大家好
我是带头大姐
一个集智慧与邪恶于一身的妹砸
昨晚
一个不乏高潮但又有一丝伤痛底色的St2陪伴之夜
运维、网管、白帽子、灰帽子、黑帽子
彻夜未眠倾巢出动奋夜激战
各伙儿带头大哥路人甲小老板个体户
或手持库存重武器或自制小米加步枪
或发动攻击或救急灭火
第一轮硝烟余烬未散补天漏洞响应平台就被这样的界面铺满
盛传的段子这样说道:
银行的领导一觉醒来发现,
业务系统被黑了、漏洞被公布了、waf没电了?
不得不感叹时光红了樱桃绿了芭蕉
感叹St2赚了甲乙丙丁苦了银行金融
以下
带头大姐嘚吧嘚昨夜之星——Apache Struts2
随着全球范围的黑客入侵不断猖獗
信息安全问题越来越严重
昨天,ApacheStruts2漏洞再次狂袭了整个互联网。
波及范围之广,影响程度之深令人瞠目。
漏洞简介
2016年4月21日
Struts2官方发布CVE-2016-3081,官方评级为高。
在用户开启动态方法调用的情况下,
攻击者可以实现远程代码执行攻击。
http://struts.apache.org/docs/s2-032.html
影响范围
影响的具体版本是Struts 2.0.0-Struts2.3.28 (不包括2.3.20.2和2.3.24.2)。当动态方法调用被启用时,它可以通过一个恶意的表达式,在服务器端执行任意代码。此漏洞的必要条件是:Struts 2.0.0-Struts 2.3.28 (不包括2.3.20.2和2.3.24.2),并且开启动态方法调用。因此,该漏洞并不会对全部使用struts2的厂商造成危害。
如何检测
该漏洞可以对服务器进行操作,直接执行命令,上传webshell导致站点沦陷,控制整个服务器。
如果想测试自己的struts2系统是否存在漏洞,请使用以下三个命令。将利用代码加在网页链接之后,查看页面是否有回显结果Vulnerable,若回显结果为Vulnerable,请禁用Dynamic Method Invocation。若必须开启,请升级版本。官方已经推出了2.3.20.2、2.3.24.2和2.3.28.1修复这个问题,大家可以针对自己所使用的版本进行升级。
利用代码
method%3A%23_memberAccess%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS,%23res%3D%40org.apache.struts2.ServletActionContext%40getResponse(),%23w%3D%23res.getWriter(),%23w.print(%23parameters.butian%5B0%5D),1%3F%23xx%3A%23request.toString&butian=Vulnerable
升级下载地址:
https://struts.apache.org/download.cgi#struts23281
一夜之间
同系列漏洞被成捆揭露论斤曝光
有人在疑惑
朝阳群众也来混黑客界了?
当然不是!
对于昨夜在一线撸站的黑帽子
带头姐想说
喃们准备好换洗衣服了么?
记得跟你家人说给你存钱买老干妈,
进去守点规矩,见到头铺客气点
有关系就赶紧联系免得吃苦
一般都是37天批捕,三个月宣判
记得公检司法看守所监狱管理局都要搞好关系
里面的日子长着呢。
金钱诚可贵、自由价更高啊~
作为一个白帽子,在某种假想里
我眼睁睁的看着自己被各种名利诱惑击倒过一千次
脱裤篡改卖数据已经几百个回合。
但事实上,我却从来没有这样干过。
因为精神和肉体都是一样脆弱的,
一旦被抓,就是被抓了。
做一个光明磊落的白帽子,
我们都只有一次机会而已。
对于心惊胆战不知所措的厂商
带头姐想说
假如“系统被黑”今天伤害了你
不要悲伤,不要哭泣
因为明天漏洞还会继续伤害你。
这世界里没有一件事情是虚空而生的,
站在光里,背后就会有阴影;
这深夜里一片寂静,是因为你还没有听到声音。
昨晚的电闪雷击只是冰山一角
更大的暴风雨终会来临!
寻找全能的安全守卫者真乃当务之急
为解决企业安全困扰、补天众测应运而生
补天众测是补天漏洞响应平台为企业量身打造的安全测试服务平台,依托于补天积累多年的白帽子资源和丰富的企业服务经验,在得到企业授权前提下,集结精英白帽子对企业进行专业的漏洞检测,检测结束提供专业详实的修复方案,让企业快速排除漏洞安全隐患,迅速提升安全防护能力。
迅速预警机制——第一时间推送高危漏洞预警,响应快人一步。
专家修复建议——确保漏洞快速修复、拒绝不知所措。
项目漏洞报告——有效评估企业的安全状况、提前预防。
漏洞回捡机制——实现漏洞的真正修复、踏实安心。
带头姐摸脑袋想想
如果早用补天众测
昨晚
会不会不用睡的那么累那么晚呢?
网站会不会免遭成吨的攻击脱库呢?
互联网不止,漏洞不息
补天平台愿天下厂商与白帽子
尽得欢娱!