SHELLPUB BLOG

专注webshell查杀

河马WEBSHELL扫描器1.8.1发布

河马查杀1.8.1 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新 新增规则,支持nginx后门检测 优化一条疑似规则降低误报 不再支持从1.4.2之前版本升级到最新版,请手动下载到最新版 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir> 下面动图演示了linux系统下先用scan模式进行扫描,接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 BUG修正 修正云查杀接口BUG,降低误报 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.

Windows DNS Server"蠕虫级"漏洞通知,请马上升级

Windows DNS Server “蠕虫级”漏洞通知,请马上升级 某些情形下,企业DNS Server和域控处于内网同一台服务器中,SIGRed漏洞影响的组件dns.exe是以System权限运行,目前网络上已有PoC公开,建议用户尽快升级,避免由于该漏洞导致域控沦陷。 简介 微软公司在本月的安全补丁推送中修复了一个长达17年的“蠕虫级”漏洞。据国外研究机构checkpoint描述成功利用SIGRed漏洞可以达到远程提权的效果。其影响几乎市面上主流的所有Windows Server版本(Windows Server 2008 、2012、2016、2019以及之后的Windows Server, version 1903、1909、2004)。目前网络已经有公开的dns拒绝服务PoC代码,请务必重视! 漏洞原理简述 在Windows系统中,DNS客户端主要实现在dnsspi.dll中,而DNS服务端是由dns.exe负责响应和处理请求。而SIGRed漏洞就发生在dns.exe!SigWireRead函数。 可以看到RR_AllocateEx分配内存是通过16位寄存器cx,如果我们这里可以控制其第一个参数大于0xffff,那么就会产生整数溢出,紧接会触发到后面的memcpy导致崩溃。 触发漏洞 引用checkpoint的研究,利用DNS Pointer Compression。这里主要是一种类似指针指向的压缩编码方式。 c00c其中0xc0是引用这个packet内部值的标识。0x0c是基于dns header偏移位置,这里指向 () chain。也就是下图划线的部分。其中08是size,research是value。如果我们修改0x0c为0x0d,那么size就变成0x72,这就是导致unCompression数据长度发生变化,触发整数溢出。 处置建议 升级微软官方最新补丁 临时处置建议 通过设置注册表临时缓解,然后重启dns服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters DWORD = TcpReceivePacketSize Value = 0xFF00 如之后升级补丁,删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters即可。 参考 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350 https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin-exploiting-a-17-year-old-bug-in-windows-dns-servers/ 关注我们

河马WEBSHELL扫描器1.8.0发布

河马查杀1.8.0 发布[抽奖活动见文章末尾] 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新集成PHP深度解码器,PHP深度解码在1.6.x时代完成初步开发,集成于在线查杀,经过几个版本的迭代,正式将PHP深度解码器下放到本地客户端,在使用深度解码器(deepscan)的情况下查杀速度较慢,建议先用常规模式(scan)进行快速查杀,再用深度查杀进行精准差查杀。 另外:全新的查杀引擎2.0的研发工作已经启动,敬请关注! 集成深度PHP解码器,增强PHP类webshell检测能力 linux系统支持扫描 /srv 目录, /srv 在之前的版本作为系统白名单目录被忽略 支持检测冰蝎v2.0.1后门 增加4条php文件检测规则,2条疑似文件检测规则 增加1条jsp疑似文件检测规则 如何使用深度模式 深度解码模式命令格式为hm deepscan <target dir> 下面动图演示了linux系统下先用scan模式进行扫描,接着使用deepscan进行扫描 windows下可以在开始扫描按钮左侧勾选深度模式来决定是否启用深度解码器 BUG修正 修复1.7.x版本遇到大文件后扫描缓慢的问题 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.

河马WEBSHELL扫描器-windows使用教程

windows使用教程 下载安装 访问官网 或者点此直接下载 解压缩zip文件 双击安装程序进行安装 扫描 点击立即扫描选择要扫描的目录 支持选择多个目录 单击开始扫描按钮 使用深度解码器进行深度扫描 处理结果 扫描完成后处理WEBSHELL FAQ: 如果发现扫描失败的提醒请联系我们的技术人员 关注我们 联系我们 如果您在使用中遇到什么问题或者有什么建议欢迎联系我们 QQ: 1494922137 EMAIL: service@shellpub.com

河马WEBSHELL扫描器1.7.1发布

河马查杀1.7.1 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 本次更新为修复性更新,可以通过命令hm update升级到最新版或者在官网下载最新版 BUG修正 修复1.7.0版引入的扫描大文件时引发的OOM问题 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.

