应急响应-php临时文件写入webshell排查分析
最近一次真实的应急场景,背景如下:
- 主机安全告警存在webshell。
- 木马文件名为php。同时/tmp目录下存在大量php临时文件。
- Nginx访问日志中存在大量扫描器流量,但木马文件生成时间未发现对应的异常请求。
- 该机器开通了waf,但扫描器的ip是被加白的(并非外网恶意扫描)。
Phpstorm Xdebug 远程调试代码
由于代码审计的需要,部分系统是直接部署的服务器镜像,已经配置好的完整的环境。这时单独把源码拉取到本地再配置环境就过于复杂,直接对服务端的代码进行远程调试就会方便不少。
目前最新版的Phpstorm(2022.1.4),当前的jetbrains的大部分IDE都已经支持ssh连接服务器进行远程开发,不用再像以前一样使用sftp来同步代码。现在IDE可以实现自动实时同步,真正意义上的远程开发。因此和以往网上的配置教程略有些不同。
阅读更多Nginx 反向代理问题汇总
使用Nginx反向代理中出现的多类问题统一汇总分析并给出解决思路。
阅读更多Shodan提升漏洞复现效率 / 自动化getshell技巧
安全学习过程中,漏洞复现是一个必不可少的一个环节。但是复现漏洞存在以下几个痛点。
- 漏洞复现5分钟,环境搭建两小时。
- 商业软件、未开源组件 无法下载搭建安装。
- 刚爆发的0day,无法快速进行复现。
vulhub解决了大部分第一类的痛点。二和三则可以通过Shodan来解决。最近在不断复现漏洞的过程中,通过使用shodan极大地提升了复现的效率。个人总结了部分shodan使用技巧。
注:本文仅分享个人漏洞复现技巧,请勿用于非法途径。
阅读更多CVE-2022-26134 Confluence OGNL注入远程代码执行漏洞复现
漏洞简述
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。
阅读更多CVE-2022-24706 Apache couchdb 默认erlang-cookie的RCE漏洞分析
前两天看了K8实验室发的一篇文章。
[EXP]CVE-2022-24706 Exploit公开 影响全网128万台Apache CouchDB数据库
该标题过于夸张了,Apache CouchDB的安装量确实有这么多,但是公网上(根据shodan统计)实际受影响的仅有1400台。
CVE-2022-30525 Zyxel firewalls ztp 远程命令执行漏洞复现
漏洞简述
CVE-2022-30525中,Zyxel防火墙版本的CGI程序中,由于对某些传入的特殊数据处理存在错误,攻击者在未经身份验证的情况下通过构造恶意数据进行系统命令注入攻击,修改特定文件,最终执行任意代码。
阅读更多