溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

webshell被上傳溯源事件的示例分析

發(fā)布時(shí)間:2022-01-13 15:40:25 來(lái)源:億速云 閱讀:202 作者:小新 欄目:網(wǎng)絡(luò)管理

這篇文章將為大家詳細(xì)講解有關(guān)webshell被上傳溯源事件的示例分析,小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考,希望大家閱讀完這篇文章后可以有所收獲。

巡檢查殺

首先,我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的,我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺,進(jìn)行巡檢,找找看是否被別人入侵了,是否存在后門等等情況。雖然報(bào)的是我們公司的ip地址,萬(wàn)一漏掉了幾個(gè)webshell,被別人上傳成功了沒(méi)檢測(cè)出來(lái),那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器,上傳這個(gè)webshell查殺工具進(jìn)行查殺,使用netstat -anpt和iptables -L判斷是否存在后門建立,查看是否有挖礦程序占用CPU,等等,此處不詳細(xì)展開了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵,然后我開始著手思考這個(gè)上傳點(diǎn)是怎么回事。

文件上傳漏洞回顧

首先,我向這個(gè)和我對(duì)接的研發(fā)人員咨詢這個(gè)服務(wù)器對(duì)外開放的地址,要了地址之后打開發(fā)現(xiàn),眼熟的不就是前不久自己測(cè)試的嗎?此時(shí),我感覺有點(diǎn)懵逼,和開發(fā)人員對(duì)質(zhì)起這個(gè)整改信息,上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制,只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn),這個(gè)雖然上傳是做了白名單限制,也對(duì)上傳的文件名做了隨機(jī)數(shù),還匹配了時(shí)間規(guī)則,但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文件名,這個(gè)和他提議要進(jìn)行整改,不然這個(gè)會(huì)造成這個(gè)文件包含漏洞,他和我反饋這個(gè)確實(shí)進(jìn)行整改了,沒(méi)有返回這個(gè)路徑了。

文件后綴編碼繞過(guò)

討論回顧完上次整改的問(wèn)題之后,理清了思路。然后我登錄了網(wǎng)站查看一下原因,因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方,我進(jìn)行抓包嘗試,使用了repeater重放包之后,發(fā)現(xiàn)返回包確實(shí)沒(méi)有返回文件上傳路徑,然后我又嘗試了各種繞過(guò),結(jié)果都不行。最后苦思冥想得不到結(jié)果,然后去問(wèn)一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因??戳嗽破脚_(tái)反饋的結(jié)果里面查殺到有圖片碼,這個(gè)問(wèn)題不大,上傳文件沒(méi)有執(zhí)行權(quán)限,而且沒(méi)有返回文件路徑,還對(duì)文件名做了隨機(jī)更改,但是為啥會(huì)有這個(gè)jsp上傳成功了,這讓我百思不得其解。

當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候,我細(xì)心的觀察到了文件名使用了base64編碼,這個(gè)我很疑惑,都做了隨機(jī)函數(shù)了還做編碼干嘛,上次測(cè)試的時(shí)候是沒(méi)有做編碼的。我突然想到了問(wèn)題關(guān)鍵,然后使用burpsuite的decoder模塊,將文件名“1.jsp”做了base64編碼成“MS5Kc1A=”,然后發(fā)送成功反饋狀態(tài)碼200,再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。

所以,這個(gè)問(wèn)題所在是,在整改過(guò)程中研發(fā)人員對(duì)這個(gè)文件名使用了base64編碼,導(dǎo)致文件名在存儲(chǔ)過(guò)程中會(huì)使用base64解碼,而我上傳文件的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base64編碼,在存儲(chǔ)過(guò)程中.jsp也被成功解碼,研發(fā)沒(méi)有對(duì)解碼之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的,畢竟原來(lái)已經(jīng)做了隨機(jī)數(shù)更改了文件名了,再做編碼有點(diǎn)畫蛇添足了,這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

關(guān)于“webshell被上傳溯源事件的示例分析”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,使各位可以學(xué)到更多知識(shí),如果覺得文章不錯(cuò),請(qǐng)把它分享出去讓更多的人看到。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI