dayouzi的博客

此文主要是针对扫描器常见的一些配置性漏洞的概述及如何修复的一些建议。

Spring框架为现代基于java的企业应用程序(在任何类型的部署平台上)提供了一个全面的编程和配置模型。Spring Cloud 中的 serveless框架 Spring Cloud Function 中的 RoutingFunction 类的 apply 方法将请求头中的“spring.cloud.function.routing-expression”参数作为 Spel 表达式进行处理，造成Spel表达式注入，攻击者可通过该漏洞执行任意代码。

2021年10月6日Apache HTTPd官方发布安全更新，披露了CVE-2021-41773 Apache HTTPd 2.4.49 路径穿越漏洞。在其2.4.49版本中，引入了一个路径穿越漏洞。在路径穿越目录允许被访问的的情况下，例如配置了 Require all granted，攻击者可利用该路径穿越漏洞读取到Web目录之外的其他文件。同时若Apache HTTPd开启了cgi支持，攻击者可构造恶意请求执行命令，控制服务器。

Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理，也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。另外，Druid 还有一个关键的特点：它支持根据时间戳对数据进行预聚合摄入和聚合分析，因此也有用户经常在有时序数据处理分析的场景中用到它。在Druid 0.20.0及更低版本中，用户发送恶意请求，利用Apache Druid漏洞可以执行任意代码。

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。CVE-2020-17530是对CVE-2019-0230的绕过，Struts2官方对CVE-2019-0230的修复方式是加强OGNL表达式沙盒，而CVE-2020-17530绕过了该沙盒。在特定的环境下，远程攻击者通过构造恶意的OGNL表达式，可造成任意代码执行。

Node.js是一个基于Chrome V8引擎的JavaScript运行环境，用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能，每一个模块都包含非常丰富的函数，如http就包含了和http相关的很多函数，帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中，攻击者可以通过未过滤的参数中注入payload执行系统命令。

ActiveMQ的web控制台分三个应用，admin、api和fileserver，其中admin是管理员页面，api是接口，fileserver是储存文件的接口；admin和api都需要登录后才能使用，fileserver无需登录。所以，ActiveMQ在5.12.x~5.13.x版本中，已经默认关闭了fileserver这个应用（你可以在conf/jetty.xml中开启之）；在5.14.0版本以后，彻底删除了fileserver应用。

nexus的全称是Nexus Repository Manager，是Sonatype公司的一个产品。它是一个强大的仓库管理器，极大地简化了内部仓库的维护和外部仓库的访问。主要用它来搭建公司内部的maven私服。但是它的功能不仅仅是创建maven私有仓库这么简单，还可以作为nuget、docker、npm、bower、pypi、rubygems、git lfs、yum、go、apt等的私有仓库，功能非常强大。

Mongo-express是的管理工具，类似Navicat对应Mysql的关系，其使用Node.js，Express和Bootstrap3编写的基于Web的MongoDB图形化管理界面。漏洞问题出在lib/bson.js中的toBSON()函数中，路由 /checkValid 从外部接收输入，并调用了存在 RCE 漏洞的代码，由此存在被攻击的风险。

Apache Flink是由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序，Flink的流水线运行时系统可以执行批处理和流处理程序。此外，Flink的运行时本身也支持迭代算法的执行。Apache Flink的数据流编程模型在有限和无限数据集上提供单次事件（event-at-a-time）处理。在基础层面，Flink程序由流和转换组成。

Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。由于Apache Spark的认证机制存在缺陷，导致共享密钥认证失效。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的过程调用指令，启动Spark集群上的应用程序资源，获得目标服务器的权限，实现远程代码执行。相关链接。

2021年7月9日，SolarWinds发布安全公告，Microsoft在其Serv-U产品中发现了一个远程代码执行0 day漏洞（CVE-2021-35211），成功利用此漏洞的远程攻击者能够以特殊权限执行任意代码，然后在受影响的系统上安装并运行程序、查看、更改或删除数据等。目前该漏洞已经出现在野利用。

Confluence Server 和 Data Center 中的 Widget Connector 中存在服Confluence是一个专业的企业知识管理与协同软件，也可以用于构建企业wiki。使用简单，但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。1、其6.14.2版本前存在一处未授权的目录穿越漏洞，通过该漏洞，攻击者可以读取任意文件，或利用Velocity模板注入执行任意命令。

