webshell

信息收集之主机发现:masscan 在 渗透测试前期，信息收集是非常重要的工作，需要对目标的各种信息进行分析，拆分和融合，目的是对目标进行全方位的了解，其中一个直接产出就是生成账号密码的字典，为后续的鱼叉，水坑攻击做好准备。 很多时候的成功攻击，都是从一个个脆弱的密码开始的。 本次文章依然是由八戒哥哥投稿，如果大家想来七夜安全博客投稿，可以后台联系我们哈。 如果文章不错，我就找七夜要几个鹅厂公仔送给大家。 字典项目 对于字典的生成，推荐一个开源项目：https://github.com/LandGrey/pydictor/，这个项目可以帮助我们快速生成爆破字典。 (1) 安装 git clone --depth=1 --branch=master https://www.github.com/landgrey/pydictor.git cd pydictor/ chmod +x pydictor.py python pydictor.py： (2) 典型场景 1. 基础字典 -base 可以指定密码的取值范围，dLc 代表着 [0-9 a-z A-Z]，具体如下所示： -base Type Choose from ( d , L , c , dL , dc , Lc , dLc ) d digital [0 - 9] L lowercase letters [a - z] c

网站迁移到阿里云之后，一直提示有一个漏洞，如下： 漏洞名称： dedecms后台文件任意上传漏洞 补丁文件： media_add.php 漏洞描述： dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限。 修改这个漏洞也是很简单，主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。 解决方法： 1、打开dede/media_add.php文件，找到第69行或者搜索代码： $fullfilename = $cfg_basedir.$filename; 修改为： if (preg_match('#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i', trim($filename))) { ShowMsg("你指定的文件名被系统禁止！",'javascript:;'); exit(); } $fullfilename = $cfg_basedir.$filename; 修改文件前请做好文件备份，将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。 来源： oschina 链接： https:/

一、背景概述 针对网站的Web***是互联网安全面临的主要威胁，为隐藏身份、逃避追踪，在对目标网站发起***时，***往往会采用多种手段隐藏自己的身份，如：使用(动态)代理、虚拟专用网络等。***者的这些手段很好的隐藏了自身信息，增加了安全人员追踪溯源的难度。 虽然针对Web***的防御技术、溯源技术也在不断发展之中，如: IDS、WAF、基于日志/流量溯源等，但这些技术往往处于被动防御的状态、或溯源信息不足，难以应对复杂多变的***手段。 问题一：***流量被隐藏在大量的合法流量中，不易被发现和识别。尽管IDS、WAF功能强大，但依然存在漏报或误报的可能，而且也存在因其自身漏洞或规则不完善而被绕过的可能。 问题二：即使识别***后，可基于IP黑名单机制阻断***源，但如果***者切换了出口IP，如何在新的***发起之前有效识别***行为，也是目前IDS、WAF等安全产品所不具备的功能。 问题三：假如***者在***过程中使用了(动态)代理、虚拟专用网络等手段，则传统的基于Web日志、基于网络流量的追踪技术，并不能有效的定位***者的身份或位置。 二、本文目的 图1 研究目标 为弥补传统安全防御技术的不足，为网络犯罪溯源取证提供依据，基于主动防御的思想，本文提出了一种基于网络欺骗和浏览器指纹的溯源技术方案，旨在有效识别网络***行为、定位***者身份或位置

文件上传漏洞原理 程序员由于对上传的文件类型、内容没有进行严格限定，导致攻击者可以通过上传木马获取服务器的webshell权限（webshell:webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。） 通俗的说：用户上传了一个可执行脚本文件并通过此文件获得了执行服务器端命令的能力。 文件上传漏洞的原因 1.对文件的后缀名没有严格的限制 2.对于上传文件的MIMETYPE没有做检查 3.权限上没有对与上传的文件目录设置不可执行权限 4.web server对于 上传文件的行为没有做限制。 文件上传漏洞的危害 1.网站被控制,别人可以对文件进行增删改查等。 2.会导致服务器崩盘。 文件上传漏洞的靶机安装 upload-labs安装 下载地址 可以用git直接下载也可以直接下载压缩包。 把解压后的文件放在phpstudy的根目录下 然后在浏览器中输入网站 安装成功 JS（Javascript）前端绕过攻击 js前端绕过攻击是在网页或其他平台上对文件的过滤仅使用了前端过滤而没有使用后端过滤。 upload-labs第一关

今天这篇文章主要是为大家分析下我所用过国内几款服务器管理面板：安全狗、悬镜、云锁、云帮手体验与感受。 安全狗（ 官网地址 ） 一直对安全狗不怎么感冒，装上还是会挂码，一直对安全狗不怎么感冒，装上还是会挂码。觉得安全狗不够安全防卫，用了几天果断把卸载了 云锁（ 官网地址 ） 系统的64位win2012的话，我测试下来的效果一般。当然，详细的测试没有，只是说我的情况，云锁防篡改功能很强，但是安装后网站会变慢，甚至一两个小时后出现部分网站无法打开，需要重启IIS才能正常访问网站。 悬镜（ 官网地址 ） 目前是免费得，用过悬镜一段时间了。它是Linux服务器系统上一款比较有特色的主机加固软件，有基线扫描、Webshell查杀、网站漏洞防护、CC/DDOS防护等，对Linux系统支持最深。不过用的最顺手功能就是它的Webshell查杀，好像说是搞了啥语法分析，对我平常的运维挺有帮助的。 云帮手（ 官网地址 ） 安全防护功能完善，能满足客户需求。新手安装基本也没有问题，另外站点管理功能也比较全面，一键部署环境，而且还是免费使用的，对于不想买付费软件的运维人来说是最好的选择，自带远程连接功能，无需再通过其他工具进行远程桌面控制，也是因为这样所以云帮手的安装和服务器的添加相比之下更方便快捷；相比宝塔多了一键安全巡检和修复功能，功能也基本齐全，支持站点环境一键部署（如php、Apache等安装）

