本文原载于公众号:雷神众测
作者:分子实验室
漏洞类组件
01 Web 服务
组件 Tomcat
漏洞说明1
CVE-2020-1938(需要公网开放 AJP 端口,且上传点在 Webapps 目录下 )
特征:关注文件上传
漏洞说明2
Tomcat Console 弱口令
特征:关注账号登录
组件 Weblogic
漏洞说明1
Xmldecoder 反序列化(通过 HTTP 方式触发)
特征:关注反序列化Gadgets
漏洞说明2
T3 反序列化(一般在内网比较好用,主要几个要点:
1、若打过一次weblogic 补丁之后CommonsCollections Gadget 无法使用,因此在
10.3.6 版本上最好使用 7u21 否则无解。
2、12C 的 weblogic 可以使用 Coherence 的Gadget,比较稳妥)
特征:关注反序列化Gadgets
漏洞说明3
Weblogic console 弱口令
特征:关注账号登录
组件 WebSphere
漏洞说明1
CVE-2020-4450,IIOP 反序列化
特征:关注反序列化Gadgets
漏洞说明2
admin console 弱口令
特征:关注账号登录
组件 JBOSS
漏洞说明1
CVE-2017-12149
特征:关注反序列化Gadgets
漏洞说明2
Jboss console 弱口令
特征:关注账号登录
02 框架组件
组件 Spirng FrameWork
漏洞说明
反序列化漏洞
特征:关注反序列化Gadgets
组件 Shiro
漏洞说明
反序列化漏洞
特征:关注反序列化Gadgets
组件 CAS
漏洞说明
反序列化漏洞、任意文件读取
特征:关注反序列化Gadgets
组件 Fastjson
漏洞说明
反序列化漏洞
特征:关注反序列化Gadgets
03 OA 系统
组件 泛微组件
漏洞说明1
E-cology
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
漏洞说明2
E-mobile
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
漏洞说明3
E-bridge
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
漏洞说明4
E-office
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
漏洞说明5
E-message(登陆后能够上传 jar、可导致代码执行)
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
组件 致远 OA
漏洞说明1
A8
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
漏洞说明2
A6
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
组件 通达 OA
漏洞说明
信息泄露、RCE、未公开 0day
特征:关注 SQL 注入、文件上传功能、以及未公布一些漏洞
04 邮件系统
组件 coremail
漏洞说明
信息泄露、任意文件读取、RCE、未公开 0day
特征:关注异常代码执行、文件上传功能等异常请求
组件 亿邮
漏洞说明
信息泄露、RCE、未公开 0day
特征:关注异常代码执行、文件上传功能等异常请求
05 ERP 系统
组件 金蝶
漏洞说明
信息泄露、RCE、未公开 0day
特征:关注异常代码执行、文件上传功能等异常请求
组件 用友
漏洞说明
关注异常反序列化数据流、或者 base64 之后反序列化数据流
特征:关注异常代码执行、文件上传功能等异常请求
组件 禅道
漏洞说明
命令执行、代码执行、文件上传
特征:关注异常代码执行、文件上传功能等异常请求
06 站群门户
组件 PHPCMS
漏洞说明
命令执行、代码执行、文件上传
特征:关注异常代码执行、文件上传功能等异常请求
组件 大汉
漏洞说明
命令执行、代码执行、文件上传
特征:关注异常代码执行、文件上传功能等异常请求
Webshell 类
01 菜刀(Chopper)
平台版本 20141018
后门说明
默认一句话、6K、149K,包括 PHP、ASP.NET、ASPX、JSP 等环境版本,一般会做免杀处理,会结合代理使用
特征:关注协议特征+ 日志
02 冰蝎(Behinder)
平台版本 v3.0