saltstack RCE安全通告

安全通告 Saltstack 定位是自动化运维工具,运维工具一旦出现漏洞危害影响较大。同类型的运维工具还有ansible,puppet,Chef 国外安全团体F-Secure报告了两个Saltstack漏洞 包含两个CVE CVE-2020-11651 水平权限绕过漏洞 CVE-2020-11652 任意文件读写漏洞 通过对这两个漏洞的利用可以实现RCE的效果,在控制salt-master之后,通过salt大面积控制在运维系统下的主机 关于saltstack SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。 影响范围 SaltStack < 2019.2.4 SaltStack < 3000.2 问题排查 1.查看进程ps -ef|grep salt 如图所示为阿里云中某机器中招后截图,其中三个salt相关进程。 alicloud-salt-minion 为官方进程 /tmp/salt-minions 为挖矿样本 md5sum /tmp/salt-minions 计算挖矿样本hash为 目前已知恶意hash如下: - a28ded80d7ab5c69d6ccde4602eef861 - 8ec3385e20d6d9a88bc95831783beaeb - 2c5cbc18d1796fd64f377c43175e79a3 - dc5b2fa7f85aa0bbd226afe3b5fcaeea - defc9efd1b430aea797e573922fa49ae file命令查看文件类型,挖矿进程为elf文件 正常文件为python脚本文件 2.检查网路链接netstat -anp|grep tcp|grep ESTABLISHED 如图所示,排除掉本地连接、排除掉入向链接,观察外连进程状态。 已知挖矿主机远程IP如下: - 217.12.210.192 - 206.189.92.32 3.阿里云安全面板通知 如果您使用的阿里云,可以在安全面板上看到如图类似告警,请注意关注安全告警 4.其他行为 目前发现该挖矿程序会关闭cpu占用较高的进程,在系统日志里可以查看到kill记录grep -r "kill" /var/log/messages* 也会关闭docker中的其他挖矿程序 修复建议 建议重装系统,因为salt进程权限为root权限,理论上被黑后,黑客拥有任意权限,可能种入隐藏后门。如果暂时无法重装系统可以使用阿里云提供的一键清理脚本curl https://ageis-check.oss-cn-hangzhou.aliyuncs.com/salt_miner_clean.sh | /bin/bash 升级到安全版本 2019.

河马WEBSHELL扫描器1.7.0发布

河马查杀1.7.0 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 增强大马查杀,修复292个大马绕过; 移除了挖矿检测功能,关于挖矿检测我们后续会推出专门的检测程序; 增强云查杀,本特性会导致扫描速度下降;但是可以快速增强检测能力,只需要在云端增强就可以提高本地的检出能力,而用户无需更新应用版本; 使用了新的汉化(多语言)机制,目前在支持中文的系统下尽量显示中文;目前本产品大多数用户国内用户;linux支持通过环境变量HM_LANG来修改输出语言,参考下方常见问题8 使用了最新的编译器进行编译 BUG修正 修复1.6.0对glibc版本要求过高的BUG 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.32 | >=6 | | OK | | CentOS | <2.6.32 | < 6 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.

河马WEBSHELL扫描器1.6.0发布

河马查杀1.6.0 发布 下载地址 windows版下载 linux64位下载 linux32位下载 Linux版使用教程 windows版使用教程 功能更新 新增hmdocker –docker版的查杀,以适配更多的linux发行版 重写了asp解码,取消跨语言调用;这个特性会导致扫描asp文件速度变慢,但可以检出更多的asp类webshell 增加jar文件检测,检测方法同war文件; 如果您不需要检测jar文件,可以在hm.yml中忽略jar文件 适配Kali系统 新增规则 支持检测phpstudy DLL后门 BUG修正 修复扫描文件时指定输出路径(-output参数)无效的BUG 已知问题 不支持内核2.6.18以下版本(即centos5系统默认内核版本)且无支持计划 兼容性测试 | OS | kernel | version | arch | result | |------------|-----------------|---------|------|-------- | windows | - | >=2003 | 32/64| OK | | CentOS | >=2.6.18 | >=5 | | OK | | CentOS | <2.6.18 | < 5 | 32/64| 不支持 | | Ubuntu | - | - | | OK | | Kali | - | 2.

