2021HW平安夜 | 04/13-抛砖引玉

  • A+
所属分类:安全新闻

“满当当的昨天,
富意义的今天~”

今日主题:01 HW日记、02 攻防技巧



01 HW日记

今天的告警依旧、应急依旧、溯源依旧、钓鱼依旧、段子依旧

邮件钓鱼、恶意程序钓鱼、人身攻击钓鱼。。。总之,故事总是不断产生

我如同韩毅,静静地坐在故事中间,看着故事讲完


hw第四天了,似乎比前几天更忙了,战术又升级了


天亮后又是全新的一天,新的周一

攻防的常态化,钓鱼和0day成了攻击方的攻击武器,溯源反制成了防守方的目标

我们总是猝不及防中提升着技术,自我怀疑、自我抛弃、自我安慰、自我成长




如同去年一样,不断有人跟我打听,你认识这个人么,这个人在哪家公司啊,最朴实无华的溯源方式

这个世界很小,这个圈子很小

小到我们总是无意中相遇

现实中见到你,网络中也见到你


其实没有真正的对手,无论现实和网络我们都是朋友,立场不同并不代表势不两立,真正的朋友是可以直面对抗的


攻击者通过被溯源你学到了什么:

  1. 不要带着自己的指纹id随意访问网站

  2. 网络id不要使用自己的名字

  3. 不要始终如一的使用一个网路id,购物网站、技术博客等id最好不要一样

  4. 要低调,知名度高固然是好事,但是要知道自己从事的什么职业

  5. 隐藏好自己,现实中你是你,网络中你是所有人


热度较高攻击事件回顾

利用漏洞信息散播钓鱼文件(目前该公众号已被注销)


“我的”女儿是我爸爸与我前妻的办公室主任生的(目前该攻击队已被处罚)


“生活不会因为进入了黑夜而停止 凌晨一点也有灯光闪闪发亮 意思是你不动 生活会推着你走 每个人都很累 但每个人都在自己的世界里好好努力 无论你当前在坚持什么 请别轻易放弃”

送给每一个还在苦苦坚持的网安人儿~愿今年hw,各位收获满满~


以下hw日记来源于网络:





2021年4月11日 天气阴晴

红队依然在钓鱼,不停的钓啊钓啊。我依然在摸鱼,不停的摸啊摸啊。仿佛一瞬间全世界的都在抓鱼。这时候尼古拉斯大师兄神秘兮兮的跑过来,看着他淫荡笑容。我说咋了,麻豆又出新作品了,大西轰摇了摇头头,伸出来短粗的中指 我说一本道出了新作品,大西轰又摇了摇头,叹气到,世风日下,道德沦丧,人心不古。原来大湿兄再说昨天无良钓鱼的瓜,真真假假,假假真真,已经成了罗生门。我说大西虹别想了,人要多读书才能分辨是非,走咱们去书店。然后就见大喜宏的手犹如加藤鹰般的手把图书馆给。






今日情报:


以下信息来源于网络搜集整理:

