一、背景

本次項目為期兩周，由集團主導招募攻擊隊員對集團下屬及其子公司進行的攻防演練。本次項目主導研判分析+應急排查+內部Nday發掘。

二、研判分析

2.1、帆軟V10

漏洞概述

帆軟 V10 及 V11 版本報表軟件存在反序列化漏洞，攻擊者可利用該漏洞使用POST 方法向帆軟報表軟件路徑/webroot/decision/remote/design/channel 發送惡意數據包，將二進制數據流或文件加載到服務器內存中觸發反序列化操作，從而實現任意代碼執行，獲取服務器控制權限。

漏洞發現

當時是在告警平臺出現命令執行報警，經過項目前期熟悉客戶網絡結構，應用，內部辦公網，生產網網段和環境，判定該告警是外部攻擊ip，查看詳情發現請求包是進行加密的，查看響應包發現ipconfig響應內容隨判定為攻擊事件。

處置措施

（1）通知運維人員對該應用網站進行封堵使得外部無法訪問；

（2）通過日志分析平臺對該ip進行項目日期中的所有攻擊日志檢索發現只有兩條記錄分析第一條為執行了命令ipconfig；分析第二條發現相應包中返回了目標主機退出執行命令”whoami“

（3）通知內部應用負責人進行零時處置以免影響業務

1. 聯系帆軟系統官方咨詢漏洞修復方案。
2. 在服務器端禁用以下目錄的訪問：
   ①? ?/webroot/decision/remote/design/channel
   ②? ?/webroot/ReportServer/

（4）更改后進行帆軟V10版本漏洞掃描無漏洞后重寫上線。

2.2、spring漏洞heapdump文件泄露

漏洞描述

spring框架存在信息泄露漏洞通過actuator/??查看泄露的端點信息

漏洞發現

通過流量探針傳感器發現該條告警出現成功，通過訪問該泄露地址成功下載

處置措施

通過運維管控站點出網使得外部無法訪問該站點，分析泄露文件內容發現數據庫的登錄賬戶和密碼；隨及通過資產列表查詢外部是否開放數據庫端口；臨時管控通過限制url限制訪問

1、禁用HeapDump功能或限制訪問權限：可以通過設置management.endpoint.heapdump.enabled=false來禁用HeapDump接口，或者通過配置Spring Security來限制只有授權用戶才能訪問該接口。

2、修改HeapDump文件保存路徑：可以在application.properties（或application.yml）文件中設置management.endpoint.heapdump.path來修改HeapDump文件的保存路徑，以確保只有授權用戶才能訪問該路徑。

3、通過修改后進行漏洞驗證進行應用上線。

2.3、其他

其他告警信息就太多了，基本高峰期一天有十幾萬的攻擊告警，針對掃描，惡意探測、POC掃描得高頻ip進行實時封禁。

三、應急響應

3.1、帆軟V10反序列化漏洞

整體描述

通過前期研判后需要進行上機排查，看是否有落地的webshell文件，代理程序或工具，內存馬等。

上機排查

netstat -ano

通過查看進程程序是否有外連攻擊IP的情況如有判段是否有惡意外連程序；

wmic process where "ProcessId=<PID>" get ExecutablePath

使用java的內存馬查殺工具進行查殺

內存馬實現原理：一文看懂內存馬 - FreeBuf網絡安全行業門戶

最后使用webshell 查殺工具（D盾，阿里云查殺等）查殺websehll；或者使用命令forfiles /P "C:\Your\Directory\Path" /S /D +7 /C "cmd /c echo @path @fdate @ftime"查看過去7天修改的文件；其他的可以個根據攻擊告警日志進行研判對任務計劃，隱藏賬戶等進行排查；最后來一波病毒掃描結束。

總結

一般我們的上機排查思路需要結合研判給的告警信息，如時間段，以及告警日志進行的操作，漏洞類型進行專項的排查。

四、內部Nday發現

描述

這里就不進行分步描述；這里是在查看告警分析平臺時根據告警信息；以及資產列表，內部進行針對特定資產的漏洞挖掘、掃描以及人工驗證的。

總結

如發現內部大量的弱口令情況；內部數據庫mongo，redis未授權等；api接口未授權造成的信息泄露等；其他框架的歷史漏洞掃描等。