作者：answerboy @知道创宇404积极防御实验室 时间：2020年8月5日 1 概述 近日知道创宇404积极防御团队通过知道创宇云防御安全大数据平台（GAC）监测到大量利用Struts2、ThinkPHP等多个Web组件漏洞进行的组合攻击，并捕获到相关样本，经分析确认该样本为Bulehero蠕虫病毒。目前该Web攻击均被创宇盾拦截；知道创宇NDR流量监测系统也已经支持检测所有相关恶意IOC及流量。 2 追溯分析 2.1 发现攻击 2020年7月26日，通过日志分析发现IP： 47.92.*.* （北京）、 119.23.*.* （广东）、 117.89.*.* （南京）等多个IP对客户网站发起Web漏洞攻击，通过远程下载并执行恶意文件Download.exe，如下： ThinkphpV5进行攻击： Tomcat PUT方式任意文件文件上传： Struts2远程命令执行： 经过分析，发现Download.exe为下载器，执行流程如下： 图1-执行流程 2.2 详细分析 2.2.1 Download.exe Download.exe作为下载器，攻击成功之后会继续前往 http://UeR.ReiyKiQ.ir/AdPopBlocker.exe 下载AdPopBlocker.exe到系统TEMP目录并创建名为Uvwxya和fmrgsebls的计划任务来实现自启动，如下： 图2

由于今年疫情的影响，今天知道了2020年的HW行动在下周一（8月17日）并且时间居然加长了，延长到两个月，估计各位朋友都在准备了吧。届时观看红蓝两房的精彩演绎。 随着《网络安全法》和《等级保护制度条例2.0》的颁布，国内企业的网络安全建设需与时俱进，要更加注重业务场景的安全性并合理部署网络安全硬件产品，严防死守“网络安全”底线。“HW行动”大幕开启，国联易安誓为政府、企事业单位网络安全护航！ 云计算、移动互联网、大数据、物联网等新技术的持续演进，网络安全形势变得尤为复杂严峻。网络攻击“道高一尺，魔高一丈”，网络安全问题层出不穷，给政府、企事业单位带来风险威胁级别升高，挑战前所未有。 “HW行动”是国家应对网络安全问题所做的重要布局之一。加强网络安全意识，是所有单位有序地完成“HW行动”必不可少的一项基础和必须做扎实的工作。 目前灰产、黑产环境比较复杂，很多攻击手段已经向云和SaaS服务方面发展，暗网已经存在专业提供RaaS（勒索即服务）的服务模式，另外很多勒索攻击软件已经开源，易用性得到了极大的提高，同时也大大降低了网络攻击的技术门槛。 HW行动要“立足基础 靠前一步 全面开展” 为切实履行公安机关网络安全监管职责，提高重点单位网络安全防护意识，提升关键信息基础设施、重要信息系统防护水平。近日，多个省、直辖市、自治区的公安部门按照突出重点、分类检查的原则

通常用作黑客攻击网站拿到服务器Webshell提升站点服务器权限后，对站点和数据库服务器两台服务器分离的情况，延申权限到数据库服务器。开启数据库服务器的3389远程连接。 1、程序信息 MD5值：58946C2FE49563591EBE0D61F457DE0A 大小：178 KB (182,526 字节) 病毒家族名：Virus.Win32.Parite.a 分析黑客小工具是怎么实现的，分析行为提取特征。 2、大体实现行为 2.1、修改注册表键值 作用是开启3389端口 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\fDenyTSConnections type:0x00000004 datalen:4 data: 00000000: 00 00 00 00 ; 2.2、创建用户 添加用户 "net user admin admin123 /add" "net localgroup administrators admin /add" 3、逆向代码 3.1、搜集信息 1）查壳 2）导入表信息 逆向这类几百KB的程序是很轻松的，通常病毒文件并不大。单步调试也没有几次就跟踪到Main()函数了。 RegCreateKeyEx ：该函数用来创建注册表键，如果该键已经存在，则打开它

前言 今天看到一个博客里有这个置顶的工具清单，但是发现这些都是很早以前就有文章发出来的，我爬下来后一直放在txt里吃土。这里一起放出来。 漏洞练习平台 WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.com/710leo/ZVulDrill vulapps漏洞练习平台： https://github.com/Medicean/VulApps dvwa漏洞练习平台： https://github.com/RandomStorm/DVWA 数据库注入练习平台 ： https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台，like OWASP Node Goat： https://github.com/cr0hn/vulnerable-node Ruby编写的一款工具，生成含漏洞的虚拟机： https://github.com/cliffe/secgen 花式扫描器 Nmap端口扫描器： https://github.com/nmap/nmap 本地网络扫描器： https://github.com

前言 今天看到一个博客里有这个置顶的工具清单，但是发现这些都是很早以前就有文章发出来的，我爬下来后一直放在txt里吃土。这里一起放出来。 漏洞练习平台 WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.com/710leo/ZVulDrill vulapps漏洞练习平台： https://github.com/Medicean/VulApps dvwa漏洞练习平台： https://github.com/RandomStorm/DVWA 数据库注入练习平台 ： https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台，like OWASP Node Goat： https://github.com/cr0hn/vulnerable-node Ruby编写的一款工具，生成含漏洞的虚拟机： https://github.com/cliffe/secgen 花式扫描器 Nmap端口扫描器： https://github.com/nmap/nmap 本地网络扫描器： https://github.com