏洞,poc疑似已流出4月8日,网传tomcat存在反序列化命令执行漏洞,poc疑似已流出4月8日,网传泛微OA9前台存在任意文件上传漏洞,poc已流出4月8日,网传泛微OA8前台存在SQL注入,poc已流出4月8日,网传CoreMai存在命令执行漏洞, poc疑似已流出4月8日,网传用友NC6.5版本存在反序列化命令执行漏洞,poc疑似已流出4月8日,网传dubbo存在反序列化命令执行漏洞,poc疑似已流出4月8日,网传weblogic存在反序列化命令执行漏洞,poc疑似已流出4月8日,网曝天擎前台存在sq|注入,poc已流出4月8日,网传和信创天云桌面系统全版本存在命令执行,文件上传,poc已流出4月8日,网传红帆0A任意文件写入漏洞,poc疑似已流出4月8日,网传exchange、 致远、shiro 存在0day漏洞,利用方式疑似已流出4月8日,网传金蝶K3Cloud全版本存在命令执行,poc疑似已流出4月8日,网传用友U8Cloud版本存在命令执行,poc疑似已流出4月8日,网传h3c计算管理平台2016年版存在任意账户添加,poc疑似已流出4月8日,网传启明星辰天清汉马USG防火墙存在逻辑缺陷,poc疑似已流出4月8日,网曝帆软V9存在getshell, poc已流出4月8日,有消息传出天眼存在0day漏洞,poc已流出4月8日,网传默安蜜罐管理平台存在未授权访问漏洞,poc已流出4月8日,网曝Jellyfin低于10.7.1版本存在任意文件读取漏洞,poc已公开
4月9日,某某信dlp-未授权+越权4月9日,DzzOffice最新版RCE(随机数问题)4月9日,某某凌 OA 任意写入漏洞4月9日,某某凌 OA某处远程代码执行漏洞4月9日,某某道项目管理软件11.6 SQL注入漏洞4月9日,某某远 OA远程代码执行漏洞4月9日,某某友 NC 反序列化 RCE 漏洞4月9日,某某潮 ClusterEngineV4.0 任意命令执行4月9日,某某邮电子邮件系统存在远程命令执行漏洞
冰蝎已更新 (支持内存马)
官方地址:
https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_74月10日,某某远OA系统任意文件上传漏洞4月10日,某某潮云 ClusterEngineV4.0 任意命令执行4月10日,某某邮eYou命令执行漏洞4月10日,某某达OA 11.9 SQL注入漏洞4月10日,某某潮云 ClusterEngineV4.0 登录处任意命令执行4月10日,某某潮云ClusterEngineV4.0 alarmConfig接口任意命令执行4月10日,某某潮云ClusterEngineV4.0任意用户名密码登陆4月10日,某某治堡垒机任意用户登陆漏洞4月10日,某某山终端安全系统 V8/V9存在文件上传漏洞4月10日,某某安信NS-NGFW ⽹康防⽕墙 前台RCE4月10日,某某尚在线客服系统任意文件上传4月10日,某某友NC 6.5反序列化漏洞命令执行4月10日,某某微OA8的e-mobile SQL注入
02 攻防技巧
-
如果需要排查的IP很多,那么就先用goby这种资产扫描器扫一遍,看看是否有开放的端口或者服务,通过这些服务的弱口令或者漏洞可以轻松拿下。
-
红队人员在攻击的时候,千万不要带有任何自己真实使用的ID,IP和命名规则,否则很容易被查出来。
-
Linux平台下的shell,如果没有反弹过来,不是交互式的命令执行,
useradd -p "123456" toor -o -u 0 -g root这个可以一句话添加root权限的用户,用户名为toor,密码为123456 -
cobalt strike 的teamserver 不要使用默认50050端口!
-
大多数情况还是Linux,所以https://github.com/gloxec/CrossC2,可以生成Linux下的CS木马程序。
-
CVE-2017-7504 JBOSS 反序列化工具
-
上传大马之后,如果echo和cat无法写入公钥,可以先wget 文件 然后移动到公钥目录即可。
-
溯源的IP可以在zoomeye和fofa,还有谷歌搜索引擎上搜索这个IP,一定程度上会有收获。
-
FRP 这个工具作为内网映射真的不错,有时候我们需要在一台外网的服务器进行攻击,而一般外网的服务器,性能不好,可以把本地的cobaltstrike 的服务端或者msf的服务映射到公网IP上,就可以进行攻击。
-
如果溯源拿到手机号,可以把手机号放到通讯录,然后通过社交平台的发现好友,能直接查到这个手机号的真人信息。
本文始发于微信公众号(LemonSec):2021HW平安夜 | 04/13-抛砖引玉
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论