Hadoop是一个由Apache基金会所开发的分布式系统基础架构，YARN是hadoop系统上的资源统一管理平台，其主要作用是实现集群资源的统一管理和调度，可以把MapReduce计算框架作为一个应用程序运行在YARN系统之上，通过YARN来管理资源。简单的说，用户可以向YARN提交特定应用程序进行执行，其中就允许执行相关包含系统命令。

Yapi 是高效、易用、功能强大的 api 管理平台，旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API，YApi 还为用户提供了优秀的交互体验，开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。攻击者通过注册用户，并使用 Mock 功能实现远程命令执行。命令执行的原理是 Node.js 通过 require(‘vm’) 来构建沙箱环境，而攻击者可以通过原型链改变沙箱环境运行的上下文，从而达到沙箱逃逸的效果。

GitLab 是由GitLab Inc.开发的一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。但漏洞版本中，GitLab 没有正确验证传递给文件解析器的图像文件，这导致远程命令执行。

ThinkPHP是一款运用极广的PHP开发框架。其漏洞点是由于ThinkPHP框架对控制器名没有进行足够的检测会导致在没有开启强制路由的情况下可能的getshell漏洞。

ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。Thinphp团队在实现框架中的核心类Requests的method方法实现了表单请求类型伪装，默认为$_POST[‘_method’]变量，却没有对$_POST[‘_method’]属性进行严格校验，可以通过变量覆盖掉Requets类的属性并结合框架特性实现对任意函数的调用达到任意代码执行的效果。

本文针对当不小心误删除数据库后，如何进行恢复做个小记录。

在平常的应急中，日志的分析的能起到很大的作用，但是由此也带来一个问题，如何查找到有效的日志？除了基本的系统日志、数据库日志、中间件日志，还有很多应用自带的各种格式的日志，本文旨在收集分析各类日志信息，以方便日后遇到应急时能迅速获取到关键日志。

近来应急会有遭遇勒索的情况，但针对不同的勒索家族，勒索加密的方式也不一样，针对只加密文件前几个字节的情况，还是存在挽回部分数据库数据的可能。本文旨在整理一些恢复遭受损坏数据库文件的工具。

在应急的过程中，时不时会遭遇lockbit勒索事件，那在没有密钥的情况下，如何修复被加密的文件，及时止损呢？这里，针对此勒索分享些恢复文件的小技巧。故针对这种：只加密文件头，且文件类型已知的情况下，还是有很大的可能挽回数据的，即使有损毁也不会太多，这里只是提供一点思路。

logparser的语法其实挺简单，但是重点在于要获取什么信息？获取的信息代表什么含义？故此文重点在于日志字段代表含义。

关于windows中用powershell进行信息收集及排查。

本文重点在于用logparser收集windows日志中指定字段及语法.

关于Windows日志清除和Dll注入实现及排查的一些记录

在被植入挖矿病毒后，如果攻击者拥有足够的权限，比如root权限，往往会对系统命令进行劫持，达到隐藏自己的效果，故第一步最好是先确认是否存在rootkit劫持、库劫持，之后的命令执行操作也最好是通过busybox执行。

在某些安全事件场景中，可能某些设备监测到有异常流量，但是上机排查时用netstat却看不到对应网络连接，可能存在库劫持或rootkit，这里介绍一款内核级工具systemtap检测网络连接请求，当然它的功能远不至于此，这里只是提供一些实用小脚本。

在日常的应急工作中，经常遭遇挖矿病毒的案例，但是往往用ps，top等命令是看不到异常的，且即使kill掉进程和计划任务项往往过一会进程就会重新起来。这种情况往往是存在预加载恶意动态链接库的后门，其实网上有很多详细的文章去讲解这个技术，这里笔者也是为了插个眼。动态链接库预加载机制是系统提供给用户运行自定义动态链接库的一种方式，在可执行程序运行之前就会预先加载用户定义的动态链接库的一种技术。

在日常工作中，总是遭遇linux操作系统的应急，这里整理一些常用排查命令。