首页 > 其他分享 >记一次曲折的fastjson事件应急响应

记一次曲折的fastjson事件应急响应

时间:2023-06-25 19:01:05浏览次数:49  
标签:fastjson 发现 漏洞 流量 响应 内存 X.48 80 应急


01 事件背景介绍

某内部应急演练中,安全部门收到通知,称公司内部资产被入侵,且可能已经开始内网横向入侵,现需根据流量情况进行安全事件分析。

02 事件分析过程


通过数据包发现10.X.X.2对80.X.X.1/24使用扫描器发起扫描,包括80.X.X.12,80.X.X.48,80.X.X.61

记一次曲折的fastjson事件应急响应_bc

查看源IP 80.X.X.12外连情况发现无异常,重点审查POST请求与响应流量,发现存在thinkphp漏洞执行命令并回显,但并未进行下一步的利用。

记一次曲折的fastjson事件应急响应_自定义_02

通过筛选相关数据包发现,80.X.X.61存在一些可疑的出网流量

记一次曲折的fastjson事件应急响应_bc_03

80.X.X.61对101.X.X.206:1056发起连接,并发现相关log4j2 payload

记一次曲折的fastjson事件应急响应_bc_04

继续追踪流量,发现并未针对该漏洞进行下一步利用,通过威胁情报搜索,发现该IP已被标记

记一次曲折的fastjson事件应急响应_IP_05

查看源IP 80.X.X.48外连情况,发现针对114.114.114.114进行ping行为。

记一次曲折的fastjson事件应急响应_自定义_06

继续检索POST请求与响应流量,发现存在fastjson漏洞执行whoami命令。

记一次曲折的fastjson事件应急响应_bc_07

发现入侵者曾执行“ping -c 1 114.114.114.114”命令,但从响应状态来看机器不出网。

记一次曲折的fastjson事件应急响应_bc_08

记一次曲折的fastjson事件应急响应_自定义_09

继续审查流量,发现蚁剑webshell通信流量,自定义请求头xx-options-a,密码abcd。

记一次曲折的fastjson事件应急响应_IP_10

发现存在bcel注入内存马流量,testshell与testpwd正好对应内存马的自定义请求头和密码。

记一次曲折的fastjson事件应急响应_IP_11

还原bcel为class,可以看到注入内存马时,使用testpwd和testshell头控制内存马密码和自定义header头,并且将404内容写入响应中。

记一次曲折的fastjson事件应急响应_IP_12

并且通过反射的注入listener内存马。

记一次曲折的fastjson事件应急响应_自定义_13

将注入的listener字节码base64解码还原,可以清晰的看到注入的内存马为蚁剑jspjs马。

记一次曲折的fastjson事件应急响应_IP_14

据此判断主机80.X.X.48失陷,继续观察其他流量,未发现其余明显异常行为。



03 事件分析结果


入侵者10.X.X.2使用扫描器对80.X.X.0/24开展扫描,发现多个站点存在漏洞,随后利用站点80.X.X.48 fastjson漏洞进行回显利用,探测网站网络情况后,发现不出网,遂注入listener蚁剑内存马执行命令,准备进一步扩大战果。



04 安全加固建议


1、在安全设备上,如防火墙、IDS上封禁入侵IP:10.X.X.2、101.X.X.206、101.X.X.197。

2、 针对本次失陷主机80.X.X.48,进行网络隔离,排查入侵痕迹和内网横向情况,修复fastjson漏洞,清理后门。

3、针对失陷主机80.X.X.61和存在漏洞主机80.X.X.12,进行网络隔离,排查历史入侵痕迹,修复致远oa和thinkphp历史漏洞,清理后门。

标签:fastjson,发现,漏洞,流量,响应,内存,X.48,80,应急
From: https://blog.51cto.com/u_16170213/6547870

相关文章

  • C#使用webview2来获取网页响应的一些内容
    想要获取webview2和网页之间的响应内容,需要在CoreWebView2InitializationCompleted事件中重写一下WebResourceResponseReceivedAsync事件,如下privatevoidwebView2_CoreWebView2InitializationCompleted(objectsender,CoreWebView2InitializationCompletedEventArgse)......
  • HTTP-响应数据格式
        ......
  • 读发布!设计与部署稳定的分布式系统(第2版)笔记10_自动化和缓慢的响应
    1. 工业机器人1.1. 具有多层防护措施,防止对人员、机器和设施造成损害1.2. 防护措施能限制机器人的动作和传感器的感知1.3. 机械臂的旋转范围会远远小于它可以达到的全部运动范围2. 自动化2.1. 它更像是工业机器人2.1.1. 掌握控制层感知系统的当前状态2.1.2. 将其......
  • vue学习第25天 移动WEB开发----响应式布局
    目标:1)响应式原理2)使用媒体查询完成响应式导航3)使用Bootstrap的栅格系统4)使用Bootstrap的响应式工具5)完成阿里百秀首页案例 目录:1)响应式开发2)Bootstrap前端开发框架3)Bootstrap栅格系统4)阿里百秀首页案例  ......
  • vue学习第26天 xxxx响应式页面制作
    项目地址:后续添加 1、布局分析nav2列、article7列、aside3列 2、屏幕划分分析 移动端布局总结1、移动端主流方案 2、移动端技术选型1)流式布局(百分比布局)2)flex布局(推荐)3)rem适配布局(推荐)4)响应式布局建议:我们......
  • TienChin 验证码响应结果分析&验证码生成接口分析
    验证码响应结果分析首先从前端开始进行分析,进入到登录页面,打开开发者工具(f12),找到network,f5刷新一下页面,然后,筛选一下,筛选内容为Fetch/XHR:你会发现列表中有两项内容,我们只需要查看captchaImage即可,从名字就可以看出是验证码图片的意思,然后我们查看这个响应结果是什么,响应......
  • QSerialport readyRead 信号偶发不响应问题
    开发环境:QtCreator4.8.2+Qt5.12.21、操作方式独立线程控制串口对象读写1)写操作:write+  waitForBytesWritten;2)读操作:readyRead+ bytesAvailable+ readAll2、问题现象偶发readyRead不响应数据未丢失下一次触发数据可继续回读3、......
  • MATLAB代码:计及绿证交易和综合需求响应的综合能源系统优化调度
    MATLAB代码:计及绿证交易和综合需求响应的综合能源系统优化调度关键词:绿证交易综合需求响应综合能源系统优化调度 原创文章,转载请说明出处,资料来源:http://imgcs.cn/5c/693201301720.html仿真平台:matlab+yalmip+cplex主要内容:代码针对综合能源系统低碳运行和源荷互动,考虑可......
  • 考虑需求响应和碳交易的综合能源系统日前优化调度模型
    考虑需求响应和碳交易的综合能源系统日前优化调度模型原创文章,转载请说明出处,资料来源:http://imgcs.cn/5c/672616234491.html关键词:柔性负荷需求响应 综合能源系统 参考:私我仿真平台:MATLAByalmip+cplex主要内容:在冷热电综合能源系统的基础上,创新性的对用户侧资源进行了细致......
  • Vue2:怎么实现响应式双向绑定?
    一、vue2怎么实现双向绑定原理在Vue2中,双向绑定的实现是通过Vue2的响应式系统和数据绑定机制来完成的。下面是Vue2实现双向绑定的简要原理:数据劫持:当创建Vue实例时,Vue2会对data选项中的所有属性进行数据劫持。这通过使用Object.defineProperty()方法将每个属性转换为getter和s......