攻防演练:值守部分关注点

admin 2021年6月1日23:06:00攻防演练:值守部分关注点已关闭评论38 views字数 4801阅读16分0秒阅读模式

漏洞类组件

01 Web 服务

组件 Tomcat

漏洞说明1

CVE-2020-1938(需要公网开放 AJP 端口,且上传点在 Webapps 目录下 )

特征:关注文件上传

漏洞说明2

Tomcat Console 弱口令

特征:关注账号登录

组件 Weblogic

漏洞说明1

Xmldecoder 反序列化(通过 HTTP 方式触发)

特征:关注反序列化Gadgets

漏洞说明2

T3 反序列化(一般在内网比较好用,主要几个要点:

1、若打过一次weblogic 补丁之后CommonsCollections Gadget 无法使用,因此在

10.3.6 版本上最好使用 7u21 否则无解。

2、12C 的 weblogic 可以使用 Coherence 的Gadget,比较稳妥)

特征:关注反序列化Gadgets

漏洞说明3

Weblogic console 弱口令

特征:关注账号登录

组件 WebSphere

漏洞说明1

CVE-2020-4450,IIOP 反序列化

特征:关注反序列化Gadgets

漏洞说明2

admin console 弱口令

特征:关注账号登录

组件 JBOSS

漏洞说明1

CVE-2017-12149

特征:关注反序列化Gadgets

漏洞说明2

Jboss console 弱口令

特征:关注账号登录

02 框架组件

组件 Spirng FrameWork

漏洞说明

反序列化漏洞

特征:关注反序列化Gadgets

组件 Shiro

漏洞说明

反序列化漏洞

特征:关注反序列化Gadgets

组件 CAS

漏洞说明

反序列化漏洞、任意文件读取

特征:关注反序列化Gadgets

组件 Fastjson

漏洞说明

反序列化漏洞

特征:关注反序列化Gadgets

03 OA 系统

组件 泛微组件

漏洞说明1

E-cology

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明2

E-mobile

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明3

E-bridge

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明4

E-office

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明5

E-message(登陆后能够上传 jar、可导致代码执行)

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

组件 致远 OA

漏洞说明1

A8

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明2

A6

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

组件 通达 OA

漏洞说明

信息泄露、RCE、未公开 0day

特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞

04 邮件系统

组件 coremail

漏洞说明

信息泄露、任意文件读取、RCE、未公开 0day

特征:关注异常代码执行、文件上传功能等异常请求

组件 亿邮

漏洞说明

信息泄露、RCE、未公开 0day

特征:关注异常代码执行、文件上传功能等异常请求

05 ERP 系统

组件 金蝶

漏洞说明

信息泄露、RCE、未公开 0day

特征:关注异常代码执行、文件上传功能等异常请求

组件 用友

漏洞说明

关注异常反序列化数据流、或者 base64 之后反序列化数据流

特征:关注异常代码执行、文件上传功能等异常请求

组件 禅道

漏洞说明

命令执行、代码执行、文件上传

特征:关注异常代码执行、文件上传功能等异常请求

06 站群门户

组件 PHPCMS

漏洞说明

命令执行、代码执行、文件上传

特征:关注异常代码执行、文件上传功能等异常请求

组件 大汉

漏洞说明

命令执行、代码执行、文件上传

特征:关注异常代码执行、文件上传功能等异常请求

Webshell 类

01 菜刀(Chopper)

平台版本 20141018

后门说明

默认一句话、6K、149K,包括 PHP、ASP.NET、ASPX、JSP 等环境版本,一般会做免杀处理,会结合代理使用

特征:关注协议特征+ 日志

02 冰蝎(Behinder)

