本文原载于公众号：雷神众测

作者：分子实验室

漏洞类组件

01 Web 服务

组件 Tomcat

漏洞说明1

CVE-2020-1938（需要公网开放 AJP 端口，且上传点在 Webapps 目录下 ）

特征：关注文件上传

漏洞说明2

Tomcat Console 弱口令

特征：关注账号登录

组件 Weblogic

漏洞说明1

Xmldecoder 反序列化（通过 HTTP 方式触发）

特征：关注反序列化Gadgets

漏洞说明2

T3 反序列化（一般在内网比较好用，主要几个要点：

1、若打过一次weblogic 补丁之后CommonsCollections Gadget 无法使用，因此在

10.3.6 版本上最好使用 7u21 否则无解。

2、12C 的 weblogic 可以使用 Coherence 的Gadget，比较稳妥）

特征：关注反序列化Gadgets

漏洞说明3

Weblogic console 弱口令

特征：关注账号登录

组件 WebSphere

漏洞说明1

CVE-2020-4450，IIOP 反序列化

特征：关注反序列化Gadgets

漏洞说明2

admin console 弱口令

特征：关注账号登录

组件 JBOSS

漏洞说明1

CVE-2017-12149

特征：关注反序列化Gadgets

漏洞说明2

Jboss console 弱口令

特征：关注账号登录

02 框架组件

组件 Spirng FrameWork

漏洞说明

反序列化漏洞

特征：关注反序列化Gadgets

组件 Shiro

漏洞说明

反序列化漏洞

特征：关注反序列化Gadgets

组件 CAS

漏洞说明

反序列化漏洞、任意文件读取

特征：关注反序列化Gadgets

组件 Fastjson

漏洞说明

反序列化漏洞

特征：关注反序列化Gadgets

03 OA 系统

组件 泛微组件

漏洞说明1

E-cology

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明2

E-mobile

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明3

E-bridge

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明4

E-office

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明5

E-message（登陆后能够上传 jar、可导致代码执行）

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

组件 致远 OA

漏洞说明1

A8

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

漏洞说明2

A6

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

组件 通达 OA

漏洞说明

信息泄露、RCE、未公开 0day

特征：关注 SQL 注入、文件上传功能、以及未公布一些漏洞

04 邮件系统

组件 coremail

漏洞说明

信息泄露、任意文件读取、RCE、未公开 0day

特征：关注异常代码执行、文件上传功能等异常请求

组件 亿邮

漏洞说明

信息泄露、RCE、未公开 0day

特征：关注异常代码执行、文件上传功能等异常请求

05 ERP 系统

组件 金蝶

漏洞说明

信息泄露、RCE、未公开 0day

特征：关注异常代码执行、文件上传功能等异常请求

组件 用友

漏洞说明

关注异常反序列化数据流、或者 base64 之后反序列化数据流

特征：关注异常代码执行、文件上传功能等异常请求

组件 禅道

漏洞说明

命令执行、代码执行、文件上传

特征：关注异常代码执行、文件上传功能等异常请求

06 站群门户

组件 PHPCMS

漏洞说明

命令执行、代码执行、文件上传

特征：关注异常代码执行、文件上传功能等异常请求

组件 大汉

漏洞说明

命令执行、代码执行、文件上传

特征：关注异常代码执行、文件上传功能等异常请求

Webshell 类

01 菜刀(Chopper)

平台版本 20141018

后门说明

默认一句话、6K、149K，包括 PHP、ASP.NET、ASPX、JSP 等环境版本，一般会做免杀处理，会结合代理使用

特征：关注协议特征+ 日志

02 冰蝎(Behinder)

