转发有奖 | 攻防第一日漏洞整理及解决方案
-1-
攻防第一日小结
第一日的竞争就十分激烈,为了方便大家理智“吃瓜”,现在就来总结一下,现在还“存疑”的漏洞,以及已经官方辟谣的漏洞。
“疑似”漏洞汇总
· 某微OA8 前台SQL注入
· 某微OA9 前台无限制Getshell
· 某擎前台SQl注入
· 某擎越权访问
· Jellyfin任意文件读取
· 某信创天云桌面命令执行
· 某安蜜罐管理平台未授权访问漏洞
· 某软 V9getshell *ineReport V9
* 小精灵刚查阅了CNVD,确实还没有上述漏洞的提交信息,但是这些“疑似”漏洞的详细信息已经在漫天飞舞,还请各位多加注意。
已有官方公告漏洞汇总
· 默安蜜罐管理平台未授权问
全文参考链接:
https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw
· 天眼流量传感器正常业务接口非漏洞说明
全文参考链接:
https://mp.weixin.qq.com/s/cfYWBJuCbNw6Sj7BX-Z3jg
* 其他漏洞暂无官方公告,请大家持续关注~
-2-
安恒AiLPHA解决方案
安恒AiLPHA产品检测方案
1、AiNTA流量探针检测方案
AiNTA流量探针在第一时间加入了对以上网传漏洞的检测,请将规则包升级到1.1.118版本(AiNTA-v1.1.5_release_ruletag_1.1.118-202104080759)及以上版本。
规则名称1:某微oa8 前台sql注入
规则ID:93006584
规则名称2:某微OA9文件上传GETSHELL
规则ID:93006586
规则名称3:某擎-前台sql注入
规则ID:93006583
规则名称4:某擎越权访问API接口
规则ID:93006582
规则名称5:Jellyfin软件媒体系统任意文件读取
规则ID:93006585
规则名称6:某信创天云桌面系统任意文件上传
规则ID:93006581
规则名称7:某安蜜罐管理平台未授权访问漏洞
规则ID:93006579/ 93006580
规则名称8:某软FineReport V9getshell
规则ID:93006578
AiNTA探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。
2、APT攻击预警平台
APT攻击预警平台已经在第一时间加入了对以上漏洞的检测,请将规则包升级到
GoldenEyeIPv6_651F3_strategy2.0.24716.210408.1及以上版本。
规则名称1:某微OA8前台SQL注入漏洞
规则ID:9104663
规则名称2:某微OA9文件上传GETSHELL
规则ID:9104662
规则名称3:某擎前台SQL注入漏洞
规则ID:9104660
规则名称4:某擎越权访问API接口
规则ID:9104659
规则名称5:Jellyfin软件媒体系统任意文件读取
规则ID:9104661
规则名称6:某信创天云桌面系统任意文件上传
规则ID:9104658
规则名称7:某安蜜罐管理平台未授权访问漏洞
规则ID:9104657
规则名称8:某测到帆软V9任意文件覆盖漏洞
规则ID:9104656
APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。
安恒AiLPHA大数据平台日志回溯分析方案
对于历史日志,可以通过大数据平台进行回溯分析。回溯分析步骤如下:
(1)检索位置:安全分析-原始日志
(2)时间:建议对今日(04.08)原始日志进行查询,并回溯过去一个月web日志,确认之前是否有利用情况,如日志量过大,可分成四周分别查询。
1、某微OA8前台SQL注入漏洞
检索语句:requestUrl contains "/js/hrm/getdata.jsp" and requestUrlQuery contains "cmd=getSelectAllId" AND responseCode != "404"
2、某微OA9前台无限制GETSHELL
检索语句:requestUrl contains "/page/exportImport/uploadOperation.jsp" AND responseCode != "404" AND requestMethod == "POST"
3、某擎前台SQL注入漏洞
检索语句:requestUrl contains "/api/dp/rptsvcsyncpoint" AND responseCode != "403" AND responseCode != "404" AND requestUrlQuery contains ";"
4、某擎某系统越权访问
检索语句:requestUrl contains "/api/dbstat/gettablessize" AND responseCode != "404"
5、Jellyfin软件媒体系统任意文件读取
检索语句:requestUrl contains "/anything/hls/" AND requestUrl contains ".." AND responseCode != "404"
6、某信创天云桌面系统任意文件上传可导致命令执行
检索语句:requestUrl contains "/Upload/upload_file.php" AND responseCode != "404" AND requestMethod == "POST"
7、某软V9系统Getshell
检索语句:requestUrlQuery contains "=chartmapsvg/../../../../WebReport/update .jsp" and requestUrl contains "/WebReport/ReportServer" AND requestUrlQuery contains "cmd=design_save_svg" AND responseCode != "404"
8、某安蜜罐管理平台未授权访问漏洞
检索语句:requestUrl contains "/debugging" AND responseMsg contains "幻阵"
备注:
检索中可以基于实际情况在后面追加
AND responseCode == "200" # 请求响应码为200
AND direction== "10" # 访问方向为外网访问内网
AND responseCode != "403" # 请求响应码不为403
上述查询语句中已将响应码为404 都过滤。
-3-
防范新型攻击手段小Tips
在攻防演练中,随着防守方能力增强、互联网漏洞逐渐减少;攻击方也在向钓鱼、社会工程学等新型攻击手段转变,为了更好的做好防护,在此特殊间,为了防范微信群钓鱼,请大家谨记如下口诀:
文件尽量手机看
风险虚拟机帮你担
本地下载邮件勿存储
谨记文件后缀可更改,不论是谁都别信
最后奉上一条万无一失的策略
什么文件都别点!
-4-
转发有奖
1. 关注雷神众测公众号;
2. 转发本篇推文至朋友圈(设置分组或在开奖前删除视为无效);
3. 凭转发朋友圈截图领奖(奖品:100元京东卡*5)。
扫码关注 | 雷神众测