雷池demo 漏洞事件分析

雷池demo 漏洞事件分析

信息泄露

访问备份或临时文件的请求

解码请求报文

bak 备份文件

访问phpadmin默认后台路径

扫描器

看UA是python-request明显就是不正常的请求

XSS

在请求 URL 路径中发现了形如 piu17</script><script>alert(document.domain)</script>e3esq 的 XSS 载荷。这种攻击的意图是利用用户的浏览器执行恶意 JavaScript 代码，从而获取用户的敏感信息，如当前的域名，可能用于进一步的身份验证欺骗或数据泄露。攻击者通过精心构造的代码，首先尝试关闭已有的 <script> 标签以避免干扰，然后插入 <script>alert(document.domain)</script>，这段恶意脚本会在用户浏览器中运行，弹出一个警告框显示用户的当前域名，以此达到窃取用户隐私的目的。为了防止此类攻击，应确保对用户输入进行适当的过滤和转义，同时实施 Content Security Policy（CSP）等安全策略来限制网页内容的执行权限。

黑名单

当IP在黑名单中 访问即自动拦截

SQL注入

在请求 URL 路径中发现了形如 or 'a'='a') and (select sleep(6))-- 的 SQL 注入载荷。这个攻击意图是利用 SQL 注入漏洞来执行恶意的数据库操作。攻击者通过构造这样的字符串，首先利用 or 'a'='a' 这部分来绕过输入验证，因为这个条件通常被视为真，不会触发验证。然后，他们插入 and (select sleep(6))--，其中 select sleep(6) 是一个恶意命令，它会让数据库服务器暂停执行查询 6 秒，而 -- 作为 SQL 注释，使得这个命令不会被误解为参数。这样一来，攻击者不仅可能造成系统性能下降，还可能利用这个暂停时间来执行其他恶意操作，如数据泄露或进一步的攻击。为了防止此类攻击，应实施参数化查询、预编译语句或对用户输入进行严格的验证和转义。

在请求 URL 路径中发现了形如 1 union SELECT 1,2,3,25367*75643,5,6,7 limit 5,1 # 的 SQL 注入载荷。这个载荷的主要目的是利用 SQL 注入漏洞来获取数据库中的信息。通过执行 UNION 子查询，攻击者试图合并查询结果，可能期望获取数据库中特定列的值，包括可能包含敏感数据的行。乘法运算 25367*75643 的目的是生成一个较大的数值，这可能用于测试数据库的性能或者消耗资源。同时，LIMIT 5,1 语句限制了返回的数据行，使得攻击者能够获取一行数据，可能是为了查看特定行的内容。在查询末尾的 # 符号是攻击者添加的注释，意图隐藏恶意代码，使其在初步检查时不易被察觉。因此，这个 SQL 注入载荷不仅试图窃取数据，还可能试图通过消耗系统资源来干扰或破坏服务。

在请求 URL 路径中发现了形如 0 union select 98989*443131,1-- 的 SQL 注入载荷。这个载荷的主要目的是利用 UNION 语句来执行恶意查询，试图获取数据库中的敏感信息。通过 98989*443131 的大数乘积，攻击者可能试图获取所有列的数据，或者如果有限制，获取尽可能多的行。1-- 后的注释符号被用来隐藏恶意代码，防止数据库管理系统直接识别到注入的SQL。攻击者这样做的目的是为了在不被检测的情况下，执行未授权的操作，如查看表结构、获取数据行或列值，甚至可能进行数据盗窃或修改。通过注释，他们可以增加攻击的隐蔽性，降低被发现的风险。