CVE-2019-0708漏洞预警及修复建议 附POC

CVE-2019-0708漏洞预警及修复建议 附POC 漏洞概述 2019年5月14日,微软发布阅读安全更新,其中包含一个RDP(远程桌面3389)远程代码执行的漏洞安全补丁。该漏洞用允许攻击者利用对外开放的RDP服务直接入侵系统,远程执行代码。 受影响的系统 Windows 7 Windows Server 2008 R2 Windows Server 2008 Windows XP Windows 2003 修复建议 如果您使用的是桌面版的系统,如飞必要,请关闭远程桌面功能 如果是服务器版本,请尽快安装windows漏洞补丁 打开操作系统的自动更新功能 使用杀毒软件 补丁下载地址 windows 7 x64 补丁下载 windows 7 x86 补丁下载 Windows Server 2008 x86 补丁下载 Windows Server 2008 x64 补丁下载 Windows Server 2008 R2 Itanium 补丁下载 Windows Server 2008 R2 x64 Windows Server 2008 Itanium Windows Server 2003 x86 Windows Server 2003 x64 Windows XP SP3 x86 Windows XP SP2 x64 Windows XP SP3 for XPe 备注:x64 表示64位操作系统, x86 表示32位系统

XMLDecoder解析流程分析

XMLDecoder解析流程分析 前言 经过了Weblogic的几个XMLDecoder相关的CVE(CVE-2017-3506、CVE-2017-10352、CVE-2019-2725),好好看了一下XMLDecoder的分析流程。 本文以jdk7版本的XMLDecoder进行分析,jdk6的XMLDecoder流程都写在了一个类里面(com.sun.beans.ObjectHandler) 此处只分析XMLDecoder的解析流程,具体Weblogic的漏洞请看其它几位师傅写的Paper。 WebLogic RCE(CVE-2019-2725)漏洞之旅-Badcode Weblogic CVE-2019-2725 分析报告-廖新喜 不喜欢看代码的可以看官方关于XMLDecoder的文档: Long Term Persistence of JavaBeans Components: XML Schema XMLDecoder的几个关键类 XMLDecoder的整体解析过程是基于Java自带的SAX XML解析进行的。 以下所有类都在com.sun.beans.decoder包中 DocumentHandler DocumentHandler继承自DefaultHandler,DefaultHandler是使用SAX进行XML解析的默认Handler,所以Weblogic在对XML对象进行validate的时候也使用了SAX,保证过程的一致性。 DefaultHandler实现了EntityResolver, DTDHandler, ContentHandler, ErrorHandler四个接口。 DocumentHandler主要改写了ContentHandler中的几个接口,毕竟主要是针对内容进行解析的,其它的保留默认就好。 ElementHandler及相关继承类 XMLDecoder对每种支持的标签都实现了一个继承与ElementHandler的类,具体可以在DocumentHandler的构造函数中看到: 所以XMLDecoder只能使用如上标签。 其中继承关系与函数重写关系如下(很大,可以看大图或者自己用idea生成再看): 如上的继承关系也是object标签可以用void标签替代用的原因,后面详说。 ValueObject及其相关继承类 ValueObject是一个包装类接口,包裹了实际解析过程中产生的对象(包括null) 继承关系: 一般的对像由ValueObjectImpl进行包裹,而null\true\false(非boolean标签)则直接由自身Handler进行代表,实现相关接口。 XMLDecoder过程中的几个关键函数 DocumentHandler的XML解析相关函数的详细内容可以参考Java Sax的ContentHandler的文档。 ElementHandler相关函数可以参考ElementHandler的文档。 DocumentHandler创建各个标签对应的ElementHandler并进行调用。 startElement 处理开始标签,包括属性的添加 DocumentHandler:。XML解析处理过程中参数包含命名空间URL、标签名、完整标签名、属性列表。根据完整标签名创建对应的ElementHandler并添加相关属性,继续调用其startElement。 ElementHandler: 除了array标签以外,都无操作。 endElement 结束标签处理函数 DocumentHandler: 调用对应ElementHandler的endElement函数,并将当前ElementHandler回溯到上一级的ElementHandler。 ElementHandler: 没看有重写的,都是调用抽象类ElementHandler的endElement函数,判断是否需要向parent写入参数和是否需要注册标签对象ID。 characters DocumentHandler: 标签包裹的文本内容处理函数,比如处理<string>java.lang.ProcessBuilder</string>包裹的文本内容就会从这个函数走。函数中最终调用了对应ElementHandler的addCharacter函数。 addCharacter ElementHandler: ElementHandler里的addCharacter只接受接种空白字符(空格\n\t\r),其余的会抛异常,而StringElementHandler中则进行了重写,会记录完整的字符串值。 addAttribute ElementHandler: 添加属性,每种标签支持的相应的属性,出现其余属性会报错。 getContextBean ElementHandler: 获取操作对象,比如method标签在执行方法时,要从获取上级object/void/new标签Handler所创建的对象。该方法一般会触发上一级的getValueObject方法。 getValueObject ElementHandler: 获取当前标签所产生的对象对应的ValueObject实例。具体实现需要看每个ElementHandler类。