DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

DIY装机联盟-电脑故障排除|装机指南|硬件配置|电脑知识

http://www.jinanshengke.com

菜单导航

记一次由追踪溯源发现的不安全解压GetShell

作者: 庄吉 发布时间: 2020年09月02日 18:38:04

本文仅供学习和研究,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任。

安全狗海青实验室拥有此文章的修改和解释权,如欲转载或传播,必须保证此文的完整性,包括版权声明在内的全部内容,未经海青实验室同意,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

本文所涉及到的案例中所有截图均是在复现、分析过程中获得的

近日我们帮助某客户追踪溯源一例入侵事件时,发现黑客在获取服务器权限之前利用网站的「ZIP 解压功能」上传了 Webshell。由于此次的漏送利用方式在「攻击载荷的构造」与「实际解压路径」方面较有代表性,并且业界对「不安全解压」漏洞的关注度仍不够。因此我们编写了这篇报告,在报告中讲解了入侵溯源与漏洞发现的过程,并从安全开发和安全狗产品防护方案两个维度提出了一些安全建议,希望对行业有所补益。

值得注意的是,虽然该 CMS 已经做了相关防御配置,若在 CMS 的根目录下直接写入 JSP 文件是无法执行的,会报 403 错误。攻击者利用了 war 包会自动部署的特点,通过「目录穿越」的思路使 war 包跳出该 CMS 的根目录。

一、入侵溯源

某公司运维人员在深夜值班时发现系统存在一定异常,为了尽**查问题,客户联系了我司,海青实验室随后介入,进行溯源和分析,并提供后续的处置方案。

通过查看 Tomcat 的日志文件/logs/localhost_access_log.yyyy-MM-dd.txt可以发现,查看日志可以发现,攻击者曾经对网站的登录接口实施了爆破(对「POST /cmscp/login.do」接口的访问频率很高),如图所示。

注:爆破成功时的 HTTP 状态码是 302,而爆破失败时的 HTTP 状态码是 303。

为了判断攻击者是否上传网站木马,使用网站安全狗的 Webshell AI 检测引擎对 Tomcat 的 webapps 目录进行扫描,可发现名为「/admin/login.jsp」的文件被识别为 Webshell(黑客对这一 Webshell 的命名具有一定的迷惑性),如图所示。

记一次由追踪溯源发现的不安全解压GetShell

经过进一步人工确认,可判断该 jsp 文件确为 Webshell。并且它与 admin.war 这一文件的自动部署有关,如图所示。

记一次由追踪溯源发现的不安全解压GetShell

那么这一 war 包是如何被上传到服务器的呢?继续对日志文件进行分析,在分析的时候重点关注「可能为文件上传功能的接口」。可以初步判断,黑客曾在使用该 Webshell 之前使用ZIP 上传ZIP 解压功能,如图所示。

记一次由追踪溯源发现的不安全解压GetShell

找到服务器上被文件解压接口调用的 test5.zip 文件,对之进行分析可以发现 admin.war 所处的路径是「test5.zip......」。因而,该 ZIP 文件是黑客精心构造的恶意文件,它将使得该 war 包的解压路径不再是预设的「/uploads/1」目录,而是 Tomcat 的「webapps」目录,如图所示。

记一次由追踪溯源发现的不安全解压GetShell

注:本文的恶意 zip 文件的生成方式

(1)执行以下 python 脚本,生成 test5.zip:

import zipfile 

if __name__ == "__main__"

try:

binary = b'<script>alert("helloworld")</script>'

zipFile = zipfile.ZipFile("test5.zip", "a", zipfile.ZIP_DEFLATED) 

info = zipfile.ZipInfo("test5.zip")

zipFile.writestr("../../../safedog.html", binary)

zipFile.close()

except IOError as e: 

raise

(2)将包含有 Webshell 的 war 包拖拽到「test5.zip」,如图所示。

本文地址:http://www.jinanshengke.com/wlzs/61484.html

请遵守互联网相关规定,不要发布广告和违法内容