Web漏洞应急篇
恶意 Cookie rememberMe值构造
前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 -> 发送cookie
Apache Shiro处理cookie的流程
得到rememberMe的cookie值 -> Base64解码 -> AES-128-CBC解密-> 反序列化(readobject)
应急流程
rememberMe管理器代码中写到cookie加密密钥默认为AES算法,可以将黑客常用的攻击密钥做一个keylist进行解密,直接在解密内容里查看payload。
https://github.com/Wh0ale/SHIRO_Rememberme_decode
如CVE-2020-2551(iiop)漏洞主要是通过 JtaTransactionManager 来进行加载 LDAP 协议的内容
Weblogic日志主要分为:Server日志、HTTP日志和DOMAIN日志;
1、Server日志
主要功能:记录Weblogic Server启动至关闭过程中的运行信息和错误信息。
日志结构:时间戳、严重程度、子系统、计算机名、服务器名、线程 ID、用户 ID、事务 ID、诊断上下文 ID、原始时间值、消息 ID 和消息文本。
主要功能:记录一个DOMAIN下的各个Weblogic Server的启动至关闭过程中的运行信息和错误信息。
日志结构:
iiop协议不会在http请求中有记录,应急主要注意domain日志的记录
应急流程:
临时处置方式:
1.及时更新补丁
2.禁用T3协议
3.禁止T3端口对外开放, 或者限制可访问T3端口的IP来源
漏洞列表:
CVE-2017-3248
CVE-2018-2628
CVE-2018-2893
CVE-2019-2890
CVE-2020-2555
临时处置:
1.及时更新补丁
2.通过 Weblogic 控制台进行关闭 IIOP 协议
漏洞列表:
CVE-2020-2551
2.写ssh密钥
3.写计划任务反弹shell
https://mp.weixin.qq.com/s/9fNVZy4k07bcIWGp5aSz5A
应急流程:
config get *
对于未授权漏洞,增加密码认证
find / -name *.jsp | xargs grep "pass" (pass为特征值,可以修改。如果返回内容过多可自行修改特征)
https://mp.weixin.qq.com/s/DRbGeVOcJ8m9xo7Gin45kQ
1.根据漏洞来定,如果是程序漏洞修复即可
2.上传漏洞,禁止上传动态脚本文件,采用白名单机制仅允许特定后缀上传
使用pc hunter对文件签名进行校验,发现存在未签名文件(红色),重点对该文件进行分析
颜色:
1.驱动检测到的可疑对象,隐藏服务,进程,被挂钩函数的文件或进程>红色。
2.文件厂商是微软的>黑色。
3.文件厂商非微软的>蓝色。
4.校验所有数字签名后,对没有签名的模块或签名已过期或吊销的>玫红色。
5.查看下挂模块时,微软进程被下挂其他公司模块的>黄棕色。
微步在线:https://x.threatbook.cn/
奇安信:https://ti.qianxin.com/
360:https://ti.360.cn/
命令:tasklist | findstr pid (网络连接最后一行数字)
ls -al /proc/PID (根据查到pid进程输入)
如 ls -al /proc/791
exe -> 指向启动当前进程的可执行文件(完整路径)的符号链接
详细分析:
https://www.cnblogs.com/liushui-sky/p/9354536.html
应急处置措施:
分析攻击手段,首先判断该主机为什么系统,上面跑了什么业务。根据业务去判断,可能存在漏洞,调取相应日志进行取证。如果上面没有业务,也没开放高危端口,可查看是否为弱口令登录,查看登录日志。
last为登录成功日志
stat 查看日志创建时间
strace -p pid #调试进程
history 或 cat ~/.bash_history 查看历史命令,查找痕迹
1.对于存在漏洞的cms采取相应的修复方案
2.对于不知道攻击源的登录方式,可直接修改密码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论