webshell

客户网站前端时间被攻击，网站被劫持到了赌bo网站上去，通过朋友介绍找到我们SINESAFE做网站的安全防护，我们随即对客户网站进行了全面的渗透测试，包括了网站的漏洞检测与代码安全测试，针对于发现的漏洞进行了修复，包括网站安全部署等等方面，下面我们将这一次的安全应急处理过程分享给有需要的客户。 首先客户网站采用的架构是PHP语言开发，mysql数据库，使用的是linux centos系统作为网站的运行环境，代码使用的是开源的某CMS系统，我们首先打包压缩了一份网站源代码到我们本地的电脑，人工对其代码进行全面的渗透测试与检测，首先我们会从网站的安装文件入手，我们查看到使用的是install.php作为网站安装的文件，一般这里会存在网站漏洞，例如：没有对其做安全验证，导致可以任意的安装网站，覆盖配置文件，甚至可能会出现表单里不做安全过滤，导致写入webshell一句话木马代码到config.php文件里。 经过我们SINE安全技术的人工代码安全审计，发现客户网站存在任意重装网站漏洞，漏洞文件：install.php，查看到使用的变量值为DEL_INSTALLER=1的时候才会删除安装文件，我们看到默认值=0.也就是说不会删除安装文件，我们可以访问该代码，直接执行重装操作。 继续检查代码是否还存在其他的漏洞，在检查到配置文件config.php代码中，有调用到cookies方面的赋值

很多企业网站被攻击，导致网站打开跳转到别的网站，尤其一些彩票等非法网站上去，甚至有些网站被攻击的打不开，客户无法访问首页，给客户造成了很大的经济损失，很多客户找到我们SINE安全公司寻求防止网站被攻击的解决方案，针对这一情况，我们安全部门的技术，给大家普及一下网站被攻击后该如何查找攻击源以及对检测网站存在的漏洞，防止网站再次被攻击。 网站被黑被攻击后，我们首先要检查的就是对网站的访问日志进行打包压缩，完整的保存下来，根据客户反映的问题时间，被攻击的特征等等方面进行记录，然后一一的对网站日志进行分析，网站的访问日志记录了所有用户对网站的访问记录，以及访问了那些页面，网站出现的错误提示，都可以有利于我们查找攻击源，网站存在的那些漏洞也都可以查找出来，并对网站的漏洞进行修复。 我们就拿前段时间某一个企业客户的网站，进行举例：先看下这个日志记录: 2019-06-03 00:01:18 W3SVC6837 202.85.214.117 GET /Review.aspx class=1&byid=23571 80 - 101.89.239.230 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+SLCC2;+.NE T+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media

静态查杀 提取特征写成规则库，调用规则库查杀。基于规则，会比较快，但漏报、误报会比较明显，一般的Webshell一句话木马变形混淆会比较多。 yara规则 $eval = /(<\?php|[;{}])[ \t]*@?(eval|preg_replace|system|assert|passthru|(pcntl_)?exec|shell_exec|call_user_func(_array)?)\s*\(/ nocase // ;eval( <- this is dodgy $eval_comment = /(eval|preg_replace|system|assert|passthru|(pcntl_)?exec|shell_exec|call_user_func(_array)?)\/\*[^\*]*\*\/\(/ nocase // eval/*lol*/( <- this is dodgy $b374k = "'ev'.'al'" $align = /(\$\w+=[^;]*)*;\$\w+=@?\$\w+\(/ //b374k $weevely3 = /\$\w=\$[a-zA-Z]\('',\$\w\);\$\w\(\);/ // weevely3 launcher $c99_launcher = /;\$\w+\(\$\w+(,\s?\$\w+)+\);/ //

