分享 | 論0day抓取的姿勢

整個過程僅講思路的實現，因筆者日常工作并不相關，從構思到實現，前前后后大概花了兩個月時間，未對數據進行整理，也未列出具體的步驟，僅供研究與參考，思路如有雷同，那真是太好了

概念

根據維基百科的解釋，在電腦領域中，零日漏洞或零時差漏洞（英語：zero-day vulnerability、0-day vulnerability）通常是指還沒有補丁的安全漏洞，而零日攻擊或零時差攻擊（英語：zero-day exploit、zero-day attack）則是指利用這種漏洞進行的攻擊。

提供該漏洞細節或者利用程序的人通常是該漏洞的發現者。

零日漏洞的利用程序對網絡安全具有巨大威脅，因此零日漏洞不但是黑客的最愛，掌握多少零日漏洞也成為評價黑客技術水平的一個重要參數。

構思

目前大多數漏洞都是以Web為主，那么在HTTP中都是流量都是可見的，那么可以進行流量的入侵檢測，入侵檢測主要分為兩個途徑

第一個是網絡告警，就是在內外網通信中查找攻擊者入侵跡象

第二個是系統告警，就是在系統上查找攻擊者存在的跡象，我們從網絡層面和系統層面實現捕獲0day。

一般攻擊路徑都是通過互聯網進行，那么我們利用屬于DMZ區的一臺服務器上搭建一個docker漏洞環境，然后通過falco進行CONTAINER內執行命令的監控，在互聯網側通過packetbeat進行HTTP的payload的的捕獲。

俗話說，工遇善其事，必先利其器，需要打造自己的捕獲利器。

打造屬于自己的開源捕獲利器

找大佬要了個EXP集合工具，致遠的老版本漏洞，運行一下，從流量中可以看到各個payload，那么應該可以將這些HTTP流量中的payload進行捕獲，化為己用。

先嘗試通過packetbeat進行HTTP的payload的捕獲，先看能不能捕獲到，從流量中是可以看到能夠捕獲到payload的，那么這個構思初步是可行的。

實戰演練

光說不練假把式，通過vulhub進行環境搭建，以tomcat弱口令來進行復現，一直到拿到webshell來看整個過程是否能夠捕捉到

搭建環境

tomcat弱口令上傳冰蝎木馬，執行操作

連接冰蝎，執行命令

從流量中我們看到冰蝎的馬執行的一些命令是加密的

我們在es中也只能看到有流量

能夠看到一通操作猛如虎，但是HTTP中啥也看不到

通過es語法篩選是能看到整個整個過程的，從過程中能夠推斷入侵手法

通過監控容器內執行命令，可以看到能夠監控到在冰蝎馬里面執行的ls命令，一系列操作都能監控

看著falco的標準輸出有好多種，至于falco的日志可以進行標準化輸出（原始輸出實在是太難讀了），es的也可以進行標準化的輸出，找個地方存儲起來就構成了自己的”威脅情報”了

小結

安全界大家都說”未知攻，焉知防”，通過從流量側和系統側實現攻擊者的入侵手法，從威脅情報的角度應該說TTP更合適（手動狗頭），其實整個過程更像是蜜罐思路的實現，蜜罐捕獲0day應該算是一種常見的操作吧

以上經過多次實驗，對于weblogic等使用T3協議或其他非HTTP協議并不適用(主要因為packetbeat不支持)，只能從系統側去想辦法，感謝各位大佬的閱讀與支持.

文章來源：菜鳥學安全