平台版本 v3.0

后门说明

默认后门较小，1K，包括 PHP、ASP、ASP.NET JSP 等环境版本，一般会做免杀处理，会结合代理使用

特征：关注协议特征+日志

03 reGeorg

平台版本 v1.0

后门说明

默认 5K、6K,包括 PHP、ASP.NET、JSP 等环境版本，一般会做免杀处理，主要用于代理配合使用

特征：关注协议特征+ 日志

04 reDuh

平台版本 v.0.3

后门说明

默认 12K 到 30K 左右,包括 PHP、ASP.NET、JSP 等环境版本，一般会做免杀处理，主要用于代理 配合使用

特征：关注协议特征+ 日志

05 Tunna

平台版本 v1.1

后门说明

默认 7K 到 9K 左右,包括 PHP、ASP.NET、JSP 等环境版本，一般会做免杀处理，主要用于代理配合使用

特征：关注协议特征+ 日志

06 ABPTTS

平台版本 2016

后门说明

默认 20K 到 30K 左右,包括 ASP.NET、JSP/WAR 等环境版本（无 PHP），一般会做免杀处理，主要用于代理配合使用

特征：关注协议特征+ 日志

扫描刺探类

01 系统服务扫描

扫描方式 服务端口

刺探说明

通过 nmap、masscan 等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等

特征：关注协议特征+ 频率

02 Web 漏洞扫描

扫描方式 Web 服务端口

刺探说明

通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等，扫描器特征一般有 Acunetix WVS、Netsparker 等

特征：关注协议特征+ 频率

03 系统扫描（内网）

扫描方式 服务端口、版本

刺探说明

通过 nmap、masscan、metasploit 脚本、ICMP SMB 单协议扫描脚本等网络协议扫描工具识别目标系统存活、系统版本、端口开放情况、服务版本、服务漏洞等

特征：关注协议特征+ 样本+频率

04 Web 扫描（内网）

扫描方式 Web 服务端口

刺探说明

通过对HTTP/HTTPS 的Web 服务端口进行扫描识别目标系统的服务版本、组件版本、中间件漏 洞等，一般通过专用漏洞扫描工具进行

特征：关注协议特征+ 样本+频率

05 弱口令扫描

扫描方式 服务端口

刺探说明

通过字典对系统管理端口和协议、数据库端口、Web 服务管理端口等进行弱口令扫描，比如SSH、RDP、SMB、MySQL、SQLServer、Oracle FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL IMAP、IMAP_SSL、SVN、VNC、Redis 等服务的弱口令

特征：关注协议特征+ 样本+频率

0day 漏洞类

01 溢出类

平台版本 Windows SMB

漏洞说明

主要为操作系统的漏洞，内网利用为主，比如MS17-010 漏洞，直接获取存在漏洞的系统管理权限

特征：关注协议特征+ 样本+日志

02 反序列化

平台版本 Web 服务、中间件

漏洞说明

通主要为 Web 服务比如：Weblogic、WebSphere 等，中间件和组件：比如 Spirng FrameWork、Shiro、CAS、Fastjson 等

特征：关注协议特征+ 样本+日志

03 代码执行

平台版本 应用组件

漏洞说明

主要为 Web 应用组件比如：禅道、PHPCMS、大汉、通达 OA、coremail、亿邮等 Web 站点应用

特征：关注协议特征+ 样本+日志

04 信息泄露

平台版本 应用组件

漏洞说明

主要为 SQL 注入漏洞、路径遍历等泄露敏感配置文件等，比如泛微组件、致远 OA、通达 OA、coremail、亿邮等

特征：关注协议特征+ 样本+日志

05 漏洞获取

平台版本 Web 管理后台

漏洞说明

通过存储型 XSS 漏洞诱骗管理权限用户点击，获取管理权限用户的Cookie，从而获得关联的后台管理权限

特征：关注特权用户动态+样本+日志

06 客户端

平台版本 浏览器、APP

漏洞说明

通过浏览器进程会话、APP 应用克隆获取当前会话权限，并通过会话权限获取关联用户凭据

特征：关注特权用户动态+样本+日志

管理系统类

01 运维审计系统

平台版本 堡垒机

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后，批量操作堡垒机管理的主机，比如获 得 JumpServer 堡垒机系统权限后，可以直接管理堡垒机上主机

