文章总结： 该文档记录了一次HVV护网行动中服务器被攻破的应急响应全过程。攻击者利用网站后台弱口令、swagger-ui/druid未授权访问等漏洞，通过Neo-reGeorg工具尝试建立HTTP隧道进行内网渗透。安全设备实时监测到异常登录和木马植入行为并及时拦截。文档揭示了接口鉴权缺失导致敏感数据泄露的风险，并强调了在真实攻击场景下可能造成的严重后果。 综合评分： 78 文章分类： 应急响应,漏洞分析,内网渗透,红队,安全建设

HVV | 记一次护网服务器被攻破的应急响应，有意思

原创

d0ublewei d0ublewei

大伯为安全

2024年10月31日 17:00 湖北

在小说阅读器读本章

去阅读

前言

在一个月黑风高的夜晚，猴子们睡的正香呢，服务器突然收到告警，完了，难道被打穿了？

赶紧打起精神，打仗了，各位！

监测发现

深更半夜，服务器收到告警，监控日志发现服务器存在异常登录情况，暂时发现异常登录 IP 地址有 3 个，分别为：223.x.x.170、59.x.x.47、27.x.x.66（后面还发现好多好多 IP，就不写了，太多了）。

攻击人员登录成功后居然企图对服务器进行木马植入，但是被安全设备实时监控发现，并进行了实时处理（安全设备防的好啊）。

分析安全设备日志，发现攻击 IP 如下

这还得了，干！

分析溯源

还是先分析日志，发现网站后台管理平台存在弱口令（其实严格来说不能算弱口令，因为密码是符合复杂性要求的，但还是被拿下了，太难了哥们）。

所以攻击人员晚上使用弱口令成功登录网站后台管理平台，获取管理员权限后对后台资源数据进行获取。

Web 访问日志也有所记录

攻击人员尝试使用工具 Neo-reGeorg 搭建 http 隧道进行内网渗透，于是上传了 tunnel.jsp 文件并访问，还好被安全策略隔离了。

这个工具我在前面写过，有兴趣可以看看：

隧道技术 | 不会挖隧道的渗透测试工程师不是好牛马

223.x.x.170 - - [14/Oct/2024:21:43:47 +0800] "GET /tunnel.jsp HTTP/1.1" 200 20249 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36"

随后，攻击人员发现了 swagger-ui/druid 未授权访问漏洞，并且存在弱口令可以进行登录，然后获取到 API 接口，网站 5 个端口下都存在 druid 弱口令，攻击者通过该漏洞可以获取到大量 API 接口数据。

他换着 UA 不停的扫描看到没

这里的 UA 都是百度和 google 的爬虫

攻击人员利用该接口未授权访问获取到网站后台内部数据，访问数据如下

由于接口鉴权缺失，攻击人员在不登陆的情况下可以获取到大量敏感信息数据，经过客户允许这里我们复现了一下，只能说庆幸不是恶意攻击，只是 HVV 而已，否则后果不堪设想啊！

PS：原谅厚码，敏感信息实在太多

更多技术文章即将来袭！

关注公众号，不迷路！

END

往期精彩回顾

墙裂推荐！！一键更换Linux优质的软件源和docker源，要多方便有多方便

frp | 开源内网穿透利器，速速用起来

大闹天宫 | 被安全社区誉为可以“黑掉整个宇宙”的神器-1

Metasploit漏洞利用 | 被安全社区誉为可以“黑掉整个宇宙”的神器-2

Metasploit木马生成 | 被安全社区誉为可以“黑掉整个宇宙”的神器-3

内网渗透 | MSF&FRP | 无法直接访问的目标如何通过搭建代理进一步渗透？

HVV | 记一次护网Webshell告警分析研判，真真假假

1024程序员节 | 渗透测试精准狙击目标内网服务-何为端口转发技术？

目标网络限制严格CS拿不到权限怎么办？试试这个高级玩法—隧道上线

点击关注

渗透测试

信息安全

安全工具

戳“阅读原文”一起来充电吧!

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：大伯为安全 d0ublewei d0ublewei《HVV | 记一次护网服务器被攻破的应急响应，有意思》