客户网站前端时间被攻击，网站被劫持到了赌bo网站上去，通过朋友介绍找到我们SINESAFE做网站的安全防护，我们随即对客户网站进行了全面的渗透测试，包括了网站的漏洞检测与代码安全测试，针对于发现的漏洞进行了修复，包括网站安全部署等等方面，下面我们将这一次的安全应急处理过程分享给有需要的客户。 首先客户网站采用的架构是PHP语言开发，mysql数据库，使用的是linux centos系统作为网站的运行环境，代码使用的是开源的某CMS系统，我们首先打包压缩了一份网站源代码到我们本地的电脑，人工对其代码进行全面的渗透测试与检测，首先我们会从网站的安装文件入手，我们查看到使用的是install.php作为网站安装的文件，一般这里会存在网站漏洞，例如：没有对其做安全验证，导致可以任意的安装网站，覆盖配置文件，甚至可能会出现表单里不做安全过滤，导致写入webshell一句话木马代码到config.php文件里。 经过我们SINE安全技术的人工代码安全审计，发现客户网站存在任意重装网站漏洞，漏洞文件：install.php，查看到使用的变量值为DEL_INSTALLER=1的时候才会删除安装文件，我们看到默认值=0.也就是说不会删除安装文件，我们可以访问该代码，直接执行重装操作。 继续检查代码是否还存在其他的漏洞，在检查到配置文件config.php代码中，有调用到cookies方面的赋值

前几天，有一客户向我们SINE安全公司反映，网站在google上的推广已拒登，说什么网站存在恶意软件或垃圾软件，导致google广告无法上线，还发现网站从google搜索点击进去会直接跳转到其他网站上，直接输入网址不会跳转。客户自己尝试解决了很多天，解决不了，眼看着给公司带来了很大的损失，我们立即安排技术，对客户的网站安全进行全面的检测。 客户网站被google拒登的截图如下： 客户网站用的是wordpress博客系统，PHP+mysql数据库架构，使用的godaddy虚拟主机，我们跟客户要了FTP账号密码，以及主机的账号密码，对网站的所有代码进行打包下载到本地，进行人工的安全审计。 导致从google点开公司网站产生跳转的原因是网站被篡改，该跳转代码做了判断，根据用户请求包的HTTP Rerferer字段中是否包含“google”字符串而分别返回不同的页面，如果包含“google”字符串，则返回一个包含某德国IP的网站域名，直接输入网址的来路，不会跳转，这样做的目的就是隐藏网站被攻击的症状，让管理员无法察觉，另外一个目的用于增加其他网站在搜索引擎中的排名，也算是黑帽SEO的一种盈利方式. 被攻击的还有一个特点，只要访问服务器上确实存在的php文件的话，即便添加了Referer也不会跳转，只有访问不存在的URL的时候，才会进入对Referer是否包含“google”的判断流程

某一客户的网站,以及APP系统数据被篡改,金额被提现,导致损失惨重,漏洞无从下手,经过朋友介绍找到我们SINE安全公司,我们随即对客户的网站服务器情况进行大体了解.建议客户做渗透测试服务.模拟攻击者的手法对网站存在的数据篡改漏洞进行检测与挖掘,就此渗透测试服务的过程进行记录与分享. 首先客户网站和APP的开发语言都是使用的PHP架构开发,后端使用的thinkphp开源系统,对会员进行管理以及资料的统计,包括充值,提现,下单功能.服务器使用是linux系统.共有3个接口,分别是WEB前端,接口,后台,都采用的是action的方法来调用,并初始化数据.我们看下代码 不同入口传入过来的值,并进一步的操作都不一样,我们SINE安全技术在get,post,cookies的请求方式中,发现一个规律,在查看代码中发现都是使用的get()的方式来对传入过来的值进行安全效验与拦截.对一些特殊符号包括<> 都进行了安全转义,不会直接输入到后端中去.基本上的一些漏洞,XSS,SQL注入漏洞是不会很容易的找到.我们继续对代码进行分析与渗透测试,对漏洞多次的测试,终于找到一处存在SQL注入漏洞的代码,存在于网站的会员头像上传功能. 我们抓取上传的数据包,并进行修改,将恶意的SQL注入代码写入到数据包中,将头像的图片内容进行修改提交过去,发现服务器返回错误,原因是对图片的内容进行了解析操作

