这漏洞可真大,阿里牛人的log4j2漏洞检测跑了一下,直接调起了计算器。
漏洞流程我是这样分析理解的:
(1)我们使用log4j2在info、debug、warn、error过程中会传入打印参数。
(2)若这些参数来自于外部,例如:web提交,数据采集等,我们对外部请求的一些数据作为日志用log4j2打印或者输出成日志文件。
(3)在外部数据中若恶意加入一个jndi的ldap U地址变量进行,这个URL指向的是恶意ldap服务。
(4)当log4j2开始打印这段包含恶意URL变量,会识别出这段URL,然后进行jndi的ldap调用进行对象lookup。
(5)接受log4j2请求的恶意ldap服务会给log4j2传回一个恶意的class。
(6)log4j2获取此class仅仅是对象根,然后会根据这个根的信息再次远程请求恶意RPC服务器,获取此class根对应的恶意实现对象,并在jvm上反序列化。
(7)此对象会在反序列化成功后,会在log4j2所在的jvm运行环境执行各种内置恶意执行调用。
总之一句话,兄弟们赶紧打补丁吧,这漏洞把雨水都漏到裤衩里啦!
注意补充一下:
这是全平台漏洞,以Linux云计算的应用部署量,问题更严重,Windows只是本机测试,只要产品涉及有log4j2,一定要升级jog4j2最新版的jar包,还要自查产品的依赖包有没有把log4j2打进依赖jar内部。
用友软件没有基本的担当!有漏洞被勒索病毒攻击,遇到问题就会推卸责任!
黑客勒索病毒icon就是针对用友T+财务软件,找到用友畅捷通T+的Web服务漏洞(360安全官方下的定义是0day漏洞大规模勒索事件),通过这个漏洞拥有了administrator权限,因为国内软件安装部署几乎都要用这个权限才能正常安装完成,就完全绕过了防火墙和杀毒软件,把安装目录Chanjet及下面全部配置文件和数据库文件加密了,甚至备份文件都不放过。 黑客利用用友漏洞进入应用程序,自然就获得了自动备份的目标路径,因为T+的备份程序对目标路径有写的权限,所以很轻松就将用户的备份数据库文件也一起加密了。同时勒索0.2个BTC获利解密。
用友畅捷通口口声声宣传服务中小微企业,可是购买畅捷通的用户大多数真的都是小企业,几乎都养不起IT,甚至连基本的备份概念都没有,完全都依赖信任用友公司。这次事件完全是用友软件自身原因,现在用友公司一再推卸责任!用友服务商也没有任何服务,出问题就是推卸,根本不给解决问题,重新安装软件还要收取高昂服务费!
从一开始用友(畅捷通)就发布信息推卸责任,称“无差别攻击”,只有少量用户被攻击!淡化事件的严重性!发现大规模被攻击时,仍然开始各种攻关操作!客服电话更是打不通,说明有大量客户受到攻击,服务商也不一再推卸自己的责任,用友公司各处删帖,出了事件就会甩锅.....
不就是为了种个挖矿么。web大漏洞配置用默认,管理员肯定是弱鸡,八成用root启的服务,想干啥不行?想研究攻防的,不如去看看CTF的web部分,都是大神操作。
区块软件开发
利用 PHP-FPM 做内存马方法
Balancer收到白帽黑客披露的Synthetix生态代币等相关漏洞报告,目前用户资金安全
5月14日消息,Balancer Labs发推表示,今日某白帽黑客通过Web3漏洞赏金平台Immunefi披露Balancer相关漏洞,Balancer官方收到一个潜在可利用场景的通知,没有用户资金处于危险之中。
其中漏洞场景涉及double entry-point ERC20代币,包括但不限于Synthetix生态代币(SNX和 sBTC 等)以及Balancer闪电贷。Synthetix团队正考虑在下周升级合约,以成功移除doubleentry-point,并允许代币返回金库,而无需 LP 的任何干预。此中等严重性错误报告将导致资金因从V2 Vault 转出而被暂时冻结,没有看到这种漏洞导致实际盗窃的途径。
如果觉得《常见网站漏洞 网站漏洞查找》对你有帮助,请点赞、收藏,并留下你的观点哦!