平台版本 v3.0

后门说明

默认后门较小,1K,包括 PHP、ASP、ASP.NET JSP 等环境版本,一般会做免杀处理,会结合代理使用

特征:关注协议特征+日志

03 reGeorg

平台版本 v1.0

后门说明

默认 5K、6K,包括 PHP、ASP.NET、JSP 等环境版本,一般会做免杀处理,主要用于代理配合使用

特征:关注协议特征+ 日志

04 reDuh

平台版本 v.0.3

后门说明

默认 12K 到 30K 左右,包括 PHP、ASP.NET、JSP 等环境版本,一般会做免杀处理,主要用于代理 配合使用

特征:关注协议特征+ 日志

05 Tunna

平台版本 v1.1

后门说明

默认 7K 到 9K 左右,包括 PHP、ASP.NET、JSP 等环境版本,一般会做免杀处理,主要用于代理配合使用

特征:关注协议特征+ 日志

06 ABPTTS

平台版本 2016

后门说明

默认 20K 到 30K 左右,包括 ASP.NET、JSP/WAR 等环境版本(无 PHP),一般会做免杀处理,主要用于代理配合使用

特征:关注协议特征+ 日志

扫描刺探类

01 系统服务扫描

扫描方式 服务端口

刺探说明

通过 nmap、masscan 等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等

特征:关注协议特征+ 频率

02 Web 漏洞扫描

扫描方式 Web 服务端口

刺探说明

通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等,扫描器特征一般有 Acunetix WVS、Netsparker 等

特征:关注协议特征+ 频率

03 系统扫描(内网)

扫描方式 服务端口、版本

刺探说明

通过 nmap、masscan、metasploit 脚本、ICMP SMB 单协议扫描脚本等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等

特征:关注协议特征+ 样本+频率

04 Web 扫描(内网)

扫描方式 Web 服务端口

刺探说明

通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等,一般通过专用漏洞扫描工具进行

特征:关注协议特征+ 样本+频率

05 弱口令扫描

扫描方式 服务端口

刺探说明

通过字典对系统管理端口和协议、数据库端口、Web 服务管理端口等进行弱口令扫描,比如SSH、RDP、SMB、MySQL、SQLServer、Oracle FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL IMAP、IMAP_SSL、SVN、VNC、Redis 等服务的弱口令

特征:关注协议特征+ 样本+频率

0day 漏洞类

01 溢出类

平台版本 Windows SMB

漏洞说明

主要为操作系统的漏洞,内网利用为主,比如MS17-010 漏洞,直接获取存在漏洞的系统管理权限

特征:关注协议特征+ 样本+日志

02 反序列化

平台版本 Web 服务、中间件

漏洞说明

通主要为 Web 服务比如:Weblogic、WebSphere 等,中间件和组件:比如 Spirng FrameWork、Shiro、CAS、Fastjson 等

特征:关注协议特征+ 样本+日志

03 代码执行

平台版本 应用组件

漏洞说明

主要为 Web 应用组件比如:禅道、PHPCMS、大汉、通达 OA、coremail、亿邮等 Web 站点应用

特征:关注协议特征+ 样本+日志

04 信息泄露

平台版本 应用组件

漏洞说明

主要为 SQL 注入漏洞、路径遍历等泄露敏感配置文件等,比如泛微组件、致远 OA、通达 OA、coremail、亿邮等

特征:关注协议特征+ 样本+日志

05 漏洞获取

平台版本 Web 管理后台

漏洞说明

通过存储型 XSS 漏洞诱骗管理权限用户点击,获取管理权限用户的Cookie,从而获得关联的后台管理权限

特征:关注特权用户动态+样本+日志

06 客户端

平台版本 浏览器、APP

漏洞说明

通过浏览器进程会话、APP 应用克隆获取当前会话权限,并通过会话权限获取关联用户凭据

特征:关注特权用户动态+样本+日志

管理系统类

01 运维审计系统

平台版本 堡垒机

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后,批量操作堡垒机管理的主机,比如获 得 JumpServer 堡垒机系统权限后,可以直接管理堡垒机上主机