近期我们SINE安全在对discuz x3.4进行全面的网站渗透测试的时候，发现discuz多国语言版存在远程代码执行漏洞，该漏洞可导致论坛被直接上传webshell,直接远程获取管理员权限，linux服务器可以直接执行系统命令，危害性较大，关于该discuz漏洞的详情，我们来详细的分析看下。 discuz漏洞影响范围：discuz x3.4 discuz x3.3 discuz x3.2,版本都受该网站漏洞的影响，漏洞产生的原因是在source目录下function文件夹里function_core.php代码里的cookies与语言language参数值并没有详细的进行安全过滤与检测，导致可以插入恶意的代码到数据库，并远程执行恶意代码，可获取webshell权限。 discuz漏洞分析 我们来看下刚才产生漏洞的代码，在第535行往下看，有一段代码是这样写的，默认网站系统将缓存数据存储在data文件夹里的template目录中，缓存文件名的命名是由前面的discuz_lang参数进行控制来命令的，漏洞产生的原因就在这里。那这个discuz_lang参数的值是从来获取来的呢？ 我们跟进分析网站代码，可以看到是从language语言这一变量里去获取的值，也就是说，我们要利用这个网站漏洞，首先要去改变这个language的值，将恶意代码插入到这个值当中去，POC代码如下：

sql注入防护 GPC,magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有:post、get、cookie过来的数据增加转义字符“\”，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误 magic_quotes_runtime,当它打开时，php的大部分函数自动的给从外部引入的(包括数据库或者文件)数据中的溢出字符加上反斜线。 使用具有过滤功能的函数和类 addslashes函数 musql [real] escape_string函数 intval字符转换 设计输入验证和处理策略 比如 使用waf 领域驱动，将数据和代码分开，限制对原始数据的访问 编码输出，对输入的查询进行正确的编码防止使用单引号或其他字符来修改查询 webshell 网站后门==webshell==服务器的权限，就是apache,nginx,iis,tomcat等webserver服务器的权限，权限较低 shell不仅仅是命令解析器的意思，在攻击者眼里还表示一种权限，webshell就是web服务器的权限 webshell以及其管理工具 网页木马就是webshell，其类型主要由网站后台支持的解析语言决定的，wheshell分类，一句话，小马，大马 一句话，<？php eval($_POST['k']);?>,代码小，功能少，不易被管理员发现

tomcat是一个开源Web服务器，基于Tomcat的Web运行效率高，可以在一般的硬件平台上流畅运行，因此，颇受Web站长的青睐。不过，在默认配置下其存在一定的安全隐患，可被恶意攻击。另外，由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署，希望对大家有所帮助。 　　环境描述 　　OS：Windows Server 2003 　　IP：192.168.1.12 　　Tomcat：6.0.18 　　 1、安全测试 　　(1).登录后台 　　在Windows Server 2003上部署Tomcat，一切保持默认。然后登录Tomcat后台，其默认的后台地址为： 　　 http://192.168.1.12:8080/manager/html 。在浏览器中输入该地址，回车后弹出登录对话框，输入默认的用户名admin，默认的密码为空，成功登录后台。 　　 (2).获得Webshell 　　在Tomcat的后台有个WAR file to deploy模块，通过其可以上传WAR文件。Tomcat可以解析WAR文件，能够将其解压并生成web文件。我们将一个jsp格式的webshell用WinRar打包然后将其后缀改名为WAR(本例为gslw.war)，这样;一个WAR包就生成了。最后将其上传到服务器

转自： https://www.cnblogs.com/-qing-/p/10631414.html 0x03 关于eval 于 assert # 关于eval函数在php给出的官方说明是 eval 是一个语言构造器而不是一个函数，不能被 可变函数 调用 可变函数：通过一个变量，获取其对应的变量值，然后通过给该值增加一个括号()，让系统认为该值是一个函数，从而当做函数来执行 通俗的说比如你 <?php $a=eval;$a() ?> 这样是不行的 也造就了用eval的话达不到assert的灵活，但是在php7.1以上assert已经不行 关于assert函数 assert() 回调函数在构建自动测试套件的时候尤其有用，因为它们允许你简易地捕获传入断言的代码，并包含断言的位置信息。 当信息能够被其他方法捕获，使用断言可以让它更快更方便！ 0x04 字符串变形 # 字符串变形多数用于BYPASS安全狗，相当对于D盾，安全狗更加重视"形" 一个特殊的变形就能绕过安全狗，看看PHP手册，有着很多关于操作字符串的函数 ucwords() //函数把字符串中每个单词的首字符转换为大写。ucfirst() //函数把字符串中的首字符转换为大写。trim() //函数从字符串的两端删除空白字符和其他预定义字符。substr_replace() //函数把字符串的一部分替换为另一个字符串substr