后门说明
默认后门较小,1K,包括 PHP、ASP、ASP.NET JSP 等环境版本,一般会做免杀处理,会结合代理使用
特征:关注协议特征+日志
03 reGeorg
平台版本 v1.0
后门说明
默认 5K、6K,包括 PHP、ASP.NET、JSP 等环境版本,一般会做免杀处理,主要用于代理配合使用
特征:关注协议特征+ 日志
04 reDuh
平台版本 v.0.3
后门说明
默认 12K 到 30K 左右,包括 PHP、ASP.NET、JSP 等环境版本,一般会做免杀处理,主要用于代理 配合使用
特征:关注协议特征+ 日志
05 Tunna
平台版本 v1.1
后门说明
默认 7K 到 9K 左右,包括 PHP、ASP.NET、JSP 等环境版本,一般会做免杀处理,主要用于代理配合使用
特征:关注协议特征+ 日志
06 ABPTTS
平台版本 2016
后门说明
默认 20K 到 30K 左右,包括 ASP.NET、JSP/WAR 等环境版本(无 PHP),一般会做免杀处理,主要用于代理配合使用
特征:关注协议特征+ 日志
扫描刺探类
01 系统服务扫描
扫描方式 服务端口
刺探说明
通过 nmap、masscan 等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等
特征:关注协议特征+ 频率
02 Web 漏洞扫描
扫描方式 Web 服务端口
刺探说明
通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等,扫描器特征一般有 Acunetix WVS、Netsparker 等
特征:关注协议特征+ 频率
03 系统扫描(内网)
扫描方式 服务端口、版本
刺探说明
通过 nmap、masscan、metasploit 脚本、ICMP SMB 单协议扫描脚本等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等
特征:关注协议特征+ 样本+频率
04 Web 扫描(内网)
扫描方式 Web 服务端口
刺探说明
通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等,一般通过专用漏洞扫描工具进行
特征:关注协议特征+ 样本+频率
05 弱口令扫描
扫描方式 服务端口
刺探说明
通过字典对系统管理端口和协议、数据库端口、Web 服务管理端口等进行弱口令扫描,比如SSH、RDP、SMB、MySQL、SQLServer、Oracle FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL IMAP、IMAP_SSL、SVN、VNC、Redis 等服务的弱口令
特征:关注协议特征+ 样本+频率
0day 漏洞类
01 溢出类
平台版本 Windows SMB
漏洞说明
主要为操作系统的漏洞,内网利用为主,比如MS17-010 漏洞,直接获取存在漏洞的系统管理权限
特征:关注协议特征+ 样本+日志
02 反序列化
平台版本 Web 服务、中间件
漏洞说明
通主要为 Web 服务比如:Weblogic、WebSphere 等,中间件和组件:比如 Spirng FrameWork、Shiro、CAS、Fastjson 等
特征:关注协议特征+ 样本+日志
03 代码执行
平台版本 应用组件
漏洞说明
主要为 Web 应用组件比如:禅道、PHPCMS、大汉、通达 OA、coremail、亿邮等 Web 站点应用
特征:关注协议特征+ 样本+日志
04 信息泄露
平台版本 应用组件
漏洞说明
主要为 SQL 注入漏洞、路径遍历等泄露敏感配置文件等,比如泛微组件、致远 OA、通达 OA、coremail、亿邮等
特征:关注协议特征+ 样本+日志
05 漏洞获取
平台版本 Web 管理后台
漏洞说明
通过存储型 XSS 漏洞诱骗管理权限用户点击,获取管理权限用户的Cookie,从而获得关联的后台管理权限
特征:关注特权用户动态+样本+日志
06 客户端
平台版本 浏览器、APP
漏洞说明
通过浏览器进程会话、APP 应用克隆获取当前会话权限,并通过会话权限获取关联用户凭据
特征:关注特权用户动态+样本+日志
管理系统类
01 运维审计系统
平台版本 堡垒机
系统说明
通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后,批量操作堡垒机管理的主机,比如获 得 JumpServer 堡垒机系统权限后,可以直接管理堡垒机上主机
