转发有奖 | 攻防第一日漏洞整理及解决方案

共 3177字,需浏览 7分钟

 ·

2021-04-09 21:20


-1-

攻防第一日小结


第一日的竞争就十分激烈,为了方便大家理智“吃瓜”,现在就来总结一下,现在还“存疑”的漏洞,以及已经官方辟谣的漏洞。


“疑似”漏洞汇总

· 某微OA8 前台SQL注入

· 某微OA9 前台无限制Getshell

· 某擎前台SQl注入

· 某擎越权访问

· Jellyfin任意文件读取

· 某信创天云桌面命令执行

· 某安蜜罐管理平台未授权访问漏洞

· 某软 V9getshell *ineReport V9


* 小精灵刚查阅了CNVD,确实还没有上述漏洞的提交信息,但是这些“疑似”漏洞的详细信息已经在漫天飞舞,还请各位多加注意。


已有官方公告漏洞汇总

· 默安蜜罐管理平台未授权问

全文参考链接:

https://mp.weixin.qq.com/s/LV460_N1-EsQUM8YhM5nuw


· 天眼流量传感器正常业务接口非漏洞说明

全文参考链接:

https://mp.weixin.qq.com/s/cfYWBJuCbNw6Sj7BX-Z3jg


* 其他漏洞暂无官方公告,请大家持续关注~



-2-

安恒AiLPHA解决方案


安恒AiLPHA产品检测方案

1、AiNTA流量探针检测方案

AiNTA流量探针在第一时间加入了对以上网传漏洞的检测,请将规则包升级到1.1.118版本(AiNTA-v1.1.5_release_ruletag_1.1.118-202104080759)及以上版本。


规则名称1:某微oa8 前台sql注入

规则ID:93006584

规则名称2:某微OA9文件上传GETSHELL

规则ID:93006586

规则名称3:某擎-前台sql注入

规则ID:93006583

规则名称4:某擎越权访问API接口

规则ID:93006582

规则名称5:Jellyfin软件媒体系统任意文件读取

规则ID:93006585

规则名称6:某信创天云桌面系统任意文件上传

规则ID:93006581

规则名称7:某安蜜罐管理平台未授权访问漏洞

规则ID:93006579/ 93006580

规则名称8:某软FineReport V9getshell

规则ID:93006578


AiNTA探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。

2、APT攻击预警平台

APT攻击预警平台已经在第一时间加入了对以上漏洞的检测,请将规则包升级到

GoldenEyeIPv6_651F3_strategy2.0.24716.210408.1及以上版本。


规则名称1:某微OA8前台SQL注入漏洞

规则ID:9104663

规则名称2:某微OA9文件上传GETSHELL

规则ID:9104662

规则名称3:某擎前台SQL注入漏洞

规则ID:9104660

规则名称4:某擎越权访问API接口

规则ID:9104659

规则名称5:Jellyfin软件媒体系统任意文件读取

规则ID:9104661

规则名称6:某信创天云桌面系统任意文件上传

规则ID:9104658

规则名称7:某安蜜罐管理平台未授权访问漏洞

规则ID:9104657

规则名称8:某测到帆软V9任意文件覆盖漏洞

规则ID:9104656


APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。

安恒AiLPHA大数据平台日志回溯分析方案

对于历史日志,可以通过大数据平台进行回溯分析。回溯分析步骤如下:

(1)检索位置:安全分析-原始日志

(2)时间:建议对今日(04.08)原始日志进行查询,并回溯过去一个月web日志,确认之前是否有利用情况,如日志量过大,可分成四周分别查询。


1、某微OA8前台SQL注入漏洞

检索语句:requestUrl contains "/js/hrm/getdata.jsp" and requestUrlQuery contains "cmd=getSelectAllId" AND responseCode != "404"

2、某微OA9前台无限制GETSHELL

检索语句:requestUrl contains "/page/exportImport/uploadOperation.jsp" AND responseCode != "404" AND requestMethod == "POST"

3、某擎前台SQL注入漏洞

检索语句:requestUrl contains "/api/dp/rptsvcsyncpoint" AND responseCode != "403" AND responseCode != "404" AND requestUrlQuery contains ";"

4、某擎某系统越权访问

检索语句:requestUrl contains "/api/dbstat/gettablessize" AND responseCode != "404"

5、Jellyfin软件媒体系统任意文件读取

检索语句:requestUrl contains "/anything/hls/" AND requestUrl contains ".." AND responseCode != "404"

6、某信创天云桌面系统任意文件上传可导致命令执行

检索语句:requestUrl contains "/Upload/upload_file.php" AND responseCode != "404" AND requestMethod == "POST"

7、某软V9系统Getshell

检索语句:requestUrlQuery contains "=chartmapsvg/../../../../WebReport/update .jsp" and requestUrl contains "/WebReport/ReportServer" AND requestUrlQuery contains "cmd=design_save_svg" AND responseCode != "404"

8、某安蜜罐管理平台未授权访问漏洞

检索语句:requestUrl contains "/debugging" AND responseMsg contains "幻阵"

备注:

检索中可以基于实际情况在后面追加

 AND responseCode == "200"     # 请求响应码为200

 AND direction== "10"      # 访问方向为外网访问内网

 AND responseCode != "403"     # 请求响应码不为403

 

上述查询语句中已将响应码为404 都过滤。



-3-

防范新型攻击手段小Tips


在攻防演练中,随着防守方能力增强、互联网漏洞逐渐减少;攻击方也在向钓鱼、社会工程学等新型攻击手段转变,为了更好的做好防护,在此特殊间,为了防范微信群钓鱼,请大家谨记如下口诀:

文件尽量手机看
风险虚拟机帮你担
本地下载邮件勿存储
谨记文件后缀可更改,不论是谁都别信

最后奉上一条万无一失的策略

什么文件都别点!



小精灵提醒大家,理智吃瓜,谣言止于智者。



-4-

转发有奖


1. 关注雷神众测公众号;

2. 转发本篇推文至朋友圈(设置分组或在开奖前删除视为无效);

3. 凭转发朋友圈截图领奖(奖品:100元京东卡*5)。






扫码关注 | 雷神众测


浏览 54
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报