特征:关注用户登录动态+行为+日志

02 运维监控系统

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后,批量操作监控系统上主机,比如获得Nagios、Zabbix 等运维监控系统权限后,可以直接下发命令到主机

特征:关注用户登录动态+行为+日志

03 云管理平台

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后,批量操作云上虚拟主机,比如获得Citrix、VMware ESXi、Azure、阿里云等管理后台权限后,可以直接下发命令到虚拟主机

特征:关注用户登录动态+行为+日志

04 容器管理平台

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后,批量操作容器和微服务,比如获得Swarm、Kubernetes、Mesos 等容器管理平台系统权限后,可以直接操作容器

特征:关注用户登录动态+行为+日志

05 安全管理平台

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后,可以操作安全防护策略,比如获得态 势感知平台、EDR 等管理平台系统权限后,可以修改安全策略使其防护失效

特征:关注用户登录动态+行为+日志

社工类样本

01 交互式

实施方式 反馈获取

样本说明

通过邮件、电话冒充合作伙伴或内部管理人员直 接询问已获取到的名单人员的敏感信息,不投送后门程序

特征:关注行为特征+ 样本

02 仅信息

实施方式 点击链接

样本说明

通过邮件诱骗已获取到的名单人员点击 URL 链接,不投送后门程序,只获取浏览器、IP 等基本信息

特征:关注行为特征+ 样本

03 后门投放

实施方式 点击运行

样本说明

通过邮件诱骗已获取到的名单人员点击附件运行(看起来像图片或 Office 文档,实际为 exe、vbs、js 等多重扩展名),投送后门程序,一般会做免杀处理

特征:关注行为特征+ 样本

04 漏洞投放

实施方式 点击运行

样本说明

通过邮件诱骗已获取到的名单人员点击包含漏洞的附件文档(Office、PDF 等),触发漏洞后下载后门程序,后门一般会做免杀处理

特征:关注行为特征+ 样本

05 广撒网式

实施方式 主动运行

样本说明

通过微博、微信公众号等发布热点相关咨询文章,诱骗下载执行后门程序,后门一般会做免杀 处理,不会立即触发远控功能,先潜伏静默然后 加入任务计划执行

特征:关注行为特征+ 样本

后门类工具

01 Metasploit

平台版本 4.17 Pro

后门说明

默认生成的 PE 后门小于 10K,一般会做免杀处理,通常内网使用 TCP 协议,到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹

特征:关注协议特征+ 频率

02 Cobalt Strike

平台版本 4.1 Licensed

后门说明

默认生成的 PE 后门小于 20K,一般会做免杀处理,通常内网使用 SMB 协议,到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹

特征:关注协议特征+ 频率

03 Core Impact

平台版本 19.1 Pro

后门说明

默认生成的 PE 后门较大,大于 200K,一般会做免杀处理,通常内网使用 TCP 协议,到外网使用HTTP/HTTPS、DNS 等协议反弹

特征:关注协议特征+ 频率

04 DanderSpritz

平台版本 1.3.0.0

后门说明

默认生成的 PE 后门较大,70~150K,模块化, 一般会做免杀处理,通常内网使用 TCP 协议,到外网使用 HTTP/HTTPS、UDP 等协议反弹

特征:关注协议特征+ 频率

05 lcx(HTran)

平台版本 v1.0

后门说明

默认生成的 PE 后门 50K 左右,一般会做免杀处理,用来协议 Socks 代理

特征:关注协议特征+ 频率

06 ew(EarthWorm)

平台版本 free 1.0

后门说明

默认生成的 PE 后门 50K 左右,,mac、linux 版本30K 左右,一般会做免杀处理,用来协议 Socks 代理

特征:关注协议特征+ 频率

本文原载于公众号:雷神众测

作者:分子实验室

信息源于:freebuf-wiki

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月1日23:06:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   攻防演练:值守部分关注点https://cn-sec.com/archives/385174.html