特征:关注用户登录动态+行为+日志
02 运维监控系统
平台版本 管理后台
系统说明
通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后,批量操作监控系统上主机,比如获得Nagios、Zabbix 等运维监控系统权限后,可以直接下发命令到主机
特征:关注用户登录动态+行为+日志
03 云管理平台
平台版本 管理后台
系统说明
通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后,批量操作云上虚拟主机,比如获得Citrix、VMware ESXi、Azure、阿里云等管理后台权限后,可以直接下发命令到虚拟主机
特征:关注用户登录动态+行为+日志
04 容器管理平台
平台版本 管理后台
系统说明
通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后,批量操作容器和微服务,比如获得Swarm、Kubernetes、Mesos 等容器管理平台系统权限后,可以直接操作容器
特征:关注用户登录动态+行为+日志
05 安全管理平台
平台版本 管理后台
系统说明
通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后,可以操作安全防护策略,比如获得态 势感知平台、EDR 等管理平台系统权限后,可以修改安全策略使其防护失效
特征:关注用户登录动态+行为+日志
社工类样本
01 交互式
实施方式 反馈获取
样本说明
通过邮件、电话冒充合作伙伴或内部管理人员直 接询问已获取到的名单人员的敏感信息,不投送后门程序
特征:关注行为特征+ 样本
02 仅信息
实施方式 点击链接
样本说明
通过邮件诱骗已获取到的名单人员点击 URL 链接,不投送后门程序,只获取浏览器、IP 等基本信息
特征:关注行为特征+ 样本
03 后门投放
实施方式 点击运行
样本说明
通过邮件诱骗已获取到的名单人员点击附件运行(看起来像图片或 Office 文档,实际为 exe、vbs、js 等多重扩展名),投送后门程序,一般会做免杀处理
特征:关注行为特征+ 样本
04 漏洞投放
实施方式 点击运行
样本说明
通过邮件诱骗已获取到的名单人员点击包含漏洞的附件文档(Office、PDF 等),触发漏洞后下载后门程序,后门一般会做免杀处理
特征:关注行为特征+ 样本
05 广撒网式
实施方式 主动运行
样本说明
通过微博、微信公众号等发布热点相关咨询文章,诱骗下载执行后门程序,后门一般会做免杀 处理,不会立即触发远控功能,先潜伏静默然后 加入任务计划执行
特征:关注行为特征+ 样本
后门类工具
01 Metasploit
平台版本 4.17 Pro
后门说明
默认生成的 PE 后门小于 10K,一般会做免杀处理,通常内网使用 TCP 协议,到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹
特征:关注协议特征+ 频率
02 Cobalt Strike
平台版本 4.1 Licensed
后门说明
默认生成的 PE 后门小于 20K,一般会做免杀处理,通常内网使用 SMB 协议,到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹
特征:关注协议特征+ 频率
03 Core Impact
平台版本 19.1 Pro
后门说明
默认生成的 PE 后门较大,大于 200K,一般会做免杀处理,通常内网使用 TCP 协议,到外网使用HTTP/HTTPS、DNS 等协议反弹
特征:关注协议特征+ 频率
04 DanderSpritz
平台版本 1.3.0.0
后门说明
默认生成的 PE 后门较大,70~150K,模块化, 一般会做免杀处理,通常内网使用 TCP 协议,到外网使用 HTTP/HTTPS、UDP 等协议反弹
特征:关注协议特征+ 频率
05 lcx(HTran)
平台版本 v1.0
后门说明
默认生成的 PE 后门 50K 左右,一般会做免杀处理,用来协议 Socks 代理
特征:关注协议特征+ 频率
06 ew(EarthWorm)
平台版本 free 1.0
后门说明
默认生成的 PE 后门 50K 左右,,mac、linux 版本30K 左右,一般会做免杀处理,用来协议 Socks 代理
特征:关注协议特征+ 频率
请登录后发表评论
注册