4月8日,最新传出WPS-0day利用方式,通过点击触发WPS内置浏览器RCE4月8日,有消息传出天擎存在越权访问漏洞,poc已流出4月8日,致远OA-ajax.do存在任意文件上传漏洞,poc已流出4月8日,有消息传出齐治堡垒机存在命令执行漏洞,poc疑似已流出4月8日,网传深信服EDR存在命令执行漏洞,poc疑似已流出4月8日,网传深信服VPN存在无条件RCE漏洞,poc疑似已流出4月8日,网传jackson存在反序列化漏洞,poc疑似已流出4月8日,网传tomcat存在反序列化命令执行漏洞,poc疑似已流出4月8日,网传泛微OA9前台存在任意文件上传漏洞,poc已流出4月8日,网传泛微OA8前台存在SQL注入,poc已流出4月8日,网传CoreMai存在命令执行漏洞, poc疑似已流出4月8日,网传用友NC6.5版本存在反序列化命令执行漏洞,poc疑似已流出4月8日,网传dubbo存在反序列化命令执行漏洞,poc疑似已流出4月8日,网传weblogic存在反序列化命令执行漏洞,poc疑似已流出4月8日,网曝天擎前台存在sq|注入,poc已流出4月8日,网传和信创天云桌面系统全版本存在命令执行,文件上传,poc已流出4月8日,网传红帆0A任意文件写入漏洞,poc疑似已流出4月8日,网传exchange、 致远、shiro 存在0day漏洞,利用方式疑似已流出4月8日,网传金蝶K3Cloud全版本存在命令执行,poc疑似已流出4月8日,网传用友U8Cloud版本存在命令执行,poc疑似已流出4月8日,网传h3c计算管理平台2016年版存在任意账户添加,poc疑似已流出4月8日,网传启明星辰天清汉马USG防火墙存在逻辑缺陷,poc疑似已流出4月8日,网曝帆软V9存在getshell, poc已流出4月8日,有消息传出天眼存在0day漏洞,poc已流出4月8日,网传默安蜜罐管理平台存在未授权访问漏洞,poc已流出4月8日,网曝Jellyfin低于10.7.1版本存在任意文件读取漏洞,poc已公开
4月9日,某某信dlp-未授权+越权4月9日,DzzOffice最新版RCE(随机数问题)4月9日,某某凌 OA 任意写入漏洞4月9日,某某凌 OA某处远程代码执行漏洞4月9日,某某道项目管理软件11.6 SQL注入漏洞4月9日,某某远 OA远程代码执行漏洞4月9日,某某友 NC 反序列化 RCE 漏洞4月9日,某某潮 ClusterEngineV4.0 任意命令执行4月9日,某某邮电子邮件系统存在远程命令执行漏洞

冰蝎已更新 (支持内存马)

官方地址:

https://github.com/rebeyond/Behinder/releases/tag/Behinder_v3.0_Beta_7
4月10日,某某远OA系统任意文件上传漏洞4月10日,某某潮云 ClusterEngineV4.0 任意命令执行4月10日,某某邮eYou命令执行漏洞4月10日,某某达OA 11.9 SQL注入漏洞4月10日,某某潮云 ClusterEngineV4.0 登录处任意命令执行4月10日,某某潮云ClusterEngineV4.0 alarmConfig接口任意命令执行4月10日,某某潮云ClusterEngineV4.0任意用户名密码登陆4月10日,某某治堡垒机任意用户登陆漏洞4月10日,某某山终端安全系统 V8/V9存在文件上传漏洞4月10日,某某安信NS-NGFW ⽹康防⽕墙 前台RCE 4月10日,某某尚在线客服系统任意文件上传4月10日,某某友NC 6.5反序列化漏洞命令执行4月10日,某某微OA8的e-mobile SQL注入



02 攻防技巧


  1. 如果需要排查的IP很多,那么就先用goby这种资产扫描器扫一遍,看看是否有开放的端口或者服务,通过这些服务的弱口令或者漏洞可以轻松拿下。

  2. 红队人员在攻击的时候,千万不要带有任何自己真实使用的ID,IP和命名规则,否则很容易被查出来。

  3. Linux平台下的shell,如果没有反弹过来,不是交互式的命令执行,useradd -p "123456" toor -o -u 0 -g root 这个可以一句话添加root权限的用户,用户名为toor,密码为123456

  4. cobalt strike 的teamserver 不要使用默认50050端口!

  5. 大多数情况还是Linux,所以https://github.com/gloxec/CrossC2,可以生成Linux下的CS木马程序。

  6. CVE-2017-7504 JBOSS 反序列化工具

  7. 上传大马之后,如果echo和cat无法写入公钥,可以先wget 文件 然后移动到公钥目录即可。

  8. 溯源的IP可以在zoomeye和fofa,还有谷歌搜索引擎上搜索这个IP,一定程度上会有收获。

  9. FRP 这个工具作为内网映射真的不错,有时候我们需要在一台外网的服务器进行攻击,而一般外网的服务器,性能不好,可以把本地的cobaltstrike 的服务端或者msf的服务映射到公网IP上,就可以进行攻击。

  10. 如果溯源拿到手机号,可以把手机号放到通讯录,然后通过社交平台的发现好友,能直接查到这个手机号的真人信息。


hw系列文章
2021HW平安夜日记 | 04/05-如期而至
2021HW平安夜 | 04/09-初露锋芒
2021HW平安夜 | 04/10-全民皆兵
2021HW平安夜 | 04/11-势如破竹


本文始发于微信公众号(LemonSec):2021HW平安夜 | 04/13-抛砖引玉

发表评论