特征：关注用户登录动态+行为+日志

02 运维监控系统

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取系 统权限后，批量操作监控系统上主机，比如获得Nagios、Zabbix 等运维监控系统权限后，可以直接下发命令到主机

特征：关注用户登录动态+行为+日志

03 云管理平台

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后，批量操作云上虚拟主机，比如获得Citrix、VMware ESXi、Azure、阿里云等管理后台权限后，可以直接下发命令到虚拟主机

特征：关注用户登录动态+行为+日志

04 容器管理平台

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后，批量操作容器和微服务，比如获得Swarm、Kubernetes、Mesos 等容器管理平台系统权限后，可以直接操作容器

特征：关注用户登录动态+行为+日志

05 安全管理平台

平台版本 管理后台

系统说明

通过代码执行漏洞、信息泄露、弱口令等获取平 台权限后，可以操作安全防护策略，比如获得态 势感知平台、EDR 等管理平台系统权限后，可以修改安全策略使其防护失效

特征：关注用户登录动态+行为+日志

社工类样本

01 交互式

实施方式 反馈获取

样本说明

通过邮件、电话冒充合作伙伴或内部管理人员直 接询问已获取到的名单人员的敏感信息，不投送后门程序

特征：关注行为特征+ 样本

02 仅信息

实施方式 点击链接

样本说明

通过邮件诱骗已获取到的名单人员点击 URL 链接，不投送后门程序，只获取浏览器、IP 等基本信息

特征：关注行为特征+ 样本

03 后门投放

实施方式 点击运行

样本说明

通过邮件诱骗已获取到的名单人员点击附件运行（看起来像图片或 Office 文档，实际为 exe、vbs、js 等多重扩展名），投送后门程序，一般会做免杀处理

特征：关注行为特征+ 样本

04 漏洞投放

实施方式 点击运行

样本说明

通过邮件诱骗已获取到的名单人员点击包含漏洞的附件文档（Office、PDF 等），触发漏洞后下载后门程序，后门一般会做免杀处理

特征：关注行为特征+ 样本

05 广撒网式

实施方式 主动运行

样本说明

通过微博、微信公众号等发布热点相关咨询文章，诱骗下载执行后门程序，后门一般会做免杀 处理，不会立即触发远控功能，先潜伏静默然后 加入任务计划执行

特征：关注行为特征+ 样本

后门类工具

01 Metasploit

平台版本 4.17 Pro

后门说明

默认生成的 PE 后门小于 10K，一般会做免杀处理，通常内网使用 TCP 协议，到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹

特征：关注协议特征+ 频率

02 Cobalt Strike

平台版本 4.1 Licensed

后门说明

默认生成的 PE 后门小于 20K，一般会做免杀处理，通常内网使用 SMB 协议，到外网使用HTTP/HTTPS、DNS、ICMP 等协议反弹

特征：关注协议特征+ 频率

03 Core Impact

平台版本 19.1 Pro

后门说明

默认生成的 PE 后门较大，大于 200K，一般会做免杀处理，通常内网使用 TCP 协议，到外网使用HTTP/HTTPS、DNS 等协议反弹

特征：关注协议特征+ 频率

04 DanderSpritz

平台版本 1.3.0.0

后门说明

默认生成的 PE 后门较大，70~150K，模块化， 一般会做免杀处理，通常内网使用 TCP 协议，到外网使用 HTTP/HTTPS、UDP 等协议反弹

特征：关注协议特征+ 频率

05 lcx(HTran)

平台版本 v1.0

后门说明

默认生成的 PE 后门 50K 左右，一般会做免杀处理，用来协议 Socks 代理

特征：关注协议特征+ 频率

06 ew(EarthWorm)

平台版本 free 1.0

后门说明

默认生成的 PE 后门 50K 左右，,mac、linux 版本30K 左右，一般会做免杀处理，用来协议 Socks 代理

特征：关注协议特征+ 频率