SaltStack_CVE-2020-11651/11652分析

文章首发于先知社区
SaltStack是一种基于C/S架构的服务器基础架构集中管理平台,最近披露出存在两个安全漏洞 CVE-2020-11651 权限缺陷、CVE-2020-11652 任意文件读写漏洞,官方公告SALT 3000.2 RELEASE NOTES, 两个CVE漏洞可以造成远程命令执行。Ghost 使用SaltStack管理自身的机器,漏洞披露后被恶意入侵并植入挖矿程序,Ghost的安全公告
Critical vulnerability impacting all services

Read More

shiro框架Filter及其CVE-2020-1957

文章首发于TOOLS
本周检测到Apache shiro安全更新,修复安全漏洞Apache Shiro权限绕过漏洞(CVE-2020-1957)。自信分析缺陷代码及其commit后发现是url规则Filter处理时产生的漏洞,该漏洞从第一次issue、commit到第二次issue、commit(2019-03-25->2020-02-13)较长的时间才修复完成,漏洞非常简单且影响面有限,本文以CVE-2020-1957结合shiro框架Filter做简单分析。

Read More

恶意挖矿程序场景下ATT-CK实践

MITRE ATT&CK主要是基于真实的入侵行为、APT攻击事件梳理形成的知识框图,对于甲方企业安全,可以利用其梳理自身的业务场景、设计威胁模型并与其ATT&CT中的攻击手法做对应,以其发现自身缺陷点,反推检测、防御能力,提高整体的企业安全水位。而本文是基于自己在外网搭建的蜜罐系统真实发生的入侵事件,利用ATT&CT站在攻击者的视角更有针对性的梳理攻击者的思路、攻击手法。

Read More

基于Thinkphp5.X-RCE漏洞的挖矿木马分析

Thinkphp框架在5.x多个小版本中存在由于路由解析缺陷导致的远程命令执行漏洞,个人基于thinkphp5.2版本部署的蜜罐分别于04-28、05-07捕获两个基于该漏洞的恶意挖矿木马。本文在分析该漏洞原理的基础上并对两个挖矿木马进行分析。

Read More