CSRF

referer字段不正常

可能是攻击者构造请求 通过它的站点访问请求到我们的站点

SSRF

在我们的网站中嵌套远程调用ldap协议

后门

后门文件执行命令net user zZ add

添加新用户

反序列化

请求中的数据部分包含了一些类名和字节码，这些类名可能是用于构造恶意对象的类。整体来看，这段请求可能是在尝试利用Java反序列化漏洞执行远程代码。

代码注入

在请求体中发现的形如 Host: demo.waf-ce.chaitin.cn 的信息泄漏载荷，意图是利用一个名为 bsh（Browser Shell）的漏洞来执行恶意脚本，获取服务器上的敏感信息。攻击者伪装成使用Mozilla/5.0的Firefox浏览器，通过 Connection: close 指令可能试图隐藏其真实身份。Content-Length: 58 和 Content-Type: application/x-www-form-urlencoded 表明这是一个标准的HTTP表单数据，其中 Test: 123123222 可能是混淆参数。Accept-Encoding: gzip 可能是为了隐藏恶意数据。关键部分是 bsh.script=exec("cat+/etc/passwd");&bsh.servlet.output=raw，攻击者企图通过 bsh 漏洞执行 cat+/etc/passwd 命令，读取 /etc/passwd 文件中的用户账户信息，bsh.servlet.output=raw 指令可能指示将脚本输出直接返回，不进行格式化。这种攻击提醒服务器需要对用户输入进行严格的验证和过滤，以防止此类恶意脚本执行。

这段代码是一个HTTP请求，其中包含了一个GET请求，请求的目标是/Index.do。在URL中有一个参数redirect，其值是一个被编码过的字符串$%7B%23a%3D%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27),%23b%3D%23a.getRealPath(%22/%22),%23matt%3D%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23b),%23matt.getWriter().flush(),%23matt.getWriter().close()%7D。

这段代码看起来像是一个潜在的代码注入攻击，它试图利用Apache Struts框架的漏洞执行恶意代码。具体来说，它尝试利用Struts OGNL表达式注入漏洞，通过在redirect参数中注入恶意代码来执行服务器端的任意命令。

在这个注入攻击中，代码中的%7B%23a%3D%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27),%23b%3D%23a.getRealPath(%22/%22),%23matt%3D%23context.get(%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27),%23matt.getWriter().println(%23b),%23matt.getWriter().flush(),%23matt.getWriter().close()%7D部分是恶意代码，它试图获取当前请求的HttpServletRequest对象，并通过该对象获取服务器上的根目录路径，然后将该路径打印到响应中。

在请求体中发现的代码注入攻击载荷，其意图可能是利用服务器端的Java Servlet或JSP环境执行恶意代码。攻击者构造了恶意参数"2dqhhcFK5f0RbaSxf82qFxYq6Od"，当这个参数与"x"相等且非空时，恶意代码会被执行。这段代码定义了一个名为excuteCmd的公共静态方法，该方法尝试执行用户提供的命令，如果执行成功，它会将命令的输出打印到页面上。这可能导致代码执行漏洞，使得攻击者能够执行任意系统命令，获取敏感信息，或者进行文件操作。攻击者可能利用SQL注入技巧构造这个参数，以执行SQL查询。为了防止此类攻击，服务器需要对用户输入进行严格的验证和清理，避免在服务器端直接执行用户提供的代码。

引用页参数包含恶意代码，尝试进行SQL注入攻击。

命令注入

在请求 URL 路径中发现了形如 ;echo CVE-2023-23333|rev.zip 的命令注入攻击载荷。攻击者的意图是利用系统中的命令执行漏洞，通过恶意构造的输入字符串，试图执行一个组合命令。首先，分号 ; 用于开始一个新命令，而不是作为输入的一部分。接着，|rev 用于管道操作，将输入（在这个例子中是CVE编号）传递给rev命令，实现字符串反转。最后，.zip 表示攻击者可能想要将反转的CVE编号转换为一个ZIP文件，可能是为了隐藏恶意内容或者作为进一步攻击的载体。这种攻击方式旨在绕过输入验证，滥用系统功能来执行非授权的命令，因此，系统需要对用户输入进行严格的过滤和转义，以防止此类攻击。

html_response_page=login_pic.asp&action=ping_test&ping_ipaddr=127.0.0.1%0acat+%2Fetc%2Fpasswd，其中 ping_ipaddr=127.0.0.1%0acat+%2Fetc%2Fpasswd 试图通过URL编码执行Linux的cat命令，目标是读取/etc/passwd文件，这表明攻击者意图可能是在尝试进行注入攻击

