BilalAlshiekh912/Incident-Response-Report-TeamCity-Compromise-CVE-2024-27198-
GitHub: BilalAlshiekh912/Incident-Response-Report-TeamCity-Compromise-CVE-2024-27198-
一份基于 CyberDefenders 实验环境的 TeamCity 服务器被入侵的事件响应取证报告,详细记录了从流量分析到攻击链还原的完整调查过程。
Stars: 0 | Forks: 0
# 事件响应报告:TeamCity 遭到入侵 (CVE-2024-27198)
**分析师:** Belal Abdelsalam
**日期:** 2026年7月
**实验室/环境:** CyberDefenders JetBrains
## 📄 执行摘要
本报告记录了对受感染的 JetBrains TeamCity 服务器(版本 2023.11.3)的取证分析。通过分析提供的网络数据包捕获(`.pcap`),调查确认外部威胁行为者利用路径遍历漏洞(CVE-2024-27198)绕过了身份验证机制。随后,攻击者上传了一个包含 Java Server Page (JSP) webshell 的恶意插件,实现了远程代码执行 (RCE) 并进行了进一步的系统枚举。
## 🔍 1. 初始访问与侦察
调查从识别异常流量的来源开始。使用 **Wireshark**,我导航到 `Statistics > Conversations > IPv4` 来识别与 Web 服务器通信量最大的端点。
* **攻击者 IP:** `23.158.56.196`
* **目标服务器:** `2023.11.3`
过滤 HTTP POST 请求(`http.request.method == "POST"`)的流量后,我确定了最初的利用向量。攻击者通过在 REST API endpoint 后面附加结构化分号,利用了一个已知的身份验证绕过漏洞:
* **利用请求:** `POST /app/rest/users;.jsp`
* **识别出的漏洞:** CVE-2024-27198
这使得攻击者能够在没有有效凭据的情况下生成管理员访问 token。
## 🪝 2. 通过部署 Webshell 实现持久化
跟踪这些请求的 TCP 流,发现攻击者上传了一个格式为 `.zip` 压缩包的恶意 TeamCity 插件。
* **恶意压缩包:** `NSt8bHTg.zip`
* **Webshell Payload:** 检查 zip 上传的明文 HTTP 流揭示了内部目录结构,确认存在一个名为 `NSt8bHTg.jsp` 的 JSP 后门。
## ⚙️ 3. 执行与系统枚举
为了了解入侵的程度,我跟踪了攻击者与新部署的 webshell 的交互。
通过应用过滤器 `http.request.uri contains "cmd="`,我成功隔离了命令与控制 (C2) 流量。攻击者直接通过 URL 参数传递了操作系统命令。
跟踪这些 HTTP GET 请求的 TCP 流让我能够读取服务器的明文响应,揭示了攻击者的枚举步骤:
1. **用户发现:** 执行了 `whoami` 以确定权限级别。
2. **网络发现:** 执行了 `ls` 以映射内部文件。
3. **防御规避:** 攻击者试图通过将路径 `C:\TeamCity` 和 `C:\Windows` 显式添加到 Windows Defender 的目录排除项中来隐藏其踪迹。
## 🚩 入侵指标 (IOCs)
| 类型 | 指标 | 描述 | MITRE ATT&CK |
| :--- | :--- | :--- | :--- |
| **IP 地址** | `23.158.56.196` | 攻击来源 | T1190 |
| **URL 路径** | `/app/rest/users;.jsp` | 身份验证绕过利用向量 | T1190 |
| **文件** | `NSt8bHTg.zip` | 恶意 TeamCity 插件 | T1505.003 |
| **文件** | `NSt8bHTg.jsp` | Webshell 后门 | T1505.003 |
## 🛡️ 结论与修复建议
威胁行为者成功利用 CVE-2024-27198 获取了初始访问权限,上传了自定义 webshell 以实现持久化,并执行了系统命令来枚举主机并规避本地防御。
**建议操作:**
* **隔离:** 立即将受影响的 TeamCity 服务器与网络断开。
* **打补丁:** 将 TeamCity 升级到 2023.11.4 版本,或应用 JetBrains 安全补丁插件。
* **搜捕:** 在更广泛的网络中扫描已识别出的 IOC,以确保攻击者没有使用受感染的服务器作为据点(beachhead)渗透到内部基础设施。
*免责声明:本仓库仅出于教育目的,作为受控的 CyberDefenders 实验环境的一部分。请勿将此类技术用于您不拥有或未获得明确测试许可的系统。*
标签:Burp Suite 替代