|
|
|
联系客服020-83701501

渗透并安全处置某重要网站记录

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
渗透并安全处理某严重web记载

下午接单位带领演讲需对某严重当局web休止安全应急处理任务,(已纳入恶意篡改数据黑客侵略案件)听说他们那处那边的任事器老是被入侵(办理员同学加固几回了依旧被入侵);

尔后让我们这边看看是怎么回事,布施促成安全任务;于是我们必要对其休止1次远程安全渗透测试,年光年华紧任务重,下午接到演注释天就要来由理演讲单 。

本来 尚有1大堆的处理列表,当初这个很严重,于是停歇别的的,后代行这项任务,也许花了两个多小时我们战败进入任事器数据库核心,下班回家持续弄,到底揪出幕 后黑手,查明屡次被入侵原因,完善实现处理任务。

期间,感谢shady,hup及高层的支持,让我又见地了1种险峻的后门技术;感谢他们!

也许说 1下的这台任事器的地位,它处于内网,对外凋落有21,80,端口,扫描创造还凋落了2三端口telnet下去创造是1台H三C的路由器,加之经过 谷歌查抄指标任事器探针缓存得悉其处于内网的情况中,经过路由器映照对外提供网站任事,该任事器包含公积金账户,安全,当局各个机构的账户处理 数据等严重内容,体系情况为linux+nginx+mysql+php用的1套不怎么出名确当局版站群cms体系Tsys For PHP Cms 5.0 ,仿佛没甚么暗中的破绽;只能靠本身发掘创造题目了;

经过测试创造指标任事器下边的1个子域名下某页面存在blind注入,放入sqlmap战败跑出帐号密码,可是是加密的,MD5解密无效鉴定不是md5加密,于是我们根据用户名猜解居然战败进入某些账户:
密码12三456 ,弱密码太可骇了;

\" border=

接上来我们必要搞定网站shell,于是把持mysql的load_file()函数听命翻看体系内部文件极度是配置文件,当常看到某个配置文件时我们创造好奇特啊,怎么配置文件外面有这个东西;

\" border=

看到了吗,插入了险峻的1句话后门里边assert()函数还16进制变形了\x65(e),牛逼!!!!其中$_REQUEST[‘O’]是连贯后门的密码;

查抄中同时创造了帐号密码,间接可见明文,密码还是蛮简单的 ,无非有了后门的话再简单也会被渗透出去;
再来分析1下,这个文件,为甚么要把后门插入该文件是有原因的,改文件为配置初始化类文件每次连贯数据库都必要垄断到的对状态休止初始 化:function_construct(); 函数即为器材成员变量赋初始值,休止初始化垄断;多么的话只要连贯对数据库有垄断的脚本文件就会触发该脚本同时发起后门;这就是为甚么屡次查抄并加固任事 器还是被入侵的原因;后门切实是太险峻了,只要不有清理完全,连贯任何1个与之关联的文件都或者触发该后门;

\" border=

暗中是多么的,我们连贯1下随意率性敷衍1个与数据库有垄断关联的文件尝尝:

\" border=

看到了吧,战败连贯进入指标文件体系;为了任务方便,我也上传了1个我的网站shell,哈哈
\" border=

www的权限,反弹返来我的vps上,休止提权垄断
\" border=

安全处理:创造题目所在了,于是即时着手休止安全处理任务,首先备份记载指标文件做好取证任务;尔后找到指标种马文件,清理恶意代码;其次进入指标体系,垄断grep梗概别的文本查找东西查找木马要害字,逐1休止清理;开头做好记载,输入标准处理呈报汇报带领。

本文转自90sec由网络安全攻防研究室(www.91ri.org)动静安全小组收集整理,转载请注明来由。

数安新闻+更多

证书相关+更多