奇虎360陈思雨：通过漏洞组合利用实现企业内网入侵(3)

通过简单的例子说明确实能够结合反序列化漏洞和消息注入攻击 Celery 分布式框架.存在消息注入的问题,不仅限于 Celery 的分布式框架,在其它的语言应用中也存在着这样的问题,只是没有被挖掘出来.

4、总结

为什么存在漏洞攻击的问题,最大的原因就是在存在 SSRF 漏洞的服务器上,没有限制接口资源的访问,这会导致攻击者可以控制你所请求的连接,然后可能会往你的内网服务器进行攻击的尝试.

在 SSRF 的漏洞中,它支持 gopher 协议进行更加广的攻击面.在企业内网中存在着很多弱口令服务,应用的弱口令或者说空口令.如果 Redis 的未授权,可能还有其它的一些未授权情况.

有一次做安全测试的时候,有一家公司叫我们从外网进行攻击尝试,我找到了 SSRF 漏洞.我对它的内网进行简单地探测,发现内网中存在着大量的 java 应用.

当时处在 java 反序列化爆发的期间,我自己已经把攻击的问题实现.我结合 SSRF 的漏洞攻击企业的内网,直接拿到了一台服务器权限.

这台服务器又保存了管理服务器的登录公钥和私钥,相当于集群部署的 muster 在服务器上,直接拿到了服务器下面的所有管理的服务器权限我都可以访问.

涉及到生产环境的服务器.说明在内网中这些脆弱的点,我们需要特别去关注.

反序列化的漏洞问题这跟运维关系不是特别大.开发人员进行功能开发的时候,常使用一些存在潜在问题的代码方法.

但运维在配置的时候存在一定的安全问题,也有 Redis 未授权口令问题.结合这些问题可以进行组合攻击,可以形成非常大的影响.

有一些关键字我进行了标记,那就是管理运维必须要注意的点.如未授权、服务器权限、配置不当、间接攻击、默认配置,未验证资源来源.

通过两个实例讲解,希望运维朋友们能够更加重视安全,重视运维过程中那些细小的点,不留下任何的安全隐患.

（编辑：ASP站长网）