文件上传

上传文件中存在恶意代码

第二个部分中的文件jsAtgu.php包含了恶意的PHP代码片段<?php echo "TLrP3"; unlink(__FILE__); ?>。这段代码的作用是输出字符串TLrP3并尝试删除当前文件。这种恶意代码可能会导致服务器上的文件被删除，造成数据丢失或系统不稳定。

文件包含

这段代码尝试访问一个地址，其中包含一个可能存在安全风险的参数dir，该参数指向一个潜在的登录检查文件。这种请求可能被用于尝试绕过安全措施或进行恶意操作。

这段代码的目的可能是尝试在目标服务器上执行路径遍历攻击，试图获取敏感文件wp-config.php的内容。这种攻击可能会导致安全漏洞，应该被及时识别和修复

权限不当

这段代码的作用是向服务器请求获取nacos系统中认证用户的信息，其中包括第一页的用户信息，每页包含10条记录

这不该是用户该有的权限

未授权访问

未授权访问管理员配置文件

不安全配置

XEE

在请求 URL 路径中发现了形如 <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://internal.vulnerable-website.com/"> ]> 的 XML 实体注入载荷。这种攻击的意图是利用 XML 解析器的特性来执行恶意代码。攻击者通过在文档中定义一个外部实体 “xxe”，并将其值设置为指向一个内部的、可能被攻击者控制的网站（如 “http://internal.vulnerable-website.com/”），当解析器遇到这个实体引用时，会尝试下载并执行该 URL 内的脚本。如果这个 URL 指向的是一个可以执行代码的服务器，那么解析器会执行恶意代码，可能导致敏感信息泄露、服务器控制或执行攻击者预设的操作。为了防止这种攻击，应禁用或限制外部实体解析，或者使用安全的解析器配置，避免解析来自不受信任来源的外部实体。

LDAP注入

可使用通配符表示值可以等于任何值。使用它的情况可能是：您希望查找具有职务头衔的所有对象。

利用通配符进行ldap注入

目录穿越

在请求URL路径中发现了形如../conf/datasourceCtp.properties的目录穿越载荷，这种攻击意图通常是获取服务器的敏感信息或执行未授权操作。攻击者通过构造恶意的URL，利用../通配符来指示服务器向上一级目录conf移动，然后尝试访问datasourceCtp.properties文件

在请求 URL 路径中发现了形如 ../../../../../../../etc/passwd 的信息泄漏载荷，其意图是通过路径遍历攻击来获取系统中的敏感信息。攻击者试图利用这个相对路径来向上级目录移动，从当前执行脚本的目录开始，通过连续的..操作，直至达到系统的根目录（/），然后读取etc/passwd文件。etc/passwd通常存储用户账户的详细信息，如用户名、密码哈希等。这种攻击方式常见于文件包含漏洞或权限设置不当的情况，如果系统没有正确限制对passwd文件的访问，攻击者可能成功获取这些信息，对系统安全构成威胁。为了防止此类攻击，系统应设置适当的权限策略，限制对etc/passwd的访问，并确保没有文件包含漏洞。

水平权限绕过

cookie值admin存在验证绕过行为

login=admin 任意用户登录漏洞利用行为

任意文件写入

put 这个文件 然后写入下面的值

CRLF注入

看了一下不知道这怎么得出crlf 回车符注入的

模板注入

明显特征{{}}

注意url编码绕过常规检测的行为

F注入

[外链图片转存中…(img-WkYWMAS3-1712935097284)]

看了一下不知道这怎么得出crlf 回车符注入的

模板注入

[外链图片转存中…(img-7uzWPYoZ-1712935097284)]

明显特征{{}}

[外链图片转存中…(img-SHUxBAgm-1712935097284)]

[外链图片转存中…(img-zUXq9TZD-1712935097285)]

注意url编码绕过常规检测的行为