New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

请教,该系统是如何防御反弹shell的攻击的? #808

Closed
leoomo opened this Issue Nov 15, 2017 · 3 comments

Comments

Projects
None yet
3 participants
@leoomo

leoomo commented Nov 15, 2017

[简述你的问题]
请教,该系统是如何防御反弹shell的攻击的?

使用版本

[请提供你使用的Jumpserver版本 0.3.2 或 0.4.0]
0.4

问题复现步骤
  1. [步骤1]
  2. [步骤2]
具体表现[截图可能会更好些,最好能截全]
其他

[注:] 完成后请关闭 issue

@ibuler

This comment has been minimized.

Show comment
Hide comment
@ibuler

ibuler Jan 15, 2018

Member

不明白什么是反弹式shell攻击

Member

ibuler commented Jan 15, 2018

不明白什么是反弹式shell攻击

@liuzheng

This comment has been minimized.

Show comment
Hide comment
@liuzheng

liuzheng Jan 19, 2018

Member

暂时未考虑反弹shell,但是按照设计,弹不出来吧。
我思考一下。。。。
在保证内网隔离的情况下,仅仅暴露出jumpserver是弹不出来的,能弹的目标机器也是jumpserver,然后既然你提到了反弹,你就有安全意识,所以默认你会配置iptables或者AWS这类的security group,所以针对jumpserver这个暴露到公网的机器,仅允许http和ssh过来的流量,这是第一,第二,web页面几乎没注入点,要能有反弹的能力得首先把django的用户认证体系攻破,第三,ssh这边我们已经包了一层了,完全仅允许我们设计的命令进行操作,整个交互式做了沙盒了,同样要有反弹的机会前提是把ssh破了。
然后就是定时任务,我们这边的定时任务都是没有提供交互的,hard code,在使用了jumpserver Team提供的源代码及产品,不存在木马程序和恶意代码,这种硬编码的能破,也基本上黑客已经拿到jumpserver的宿主机权限,这就敞开大门了,宿主机要破,只有ssh,原生的ssh及系统用户名密码保护好,这个不可能攻下,jumpserver提供的ssh,只有基本的交互式,大家都在喊功能不够。。。黑客就更没什么命令可以敲了,前提还是黑客拿到泄露的ssh的用户和密钥了,拿到了,就有系统权限。

综上,不要使用弱密码和泄露自己的key,没问题,泄露的就不是jumpserver的代码安全性问题。

以上分析是排除了内鬼啊,以一个外部黑客的角度进行攻击。

安全性来说,我很负责人的告诉你我的安全背景:SAP 2017 Global CTF( Winner Team),SAP 2017 China CTF(Winner Team)。常规的安全防范还是能考虑到的。

Member

liuzheng commented Jan 19, 2018

暂时未考虑反弹shell,但是按照设计,弹不出来吧。
我思考一下。。。。
在保证内网隔离的情况下,仅仅暴露出jumpserver是弹不出来的,能弹的目标机器也是jumpserver,然后既然你提到了反弹,你就有安全意识,所以默认你会配置iptables或者AWS这类的security group,所以针对jumpserver这个暴露到公网的机器,仅允许http和ssh过来的流量,这是第一,第二,web页面几乎没注入点,要能有反弹的能力得首先把django的用户认证体系攻破,第三,ssh这边我们已经包了一层了,完全仅允许我们设计的命令进行操作,整个交互式做了沙盒了,同样要有反弹的机会前提是把ssh破了。
然后就是定时任务,我们这边的定时任务都是没有提供交互的,hard code,在使用了jumpserver Team提供的源代码及产品,不存在木马程序和恶意代码,这种硬编码的能破,也基本上黑客已经拿到jumpserver的宿主机权限,这就敞开大门了,宿主机要破,只有ssh,原生的ssh及系统用户名密码保护好,这个不可能攻下,jumpserver提供的ssh,只有基本的交互式,大家都在喊功能不够。。。黑客就更没什么命令可以敲了,前提还是黑客拿到泄露的ssh的用户和密钥了,拿到了,就有系统权限。

综上,不要使用弱密码和泄露自己的key,没问题,泄露的就不是jumpserver的代码安全性问题。

以上分析是排除了内鬼啊,以一个外部黑客的角度进行攻击。

安全性来说,我很负责人的告诉你我的安全背景:SAP 2017 Global CTF( Winner Team),SAP 2017 China CTF(Winner Team)。常规的安全防范还是能考虑到的。

@liuzheng liuzheng closed this Jan 19, 2018

@liuzheng

This comment has been minimized.

Show comment
Hide comment
@liuzheng

liuzheng Jan 19, 2018

Member

连进门的钥匙和机会都没有,怎么弹?进去了,我可以认为credential泄露。

当然,我们还是很欢迎白帽子来做安全测试的

Member

liuzheng commented Jan 19, 2018

连进门的钥匙和机会都没有,怎么弹?进去了,我可以认为credential泄露。

当然,我们还是很欢迎白帽子来做安全测试的

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment